மேகக்கணியில் மெய்நிகர் இயந்திரத்தை (VM) உருவாக்குவது கடினமா? தேநீர் தயாரிப்பதை விட கடினமாக இல்லை. ஆனால் ஒரு பெரிய நிறுவனத்திற்கு வரும்போது, அத்தகைய எளிய நடவடிக்கை கூட வலிமிகுந்த நீண்டதாக மாறும். மெய்நிகர் இயந்திரத்தை உருவாக்க இது போதாது; அனைத்து விதிமுறைகளின்படி வேலை செய்வதற்கு தேவையான அணுகலையும் நீங்கள் பெற வேண்டும். ஒவ்வொரு டெவலப்பருக்கும் தெரிந்த வலியா? ஒரு பெரிய வங்கியில், இந்த செயல்முறை பல மணிநேரங்கள் முதல் பல நாட்கள் வரை ஆகும். மாதத்திற்கு நூற்றுக்கணக்கான இதேபோன்ற செயல்பாடுகள் இருந்ததால், இந்த உழைப்பு-நுகர்வு திட்டத்தின் அளவை கற்பனை செய்வது எளிது. இதற்கு முற்றுப்புள்ளி வைக்க, வங்கியின் பிரைவேட் கிளவுட்டை நவீனமயமாக்கி, VMகளை உருவாக்கும் செயல்முறையை மட்டும் தானியக்கமாக்கினோம், ஆனால் அது தொடர்பான செயல்பாடுகளும்.
பணி எண் 1. இணைய இணைப்பு கொண்ட கிளவுட்
நெட்வொர்க்கின் ஒரு பிரிவிற்கு அதன் உள் தகவல் தொழில்நுட்பக் குழுவைப் பயன்படுத்தி வங்கி ஒரு தனியார் கிளவுட்டை உருவாக்கியது. காலப்போக்கில், நிர்வாகம் அதன் நன்மைகளைப் பாராட்டியது மற்றும் வங்கியின் பிற சூழல்கள் மற்றும் பிரிவுகளுக்கு தனியார் கிளவுட் கருத்தை விரிவுபடுத்த முடிவு செய்தது. இதற்கு தனிப்பட்ட மேகங்களில் அதிக நிபுணர்கள் மற்றும் வலுவான நிபுணத்துவம் தேவைப்பட்டது. எனவே, கிளவுட்டை நவீனமயமாக்கும் பணியை எங்கள் குழுவிடம் ஒப்படைக்கப்பட்டது.
இந்த திட்டத்தின் முக்கிய ஸ்ட்ரீம் தகவல் பாதுகாப்பின் கூடுதல் பிரிவில் மெய்நிகர் இயந்திரங்களை உருவாக்குவதாகும் - இராணுவமயமாக்கப்பட்ட மண்டலத்தில் (DMZ). இங்குதான் வங்கியின் சேவைகள் வங்கி உள்கட்டமைப்புக்கு வெளியே அமைந்துள்ள வெளிப்புற அமைப்புகளுடன் ஒருங்கிணைக்கப்படுகின்றன.
ஆனால் இந்த பதக்கமும் ஒரு மறுபக்கம் இருந்தது. DMZ இலிருந்து சேவைகள் "வெளியே" கிடைக்கின்றன, மேலும் இது தகவல் பாதுகாப்பு அபாயங்களின் முழு தொகுப்பையும் ஏற்படுத்தியது. முதலாவதாக, இது ஹேக்கிங் அமைப்புகளின் அச்சுறுத்தல், DMZ இல் தாக்குதல் புலத்தின் அடுத்தடுத்த விரிவாக்கம், பின்னர் வங்கியின் உள்கட்டமைப்பில் ஊடுருவல். இந்த அபாயங்களில் சிலவற்றைக் குறைக்க, கூடுதல் பாதுகாப்பு நடவடிக்கையைப் பயன்படுத்த முன்மொழிந்தோம் - மைக்ரோ-பிரிவு தீர்வு.
