Bài viết sẽ thảo luận về các vấn đề tổ chức cơ sở hạ tầng mạng theo cách truyền thống và các phương pháp giải quyết các vấn đề tương tự bằng công nghệ đám mây.
Để tham khảo. Nebula là môi trường SaaS dựa trên đám mây để duy trì cơ sở hạ tầng mạng từ xa. Tất cả các thiết bị hỗ trợ Nebula đều được quản lý từ đám mây thông qua kết nối an toàn. Bạn có thể quản lý cơ sở hạ tầng mạng phân tán lớn từ một trung tâm duy nhất mà không cần tốn công sức tạo ra nó.
Tại sao bạn cần một dịch vụ đám mây khác?
Vấn đề chính khi làm việc với cơ sở hạ tầng mạng không phải là thiết kế mạng và mua thiết bị, thậm chí là lắp đặt nó trên giá đỡ mà là mọi thứ khác sẽ phải được thực hiện với mạng này trong tương lai.
Mạng mới - nỗi lo cũ
Khi đưa một nút mạng mới vào hoạt động sau khi cài đặt và kết nối thiết bị, quá trình cấu hình ban đầu sẽ bắt đầu. Theo quan điểm của các “ông chủ lớn” - không có gì phức tạp: “Chúng tôi lấy tài liệu làm việc cho dự án và bắt đầu thiết lập…” Điều này quá đúng khi tất cả các thành phần mạng được đặt trong một trung tâm dữ liệu. Nếu chúng nằm rải rác trên các chi nhánh thì việc cung cấp quyền truy cập từ xa sẽ bắt đầu khiến bạn phải đau đầu. Đó là một vòng luẩn quẩn: để có quyền truy cập từ xa qua mạng, bạn cần phải định cấu hình thiết bị mạng và để làm được điều này, bạn cần có quyền truy cập qua mạng...
Chúng ta phải nghĩ ra nhiều phương án khác nhau để thoát khỏi tình trạng bế tắc như đã mô tả ở trên. Ví dụ: một máy tính xách tay có truy cập Internet qua modem USB 4G được kết nối qua dây nối với mạng tùy chỉnh. Một máy khách VPN được cài đặt trên máy tính xách tay này và thông qua nó, quản trị viên mạng từ trụ sở chính cố gắng giành quyền truy cập vào mạng chi nhánh. Kế hoạch này không phải là minh bạch nhất - ngay cả khi bạn mang máy tính xách tay có VPN được cấu hình sẵn đến một trang web từ xa và yêu cầu bật nó lên, thực tế là mọi thứ sẽ không hoạt động ngay lần đầu tiên. Đặc biệt nếu chúng ta đang nói về một khu vực khác với một nhà cung cấp khác.
Hóa ra cách đáng tin cậy nhất là nhờ một chuyên gia giỏi “ở đầu dây bên kia” có thể cấu hình bộ phận của mình theo dự án. Nếu nhân viên chi nhánh không có những việc như vậy thì vẫn còn các lựa chọn: thuê ngoài hoặc đi công tác.
Chúng ta cũng cần một hệ thống giám sát. Nó cần được cài đặt, cấu hình, bảo trì (ít nhất là giám sát dung lượng ổ đĩa và tạo bản sao lưu thường xuyên). Và nó không biết gì về thiết bị của chúng ta cho đến khi chúng ta nói với nó. Để làm điều này, bạn cần đăng ký cài đặt cho tất cả các thiết bị và thường xuyên theo dõi mức độ liên quan của hồ sơ.
Thật tuyệt khi nhân viên có “dàn nhạc một người” của riêng mình, ngoài kiến thức cụ thể của quản trị viên mạng, còn biết cách làm việc với Zabbix hoặc một hệ thống tương tự khác. Nếu không, chúng tôi thuê nhân viên khác hoặc thuê ngoài.
Lưu ý. Những sai lầm đáng buồn nhất bắt đầu bằng những từ: “Có gì để cấu hình Zabbix này (Nagios, OpenView, v.v.)? Tôi sẽ nhanh chóng nhặt nó lên và nó đã sẵn sàng!
Từ triển khai đến vận hành
Hãy xem xét một ví dụ cụ thể.
Đã nhận được thông báo cảnh báo cho biết điểm truy cập WiFi ở đâu đó không phản hồi.
Cô ấy ở đâu?
