چرا مهندسان شبکه باید شناخت دقیقی از VPC داشته باشند؟
هنگامی که بهعنوان مهندس شبکه تصمیم میگیرید در شرکتی مشغول به کار شوید که خدمات زیرساختی شبکه و ابر را عرضه میکند باید با اصطلاحاتی مثل MPLS WAN، VRF، SD-WAN و واژگان تخصصی حوزه کاری خود آشنا باشید تا بتوانید وظایف را به بهترین شکل انجام دهید.
یکی از مباحث مهم و جدی این روزهای دنیای شبکه، ابر خصوصی مجازی (VPC) سرنام Virtual Private Cloud، ناحیه دسترسپذیری و افزونگی مراکز داده است. اگر با تعریف کلمات اختصاری مانند BGP ، ECMP ، ACL ، VIP و NIC آشنا هستند در مرحله بعد باید با دو مفهوم مهم ابر خصوصی مجازی و ناحیه دسترسی آشنا باشید.
ابر خصوصی مجازی چیست؟
یک ابر خصوصی مجازی مجموعهای از زیرشبکههای حاوی یک بلوک مسیریاب میاندامنهای بدون کلاس (CIDR) سرنام Classless Inter-Domain Routing است که در یک ناحیه جغرافیایی واحد که منطقه (Region) نام دارد، اجرا میشود و با مراکز داده چندگانه از طریق ناحیه دسترسپذیری ارتباط برقرار میکند. VPC شبیه به یک مرکز داده مجازی است، با این تفاوت که از نظر فیزیکی در نواحی دسترسی (Availability Zone) مختلفی قرار دارد. ابرهای خصوصی مجازی در هر منطقهای که ایجاد میشوند به یک مکانیزم ارتباطی دسترسی دارند تا بتوانند با سایر شبکهها در ارتباط باشند. این مکانیزم ارتباطی میتواند اینترنت، شبکه خصوصی مجازی یا VPC peering باشد.
بر مبنای این تعریف باید بگوییم ابر خصوصی مجازی، یک ابر خصوصی ایمن و ایزوله است که در یک ابر عمومی میزبانی میشود. مشتریان ابر خصوصی مجازی میتوانند برنامههای کاربردی خود را در این ابر اجرا کنند، دادههایی در آن ذخیرهسازی کنند و وبسایتها را میزبانی کنند، درست مثل آن که در حال استفاده از یک ابر خصوصی عادی هستند. مهمترین تفاوتی که ابر خصوصی مجازی با ابر خصوصی سازمانی دارد در این است که ابر خصوصی مجازی توسط یک عرضهکننده خدمات ابر عمومی میزبانی میشود. ابر خصوصی مجازی به دلیل گسترشپذیری و سهولت در دسترسی به رایانش ابر عمومی و تفکیک دادههای شبکه ابر خصوصی از ابر عمومی موردتوجه سازمانها قرار دارد. برایآنکه تصویر روشنی از این دو مفهوم داشته باشید، اینگونه فرض کنید که ابر عمومی همانند یک رستوران شلوغ است، درحالیکه یک ابر خصوصی مجازی یک میز رزرو شده در آن رستوران شلوغ است. حتی اگر رستوران پر از مردم باشد، میزی که علامت رزرو شده روی آن درج شده، خالی است و تنها در دسترس فردی قرار دارد که آن را رزرو کرده است. به طور مشابه، یک ابر عمومی مملو از مشتریان مختلف ابری است که به منابع محاسباتی دسترسی دارند، اما VPC برخی از این منابع را برای استفاده مشتری خاصی رزرو میکند.
ابر عمومی چیست، ابر خصوصی چیست؟
ابر عمومی زیرساخت ابری مشترکی است که اجازه میدهد مشتریان مختلفی به زیرساختهای ابری یک فروشنده دسترسی داشته باشند، درحالیکه اطلاعات آنها متمایز از یکدیگر است و هیچگونه دسترسی به اطلاعات یکدیگر ندارند. درست مانند افرادی که در یک رستوران حضور دارند و سفارش غذاهای مختلف را میدهند. عرضهکنندگان خدمات عمومی ابر مثل مایکروسافت آژر، پلتفرم ابری گوگل و آمازون چنین خدماتی را عرضه میکنند. این معماری به نام چندمستأجره (Multitenancy) معروف است، اما ابر خصوصی مجازی تک مستأجری است. ابر خصوصی یک سرویس ابری است که منحصراً در اختیار یک سازمان قرار میگیرد. در این معماری، VPC، یک ابر خصوصی است که درون یک ابر عمومی قرار میگیرد. در معماری فوق ابر خصوصی مجازی یک مشتری هیچگاه در اختیار مشتری دیگری قرار نمیگیرد.