மைக்ரோ-பிரிவு பாதுகாப்பு
கிளாசிக் பிரிவு என்பது ஃபயர்வாலைப் பயன்படுத்தி நெட்வொர்க்குகளின் எல்லைகளில் பாதுகாக்கப்பட்ட எல்லைகளை உருவாக்குகிறது. மைக்ரோசெக்மென்டேஷன் மூலம், ஒவ்வொரு தனிப்பட்ட VM ஐ தனிப்பட்ட, தனிமைப்படுத்தப்பட்ட பிரிவாக பிரிக்கலாம்.
இது முழு அமைப்பின் பாதுகாப்பையும் அதிகரிக்கிறது. தாக்குபவர்கள் ஒரு DMZ சேவையகத்தை ஹேக் செய்தாலும், நெட்வொர்க் முழுவதும் தாக்குதலை பரப்புவது அவர்களுக்கு மிகவும் கடினமாக இருக்கும் - அவர்கள் நெட்வொர்க்கில் உள்ள பல "பூட்டிய கதவுகளை" உடைக்க வேண்டும். ஒவ்வொரு VM இன் தனிப்பட்ட ஃபயர்வால் அதன் சொந்த விதிகளைக் கொண்டுள்ளது, இது நுழைவதற்கும் வெளியேறுவதற்கும் உரிமையை தீர்மானிக்கிறது. VMware NSX-T விநியோகிக்கப்பட்ட ஃபயர்வாலைப் பயன்படுத்தி மைக்ரோ-பிரிவினை வழங்கினோம். இந்தத் தயாரிப்பு VMகளுக்கான ஃபயர்வால் விதிகளை மையமாக உருவாக்கி அவற்றை மெய்நிகராக்க உள்கட்டமைப்பு முழுவதும் விநியோகிக்கிறது. எந்த விருந்தினர் OS பயன்படுத்தப்படுகிறது என்பது முக்கியமல்ல, நெட்வொர்க்குடன் மெய்நிகர் இயந்திரங்களை இணைக்கும் மட்டத்தில் விதி பயன்படுத்தப்படுகிறது.
சிக்கல் N2. வேகம் மற்றும் வசதிக்கான தேடலில்
மெய்நிகர் இயந்திரத்தை பயன்படுத்தவா? எளிதாக! ஓரிரு கிளிக்குகள் மற்றும் நீங்கள் முடித்துவிட்டீர்கள். ஆனால் பல கேள்விகள் எழுகின்றன: இந்த VM இலிருந்து மற்றொரு அல்லது கணினிக்கான அணுகலை எவ்வாறு பெறுவது? அல்லது வேறொரு அமைப்பில் இருந்து மீண்டும் VMக்கு வரவா?
எடுத்துக்காட்டாக, ஒரு வங்கியில், கிளவுட் போர்ட்டலில் VM ஐ ஆர்டர் செய்த பிறகு, தொழில்நுட்ப ஆதரவு போர்ட்டலைத் திறந்து தேவையான அணுகலை வழங்குவதற்கான கோரிக்கையை சமர்ப்பிக்க வேண்டியது அவசியம். பயன்பாட்டில் ஏற்பட்ட பிழையானது, நிலைமையைச் சரிசெய்வதற்கான அழைப்புகள் மற்றும் கடிதப் பரிமாற்றங்களுக்கு வழிவகுத்தது. அதே நேரத்தில், ஒரு VM 10-15-20 அணுகல்களைக் கொண்டிருக்கலாம் மற்றும் ஒவ்வொன்றையும் செயலாக்க நேரம் எடுக்கும். பிசாசின் செயல்முறை.
கூடுதலாக, தொலைநிலை மெய்நிகர் இயந்திரங்களின் வாழ்க்கைச் செயல்பாட்டின் தடயங்களை "சுத்தப்படுத்துதல்" சிறப்பு கவனிப்பு தேவை. அவை அகற்றப்பட்ட பிறகு, ஆயிரக்கணக்கான அணுகல் விதிகள் ஃபயர்வாலில் இருந்தன, உபகரணங்களை ஏற்றுகின்றன. இது கூடுதல் சுமை மற்றும் பாதுகாப்பு ஓட்டைகள்.
