Makale, ağ altyapısının geleneksel şekilde düzenlenmesi sorunlarını ve aynı sorunları bulut teknolojilerini kullanarak çözme yöntemlerini tartışacaktır.
Başvuru için. Nebula, ağ altyapısının uzaktan bakımına yönelik bir SaaS bulut ortamıdır. Nebula özellikli tüm cihazlar, güvenli bir bağlantı aracılığıyla buluttan yönetilir. Geniş bir dağıtık ağ altyapısını, oluşturma zahmetine girmeden tek merkezden yönetebilirsiniz.
Neden başka bir bulut hizmetine ihtiyacınız var?
Ağ altyapısıyla çalışırken asıl sorun, ağı tasarlamak ve ekipman satın almak, hatta onu bir rafa kurmak değil, gelecekte bu ağ ile yapılması gereken her şeydir.
Yeni ağ - eski endişeler
Ekipmanı kurup bağladıktan sonra yeni bir ağ düğümünü devreye alırken ilk yapılandırma başlar. "Büyük patronların" bakış açısından - hiçbir şey karmaşık değil: "Projenin çalışma belgelerini alıyoruz ve kuruluma başlıyoruz..." Tüm ağ öğeleri tek bir veri merkezinde bulunduğunda bu çok iyi söyleniyor. Şubelere dağılmış olmaları halinde uzaktan erişim sağlama sıkıntısı başlıyor. Bu çok kısır bir döngü: Ağ üzerinden uzaktan erişim elde etmek için ağ ekipmanını yapılandırmanız gerekiyor ve bunun için ağ üzerinden erişime ihtiyacınız var...
Yukarıda anlatılan çıkmazdan çıkmak için çeşitli planlar yapmamız gerekiyor. Örneğin, USB 4G modem aracılığıyla İnternet erişimi olan bir dizüstü bilgisayar, bir yama kablosu aracılığıyla özel bir ağa bağlanır. Bu dizüstü bilgisayara bir VPN istemcisi kuruludur ve bu istemci aracılığıyla merkezdeki ağ yöneticisi şube ağına erişmeye çalışır. Plan en şeffaf olanı değil - önceden yapılandırılmış bir VPN'e sahip bir dizüstü bilgisayarı uzak bir siteye getirseniz ve onu açmayı isteseniz bile, her şeyin ilk seferde işe yarayacağı gerçeğinden uzaktır. Özellikle farklı bir sağlayıcıya sahip farklı bir bölgeden bahsediyorsak.
En güvenilir yolun, kendi parçasını projeye göre yapılandırabilecek "hattın diğer ucunda" iyi bir uzmana sahip olmak olduğu ortaya çıktı. Şube personelinde böyle bir şey yoksa seçenekler kalıyor: ya dış kaynak kullanmak ya da iş seyahati.
Ayrıca bir izleme sistemine de ihtiyacımız var. Kurulması, yapılandırılması, bakımının yapılması (en azından disk alanını izlemesi ve düzenli yedeklemeler yapması) gerekir. Ve biz söyleyene kadar cihazlarımız hakkında hiçbir şey bilmeyen. Bunu yapmak için, tüm ekipman parçalarına ilişkin ayarları kaydetmeniz ve kayıtların uygunluğunu düzenli olarak izlemeniz gerekir.
Personelin, bir ağ yöneticisinin özel bilgisine ek olarak, Zabbix veya başka bir benzer sistemle nasıl çalışılacağını bilen kendi "tek kişilik orkestrasına" sahip olması harikadır. Aksi takdirde, kadroya başka bir kişiyi alırız veya onu dışarıdan temin ederiz.
Not. En üzücü hatalar şu sözlerle başlar: “Bu Zabbix'i (Nagios, OpenView vb.) yapılandırmak için ne var? Hemen alacağım ve hazır!”
Uygulamadan operasyona
Belirli bir örneğe bakalım.
Bir yerlerdeki WiFi erişim noktasının yanıt vermediğini belirten bir alarm mesajı alındı.
Nerede?