چگونه VPC در یک ابر عمومی ایزوله میشود؟
ابر خصوصی مجازی قادر به تفکیک منابع محاسباتی ابر عمومی است. باتوجهبه اینکه ابر خصوصی مجازی دارای یک زیرشبکه اختصاصی و شبکه محلی مجازی است، تنها در دسترس مشتری که آن را اجرا کرده قرار میگیرد. فناوریهای کلیدی مختلفی برای تفکیک ابر خصوصی مجازی از ابر عمومی وجود دارند که از مهمترین آنها به موارد زیر باید اشاره کرد:
Subnets
یک زیرشبکه به طیف وسیعی از آدرسهای آیپی درون یک شبکه اشاره دارد که بهگونهای رزرو شدهاند که بخشی از شبکه را برای استفاده خصوصی ایزوله میکنند. در ابرهای خصوصی مجازی آدرسهای آیپی اختصاصی هستند و برخلاف آدرسهای آیپی معمولی که به طور عمومی قابلمشاهده هستند از طریق اینترنت در دسترس نیستند.
VLAN
شبکه محلی مجازی یک شبکه محلی یا گروهی از دستگاههای محاسباتی است که همه بدون استفاده از اینترنت به یکدیگر متصل شدهاند. شبیه به زیرشبکه، VLAN راهکاری برای تقسیمبندی شبکه است، اما تقسیمبندی در لایه 2 مدل OSI بهجای لایه 3 انجام میشود.
VPN
یک شبکه خصوصی مجازی از الگوی رمزگذاری برای ساخت یک شبکه خصوصی در بالای یک شبکه عمومی استفاده میکند. ترافیک VPN از طریق زیرساختهای رایج اینترنت مثل روترها، سوئیچها و غیره عبور میکند، با این تفاوت که ترافیک قابلمشاهده نیست و رمزنگاری شده است.
NAT
فناوری NAT آدرسهای آیپی خصوصی را با آدرسهای آیپی عمومی برای ارتباط با اینترنت عمومی تطابق میدهد. با NAT، یک وبسایت یا برنامه کاربردی عمومی میتواند در VPC اجرا شود.
پیکربندی مسیر BGP
برخی از عرضهکنندگان خدمات به مشتریان اجازه میدهند جداول مسیریابی BGP را برای اتصال VPC خود با سایر زیرساختهای درون سازمانی پیکربندی کنند.
شرکتهای ارائهدهنده خدمات ابری چگونه VPC را در اختیار مصرفکنندگان قرار میدهند؟
شرکتهای فعال در زمینه محاسبات ابری که از مراکز داده قدرتمندی برای عرضه خدمات استفاده میکنند خدمات کاربردی وب محور خود را به منطقه رایانش ابری (Region) و ناحیه دسترسپذیری (Availability Zone) هدایت میکنند (شکل 1).
فرایند مذکور به دلایل مختلفی انجام میشود که بهبود آستانه تحمل خطا و حفظ عملکرد خدمات در زمان بروز حملههای سایبری از دلایل اصلی بهکارگیری معماری فوق هستند. با اینحال، شرکتها بر مبنای یک معماری ماژولار مرکز داده قادر به ارایه چنین خدماتی هستند.
در تعریف معماری ماژولار مرکز داده ماژولها در قالب زیرسامانههایی تعریف میشود که با یکدیگر مرتبط هستند. این رویکرد با هدف به حداقل رساندن پیچیدگی انجام میشود.
در این معماری، ویژگیهای سامانه استقرار یافته همچون ظرفیت، عملکرد، چگالی و وزن باید بدون تحلیل اضافی و بهشکل از پیش تعریف شده مشخص شده باشند. علاوه بر این سطح جزییات و ابعاد ماژولها باید به درستی مشخص شوند و به ویژگی دسترسپذیری، افزونگی و توان مصرفی بهشکل درستی پرداخته شده باشد.
