క్లౌడ్లో వర్చువల్ మిషన్ (VM)ని సృష్టించడం కష్టమా? టీ తయారు చేయడం కంటే కష్టం కాదు. కానీ పెద్ద కార్పొరేషన్ విషయానికి వస్తే, అటువంటి సాధారణ చర్య కూడా చాలా కాలం పాటు బాధాకరంగా మారుతుంది. వర్చువల్ మెషీన్ను సృష్టించడానికి ఇది సరిపోదు; మీరు అన్ని నిబంధనలకు అనుగుణంగా పని చేయడానికి అవసరమైన ప్రాప్యతను కూడా పొందాలి. ప్రతి డెవలపర్కు తెలిసిన నొప్పి? ఒక పెద్ద బ్యాంకులో, ఈ ప్రక్రియ చాలా గంటల నుండి చాలా రోజుల వరకు పట్టింది. మరియు నెలకు వందలాది ఇలాంటి కార్యకలాపాలు జరిగాయి కాబట్టి, ఈ కార్మిక-వినియోగ పథకం యొక్క స్థాయిని ఊహించడం సులభం. దీనికి ముగింపు పలకడానికి, మేము బ్యాంక్ ప్రైవేట్ క్లౌడ్ను ఆధునీకరించాము మరియు VMలను సృష్టించే ప్రక్రియను మాత్రమే కాకుండా సంబంధిత కార్యకలాపాలను కూడా ఆటోమేట్ చేసాము.
టాస్క్ నం. 1. ఇంటర్నెట్ కనెక్షన్తో క్లౌడ్
నెట్వర్క్లోని ఒకే సెగ్మెంట్ కోసం బ్యాంక్ తన అంతర్గత IT బృందాన్ని ఉపయోగించి ప్రైవేట్ క్లౌడ్ను సృష్టించింది. కాలక్రమేణా, మేనేజ్మెంట్ దాని ప్రయోజనాలను మెచ్చుకుంది మరియు ప్రైవేట్ క్లౌడ్ కాన్సెప్ట్ను బ్యాంక్ యొక్క ఇతర పరిసరాలకు మరియు విభాగాలకు విస్తరించాలని నిర్ణయించుకుంది. దీనికి మరింత నిపుణులు మరియు ప్రైవేట్ క్లౌడ్లలో బలమైన నైపుణ్యం అవసరం. అందువల్ల, క్లౌడ్ను ఆధునీకరించే బాధ్యతను మా బృందానికి అప్పగించారు.
ఈ ప్రాజెక్ట్ యొక్క ప్రధాన స్ట్రీమ్ సమాచార భద్రత యొక్క అదనపు విభాగంలో వర్చువల్ మిషన్ల సృష్టి - సైనికరహిత జోన్ (DMZ) లో. ఇక్కడే బ్యాంక్ సేవలు బ్యాంకింగ్ ఇన్ఫ్రాస్ట్రక్చర్ వెలుపల ఉన్న బాహ్య వ్యవస్థలతో ఏకీకృతం చేయబడ్డాయి.
కానీ ఈ పతకానికి కూడా ఎదురుదెబ్బ ఉంది. DMZ నుండి సేవలు "బయట" అందుబాటులో ఉన్నాయి మరియు ఇది మొత్తం సమాచార భద్రతా ప్రమాదాలను కలిగి ఉంటుంది. అన్నింటిలో మొదటిది, ఇది హ్యాకింగ్ సిస్టమ్స్ యొక్క ముప్పు, DMZ లో దాడి ఫీల్డ్ యొక్క తదుపరి విస్తరణ, ఆపై బ్యాంకు యొక్క అవస్థాపనలోకి ప్రవేశించడం. ఈ రిస్క్లలో కొన్నింటిని తగ్గించడానికి, మేము అదనపు భద్రతా ప్రమాణాన్ని ఉపయోగించమని ప్రతిపాదించాము - మైక్రో-సెగ్మెంటేషన్ సొల్యూషన్.
