සංවර්ධකයින්ට මුහුණ දීම: පුද්ගලික වලාකුළු නවීකරණය කිරීම

වලාකුළේ අතථ්‍ය යන්ත්‍රයක් (VM) නිර්මාණය කිරීම අපහසුද? තේ සෑදීමට වඩා අපහසු නැත. නමුත් විශාල සංස්ථාවක් සම්බන්ධයෙන් ගත් කල, එවැනි සරල ක්රියාවක් පවා වේදනාකාරී ලෙස දිගු විය හැකිය. අතථ්‍ය යන්ත්‍රයක් නිර්මාණය කිරීම ප්‍රමාණවත් නොවේ; සියලුම රෙගුලාසිවලට අනුකූලව වැඩ කිරීමට අවශ්‍ය ප්‍රවේශය ද ඔබ ලබා ගත යුතුය. සෑම සංවර්ධකයෙකුටම හුරුපුරුදු වේදනාවක්ද? එක් විශාල බැංකුවක, මෙම ක්රියා පටිපාටිය පැය කිහිපයක් සිට දින කිහිපයක් දක්වා ගත විය. මසකට සමාන මෙහෙයුම් සිය ගණනක් සිදු වූ බැවින්, මෙම ශ්‍රම පරිභෝජන යෝජනා ක්‍රමයේ පරිමාණය සිතීම පහසුය. මෙයට තිත තැබීම සඳහා, අපි බැංකුවේ පුද්ගලික වලාකුළ නවීකරණය කර VM නිර්මාණය කිරීමේ ක්‍රියාවලිය පමණක් නොව, ඊට අදාළ මෙහෙයුම් ද ස්වයංක්‍රීය කළෙමු.

කාර්ය අංක 1. අන්තර්ජාල සම්බන්ධතාවයක් සහිත වලාකුළු

බැංකුව ජාලයේ එක් කොටසක් සඳහා එහි අභ්‍යන්තර තොරතුරු තාක්ෂණ කණ්ඩායම භාවිතා කරමින් පුද්ගලික වලාකුළක් නිර්මාණය කළේය. කාලයාගේ ඇවෑමෙන්, කළමනාකරණය එහි ප්‍රතිලාභ අගය කළ අතර පුද්ගලික වලාකුළු සංකල්පය බැංකුවේ අනෙකුත් පරිසරයන් සහ අංශ වෙත ව්‍යාප්ත කිරීමට තීරණය කළේය. මෙයට තවත් විශේෂඥයින් සහ පුද්ගලික වලාකුළු පිළිබඳ දැඩි විශේෂඥ දැනුමක් අවශ්‍ය විය. ඒ නිසා වලාකුළ නවීකරණය කිරීම අපේ කණ්ඩායමට පැවරුණා.

මෙම ව්‍යාපෘතියේ ප්‍රධාන ප්‍රවාහය වූයේ තොරතුරු ආරක්ෂාවේ අතිරේක කොටසක අථත්‍ය යන්ත්‍ර නිර්මාණය කිරීමයි - හමුදාකරණය කළ කලාපයේ (DMZ). බැංකු යටිතල ව්‍යුහයෙන් පිටත පිහිටා ඇති බාහිර පද්ධති සමඟ බැංකුවේ සේවාවන් ඒකාබද්ධ වන්නේ මෙහිදීය.

නමුත් මේ පදක්කමටත් පෙරළෙන පැත්තක් තිබුණා. DMZ වෙතින් සේවාවන් "පිටත" ලබා ගත හැකි වූ අතර මෙය තොරතුරු ආරක්ෂණ අවදානම් සමූහයක් ඇතුළත් විය. පළමුවෙන්ම, මෙය අනවසරයෙන් ඇතුළුවීමේ පද්ධතිවල තර්ජනය, DMZ හි ප්රහාරක ක්ෂේත්රයේ පසුව පුළුල් කිරීම සහ පසුව බැංකුවේ යටිතල පහසුකම් තුලට විනිවිද යාමයි. මෙම අවදානම් සමහරක් අවම කිරීම සඳහා, අපි අතිරේක ආරක්ෂක පියවරක් භාවිතා කිරීමට යෝජනා කළෙමු - ක්ෂුද්‍ර-ඛණ්ඩනය විසඳුමක්.