ناحیه دسترسپذیری
ناحیه دسترسپذیری (Availability Zone) در تعریف تخصصی و فنی آن به یک گزینه با قابلیت دسترسپذیری سطح بالا اشاره دارد که از برنامهها و دادههای کاربران در برابر خرابیهای مرکز داده محافظت میکند.
به بیان دقیقتر، نواحی دسترسپذیری به مکانهای فیزیکی منحصربهفردی به نام منطقه (Region) اشاره دارند که از ترکیب یک یا چند مرکز داده به وجود میآیند که هر یک مکانیزمهای خنکسازی، شبکههای مستقل و مکانیزم تأمین برق خاص خود را دارند.
نکته مهمی که قبل از واکاوی این مفهوم باید به آن اشاره داشته باشیم این است که ناحیه دسترسپذیری تنها یک مفهوم ساده نیست و متشکل از مؤلفهها، معماریها، پروتکلهای ارتباطی و شبکهسازیهای پیچیدهای است که هدفش عرضه مستمر خدمات به مشتریان تجاری است.
به بیان دقیقتر، شرکتهایی که خدمات تجاری آنها مبتنی بر معماری مذکور است، قابلاعتماد هستند و تیمی از متخصصان فنی مجرب در زمینه شبکه و امنیت برای آنها کار میکنند. علاوه بر این هر ناحیه از مکانیزمهای ارتباطی (اتصال اینترنتی) خاص خود برای عرضه خدمات استفاده میکند.
عرضهکنندگان خدمات رایانشی برای اطمینان از انعطافپذیری و خودترمیمی، حداقل سه ناحیه جداگانه در تمام مناطق فعال تعریف میکنند. تفکیک فیزیکی نواحی دسترسپذیری در یک منطقه این امکان را به وجود میآورد که از برنامهها و دادهها در برابر خرابیهای مرکز داده به بهترین شکل محافظت کرد.
در الگوی فوق خدمات بر مبنای اصل افزونگی – ناحیه، برنامهها و دادهها را در نواحی مختلف تکثیر میکنند تا امکان غلبه بر مشکل تکنقطه خرابی (SPFO) سرنام Single-Points-Of-Failure فراهم شود و مشتریان بدون مشکل در هر زمانی به برنامهها یا دادههای موردنیاز خود دسترسی داشته باشند.
بر مبنای معماری مذکور، عرضهکنندگان خدمات ابری به مزایای قابلتوجهی دست پیدا میکند. به طور مثال، بهبود زمان دردسترسبودن و فعالیت یک ماشین مجازی به بالاترین حد ممکن میرسد و عرضهکنندگان خدمات به سازمانها تضمین میدهند مطابق با مفاد مندرج در قرارداد سطح خدمات (SLA) به خدماتی که آن را اجاره میکنند دسترسی خواهند داشت.
اصل ناحیه دسترسپذیری بر پراکندگی مناطقی استوار است که مراکز داده در آنها مستقر میشوند. رویکرد فوق ارتباط مستقیمی با مفهوم آستانه تحمل خطا دارد که مبتنی بر افزونگی N+1 است.
اگر معماری مذکور به شکل دقیق و حساب شدهای پیادهسازی شود، آستانه تحمل خطا را بهبود بخشیده و هر زمان مرکز داده به دلیل مشکلات فیزیکی یا حملههای سایبری با چالش جدی روبرو شدند، در مدتزمان تعمیر و نگهداری، سایر مراکز داده وظایف مرکز داده از مدار خارج شده را بر عهده بگیرند.
به لحاظ فنی و منطقی ناحیه دسترسپذیری و معماری ماژولار مرکز داده شباهتهای زیادی به یکدیگر دارند، بهطوری که در هر دو حالت هدف این است که یک سامانه یا معماری بزرگ به زیرسامانههای کوچکتری تقسیم شوند.
