Componentes esenciales de una red de vacío basada en Linux

Muchos de nosotros tenemos redes desconectadas/inactivas y es posible que necesitemos herramientas para respaldar algunos de nuestros requisitos de infraestructura. tu sabes asi Plataforma de contenedores OpenShift con la instalación del backend OpenShift Container Almacenamiento u otros entornos similares. Hay algunas herramientas estándar que puede esperar encontrar al trabajar o construir una red de vacío. Destaco estas herramientas en este artículo.

Una red de vacío es una red independiente pero sin conectividad externa ni Internet. Las redes suelen estar vacías como método de seguridad extrema para proyectos gubernamentales o corporativos que requieren privacidad o secreto.

Índice

    Componentes típicos

    Los componentes típicos que se necesitan en un entorno vacío son el Servicio de nombres de dominio (DNS), el Protocolo de configuración dinámica de host (DHCP), el Protocolo trivial de transferencia de archivos (TFTP), el entorno de ejecución previa, arranque (PXE), el equilibrador de carga (LB) y un servidor web. servidor.

    DNS

    DNS proporciona servicios de resolución de nombres al entorno de espacio libre. El DNS se puede administrar mediante BIND, Unbound, dnsmasq o simplemente editando los archivos del host en cada máquina. Como regla general, independientemente del software utilizado, se requieren los siguientes registros:

    • Registros A: registro de resolución IPv4.
    • Registros AAAA - Registro de resolución IPv6.
    • Registros SVC: registro de resolución para servicios en la red.
    • Registros PTR: resolución inversa para registros A.

    Estos registros proporcionan la resolución que los clientes necesitan en la red.

    Dhcp

    DHCP proporciona direcciones IP a los clientes en la red sin configurar cada nodo manualmente. DHCP es proporcionado por dnsmasq o dhcpd. Por lo general, se sirven varias opciones con la asignación de DHCP. Las opciones típicas que se transmiten a los clientes son:

    • Dirección IP: IP única para identificar el host en la red.
    • Enrutador/Puerta de enlace: por lo general, los entornos de espacio de aire son redes planas, pero algunos pueden tener enrutamiento si se conectan varias redes de espacio de aire.
    • Servidor DNS: servidor(es) que proporcionan resolución de nombres para la red.
    • Servidor TFTP - perfiles.
    • Archivo de arranque TFTP: archivos de arranque adicionales proporcionados por TFTP.

    Estas opciones proporcionan la configuración de red que los nodos necesitan para comunicarse completamente entre sí en la red inactiva.

    Servidor web

    Su kit de herramientas puede contener Apache, NGINX, NodeJS, o simplemente puede ejecutar un servidor web rápido usando Python.

    TFTP

    Un servidor TFTP (Protocolo trivial de transferencia de archivos) sirve o transfiere archivos entre un servidor y un cliente, como FTP. Sin embargo, hay algunas diferencias entre los dos, y tienen sus propios casos de uso respectivos. TFTP usa UDP y se ejecuta en el puerto 69. Por lo general, TFTP se usa junto con PreBoot Execution Environment (PXE) para servir archivos para el arranque sin disco. Sin embargo, a menudo se usa para recuperar archivos de configuración e incluso imágenes pequeñas del sistema, como imágenes de enrutadores/conmutadores del sistema operativo. Algunas opciones son:

    PXE

    PreBoot Execution Environment (PXE) proporciona un entorno para iniciar y configurar sistemas que no tienen un sistema operativo instalado localmente. Es un “entorno” y no tanto una tecnología. Normalmente, el entorno consta de una tarjeta de red compatible con PXE, un servidor DHCP y un servidor TFTP. El proceso de puesta en marcha consiste en:

    1. Arrancando un pequeño sistema operativo en la tarjeta de red o proporcionado por CD/USB que transmite por una dirección IP.
    2. DHCP proporciona esta IP y una ubicación para que el servidor TFTP recupere más archivos para arrancar.
    3. El servidor TFTP sirve los archivos/imágenes de arranque restantes para continuar con el arranque.

    Esta es una versión muy simplificada del proceso de arranque PXE. El objetivo es explicar que el sistema se inicia sin un sistema operativo instalado localmente. Entonces, como se mencionó anteriormente, si tiene DHCP, TFTP y una tarjeta de red compatible con PXE, debería poder arrancar "desde la red".

    OpenShift

    si trabajas con OpenShift, necesitará un repositorio y un balanceador de carga para ayudarlo a instalar y ejecutar correctamente los recursos informáticos necesarios. Hay varias opciones para los servicios de registro, tales como Plataforma o un simple registro manual usando Podman.

    HAProxy proporciona equilibrio de carga.

    Los servicios de certificados se pueden administrar con una instalación de FreeIPA o Dogtag, o mediante el uso de certificados simples implementados por OpenSSL.

    Alternativas

    Los componentes de software se pueden agrupar en un CD en vivo o implementar a través de un pod. Recuerde que las cápsulas contienen contenedores. Una opción podría ser contener cada componente en un pod e implementarlo según sea necesario desde un registro privado. Otras alternativas podrían ser usar un servidor proxy para brindar acceso limitado a la red o tener un host bastión/caja de salto con un pie en la red "sin aire" y un pie en el entorno "conectado".

    Conclusión

    Como puede ver, muchos de los mismos servicios que se requieren en una red "conectada" también se utilizan en redes de espacio de aire. En ambos casos, se necesitan servicios como la asignación de direcciones IP y la resolución de nombres. Recuerde que en una red de espacio aéreo, estos servicios operan independientemente de otros servicios similares.

    Se han escrito muchos artículos de Enable Sysadmin sobre cómo implementar o configurar el software antes mencionado.

    Artículos de interés

    Subir