ක්ෂුද්ර ඛණ්ඩනය ආරක්ෂා කිරීම

සම්භාව්‍ය ඛණ්ඩනය ෆයර්වෝලයක් භාවිතයෙන් ජාල වල මායිම්වල ආරක්ෂිත මායිම් ගොඩනඟයි. ක්ෂුද්‍ර ඛණ්ඩනය සමඟ, එක් එක් VM පුද්ගලික, හුදකලා කොටසකට වෙන් කළ හැකිය.

මෙය සමස්ත පද්ධතියේ ආරක්ෂාව වැඩි කරයි. ප්‍රහාරකයින් එක් DMZ සේවාදායකයක් හැක් කළත්, ප්‍රහාරය ජාලය පුරා පැතිරවීම ඔවුන්ට අතිශයින් දුෂ්කර වනු ඇත - ඔවුන්ට ජාලය තුළ ඇති බොහෝ “අගුළු දැමූ දොරවල්” බිඳ දැමීමට සිදුවනු ඇත. එක් එක් VM හි පුද්ගලික ෆයර්වෝලයට ඇතුල් වීමට සහ පිටවීමට ඇති අයිතිය තීරණය කරන එය සම්බන්ධයෙන් තමන්ගේම නීති අඩංගු වේ. අපි VMware NSX-T Distributed Firewall භාවිතයෙන් ක්ෂුද්‍ර ඛණ්ඩනය ලබා දුන්නෙමු. මෙම නිෂ්පාදනය VM සඳහා ෆයර්වෝල් රීති මධ්‍යගතව නිර්මාණය කරන අතර ඒවා අථත්‍යකරණ යටිතල පහසුකම් හරහා බෙදා හරියි. කුමන ආගන්තුක OS භාවිතා කළත් කමක් නැත, අථත්‍ය යන්ත්‍ර ජාලයට සම්බන්ධ කිරීමේ මට්ටමින් රීතිය යොදනු ලැබේ.

ගැටලුව N2. වේගය සහ පහසුව සෙවීමේදී

අතථ්‍ය යන්ත්‍රයක් යොදවන්නද? පහසුවෙන්! ක්ලික් කිරීම් කිහිපයක් සහ ඔබ අවසන්. නමුත් පසුව බොහෝ ප්රශ්න පැන නගී: මෙම VM වෙතින් වෙනත් හෝ පද්ධතියකට ප්රවේශය ලබා ගන්නේ කෙසේද? නැත්නම් වෙනත් පද්ධතියකින් නැවත VM වෙතද?

උදාහරණයක් ලෙස, බැංකුවක, වලාකුළු ද්වාරයෙහි VM ඇණවුම් කිරීමෙන් පසු, තාක්ෂණික ආධාරක ද්වාරය විවෘත කිරීම සහ අවශ්ය ප්රවේශය සැපයීම සඳහා ඉල්ලීමක් ඉදිරිපත් කිරීම අවශ්ය විය. යෙදුමේ දෝෂයක් හේතුවෙන් තත්වය නිවැරදි කිරීම සඳහා ඇමතුම් සහ ලිපි හුවමාරු විය. ඒ අතරම, VM එකකට 10-15-20 ප්‍රවේශයන් තිබිය හැකි අතර එක් එක් සැකසීමට කාලය ගත විය. යක්ෂයාගේ ක්රියාවලිය.

මීට අමතරව, දුරස්ථ අථත්‍ය යන්ත්‍රවල ජීවන ක්‍රියාකාරකම්වල සලකුණු “පිරිසිදු කිරීම” සඳහා විශේෂ සැලකිල්ලක් අවශ්‍ය විය. ඒවා ඉවත් කිරීමෙන් පසු, ප්‍රවේශ නීති දහස් ගණනක් ෆයර්වෝලයේ පැවතුනි, උපකරණ පැටවීම. මෙය අතිරේක බරක් සහ ආරක්ෂක සිදුරු දෙකම වේ.