بر مبنای تعریف فوق مشاهده میکنیم که اصل ناحیه دسترسپذیر به ترکیب چند مرکز داده اشاره دارد که به لحاظ فیزیکی بهاندازهای از یکدیگر دور هستند که در زمان بروز یک حادثه هر دو نمیتوانند به شکل همزمان از دسترس خارج شوند، اما درعینحال بهاندازهای به یکدیگر نزدیک هستند که توانایی پاسخگویی به نیازهای تجاری کسبوکارها را دارند و با مشکل زمان تأخیر روبرو نیستند.
در این بین نباید نقش شبکه تحویل محتوا را نادیده گرفت. برایآنکه شناخت دقیقتری نسبت به این مفهوم به دست آورید به شکل 2 دقت کنید. همانگونه که در شکل دو مشاهده میکنید، یک ناحیه دسترسپذیری مجموعهای از ساختمانها، لینکهای اینترنتی و منابع تأمین انرژی است.
ناحیه دسترسپذیری را میتوانید بهعنوان یک مرکز داده تصور کنید، اما برخی از نواحی دسترسپذیری شامل یک یا چند مرکز داده فیزیکی هستند. نکته ظریفی که باید به آن دقت کنید این است که یک برنامه یا خدمات کاربردی که تنها در یک ناحیه دسترسپذیری منفرد مستقر میشوند، اصل دسترسپذیری بالا را ارائه نمیکنند.
منطقه (Region)
مفهوم مهمی که مرتبط با ناحیه دسترسپذیری است، منطقه (Region) است. منطقه شامل چند مرکز داده است که درون موقعیتهای جغرافیایی یکسانی قرار دارند، اما در یک دامنه خرابی (Fault Domains) مشترک قرار ندارند.
به طور مثال، منطقهای با دو ناحیه دسترسپذیری میتواند عملکرد مناسبی در زمینه بازیابی پس از فاجعه بر مبنای الگوی همسانسازی همزمان (Synchronous Replication) ارائه کند. بر مبنای معماری مذکور، خدمات میتوانند در چند ناحیه دسترسپذیری در یک منطقه یکسانی در دسترس باشند.
مزیت ناحیه دسترسپذیری چیست؟
ناحیه دسترسپذیری بر مبنای این اصل پیادهسازی میشود که سرورهایی که برنامههای کاربردی خاص را ارائه میکنند به کاربران نهایی نزدیک باشند تا زمان تأخیر به حداقل برسد. تأخیر یکی از چالشهای بزرگ شبکههای ارتباطی است و بسیاری از عرضهکنندگان خدمات ابری برای غلبه بر این مشکل از مکانیزم توزیع سرورها و فضای ذخیرهسازی و قراردادن این منابع در نزدیکی کاربران نهایی استفاده میکنند.
مشتریان میتوانند برنامههای کاربردی خود را در نواحی دسترسپذیر مستقر کنند و محیط عملیاتی را به گونهای طراحی کنند که اگر یک ناحیه دسترسپذیر خراب شد، نمونههای موجود در نواحی دیگر در دسترس فعال شده و بار عملیاتی سرورها در ناحیه دچار مشکل شده را تا زمان بازیابی بر عهده بگیرند.
یکی دیگر از کاربردهای مهم ناحیه دسترسپذیری در ارتباط با ابر خصوصی مجازی است. همانگونه که اشاره شد، یک ابر خصوصی مجازی مجموعهای از زیرشبکههای حاوی یک بلوک مسیریاب بین دامنهای بدون کلاس است که در یک منطقه جغرافیایی واحد (منطقه) در چند مرکز داده پیادهسازی میشود. یک شبکه خصوصی مجازی شبیه به یک مرکز داده مجازی است، با این تفاوت که از نظر فیزیکی در نواحی دسترسی متفاوت قرار دارد.
نمونهای مفهومی از یک ابر خصوصی مجازی
پرسشی که مطرح میشود این است که ناحیه دسترسی چه نقشی در یک ابر خصوصی مجازی دارد؟ برای روشنشدن این موضوع به شکل 3 دقت کنید. مولفههای نشان داده شده در شکل 3 به شرح زیر هستند:
زیرشبکه
زیرشبکهها یک بخش متغیر از بلوک CIDR تخصیصدادهشده به ابر خصوصی مجازی هستند که از قواعد زیر شبکهسازی و نشانهگذاری سنتی استفاده میکنند، بنابراین باید در زمان تعیین اندازه زیرشبکهها دقت کنید و محدوده آدرس را بهگونهای طراحی کنید که با مراکز داده داخلی یا سایر ابرهای خصوصی مجازی همپوشانی نداشته باشند.