கிளவுட்டில் உள்ள விதிகள் மூலம் இதைச் செய்ய முடியாது. இது சிரமமாகவும் பாதுகாப்பற்றதாகவும் இருக்கிறது.
VMகளுக்கான அணுகலை வழங்குவதற்கு எடுக்கும் நேரத்தைக் குறைக்கவும், அவற்றை நிர்வகிக்க வசதியாகவும், VMகளுக்கான நெட்வொர்க் அணுகல் மேலாண்மை சேவையை நாங்கள் உருவாக்கியுள்ளோம்.
சூழல் மெனுவில் உள்ள மெய்நிகர் இயந்திர மட்டத்தில் பயனர் அணுகல் விதியை உருவாக்க ஒரு உருப்படியைத் தேர்ந்தெடுக்கிறார், பின்னர் திறக்கும் வடிவத்தில் அளவுருக்களைக் குறிப்பிடுகிறார் - எங்கிருந்து, எங்கே, நெறிமுறை வகைகள், போர்ட் எண்கள். படிவத்தை பூர்த்தி செய்து சமர்ப்பித்த பிறகு, HP சேவை மேலாளரின் அடிப்படையில் பயனர் தொழில்நுட்ப ஆதரவு அமைப்பில் தேவையான டிக்கெட்டுகள் தானாகவே உருவாக்கப்படும். இந்த அல்லது அந்த அணுகலை அங்கீகரிப்பதற்கும், அணுகல் அங்கீகரிக்கப்பட்டால், இன்னும் தன்னியக்கமாக இல்லாத சில செயல்பாடுகளைச் செய்யும் நிபுணர்களுக்கும் அவர்கள் பொறுப்பு.
நிபுணர்களை உள்ளடக்கிய வணிக செயல்முறையின் கட்டம் வேலை செய்த பிறகு, சேவையின் பகுதி தொடங்குகிறது, அது தானாகவே ஃபயர்வால்களில் விதிகளை உருவாக்குகிறது.
இறுதி நாண் என, பயனர் வெற்றிகரமாக பூர்த்தி செய்யப்பட்ட கோரிக்கையை போர்ட்டலில் பார்க்கிறார். இதன் பொருள் விதி உருவாக்கப்பட்டது மற்றும் அதனுடன் நீங்கள் வேலை செய்யலாம் - பார்க்கவும், மாற்றவும், நீக்கவும்.
நன்மைகளின் இறுதி மதிப்பெண்
முக்கியமாக, தனியார் கிளவுட்டின் சிறிய அம்சங்களை நாங்கள் நவீனப்படுத்தினோம், ஆனால் வங்கி குறிப்பிடத்தக்க விளைவைப் பெற்றது. பயனர்கள் இப்போது சர்வீஸ் டெஸ்குடன் நேரடியாகப் பேசாமல், போர்டல் மூலம் மட்டுமே நெட்வொர்க் அணுகலைப் பெறுகிறார்கள். கட்டாய படிவ புலங்கள், உள்ளிடப்பட்ட தரவின் சரியான தன்மைக்கான சரிபார்ப்பு, முன் கட்டமைக்கப்பட்ட பட்டியல்கள், கூடுதல் தரவு - இவை அனைத்தும் துல்லியமான அணுகல் கோரிக்கையை உருவாக்க உதவுகிறது, இது அதிக அளவு நிகழ்தகவுடன் கருதப்படும் மற்றும் தகவல் பாதுகாப்பு ஊழியர்களால் நிராகரிக்கப்படாது. உள்ளீடு பிழைகள். மெய்நிகர் இயந்திரங்கள் இனி கருப்புப் பெட்டிகள் அல்ல - போர்ட்டலில் மாற்றங்களைச் செய்வதன் மூலம் நீங்கள் அவற்றுடன் தொடர்ந்து பணியாற்றலாம்.
