Članek bo obravnaval probleme organiziranja omrežne infrastrukture na tradicionalen način in metode za reševanje istih težav z uporabo tehnologij v oblaku.
Za referenco. Nebula je SaaS oblačno okolje za oddaljeno vzdrževanje omrežne infrastrukture. Vse naprave, ki podpirajo Nebula, se upravljajo iz oblaka prek varne povezave. Veliko porazdeljeno omrežno infrastrukturo lahko upravljate iz enega samega centra, ne da bi porabili trud za njeno ustvarjanje.
Zakaj potrebujete drugo storitev v oblaku?
Glavna težava pri delu z omrežno infrastrukturo ni načrtovanje omrežja in nakup opreme ali celo namestitev le-te v omaro, ampak vse ostalo, kar bo s tem omrežjem potrebno postoriti v prihodnosti.
Novo omrežje - stare skrbi
Ko zaženete novo omrežno vozlišče po namestitvi in priključitvi opreme, se začne začetna konfiguracija. Z vidika "velikih šefov" - nič zapletenega: "Vzamemo delovno dokumentacijo za projekt in začnemo postavljati ..." To je tako dobro povedano, ko so vsi elementi omrežja v enem podatkovnem centru. Če so razpršeni po poslovalnicah, se začne glavobol z zagotavljanjem oddaljenega dostopa. To je tako začaran krog: če želite dobiti oddaljeni dostop prek omrežja, morate konfigurirati omrežno opremo, za to pa potrebujete dostop prek omrežja ...
Izmisliti moramo različne sheme, da se rešimo iz zgoraj opisanega slepe ulice. Na primer, prenosni računalnik z dostopom do interneta prek modema USB 4G je prek priključnega kabla povezan z omrežjem po meri. Na tem prenosniku je nameščen odjemalec VPN, prek katerega skuša skrbnik omrežja iz centrale pridobiti dostop do omrežja poslovalnic. Shema ni najbolj pregledna - tudi če prenosni računalnik z vnaprej konfiguriranim VPN prinesete na oddaljeno mesto in prosite, da ga vklopite, še zdaleč ni dejstvo, da bo vse delovalo prvič. Še posebej, če govorimo o drugi regiji z drugim ponudnikom.
Izkazalo se je, da je najbolj zanesljiv način imeti dobrega strokovnjaka "na drugi strani linije", ki lahko konfigurira svoj del glede na projekt. Če tega ni v osebju podružnice, ostajajo možnosti: ali zunanje izvajanje ali poslovna potovanja.
Potrebujemo tudi nadzorni sistem. Treba ga je namestiti, konfigurirati, vzdrževati (vsaj spremljati prostor na disku in redno delati varnostne kopije). In ki ne ve ničesar o naših napravah, dokler ji ne povemo. Za to morate registrirati nastavitve za vse dele opreme in redno spremljati ustreznost zapisov.
Super je, če ima osebje svoj »oneman orkester«, ki poleg specifičnega znanja skrbnika omrežja obvlada delo z Zabbixom ali drugim podobnim sistemom. V nasprotnem primeru zaposlimo še eno osebo ali jo izvajamo zunanji izvajalci.
Opomba. Najbolj žalostne napake se začnejo z besedami: »Kaj je mogoče konfigurirati ta Zabbix (Nagios, OpenView itd.)? Hitro ga poberem in je pripravljen!«
Od izvedbe do delovanja
Poglejmo konkreten primer.
Prejeto je bilo alarmno sporočilo, ki kaže, da se nekje dostopna točka WiFi ne odziva.
Kje se nahaja?
Seveda ima dober skrbnik omrežja svoj osebni imenik, v katerem je vse zapisano. Vprašanja se začnejo, ko je treba te informacije deliti. Na primer, nujno morate poslati glasnika, da stvari uredi na kraju samem, za to pa morate izdati nekaj takega: »Dostopna točka v poslovnem središču na ulici Stroiteley, stavba 1, v 3. nadstropju, soba št. 301 poleg vhodnih vrat pod stropom."
Recimo, da imamo srečo in se dostopna točka napaja preko PoE, stikalo pa omogoča ponovni zagon na daljavo. Ni vam treba potovati, potrebujete pa oddaljeni dostop do stikala. Vse, kar ostane, je, da konfigurirate posredovanje vrat prek PAT na usmerjevalniku, ugotovite VLAN za povezovanje od zunaj itd. Dobro je, če je vse nastavljeno vnaprej. Delo morda ni težko, vendar ga je treba opraviti.
Tako je bila trgovina s hrano ponovno zagnana. Ni pomagalo?
Recimo, da je nekaj narobe s strojno opremo. Zdaj iščemo informacije o garanciji, zagonu in drugih zanimivih podrobnostih.