Elbette iyi bir ağ yöneticisinin, her şeyin yazılı olduğu kendi kişisel dizini vardır. Sorular bu bilginin paylaşılması gerektiğinde başlıyor. Örneğin, işleri yerinde halletmek için acilen bir haberci göndermeniz gerekiyor ve bunun için şöyle bir şey yayınlamanız gerekiyor: “Stroiteley Caddesi, bina 1, 3. kat, 301 numaralı odadaki iş merkezinde erişim noktası. XNUMX ön kapının yanında, tavanın altında."
Diyelim ki şanslıyız ve erişim noktasına PoE aracılığıyla güç veriliyor ve anahtar uzaktan yeniden başlatılmasına izin veriyor. Seyahat etmenize gerek yok ancak anahtara uzaktan erişmeniz gerekiyor. Geriye kalan tek şey, yönlendiricideki PAT aracılığıyla bağlantı noktası yönlendirmeyi yapılandırmak, dışarıdan bağlanmak için VLAN'ı bulmak vb. Her şeyin önceden ayarlanması iyidir. İş zor olmayabilir ama yapılması gerekiyor.
Böylece yiyecek çıkışı yeniden başlatıldı. Yardım etmedi?
Diyelim ki donanımda bir sorun var. Şimdi garanti, devreye alma ve diğer ilgi çekici ayrıntılar hakkında bilgi arıyoruz.
WiFi'den bahsetmişken. Tüm cihazlar için tek anahtara sahip olan WPA2-PSK'nın ev sürümünün kurumsal ortamda kullanılması önerilmez. Birincisi, herkes için tek bir anahtar kesinlikle güvensizdir ve ikincisi, bir çalışan ayrıldığında, bu ortak anahtarı değiştirmeniz ve tüm kullanıcılar için tüm cihazlarda ayarları yeniden yapmanız gerekir. Bu tür sorunları önlemek için her kullanıcı için ayrı kimlik doğrulama özelliğine sahip WPA2-Kuruluş bulunmaktadır. Ancak bunun için bir RADIUS sunucusuna - kontrol edilmesi, yedeklemelerin yapılması vb. gereken başka bir altyapı birimine - ihtiyacınız var.
İster uygulama ister işletme olsun her aşamada destek sistemlerini kullandığımızı lütfen unutmayın. Buna, "üçüncü taraf" İnternet bağlantısına sahip bir dizüstü bilgisayar, bir izleme sistemi, bir ekipman referans veritabanı ve kimlik doğrulama sistemi olarak RADIUS dahildir. Ağ cihazlarının yanı sıra üçüncü taraf hizmetleri de sürdürmeniz gerekir.
Bu gibi durumlarda “Buluta verin, sıkıntı çekmeyin” tavsiyesini duyabilirsiniz. Elbette bir bulut Zabbix var, belki bir yerlerde bir bulut RADIUS'u ve hatta cihazların bir listesini tutmak için bir bulut veritabanı var. Sorun şu ki buna ayrı ayrı değil, "tek şişede" ihtiyaç duyuluyor. Yine de erişimin düzenlenmesi, cihazın ilk kurulumu, güvenlik ve çok daha fazlasıyla ilgili sorular ortaya çıkıyor.
Nebula'yı kullanırken neye benziyor?
Elbette başlangıçta “bulut” planlarımız veya satın alınan ekipman hakkında hiçbir şey bilmiyor.
İlk olarak bir organizasyon profili oluşturulur. Yani tüm altyapı: Genel merkez ve şubeler ilk önce buluta kaydedilir. Yetki devri için ayrıntılar belirlenir ve hesaplar oluşturulur.
Cihazlarınızı buluta iki şekilde kaydedebilirsiniz: eski yöntem; bir web formunu doldururken seri numarasını girerek veya cep telefonu kullanarak QR kodunu tarayarak. İkinci yöntem için ihtiyacınız olan tek şey, kameralı ve mobil sağlayıcı da dahil olmak üzere İnternet erişimi olan bir akıllı telefon.
Elbette hem muhasebe hem de ayarlar gibi bilgilerin saklanması için gerekli altyapı Zyxel Nebula tarafından sağlanıyor.
Şekil 1. Nebula Kontrol Merkezi güvenlik raporu.