در معماری فوق، یک زیر شبکه مختص یک ناحیه دسترسی در نظر گرفته میشود. علاوه بر این در هر ناحیه دسترسی میتوان چند زیرشبکه تعریف کرد. هر زیرشبکه دارای یک جدول مسیر واحد است و هر زیرشبکه با یک فهرست کنترل دسترسی به شبکه مرتبط است.
دقت کنید در معماری فوق، یک زیرشبکه خصوصی دسترسی خارجی ندارد و از طریق یک دروازه خصوصی مجازی (VGW) به یک مرکز داده داخلی متصل میشود یا از فناوری ترجمه آدرس شبکه (NAT) برای برقراری ارتباط با اینترنت استفاده میکند. زیرشبکهها مولفهای به نام اختصاص خودکار آیپی عمومی دارند که میتواند بهصورت پیشفرض آدرس آیپی عمومی را با نمونهها تطبیق دهد.
جدول مسیر
هر زیرشبکه دارای یک جدول مسیر است. یک جدول مسیر واحد میتواند با چند زیرشبکه مرتبط باشد. جداول مسیر عملکردی شبیه بهقاعده مسیریابی مبدأ محور خطکشی محور PBR سرنام Source-based Policy-based Routing دارند.
بهعبارتدیگر، میتوانید مسیرهایی را بر مبنای زیرشبکهها برای بستهها مشخص کنید. به طور مثال، زیرشبکههای خصوصی ممکن است دارای جداول مسیر با یک مسیر پیشفرض به یک دروازه NAT باشند و زیرشبکههای عمومی ممکن است دارای جداول مسیر با ورودی به اینترنت از طریق یک گیت وی اینترنت باشند.
علاوه بر این، زیرشبکههای خصوصی میتوانند با استفاده از یک دروازه خصوصی مجازی، مسیرهایی را برای بازگشت به مراکز داده داخلی ایجاد کنند. به بیان سادهتر، میتوانیم جداول مسیر را شبیه جداول مسیریابی و انتقال مجازی (VRF) سرنام Virtual Routing and Forwarding توصیف کنیم.
با این حال، زیرشبکهها در همان ابر خصوصی مجازی میتوانند مستقیماً با یکدیگر ارتباط برقرار کنند. از نظر فنی، همه تعاملات در ابر خصوصی مجازی از گروههای امنیتی گرفته تا فهرستهای کنترل دسترسی شبکه در لایه 2 انجام میشوند.
جداول مسیر شامل مسیرهایی هستند که یک بلوک CIDR را بهعنوان نمونه (Instance)، دروازه اینترنت، دروازه خصوصی مجازی، دروازه NAT ، VPC peer یا نقطه پایانی VPC نشان میدهند. علاوه بر این، جداول مسیر میتوانند مسیرهای پویای BGP را از یک دروازه خصوصی مجازی دریافت کنند.
گروه امنیتی
یک گروه امنیتی مانند یک فهرست کنترل دسترسی (ACL) سرنام Access Control List است که معمولاً روی روترها و دیوارهای آتش اعمال میشود، با این تفاوت که مستقیماً روی نمونه اعمال میشود. گروههای امنیتی از مولفههای مهم ابر خصوصی مجازی هستند که امنیت این زیرساخت ارتباطی را تأمین میکنند.
در این معماری گروههای امنیتی نقش کلیدی دارند و وضعیت اتصال TCP ، UDP و ICMP را پیگیری میکنند. گروههای امنیتی حاوی قواعد و خطمشیهای امنیتی هستند که عملکردی شبیه به ورودیهای فهرست کنترل دسترسی دارند، اما میتوانند به گروههای امنیتی دیگری نیز اشاره کنند.
قابلیت فوق این امکان را میدهد که بدون نیاز به استفاده از آدرسهای آیپی، ترافیک گروه خاصی را مسدود کرد. بهطورکلی، گروههای امنیتی مانند دیوارهای آتش توزیع شده در لایه 4 هستند.