ඔබට වලාකුළෙහි නීති සමඟ මෙය කළ නොහැක. එය අපහසු සහ අනාරක්ෂිත ය.

VM වෙත ප්‍රවේශය ලබා දීමට ගතවන කාලය අවම කිරීම සහ ඒවා කළමනාකරණය කිරීම පහසු කිරීම සඳහා, අපි VM සඳහා ජාල ප්‍රවේශ කළමනාකරණ සේවාවක් සකස් කර ඇත.

සන්දර්භය මෙනුවේ අතථ්‍ය යන්ත්‍ර මට්ටමේ පරිශීලකයා ප්‍රවේශ රීතියක් නිර්මාණය කිරීමට අයිතමයක් තෝරා ගනී, ඉන්පසු විවෘත වන පෝරමයේ පරාමිති නියම කරයි - කොතැනින්ද, කොතැනින්ද, ප්‍රොටෝකෝල වර්ග, වරාය අංක. පෝරමය පුරවා ඉදිරිපත් කිරීමෙන් පසු, අවශ්‍ය ටිකට්පත් ස්වයංක්‍රීයව HP සේවා කළමනාකරු මත පදනම් වූ පරිශීලක තාක්ෂණික සහාය පද්ධතිය තුළ නිර්මාණය වේ. මෙම හෝ එම ප්රවේශය අනුමත කිරීම සඳහා ඔවුන් වගකිව යුතු අතර, ප්රවේශය අනුමත කර ඇත්නම්, තවමත් ස්වයංක්රීයව නොමැති සමහර මෙහෙයුම් සිදු කරන විශේෂඥයින්ට.

විශේෂඥයින් සම්බන්ධ ව්යාපාර ක්රියාවලියේ අදියර වැඩ කිරීමෙන් පසුව, ෆයර්වෝල් මත ස්වයංක්රීයව නීති නිර්මාණය කරන සේවාවේ කොටස ආරම්භ වේ.

අවසාන ස්වරය ලෙස, පරිශීලකයා ද්වාරයෙහි සාර්ථකව සම්පූර්ණ කරන ලද ඉල්ලීමක් දකියි. මෙයින් අදහස් කරන්නේ රීතිය නිර්මාණය කර ඇති අතර ඔබට එය සමඟ වැඩ කළ හැකි බවයි - බැලීම, වෙනස් කිරීම, මකා දැමීම.

ප්රතිලාභවල අවසාන ලකුණු

අත්‍යවශ්‍යයෙන්ම, අපි පුද්ගලික වලාකුළේ කුඩා අංශ නවීකරණය කළ නමුත් බැංකුවට සැලකිය යුතු බලපෑමක් ලැබුණි. පරිශීලකයින්ට දැන් ජාල ප්‍රවේශය ලැබෙන්නේ සේවා මේසය සමඟ සෘජුව ගනුදෙනු නොකර ද්වාරය හරහා පමණි. අනිවාර්ය ආකෘති ක්ෂේත්‍ර, ඇතුළත් කළ දත්තවල නිරවද්‍යතාවය සඳහා ඒවා වලංගු කිරීම, පෙර-වින්‍යාස කළ ලැයිස්තු, අමතර දත්ත - මේ සියල්ල නිවැරදි ප්‍රවේශ ඉල්ලීමක් සැකසීමට උපකාරී වන අතර, එය ඉහළ සම්භාවිතාවක් සහිතව සලකා බලනු ලබන අතර තොරතුරු ආරක්ෂක සේවකයින් විසින් ප්‍රතික්ෂේප නොකරනු ඇත. දෝෂ ඇතුළත් කිරීමට. අතථ්‍ය යන්ත්‍ර තවදුරටත් කළු පෙට්ටි නොවේ - ද්වාරයෙහි වෙනස්කම් කිරීමෙන් ඔබට ඒවා සමඟ දිගටම වැඩ කළ හැක.

