По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
В данной статье мы рассмотрим, что такое Terraform и для чего он нужен. 1.Обзор Terraform – Open Source проект от HashiCorp создан в 2014 году. Является превосходным инструментом для создания Инфраструктуре в коде (Infrastructure as a Code). Проект абсолютно бесплатный и можно даже скомпилировать его из исходников, изменить его, т.е полностью открытый проект. Данный продукт является превосходным инструментом для создания инфраструктуры в коде. Сайт продукта https://www.terraform.io. И так, что это такое? Язык программирования инфраструктуры в cloud, не важно какой cloud. AWS, Google Cloud, Microsoft Azure, Digital Ocean, Yandex, AliCloud и есть поддержка многого другого, в том числе плагины под VMware. С помощью данного программного обеспечения можно даже управлять репозиторием Git Hub. Данный продукт является отличным для написания IaaS кода. Синтаксис кода пишется на Hashicorp Configuration Language (HCL). Файлы, содержащие написанный вами код, должны иметь расширение tf. Это обычные текстовые файлы на программном языке. Можно использовать любой текстовый редактор с дополнительными плагинами для Terraform, чтобы система подсказывала, поправляла, давала подсветку или раскрашивала код для удобства, чтения. Очень удобный для этой цели использовать текстовый редактор Atom. Код после написания не требует никакой компиляции, т.е просто пишите свой текстовый файл на HCL и запускаете просто с помощью Terraform. Terraform работает на Windows, MacOS, Linux, т.к он написан на языке Go, компилируете под операционную систему и запускаете, где угодно. Если рассмотреть конкурентов, то это AWS CloudFormation – инструмент для написания кода для AWS, он не кроссплатформенный и позволяет писать код только для AWS. Следующий конкурент Ansible - с помощью него тоже можно создавать инфраструктуру, через код, но он на мой взгляд слишком громоздкий и не очень удобный. Есть еще Puppet и Chef. Вот самые популярные инструменты конкуренты для создания инфраструктуры из кода. 2. Установка на Windows Установка на операционную систему MS Windows достаточна простая. Переходим на основной сайт продукта и выбираем операционную систему MS Windows нужной разрядности нажимаем, скачиваем. После закачки мы получим файл в zip архиве. Распаковываем и получаем файл terraform.exe. В принципе этого для работы достаточно, но неудобно. В такой конфигурации необходимо каждый раз вводить путь к файлу terraform.exe. Чтобы этого избежать необходимо добавить путь в переменные среды Windows. В операционной системе Windows 10 нажимаем правой кнопкой Пуск, выбираем Система, в открывшемся окне слева выбираем Сведения о cистеме, далее переходим на вкладку Дополнительно, далее внизу кнопка Переменные среды. В нижнем окне создаем новую переменную terraform и путь к месту, где лежит файл. 3. Установка в Linux Установка Terraform на Linux происходит не сложнее, чем на Windows. Открываем в браузере официальный сайт, выбираем разрядность Linux и копируем адрес ссылки на файл в буфер обмена. Открываем Terminal. Создаем или переходим в нужную директорию mkdir terraform или cd /tmp. Скачиваем wget URL и в директории появляется нужный файл. Распаковываем unzip terraform_0.15.1_linux_amd64.zip. В результате распакуется один исполняемый файл terraform. Осталось перенести файл откуда он будет запускаться с любой директории sudo mv terraform /bin. Директория с бинарными файлами. После этого мы можем вызывать терраформ из любого места командой terraform.
img
С тех пор, как различные организации и предприятия решили увеличить эффективность своих сотрудников за счет организации полноценных электронных рабочих мест, стали использоваться различные IT-решения для создания виртуальных локальных сетей. Private Virtual Local Area Network, или просто PVLAN, одно из них. Идея PVLAN По сути, идея PVLAN проста. Как можно понять по названию, это некая приватная часть локальной сети. Обмен информацией между Host-устройствами, подключение которых организовано через PVLAN, и остальными невозможен. Однако они не полностью изолированы. Внутри приватной сети может быть несколько хостов, и они смогут взаимодействовать, но на определенных условиях. Конечно, для реализации таких задач можно воспользоваться средствами ACL (Access Control List), в рамках которых можно выбрать любое количество допусков для каждого пользователя относительно того или иного процесса. Но на практике это будет значить большое количество лишних манипуляций. Ведь всегда легче изначально заложить некую особенность в архитектуру сети, чем дополнять ее ситуационными "заплатками". Как это работает? Рассмотрим типы портов коммутатора, доступных при использовании PVLAN: "Promiscuous" - смешанный порт. Коммутатор, организованный таким образом, позволит устройству взаимодействовать с любыми другими внутри PVLAN. "Isolated" - изолированный порт. При использовании этого типа порт изолируется на 2 уровне (именно Layer 2 имеется в виду, когда мы упоминаем VLAN), от любых других коммутаторов, кроме настроенных с типом promiscuous. Таким образом, именно в рамках этого типа возможна реализация основной идеи PVLAN. Изолированные порты не могут обмениваться трафиком друг с другом, а изолированные и смешанные - могут. "Community" - порт