Network ACL
فهرستهای کنترل دسترسی شبکه در هر زیر شبکه اعمال میشوند و نسبت به گروههای امنیتی اثرگذاری بیشتری دارند. فهرستهای کنترل دسترسی شبیه به VLAN ACL یا Layer 2 ACL استفاده میشوند. فهرستهای کنترل دسترسی شبکه از مجموعه دستورات PERMIT و DENY پشتیبانی میکنند.
این مؤلفه برخلاف گروههای امنیتی بدون حالت هستند. علاوه بر این، فهرستهای کنترل دسترسی تنها در محدوده CIDR کار میکنند و نمیتوانند به اشیا دیگر شبیه به نمونهها اشاره کنند.
در حالت پیشفرض فهرست کنترل دسترسی شبکه، به تمام بستهها اجازه ورود و خروج به شبکه را میدهد، مگر آنکه بهطور صریح خطمشیهای جدیدی را اعمال کنید.
به طور مثال، اگر میخواهید SSH را برای کل زیر شبکه مسدود کنید، میتوانید یک ورودی DENY برای پورت TCP 22 در فهرست کنترل دسترسی زیر شبکه اضافه کنید. اگر تمایل به انجام این کار ندارید، باید SSH را در گروه امنیتی برای هر نمونه مسدود کنید.
Elastic network interface
رابط شبکه ارتجاعی (ENI) مانند کارت رابط شبکه مجازی (NIC) است. میتوانید چند ENI را در یک نمونه اعمال کنید و ENI را به نمونه دیگری در همان زیر شبکه انتقال کنید.
یک ENI دارای یک آدرس خصوصی به شکل پویا در زیرشبکه اختصاصدادهشده است و میتواند به شکل اختیاری دارای یک آدرس آیپی عمومی پویا نیز باشد.
آدرس آیپی عمومی
آدرس آیپی عمومی آدرس قابل مسیریابی عمومی است که از طریق اینترنت قابلدسترسی است. دو نوع آدرس آیپی عمومی در یک ابر خصوصی مجازی به نامهای آدرسهای اختصاصی پویا و آدرسهای آیپی ارتجاعی وجود دارد.
Elastic IP address
آدرس آیپی ارتجاعی یک آدرس آیپی عمومی است که روی ENI اعمال میشود و پس از خاتمه یک نمونه میتواند به نمونه دیگری تخصیص داده شود. این کار بهویژه در ارتباط با قواعد فهرست کنترل دسترسی، ورودیهای DNS و فهرست سفید کاربرد دارد. هر آدرس عمومی یک آدرس خصوصی متناظر دارد.
کدامیک از شرکتهای عرضهکننده خدمات ابری روی معماری ناحیه دسترسپذیری سرمایهگذاری کردهاند؟
شرکتهای فعال در زمینه عرضه خدمات ابری به روشهای مختلف از معماری فوق استفاده میکنند که از مهمترین آنها باید به نامهای بزرگی مثل مایکروسافت، گوگل و آمازون اشاره کرد که پیشگاه در طراحی و پیادهسازی معماریهای نوین ارتباطی هستند. همانگونه که اشاره شد، معماری فوق در زمان بروز حملههای سایبری کارآمد بودن خود را به اثبات رسانده و به میزان قابلتوجهی زمان تأخیر شبکه را به حداقل رسانده است.
خوشبختانه عرضهکنندگان خدمات ابری در این زمینه گامهای ارزشمندی برداشتهاند و تقریباً تمامی آنها بر مبنای ساخت یک منطقه بزرگ و نواحی دسترسی چندگانه که در شهرها یا حتی کشورهای مختلف مستقر میشوند گام بر میدارند.
در حالت کلی، الگویی که این شرکتها از آن بهره میبرند بر مبنای یک معماری نوین است که فرایند جابهجایی در یک منطقه و ساخت خوشههای پایدار بر مبنای الگوی Multi Availability Zone را تسهیل کند. برای مقابله با تهدیدات امنیتی پیشرو، تضمین دسترسی پایدار به خدمات و کاهش زمان تأخیر این معماری موردتوجه جدی ارائهدهندگان خدمات ابری قرار دارد.
منبع: ShabakehMag