Tất nhiên, một quản trị viên mạng giỏi có thư mục cá nhân của riêng mình, trong đó mọi thứ đều được ghi lại. Các câu hỏi bắt đầu khi thông tin này cần được chia sẻ. Ví dụ: bạn cần gửi khẩn cấp một người đưa tin để sắp xếp mọi việc ngay tại chỗ và để làm được điều này, bạn cần đưa ra một nội dung như: “Điểm truy cập tại trung tâm thương mại trên phố Stroiteley, tòa nhà 1, trên tầng 3, phòng số 301”. XNUMX cạnh cửa trước dưới trần nhà.”
Giả sử chúng ta may mắn và điểm truy cập được cấp nguồn qua PoE và công tắc cho phép khởi động lại nó từ xa. Bạn không cần phải di chuyển nhưng bạn cần truy cập từ xa vào công tắc. Tất cả những gì còn lại là định cấu hình chuyển tiếp cổng qua PAT trên bộ định tuyến, tìm ra Vlan để kết nối từ bên ngoài, v.v. Thật tốt nếu mọi thứ được thiết lập trước. Công việc có thể không khó khăn nhưng cần phải làm.
Vì vậy, cửa hàng thực phẩm đã được khởi động lại. Đã không giúp được gì?
Giả sử có gì đó không ổn trong phần cứng. Bây giờ chúng tôi đang tìm kiếm thông tin về bảo hành, khởi động và các chi tiết quan tâm khác.
Nói về Wi-Fi. Không nên sử dụng phiên bản gia đình của WPA2-PSK, phiên bản có một khóa cho tất cả các thiết bị, trong môi trường công ty. Thứ nhất, một khóa chung cho tất cả mọi người đơn giản là không an toàn và thứ hai, khi một nhân viên rời đi, bạn phải thay đổi khóa chung này và thực hiện lại cài đặt trên tất cả các thiết bị cho tất cả người dùng. Để tránh những rắc rối như vậy, có WPA2-Enterprise với xác thực riêng cho từng người dùng. Nhưng để làm được điều này, bạn cần có máy chủ RADIUS - một đơn vị cơ sở hạ tầng khác cần được kiểm soát, thực hiện sao lưu, v.v.
Xin lưu ý rằng ở mọi giai đoạn, dù là triển khai hay vận hành, chúng tôi đều sử dụng các hệ thống hỗ trợ. Điều này bao gồm một máy tính xách tay có kết nối Internet “của bên thứ ba”, hệ thống giám sát, cơ sở dữ liệu tham chiếu thiết bị và RADIUS làm hệ thống xác thực. Ngoài các thiết bị mạng, bạn còn phải duy trì các dịch vụ của bên thứ ba.
Trong những trường hợp như vậy, bạn có thể nghe thấy lời khuyên: “Hãy đưa nó lên đám mây và đừng đau khổ”. Chắc chắn có đám mây Zabbix, có lẽ có RADIUS đám mây ở đâu đó và thậm chí cả cơ sở dữ liệu đám mây để duy trì danh sách các thiết bị. Vấn đề là thứ này không cần thiết riêng lẻ mà “trong một chai”. Tuy nhiên, vẫn còn có những câu hỏi về việc tổ chức quyền truy cập, thiết lập thiết bị ban đầu, bảo mật, v.v.
Nó trông như thế nào khi sử dụng Nebula?
Tất nhiên, ban đầu “đám mây” không biết gì về kế hoạch của chúng tôi hoặc thiết bị đã mua.
Đầu tiên, một hồ sơ tổ chức được tạo ra. Tức là toàn bộ cơ sở hạ tầng: trụ sở chính và chi nhánh lần đầu tiên được đăng ký trên đám mây. Thông tin chi tiết được chỉ định và các tài khoản được tạo để ủy quyền.
Bạn có thể đăng ký thiết bị của mình trên đám mây theo hai cách: cách cũ - chỉ cần nhập số sê-ri khi điền vào biểu mẫu web hoặc quét mã QR bằng điện thoại di động. Tất cả những gì bạn cần cho phương pháp thứ hai là điện thoại thông minh có camera và truy cập Internet, bao gồm cả thông qua nhà cung cấp dịch vụ di động.
Tất nhiên, cơ sở hạ tầng cần thiết để lưu trữ thông tin, cả kế toán và cài đặt, đều do Zyxel Nebula cung cấp.
Hình 1. Báo cáo bảo mật của Trung tâm điều khiển Nebula.