సూక్ష్మ-విభజన రక్షణ
క్లాసిక్ సెగ్మెంటేషన్ ఫైర్వాల్ ఉపయోగించి నెట్వర్క్ల సరిహద్దుల వద్ద రక్షిత సరిహద్దులను నిర్మిస్తుంది. మైక్రోసెగ్మెంటేషన్తో, ప్రతి వ్యక్తి VMని వ్యక్తిగత, వివిక్త విభాగంలో వేరు చేయవచ్చు.
ఇది మొత్తం వ్యవస్థ యొక్క భద్రతను పెంచుతుంది. దాడి చేసేవారు ఒక DMZ సర్వర్ని హ్యాక్ చేసినప్పటికీ, నెట్వర్క్ అంతటా దాడిని వ్యాప్తి చేయడం వారికి చాలా కష్టంగా ఉంటుంది - వారు నెట్వర్క్లోని అనేక “లాక్ చేయబడిన తలుపులను” ఛేదించవలసి ఉంటుంది. ప్రతి VM యొక్క వ్యక్తిగత ఫైర్వాల్ దానికి సంబంధించి దాని స్వంత నియమాలను కలిగి ఉంటుంది, ఇది ప్రవేశించడానికి మరియు నిష్క్రమించడానికి హక్కును నిర్ణయిస్తుంది. మేము VMware NSX-T డిస్ట్రిబ్యూటెడ్ ఫైర్వాల్ని ఉపయోగించి మైక్రో-సెగ్మెంటేషన్ని అందించాము. ఈ ఉత్పత్తి కేంద్రంగా VMల కోసం ఫైర్వాల్ నియమాలను సృష్టిస్తుంది మరియు వాటిని వర్చువలైజేషన్ ఇన్ఫ్రాస్ట్రక్చర్లో పంపిణీ చేస్తుంది. ఏ అతిథి OS ఉపయోగించబడుతుందనేది పట్టింపు లేదు, నెట్వర్క్కు వర్చువల్ మిషన్లను కనెక్ట్ చేసే స్థాయిలో నియమం వర్తించబడుతుంది.
సమస్య N2. వేగం మరియు సౌలభ్యం కోసం అన్వేషణలో
వర్చువల్ మెషీన్ని అమలు చేయాలా? సులభంగా! కొన్ని క్లిక్లు మరియు మీరు పూర్తి చేసారు. కానీ అప్పుడు చాలా ప్రశ్నలు తలెత్తుతాయి: ఈ VM నుండి మరొక లేదా సిస్టమ్కు ఎలా యాక్సెస్ పొందాలి? లేదా మరొక సిస్టమ్ నుండి VMకి తిరిగి వెళ్లాలా?
ఉదాహరణకు, ఒక బ్యాంకులో, క్లౌడ్ పోర్టల్లో VMని ఆర్డర్ చేసిన తర్వాత, సాంకేతిక మద్దతు పోర్టల్ని తెరవడం మరియు అవసరమైన యాక్సెస్ను అందించడం కోసం అభ్యర్థనను సమర్పించడం అవసరం. అప్లికేషన్లో లోపం కారణంగా పరిస్థితిని సరిచేయడానికి కాల్లు మరియు కరస్పాండెన్స్ ఏర్పడింది. అదే సమయంలో, VM 10-15-20 యాక్సెస్లను కలిగి ఉంటుంది మరియు ప్రతి ఒక్కటి ప్రాసెస్ చేయడానికి సమయం పడుతుంది. డెవిల్స్ ప్రక్రియ.
అదనంగా, రిమోట్ వర్చువల్ మిషన్ల యొక్క జీవిత కార్యాచరణ యొక్క "క్లీనింగ్ అప్" జాడలకు ప్రత్యేక శ్రద్ధ అవసరం. అవి తీసివేయబడిన తర్వాత, వేలాది యాక్సెస్ నియమాలు ఫైర్వాల్పై ఉండి, పరికరాలను లోడ్ చేస్తున్నాయి. ఇది అదనపు భారం మరియు భద్రతా రంధ్రాలు రెండూ.