Erişimi ayarlamaya ne dersiniz? Bağlantı noktalarını açmak, trafiği gelen bir ağ geçidi üzerinden iletmek, güvenlik yöneticilerinin sevgiyle "delik açmak" dediği tüm bunlar mı? Neyse ki tüm bunları yapmanıza gerek yok. Nebula'yı çalıştıran cihazlar giden bir bağlantı kurar. Ve yönetici ayrı bir cihaza değil, yapılandırma için buluta bağlanır. Nebula iki bağlantı arasında aracılık eder: cihaza ve ağ yöneticisinin bilgisayarına. Bu, gelen bir yöneticiyi arama aşamasının en aza indirilebileceği veya tamamen atlanabileceği anlamına gelir. Ve güvenlik duvarında ek "delik" yok.
RADUIS sunucusu ne olacak? Sonuçta bir tür merkezi kimlik doğrulamaya ihtiyaç var!
Ve bu işlevler de Nebula tarafından üstleniliyor. Ekipmana erişim için hesapların doğrulanması güvenli bir veritabanı aracılığıyla gerçekleşir. Bu, sistemi yönetme haklarının devredilmesini veya geri çekilmesini büyük ölçüde basitleştirir. Hakları aktarmamız gerekiyor - bir kullanıcı oluşturun, bir rol atayın. Hakları elimizden almamız gerekiyor - ters adımları uyguluyoruz.
Ayrı olarak, ayrı bir kimlik doğrulama hizmeti gerektiren WPA2-Enterprise'dan bahsetmeye değer. Zyxel Nebula'nın, her kullanıcı için ayrı bir anahtarla WPA2-PSK'yi kullanmanıza olanak tanıyan kendi analogu DPPSK vardır.
"Uygunsuz" sorular
Aşağıda bir bulut hizmetine girerken sıklıkla sorulan en zor soruların yanıtlarını vermeye çalışacağız.
Gerçekten güvenli mi?
Güvenliği sağlamak için herhangi bir kontrol ve yönetim delegasyonunda iki faktör önemli bir rol oynar: anonimleştirme ve şifreleme.
Trafiği meraklı gözlerden korumak için şifrelemenin kullanılması, okuyucuların az çok aşina olduğu bir şeydir.
Anonimleştirme, sahip ve kaynak hakkındaki bilgileri bulut sağlayıcı personelinden gizler. Kişisel bilgiler kaldırılır ve kayıtlara "meçhul" bir tanımlayıcı atanır. Taleplerin sahibini ne bulut yazılım geliştiricisi ne de bulut sisteminin bakımını yapan yönetici bilemez. "Bu nereden geldi? Bu kimin ilgisini çekebilir?” gibi sorular cevapsız kalacaktır. Sahibi ve kaynağı hakkında bilgi eksikliği içeriden öğrenenleri anlamsız bir zaman kaybı haline getirir.
Bu yaklaşımı, geleneksel dış kaynak kullanımı veya gelen yöneticiyi işe alma uygulamasıyla karşılaştırırsak, bulut teknolojilerinin daha güvenli olduğu açıktır. Yeni gelen bir BT uzmanı, kuruluşu hakkında oldukça fazla bilgi sahibidir ve ister istemez güvenlik açısından ciddi zararlara neden olabilir. İşten çıkarma veya sözleşmenin feshi sorununun hala çözülmesi gerekiyor. Bazen, bir hesabın engellenmesi veya silinmesine ek olarak, bu, hizmetlere erişim için parolaların genel olarak değiştirilmesini ve ayrıca tüm kaynakların "unutulmuş" giriş noktaları ve olası "yer imleri" açısından denetlenmesini gerektirir.
Nebula, gelen bir yöneticiden ne kadar daha pahalı veya daha ucuz?
Her şey görecelidir. Nebula'nın temel özellikleri ücretsiz olarak mevcuttur. Aslında daha ucuz ne olabilir ki?
Elbette bir ağ yöneticisi veya onun yerine geçecek bir kişi olmadan bunu tamamen yapmak imkansızdır. Sorun, insanların sayısı, uzmanlığı ve siteler arası dağılımıdır.