Còn việc thiết lập quyền truy cập thì sao? Mở cổng, chuyển tiếp lưu lượng qua một cổng đến, tất cả những gì mà quản trị viên bảo mật trìu mến gọi là “chọn lỗ”? May mắn thay, bạn không cần phải làm tất cả những điều này. Các thiết bị chạy Nebula thiết lập kết nối gửi đi. Và quản trị viên không kết nối với một thiết bị riêng biệt mà kết nối với đám mây để cấu hình. Tinh vân làm trung gian giữa hai kết nối: với thiết bị và máy tính của quản trị viên mạng. Điều này có nghĩa là giai đoạn gọi điện cho quản trị viên mới có thể được giảm thiểu hoặc bỏ qua hoàn toàn. Và không có thêm “lỗ hổng” nào trên tường lửa.
Còn máy chủ RADUIS thì sao? Rốt cuộc, một số loại xác thực tập trung là cần thiết!
Và những chức năng này cũng được Nebula đảm nhận. Việc xác thực tài khoản để truy cập vào thiết bị diễn ra thông qua cơ sở dữ liệu an toàn. Điều này giúp đơn giản hóa rất nhiều việc ủy quyền hoặc thu hồi quyền quản lý hệ thống. Chúng ta cần chuyển giao quyền - tạo người dùng, gán vai trò. Chúng tôi cần tước bỏ quyền - chúng tôi thực hiện các bước ngược lại.
Riêng biệt, điều đáng nói là WPA2-Enterprise, yêu cầu dịch vụ xác thực riêng. Tinh vân Zyxel có chất tương tự riêng - DPPSK, cho phép bạn sử dụng WPA2-PSK với một khóa riêng cho mỗi người dùng.
Những câu hỏi “bất tiện”
Dưới đây chúng tôi sẽ cố gắng đưa ra câu trả lời cho những câu hỏi khó nhất thường được hỏi khi đăng nhập vào dịch vụ đám mây
Nó có thực sự an toàn không?
Trong bất kỳ ủy quyền kiểm soát và quản lý nào để đảm bảo an ninh, hai yếu tố đóng vai trò quan trọng: ẩn danh và mã hóa.
Sử dụng mã hóa để bảo vệ lưu lượng truy cập khỏi những con mắt tò mò là điều mà độc giả ít nhiều đã quen thuộc.
Tính năng ẩn danh ẩn thông tin về chủ sở hữu và nguồn khỏi nhân viên của nhà cung cấp đám mây. Thông tin cá nhân sẽ bị xóa và hồ sơ được gán mã định danh “vô danh”. Cả nhà phát triển phần mềm đám mây lẫn quản trị viên duy trì hệ thống đám mây đều không thể biết chủ sở hữu của các yêu cầu. "Nó từ đâu ra vậy? Ai có thể quan tâm đến điều này?” - những câu hỏi như vậy sẽ không có câu trả lời. Việc thiếu thông tin về chủ sở hữu và nguồn khiến nội bộ lãng phí thời gian một cách vô nghĩa.
Nếu chúng ta so sánh cách tiếp cận này với cách làm truyền thống là thuê ngoài hoặc thuê quản trị viên mới, thì rõ ràng công nghệ đám mây an toàn hơn. Một chuyên gia CNTT mới vào biết khá nhiều về tổ chức của anh ta và dù muốn hay không cũng có thể gây ra tác hại đáng kể về mặt bảo mật. Vấn đề sa thải hoặc chấm dứt hợp đồng vẫn cần được giải quyết. Đôi khi, ngoài việc chặn hoặc xóa tài khoản, điều này còn đòi hỏi phải thay đổi mật khẩu toàn cầu để truy cập các dịch vụ cũng như kiểm tra tất cả các tài nguyên để tìm các điểm nhập “bị quên” và các “dấu trang” có thể có.
Nebula đắt hơn hoặc rẻ hơn bao nhiêu so với quản trị viên mới?
Tất cả mọi thứ chỉ là tương đối. Các tính năng cơ bản của Nebula được cung cấp miễn phí. Trên thực tế, cái gì có thể rẻ hơn nữa?
Tất nhiên, không thể làm được hoàn toàn nếu không có quản trị viên mạng hoặc người thay thế. Câu hỏi đặt ra là số lượng người, chuyên môn hóa và sự phân bổ của họ trên khắp các địa điểm.