క్లౌడ్లోని నిబంధనలతో మీరు దీన్ని చేయలేరు. ఇది అసౌకర్యంగా మరియు సురక్షితం కాదు.
VMలకు యాక్సెస్ని అందించడానికి మరియు వాటిని నిర్వహించడం సౌకర్యంగా ఉండటానికి పట్టే సమయాన్ని తగ్గించడానికి, మేము VMల కోసం నెట్వర్క్ యాక్సెస్ మేనేజ్మెంట్ సేవను అభివృద్ధి చేసాము.
సందర్భ మెనులో వర్చువల్ మెషీన్ స్థాయిలో వినియోగదారు యాక్సెస్ నియమాన్ని సృష్టించడానికి ఒక అంశాన్ని ఎంచుకుంటారు, ఆపై తెరిచే రూపంలో పారామితులను నిర్దేశిస్తారు - ఎక్కడ నుండి, ఎక్కడ, ప్రోటోకాల్ రకాలు, పోర్ట్ సంఖ్యలు. ఫారమ్ను పూరించి, సమర్పించిన తర్వాత, HP సర్వీస్ మేనేజర్ ఆధారంగా వినియోగదారు సాంకేతిక మద్దతు సిస్టమ్లో అవసరమైన టిక్కెట్లు స్వయంచాలకంగా సృష్టించబడతాయి. వారు ఈ లేదా ఆ యాక్సెస్ని ఆమోదించడానికి మరియు యాక్సెస్ ఆమోదించబడితే, ఇంకా స్వయంచాలకంగా లేని కొన్ని కార్యకలాపాలను నిర్వహించే నిపుణులకు బాధ్యత వహిస్తారు.
నిపుణులతో కూడిన వ్యాపార ప్రక్రియ యొక్క దశ పనిచేసిన తర్వాత, సేవ యొక్క భాగం ప్రారంభమవుతుంది, అది స్వయంచాలకంగా ఫైర్వాల్లపై నియమాలను సృష్టిస్తుంది.
చివరి తీగ వలె, వినియోగదారు విజయవంతంగా పూర్తయిన అభ్యర్థనను పోర్టల్లో చూస్తారు. దీని అర్థం నియమం సృష్టించబడింది మరియు మీరు దానితో పని చేయవచ్చు - వీక్షించడం, మార్చడం, తొలగించడం.
ప్రయోజనాల తుది స్కోర్
ముఖ్యంగా, మేము ప్రైవేట్ క్లౌడ్ యొక్క చిన్న అంశాలను ఆధునీకరించాము, కానీ బ్యాంక్ గుర్తించదగిన ప్రభావాన్ని పొందింది. వినియోగదారులు ఇప్పుడు సర్వీస్ డెస్క్తో నేరుగా వ్యవహరించకుండా పోర్టల్ ద్వారా మాత్రమే నెట్వర్క్ యాక్సెస్ను స్వీకరిస్తారు. తప్పనిసరి ఫారమ్ ఫీల్డ్లు, నమోదు చేసిన డేటా యొక్క ఖచ్చితత్వం కోసం వాటి ధృవీకరణ, ముందే కాన్ఫిగర్ చేయబడిన జాబితాలు, అదనపు డేటా - ఇవన్నీ ఖచ్చితమైన యాక్సెస్ అభ్యర్థనను రూపొందించడంలో సహాయపడతాయి, ఇది అధిక స్థాయి సంభావ్యతతో పరిగణించబడుతుంది మరియు సమాచార భద్రతా ఉద్యోగులచే తిరస్కరించబడదు. లోపాలను ఇన్పుట్ చేయడానికి. వర్చువల్ మెషీన్లు ఇకపై బ్లాక్ బాక్స్లు కావు-పోర్టల్లో మార్పులు చేయడం ద్వారా మీరు వాటితో పని చేయడం కొనసాగించవచ్చు.