එහි ප්‍රතිඵලයක් වශයෙන්, අද බැංකුවේ තොරතුරු තාක්ෂණ විශේෂඥයින් සතුව ප්‍රවේශය ලබා ගැනීම සඳහා වඩාත් පහසු මෙවලමක් ඇති අතර, එම ක්‍රියාවලියට සම්බන්ධ වන්නේ එම පුද්ගලයන් පමණක් වන අතර, ඔවුන් නොමැතිව ඔවුන්ට අනිවාර්යයෙන්ම කළ නොහැක. සමස්තයක් ලෙස ගත් කල, ශ්‍රම පිරිවැය අනුව, මෙය අවම වශයෙන් 1 පුද්ගලයෙකුගේ දෛනික සම්පූර්ණ භාරයෙන් මුදා හැරීමක් මෙන්ම පරිශීලකයින් සඳහා ඉතිරි කර ඇති පැය දුසිම් ගණනකි. රීති නිර්මාණය කිරීමේ ස්වයංක්‍රීයකරණය බැංකු සේවකයින්ට බරක් ඇති නොකරන ක්ෂුද්‍ර ඛණ්ඩන විසඳුමක් ක්‍රියාත්මක කිරීමට හැකි විය.

අවසාන වශයෙන්, "ප්රවේශ රීතිය" වලාකුළෙහි ගිණුම්කරණ ඒකකය බවට පත් විය. එනම්, දැන් ක්ලවුඩ් සියලුම VM සඳහා නීති රීති පිළිබඳ තොරතුරු ගබඩා කර අථත්‍ය යන්ත්‍ර මකා දැමූ විට ඒවා පිරිසිදු කරයි.

ඉක්මනින් නවීකරණයේ ප්රතිලාභ සමස්ත බැංකුවේ වලාකුළට පැතිරෙනු ඇත. VM නිර්මාණය කිරීමේ ක්‍රියාවලියේ ස්වයංක්‍රීයකරණය සහ ක්ෂුද්‍ර ඛණ්ඩනය DMZ වලින් ඔබ්බට ගොස් අනෙකුත් කොටස් ග්‍රහණය කර ඇත. මෙය සමස්තයක් ලෙස වලාකුළු වල ආරක්ෂාව වැඩි කළේය.

මෙම නිර්ණායකයට අනුව තොරතුරු තාක්ෂණ සමාගම්වල ආකෘතියට සමීප කරමින් සංවර්ධන ක්‍රියාවලීන් වේගවත් කිරීමට බැංකුවට ඉඩ සලසන ක්‍රියාත්මක කරන ලද විසඳුම ද සිත්ගන්නා සුළුය. සියල්ලට පසු, ජංගම යෙදුම්, ද්වාර සහ පාරිභෝගික සේවා සම්බන්ධයෙන් ගත් කල, අද ඕනෑම විශාල සමාගමක් ඩිජිටල් නිෂ්පාදන නිෂ්පාදනය සඳහා "කර්මාන්ත ශාලාවක්" බවට පත්වීමට උත්සාහ කරයි. මෙම අර්ථයෙන් ගත් කල, බැංකු නව යෙදුම් නිර්මාණය කිරීම සමඟ ප්‍රායෝගිකව ශක්තිමත්ම තොරතුරු තාක්ෂණ සමාගම් සමඟ සමපාත වේ. පුද්ගලික වලාකුළු ආකෘතියක් මත ගොඩනගා ඇති තොරතුරු තාක්ෂණ යටිතල ව්‍යුහයක හැකියාවන් මිනිත්තු කිහිපයකින් සහ හැකි තරම් ආරක්ෂිතව මේ සඳහා අවශ්‍ය සම්පත් වෙන් කිරීමට ඉඩ දෙන විට එය හොඳයි.

කතුවරුන්:
Vyacheslav Medvedev, Cloud Computing දෙපාර්තමේන්තුවේ ප්රධානියා, Jet Infosystems,
ඉල්යා කුයිකින්, Jet Infosystems හි Cloud computing දෙපාර්තමේන්තුවේ ප්‍රමුඛ ඉංජිනේරුවරියකි

මූලාශ්රය: www.habr.com