Đối với dịch vụ mở rộng trả phí, việc đặt câu hỏi trực tiếp: đắt hơn hay rẻ hơn - cách tiếp cận như vậy sẽ luôn không chính xác và phiến diện. Sẽ đúng hơn nếu so sánh nhiều yếu tố, từ tiền trả cho công việc của các chuyên gia cụ thể và kết thúc bằng chi phí đảm bảo sự tương tác của họ với nhà thầu hoặc cá nhân: kiểm soát chất lượng, lập tài liệu, duy trì mức độ bảo mật và sớm.
Nếu chúng ta đang nói về chủ đề liệu việc mua gói dịch vụ trả phí (Pro-Pack) có lợi nhuận hay không, thì câu trả lời gần đúng có thể như sau: nếu tổ chức nhỏ, bạn có thể thực hiện bằng cách cơ bản phiên bản, nếu tổ chức đang phát triển thì việc nghĩ đến Pro-Pack là điều hợp lý. Sự khác biệt giữa các phiên bản của Tinh vân Zyxel có thể được thấy trong Bảng 1.
Bảng 1. Sự khác biệt giữa bộ tính năng cơ bản và Pro-Pack dành cho Nebula.
Điều này bao gồm báo cáo nâng cao, kiểm tra người dùng, sao chép cấu hình và hơn thế nữa.
Còn việc bảo vệ giao thông thì sao?
Tinh vân sử dụng giao thức nhằm đảm bảo các thiết bị mạng hoạt động an toàn.
NETCONF có thể chạy trên một số giao thức truyền tải:
- ();
- ();
- ();
- ().
Nếu chúng ta so sánh NETCONF với các phương pháp khác, chẳng hạn như quản lý qua SNMP, thì cần lưu ý rằng NETCONF hỗ trợ kết nối TCP gửi đi để vượt qua rào cản NAT và được coi là đáng tin cậy hơn.
Hỗ trợ phần cứng thì sao?
Tất nhiên, bạn không nên biến phòng máy chủ thành một vườn thú với đại diện của các loại thiết bị quý hiếm và có nguy cơ tuyệt chủng. Điều rất mong muốn là thiết bị được hợp nhất bởi công nghệ quản lý sẽ bao phủ tất cả các hướng: từ bộ chuyển mạch trung tâm đến các điểm truy cập. Các kỹ sư của Zyxel đã quan tâm đến khả năng này. Tinh vân chạy nhiều thiết bị:
- công tắc trung tâm 10G;
- công tắc mức truy cập;
- công tắc có PoE;
- các điểm truy cập;
- các cổng mạng.
Bằng cách sử dụng nhiều loại thiết bị được hỗ trợ, bạn có thể xây dựng mạng cho nhiều loại tác vụ khác nhau. Điều này đặc biệt đúng đối với các công ty không phát triển hướng lên mà hướng ngoại, không ngừng khám phá các lĩnh vực kinh doanh mới.
Phát triển liên tục
Các thiết bị mạng với phương pháp quản lý truyền thống chỉ có một cách cải tiến - thay đổi chính thiết bị đó, có thể là chương trình cơ sở mới hoặc các mô-đun bổ sung. Trong trường hợp của Tinh vân Zyxel, có một con đường bổ sung để cải tiến - thông qua cải thiện cơ sở hạ tầng đám mây. Ví dụ: sau khi cập nhật Nebula Control Center (NCC) lên phiên bản 10.1. (21 tháng 2020 năm XNUMX) các tính năng mới có sẵn cho người dùng, đây là một số tính năng trong số đó:
- Chủ sở hữu của một tổ chức hiện có thể chuyển tất cả quyền sở hữu cho quản trị viên khác trong cùng tổ chức;
- một vai trò mới gọi là Đại diện chủ sở hữu, có các quyền giống như chủ sở hữu tổ chức;
- tính năng cập nhật chương trình cơ sở mới trên toàn tổ chức (tính năng Pro-Pack);
- hai tùy chọn mới đã được thêm vào cấu trúc liên kết: khởi động lại thiết bị và bật và tắt nguồn cổng PoE (chức năng Pro-Pack);
- hỗ trợ các mẫu điểm truy cập mới: WAC500, WAC500H, WAC5302D-Sv2 và NWA1123ACv3;
- hỗ trợ xác thực chứng từ bằng cách in mã QR (chức năng Pro-Pack).
Liên kết hữu ích
Nguồn: www.habr.com