группы. Отдельная группа портов, host-участники которой могут делить трафик друг с другом и смешанными портами, но не могут с изолированными портами и коммутаторами другой группы. Чтобы реализовать приватную локальную сеть задействуются 2 VLAN: Основная (Primary) - эта сеть имеет принадлежность к смешанному порту. В свою очередь, этот порт подключается к устройствам стоящих в иерархии выше (например - маршрутизатор или сервер). Вторичная (Secondary) - VLAN, в которой производится настройка изолированных и групповых коммутаторов. Несмотря на то, что в сети можно найти в основном англоязычные материалы по этой теме, освоить ее можно достаточно легко, несколько раз применив на практике. Отличный вариант - пробная настройка PVLAN на маршрутизаторах Nexus и Catalyst от Cisco (при выборе первого стоит убедиться, что его версия старше 3560). Как эффективно использовать PVLAN? На сегодняшний день решить проблему защиты данных в VLAN можно при помощи большого количества инструментов (яркий пример - разбивка трафика при помощи QinQ), однако, как и было указано выше, использование приватной подсети, как ничто другое говорит о логичности изначальной архитектуры сети и ее общей продуманности. Основные задачи, которые можно без лишних хлопот реализовать посредством PVLAN: Обеспечение защищенного трафика для большого количества пользователей. Отличным примером является организация сети провайдеров, которые оказывают услуги частным лицам. Если VLAN изначально ориентирован на наличие приватного трафика и построен соответственно, то можно избежать потери огромного количества времени, которое обычно уходит на настройку изоляции пользователей вторичными средствами. Конечно, для реализации строгой изоляции понадобится довольно дорогостоящее оборудование, но это уже другой вопрос. Внесение корректировок в уже отлаженную систему обмена данными. Иногда в больших компаниях, с целью усиления контроля за информационной безопасностью принимаются решения по изоляции потоков трафика, которые не предусмотрены текущей архитектурой сети. Порой IT-специалисты вынуждены работать в настолько узких рамках, что не могут получить согласование на добавление новой отдельной сети. Именно для таких комплексных задач используется видоизменение некоторых частей общей VLAN в приватную. Главным плюсом таких мероприятий является безопасность для уже сложившейся инфраструктуры взаимодействия пользователей.
img
Когда появился брандмауэр ASA 5506-X, было много нареканий: "это устройство не является заменой ASA 5505, к нему необходимо докупать коммутатор!" и "на устройстве есть шесть портов, но которые я не могу использовать" и так далее. Если, честно сказать, ASA 5505 должен использоваться в среде SOHO, где все находится в одном устройстве (с PoE). Проблема состояла в том, что люди стали устанавливать их повсюду и в крупных компаниях, и в центрах обработки данных. Что бы решить эту проблему, необходимо было бы изменить аппаратное обеспечение. Поэтому Cisco, для решения этой проблемы, просто добавила BVI (виртуальный интерфейс моста), начиная с версии 9.7. Вообще, это не совсем верное утверждение, так как в Cisco ASA уже определенное время имеются интерфейсы BVI (Bridge Group Virtual Interface) в так называемом "прозрачном режиме" (transparent mode). Таким образом, на ASA 5506-X с настройками по умолчанию- это "мостовые" интерфейсы начиная с порта Ge0/2 и заканчивая портом Ge0/8, которым можно присвоить имя inside и IP-адрес. Вроде бы все как у ASA5505. Но нет, потому что для каждого мостового интерфейса требуется прописывать отдельно access-group/ACL, а также отдельно настраивать NAT. Конечно, можно все оставить по умолчанию и ничего не трогать, если у вас ну очень простая сеть. Также обратите внимание, что утверждение выше справедливо и для удаленного управления через SSH/ADSM и так далее. Далее посмотрим настройки и произведем изменения в интерфейсе ASA 5506-X для BVI Ниже показана сокращенная конфигурация брандмауэра по умолчанию и жирным шрифтом выделены дополнительные команды, которые используются для этой конфигурации брандмауэра. Это обновленная "дефолтная" конфигурация брандмауэра 5506-X (начиная с version 9.7.) Удаление интерфейса BVI на ASA 5506-X через CLI Во-первых, необходимо удалить группу мостов на физических интерфейсах, но предварительно надо удалить имя интерфейса. Если этого не сделать, то это приведет к ошибке. Подключитесь к устройству через консольный кабель или через внешний интерфейс (outside)(Это необходимо, так как мы собираемся удалить настроенный внутренний интерфейс (inside). Только после выполнения вышеописанных команд можно удалить интерфейс BVI. Интерфейс BVI1 будет удален из конфигурации (если вы ранее работали на маршрутизаторах, то это похоже на удаление интерфейса loopback). Теперь удалите "несуществующие" группы объектов, которые использовались для NAT. Предположим, что внешний интерфейс (GigabitEthernet0/1) включен и подключен, (по умолчанию он будет настроен на DHCP). Далее необходимо будет настроить "внутренний" интерфейс (будет использован GigabitEthernet0/2) и настроить правило NAT/PAT, чтобы разрешить трафик. Теперь весь трафик из внутренней сети во внешнюю разрешен, а весь внешний трафик запрещен.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59