తత్ఫలితంగా, ఈ రోజు బ్యాంక్ యొక్క IT నిపుణులు తమ వద్ద యాక్సెస్ పొందడానికి మరింత అనుకూలమైన సాధనాన్ని కలిగి ఉన్నారు మరియు ఈ ప్రక్రియలో వ్యక్తులు మాత్రమే పాల్గొంటారు, వారు లేకుండా వారు ఖచ్చితంగా చేయలేరు. మొత్తంగా, లేబర్ ఖర్చుల పరంగా, ఇది కనీసం 1 వ్యక్తి యొక్క రోజువారీ పూర్తి లోడ్ నుండి విడుదల అవుతుంది, అలాగే వినియోగదారుల కోసం డజన్ల కొద్దీ గంటలు ఆదా అవుతుంది. రూల్ క్రియేషన్ ఆటోమేషన్ బ్యాంక్ ఉద్యోగులపై భారాన్ని సృష్టించని మైక్రో-సెగ్మెంటేషన్ సొల్యూషన్ను అమలు చేయడం సాధ్యపడింది.
చివరకు, “యాక్సెస్ రూల్” క్లౌడ్ యొక్క అకౌంటింగ్ యూనిట్గా మారింది. అంటే, ఇప్పుడు క్లౌడ్ అన్ని VMల కోసం నియమాల గురించి సమాచారాన్ని నిల్వ చేస్తుంది మరియు వర్చువల్ మిషన్లు తొలగించబడినప్పుడు వాటిని శుభ్రపరుస్తుంది.
త్వరలో ఆధునీకరణ ప్రయోజనాలు మొత్తం బ్యాంక్ క్లౌడ్కు వ్యాపించనున్నాయి. VM సృష్టి ప్రక్రియ యొక్క ఆటోమేషన్ మరియు మైక్రో-సెగ్మెంటేషన్ DMZని దాటి ఇతర విభాగాలను సంగ్రహించాయి. మరియు ఇది మొత్తం క్లౌడ్ యొక్క భద్రతను పెంచింది.
అమలు చేయబడిన పరిష్కారం కూడా ఆసక్తికరంగా ఉంటుంది, ఇది బ్యాంక్ అభివృద్ధి ప్రక్రియలను వేగవంతం చేయడానికి అనుమతిస్తుంది, ఈ ప్రమాణం ప్రకారం IT కంపెనీల నమూనాకు దగ్గరగా ఉంటుంది. అన్నింటికంటే, మొబైల్ అప్లికేషన్లు, పోర్టల్లు మరియు కస్టమర్ సేవల విషయానికి వస్తే, ఈ రోజు ఏదైనా పెద్ద కంపెనీ డిజిటల్ ఉత్పత్తుల ఉత్పత్తికి "ఫ్యాక్టరీ"గా మారడానికి ప్రయత్నిస్తుంది. ఈ కోణంలో, కొత్త అప్లికేషన్ల సృష్టికి అనుగుణంగా బ్యాంకులు ఆచరణాత్మకంగా బలమైన IT కంపెనీలతో సమానంగా ఆడతాయి. ప్రైవేట్ క్లౌడ్ మోడల్పై నిర్మించిన IT మౌలిక సదుపాయాల సామర్థ్యాలు కొన్ని నిమిషాల్లో మరియు వీలైనంత సురక్షితంగా దీనికి అవసరమైన వనరులను కేటాయించడానికి మిమ్మల్ని అనుమతించినప్పుడు ఇది మంచిది.
రచయితలు:
వ్యాచెస్లావ్ మెద్వెదేవ్, జెట్ ఇన్ఫోసిస్టమ్స్ క్లౌడ్ కంప్యూటింగ్ విభాగం అధిపతి,
ఇల్యా కుయికిన్, జెట్ ఇన్ఫోసిస్టమ్స్ యొక్క క్లౌడ్ కంప్యూటింగ్ విభాగానికి చెందిన ప్రముఖ ఇంజనీర్
మూలం: www.habr.com