இதன் விளைவாக, இன்று வங்கியின் தகவல் தொழில்நுட்ப வல்லுநர்கள் அணுகலைப் பெறுவதற்கான மிகவும் வசதியான கருவியைக் கொண்டுள்ளனர், மேலும் அந்த நபர்கள் மட்டுமே இந்த செயல்பாட்டில் ஈடுபட்டுள்ளனர், அவர்கள் இல்லாமல் அவர்கள் நிச்சயமாக செய்ய முடியாது. மொத்தத்தில், தொழிலாளர் செலவுகளின் அடிப்படையில், இது குறைந்தபட்சம் 1 நபரின் தினசரி முழு சுமையிலிருந்து வெளியிடப்பட்டது, அத்துடன் பயனர்களுக்காக சேமிக்கப்படும் டஜன் கணக்கான மணிநேரங்கள். விதி உருவாக்கத்தின் ஆட்டோமேஷன் வங்கி ஊழியர்களுக்கு சுமையை உருவாக்காத மைக்ரோ-பிரிவு தீர்வை செயல்படுத்துவதை சாத்தியமாக்கியது.
இறுதியாக, "அணுகல் விதி" கிளவுட்டின் கணக்கியல் அலகு ஆனது. அதாவது, இப்போது கிளவுட் அனைத்து VMகளுக்கான விதிகள் பற்றிய தகவலைச் சேமித்து, மெய்நிகர் இயந்திரங்கள் நீக்கப்படும்போது அவற்றை சுத்தம் செய்கிறது.
விரைவில் நவீனமயமாக்கலின் நன்மைகள் முழு வங்கியின் மேகத்திற்கும் பரவும். VM உருவாக்கும் செயல்முறையின் ஆட்டோமேஷன் மற்றும் மைக்ரோ-பிரிவு ஆகியவை DMZ க்கு அப்பால் நகர்ந்து மற்ற பிரிவுகளைக் கைப்பற்றியுள்ளன. மேலும் இது ஒட்டுமொத்த மேகத்தின் பாதுகாப்பையும் அதிகரித்தது.
செயல்படுத்தப்பட்ட தீர்வு சுவாரஸ்யமானது, இது வளர்ச்சி செயல்முறைகளை விரைவுபடுத்த வங்கியை அனுமதிக்கிறது, இந்த அளவுகோலின்படி ஐடி நிறுவனங்களின் மாதிரிக்கு நெருக்கமாக கொண்டு வருகிறது. எல்லாவற்றிற்கும் மேலாக, மொபைல் பயன்பாடுகள், இணையதளங்கள் மற்றும் வாடிக்கையாளர் சேவைகள் என்று வரும்போது, இன்று எந்த பெரிய நிறுவனமும் டிஜிட்டல் தயாரிப்புகளின் உற்பத்திக்கான "தொழிற்சாலை" ஆக முயற்சிக்கிறது. இந்த அர்த்தத்தில், வங்கிகள் நடைமுறையில் வலுவான ஐடி நிறுவனங்களுக்கு இணையாக விளையாடுகின்றன, புதிய பயன்பாடுகளை உருவாக்குவதைத் தக்கவைத்துக்கொள்கின்றன. ஒரு தனியார் கிளவுட் மாதிரியில் கட்டப்பட்ட ஐடி உள்கட்டமைப்பின் திறன்கள் இதற்குத் தேவையான ஆதாரங்களை சில நிமிடங்களில் மற்றும் முடிந்தவரை பாதுகாப்பாக ஒதுக்க அனுமதிக்கும் போது இது நல்லது.
ஆசிரியர்கள்:
வியாசஸ்லாவ் மெட்வெடேவ், ஜெட் இன்ஃபோசிஸ்டம்ஸ் கிளவுட் கம்ப்யூட்டிங் துறையின் தலைவர்,
இலியா குய்கின், ஜெட் இன்ஃபோசிஸ்டம்ஸின் கிளவுட் கம்ப்யூட்டிங் துறையின் முன்னணி பொறியாளர்
ஆதாரம்: www.habr.com