Ko smo že pri WiFiju. Uporaba domače različice WPA2-PSK, ki ima en ključ za vse naprave, ni priporočljiva v poslovnem okolju. Prvič, en ključ za vse preprosto ni varen, in drugič, ko en zaposleni odide, morate spremeniti ta skupni ključ in znova narediti nastavitve na vseh napravah za vse uporabnike. Da bi se izognili takšnim težavam, obstaja WPA2-Enterprise z individualno avtentikacijo za vsakega uporabnika. Toda za to potrebujete strežnik RADIUS - drugo infrastrukturno enoto, ki jo je treba nadzorovati, narediti varnostne kopije itd.
Upoštevajte, da smo na vsaki stopnji, naj gre za izvedbo ali delovanje, uporabljali podporne sisteme. To vključuje prenosni računalnik z internetno povezavo »tretje osebe«, nadzorni sistem, referenčno zbirko podatkov o opremi in RADIUS kot sistem za preverjanje pristnosti. Poleg omrežnih naprav morate vzdrževati tudi storitve tretjih oseb.
V takšnih primerih lahko slišite nasvet: "Daj to v oblak in ne trpi." Zagotovo obstaja oblak Zabbix, morda obstaja nekje oblak RADIUS in celo baza podatkov v oblaku za vzdrževanje seznama naprav. Težava je v tem, da to ni potrebno posebej, ampak "v eni steklenici". In še vedno se pojavljajo vprašanja o organizaciji dostopa, začetni nastavitvi naprave, varnosti in še veliko več.
Kako je videti pri uporabi Nebule?
Seveda sprva »oblak« ne ve nič o naših načrtih ali kupljeni opremi.
Najprej se ustvari profil organizacije. Se pravi, da je celotna infrastruktura: sedež in poslovalnice najprej registrirana v oblaku. Določene so podrobnosti in ustvarjeni računi za prenos pooblastil.
Svoje naprave lahko v oblaku registrirate na dva načina: na staromoden način – preprosto z vnosom serijske številke ob izpolnjevanju spletnega obrazca ali s skeniranjem QR kode z mobilnim telefonom. Vse, kar potrebujete za drugo metodo, je pametni telefon s kamero in dostop do interneta, tudi prek mobilnega operaterja.
Seveda potrebno infrastrukturo za shranjevanje informacij, tako računovodskih kot nastavitev, zagotavlja Zyxel Nebula.
Slika 1. Varnostno poročilo Nebula Control Center.
Kaj pa nastavitev dostopa? Odpiranje vrat, posredovanje prometa prek dohodnega prehoda, vse to, kar varnostni skrbniki ljubkovalno imenujejo "luknjanje"? Na srečo vam vsega tega ni treba storiti. Naprave, ki poganjajo Nebulo, vzpostavijo odhodno povezavo. In skrbnik se ne poveže z ločeno napravo, temveč z oblakom za konfiguracijo. Nebula posreduje med dvema povezavama: z napravo in z računalnikom skrbnika omrežja. To pomeni, da je fazo klicanja dohodnega skrbnika mogoče minimizirati ali v celoti preskočiti. In brez dodatnih "lukenj" v požarnem zidu.
Kaj pa strežnik RADUIS? Navsezadnje je potrebna nekakšna centralizirana avtentikacija!
In te funkcije prevzema tudi Meglica. Avtentikacija računov za dostop do opreme poteka prek varne baze podatkov. To močno poenostavi prenos ali odvzem pravic za upravljanje sistema. Prenesti moramo pravice - ustvariti uporabnika, dodeliti vlogo. Odvzeti moramo pravice - izvedemo obratne korake.
Ločeno je treba omeniti WPA2-Enterprise, ki zahteva ločeno storitev preverjanja pristnosti. Zyxel Nebula ima svoj analog - DPPSK, ki vam omogoča uporabo WPA2-PSK s posameznim ključem za vsakega uporabnika.
"Neprijetna" vprašanja
V nadaljevanju bomo poskušali odgovoriti na najbolj kočljiva vprašanja, ki se pogosto zastavljajo ob vstopu v storitev v oblaku
Je res varno?
Pri vsakem prenosu nadzora in upravljanja za zagotavljanje varnosti igrata pomembno vlogo dva dejavnika: anonimizacija in šifriranje.
Uporaba šifriranja za zaščito prometa pred radovednimi pogledi je nekaj, kar bralci bolj ali manj poznajo.
Anonimizacija skrije podatke o lastniku in viru pred osebjem ponudnika oblaka. Osebni podatki so odstranjeni, zapisom pa je dodeljen identifikator "brez obraza". Niti razvijalec programske opreme v oblaku niti skrbnik, ki vzdržuje sistem v oblaku, ne moreta poznati lastnika zahtev. »Od kod je to prišlo? Koga bi to lahko zanimalo?« - takšna vprašanja bodo ostala neodgovorjena. Zaradi pomanjkanja informacij o lastniku in viru je insajder nesmiselna izguba časa.