Ücretli uzatılmış hizmete gelince, doğrudan bir soru sormak: daha pahalı veya daha ucuz - böyle bir yaklaşım her zaman yanlış ve tek taraflı olacaktır. Belirli uzmanların çalışmaları için paradan ödemeye kadar ve bir yüklenici veya bireyle etkileşimlerini sağlama maliyetleriyle biten birçok faktörü karşılaştırmak daha doğru olacaktır: kalite kontrolü, belgelerin hazırlanması, güvenlik seviyesinin sürdürülmesi ve yakında.
Ücretli bir hizmet paketi (Pro-Pack) satın almanın karlı olup olmadığı konusundan bahsediyorsak, yaklaşık bir cevap şu şekilde gelebilir: kuruluş küçükse, temel ile idare edebilirsiniz. sürüm, eğer organizasyon büyüyorsa, Pro-Pack'i düşünmek mantıklıdır. Zyxel Nebula'nın versiyonları arasındaki farklar Tablo 1'de görülebilir.
Tablo 1. Nebula için temel ve Pro-Pack özellik setleri arasındaki farklar.
Buna gelişmiş raporlama, kullanıcı denetimi, yapılandırma klonlama ve çok daha fazlası dahildir.
Peki ya trafik koruması?
Nebula protokolü kullanıyor Ağ ekipmanlarının güvenli çalışmasını sağlamak.
NETCONF çeşitli aktarım protokollerinin üzerinde çalışabilir:
- ();
- ();
- ();
- ().
NETCONF'u diğer yöntemlerle (örneğin SNMP üzerinden yönetim) karşılaştırırsak şunu belirtmek gerekir: NETCONF NAT engelini aşmak için giden TCP bağlantısını destekler ve daha güvenilir kabul edilir.
Peki donanım desteği?
Elbette, sunucu odasını nadir ve nesli tükenmekte olan ekipman türlerinin temsilcilerinin bulunduğu bir hayvanat bahçesine dönüştürmemelisiniz. Yönetim teknolojisiyle birleştirilen ekipmanın merkezi anahtardan erişim noktalarına kadar tüm yönleri kapsaması son derece arzu edilir. Zyxel mühendisleri bu olasılığın üstesinden geldi. Nebula birçok cihazı çalıştırır:
- 10G merkezi anahtarlar;
- erişim seviyesi anahtarları;
- PoE'li anahtarlar;
- erişim noktaları;
- ağ geçitleri.
Çok çeşitli desteklenen cihazları kullanarak çeşitli görev türleri için ağlar oluşturabilirsiniz. Bu özellikle yukarıya doğru değil dışarıya doğru büyüyen, sürekli iş yapmak için yeni alanlar keşfeden şirketler için geçerlidir.
Sürekli gelişme
Geleneksel yönetim yöntemine sahip ağ cihazlarının yalnızca bir iyileştirme yolu vardır - ister yeni ürün yazılımı ister ek modüller olsun, cihazın kendisini değiştirmek. Zyxel Nebula örneğinde, iyileştirme için ek bir yol daha var; bulut altyapısını iyileştirmek. Örneğin Nebula Kontrol Merkezi'ni (NCC) 10.1 sürümüne güncelledikten sonra. (21 Eylül 2020) yeni özellikler kullanıcıların hizmetine sunuldu, işte bunlardan bazıları:
- Bir kuruluşun sahibi artık tüm sahiplik haklarını aynı kuruluştaki başka bir yöneticiye devredebilir;
- kuruluş sahibiyle aynı haklara sahip olan, Sahip Temsilcisi adı verilen yeni bir rol;
- yeni kuruluş çapında ürün yazılımı güncelleme özelliği (Pro-Pack özelliği);
- topolojiye iki yeni seçenek eklendi: cihazın yeniden başlatılması ve PoE bağlantı noktasının gücünün açılıp kapatılması (Pro-Pack işlevi);
- yeni erişim noktası modelleri için destek: WAC500, WAC500H, WAC5302D-Sv2 ve NWA1123ACv3;
- QR kod yazdırmayla kupon kimlik doğrulaması desteği (Pro-Pack işlevi).
Faydalı linkler
Kaynak: habr.com