Če ta pristop primerjamo s tradicionalno prakso zunanjega izvajanja ali najemanja novega skrbnika, je očitno, da so tehnologije v oblaku varnejše. Prihajajoči IT specialist ve precej o svoji organizaciji in lahko, hočeš nočeš, povzroči veliko škodo v smislu varnosti. Rešiti je treba še vprašanje odpovedi oziroma odpovedi pogodbe. Včasih to poleg blokade ali izbrisa računa pomeni tudi globalno spremembo gesel za dostop do storitev ter revizijo vseh virov za »pozabljene« vstopne točke in morebitne »zaznamke«.
Koliko dražja ali cenejša je Nebula od prihajajočega skrbnika?
Vse je relativno. Osnovne funkcije Nebule so na voljo brezplačno. Pravzaprav, kaj bi lahko bilo še cenejše?
Seveda je nemogoče popolnoma brez skrbnika omrežja ali osebe, ki ga nadomešča. Vprašanje je število ljudi, njihova specializacija in porazdelitev po mestih.
Kar zadeva plačano razširjeno storitev, postavljanje neposrednega vprašanja: dražje ali cenejše - takšen pristop bo vedno netočen in enostranski. Bolj pravilno bi bilo primerjati številne dejavnike, od denarja do plačila za delo določenih strokovnjakov in konča s stroški zagotavljanja njihove interakcije z izvajalcem ali posameznikom: nadzor kakovosti, priprava dokumentacije, vzdrževanje ravni varnosti in tako naprej
Če govorimo o temi, ali je donosno ali nedonosno kupiti plačan paket storitev (Pro-Pack), potem bi lahko približen odgovor zvenel takole: če je organizacija majhna, lahko preživite z osnovnimi različici, če organizacija raste, potem je smiselno razmišljati o Pro-Packu. Razlike med različicami meglice Zyxel so vidne v tabeli 1.
Tabela 1. Razlike med osnovnimi in Pro-Pack nabori funkcij za Nebula.
To vključuje napredno poročanje, nadzor uporabnikov, kloniranje konfiguracije in še veliko več.
Kaj pa prometna zaščita?
Nebula uporablja protokol zagotoviti varno delovanje omrežne opreme.
NETCONF lahko deluje na več transportnih protokolih:
- ();
- ();
- ();
- ().
Če primerjamo NETCONF z drugimi metodami, na primer z upravljanjem prek SNMP, je treba opozoriti, da NETCONF podpira odhodno povezavo TCP za premagovanje ovire NAT in velja za bolj zanesljivo.
Kaj pa strojna podpora?
Seveda strežniške sobe ne smete spremeniti v živalski vrt s predstavniki redkih in ogroženih vrst opreme. Zelo zaželeno je, da oprema, združena s tehnologijo upravljanja, pokriva vse smeri: od centralnega stikala do dostopnih točk. Inženirji podjetja Zyxel so poskrbeli za to možnost. Nebula poganja številne naprave:
- 10G centralna stikala;
- stikala ravni dostopa;
- stikala s PoE;
- dostopne točke;
- omrežni prehodi.
Z uporabo široke palete podprtih naprav lahko zgradite omrežja za različne vrste nalog. To še posebej velja za podjetja, ki ne rastejo navzgor, ampak navzven in nenehno raziskujejo nova področja poslovanja.
Stalni razvoj
Omrežne naprave s tradicionalnim načinom upravljanja imajo samo en način izboljšave - spremembo same naprave, pa naj bo to nova vdelana programska oprema ali dodatni moduli. V primeru meglice Zyxel obstaja dodatna pot za izboljšave – z izboljšanjem infrastrukture v oblaku. Na primer po posodobitvi Nebula Control Center (NCC) na različico 10.1. (21. september 2020) so uporabnikom na voljo nove funkcije, tukaj je nekaj izmed njih:
- Lastnik organizacije lahko zdaj prenese vse lastniške pravice na drugega skrbnika v isti organizaciji;
- nova vloga, imenovana predstavnik lastnika, ki ima enake pravice kot lastnik organizacije;
- nova funkcija posodobitve vdelane programske opreme za celotno organizacijo (funkcija Pro-Pack);
- topologiji sta bili dodani dve novi možnosti: ponovni zagon naprave ter vklop in izklop PoE porta (funkcija Pro-Pack);
- podpora za nove modele dostopnih točk: WAC500, WAC500H, WAC5302D-Sv2 in NWA1123ACv3;
- podpora za avtentikacijo bona s tiskanjem QR kode (funkcija Pro-Pack).
Uporabne povezave
Vir: www.habr.com