JLABS

Jlabs.Obecne.Infrastruktura

Infrastruktura - stručný popis univerzálního řešení


Bullet Infrastrukturou počítačové sítě rozumíme konfiguraci technického vybavení počítačové sítě společně s některými bázovými službami.
Bullet Infrastruktura je tedy vlastně komoditou využívanou jako všeobecně dostupná služba či zdroj. Od dodávky a rovodu elektrické energie se liší jenom ve větší strukturovanosti.
Bullet Prakticky to značí, že každý, kdo používá nějaký počítač uvnitř počítačové sítě (uvnitř nemocnice či jiné firmy), očekává zcela automaticky bázovou funkčnost. Tedy vhodně zařazení počítače mezi ostatní v celé síti, zprostředkování přístupu na Internet, podobně zprostředkování přístupu na vnitřní aplikace uvnitř firmy, získání správného času. Do infrastrukturních služeb spadá vlastně i elektronická pošta a přístup na webové stránky unitř i vně firmy.
Bullet Připojení celé firmy (tedy celé počítačové sítě) na Internet "na divoko" není dost dobře možné, podobně není možno nekoordinovaným způsobem používat uvnitř sítě tzv. IP adresy atd. Infrasturktura zabezpečuje naopak koordinovaný, řízený a také omezený přístup ke službám, které se nacházejí unitř i vně firmy.
Bullet Naše řešení vychází zcela z obecně dostupných komponent na bázi Linuxu a respektuje bezpečnostní doporučení podle patřičných RFC. Řešení je vhodné jak pro firmy s několika málo počítači tak i pro firmy provozující stovky či tisíce počítačů.
Bullet V dalším se soustředíme jenom na výčet komponent nutných pro zabezpečený provoz. Případ od případu mohou jednotlivé služby být delegovány na samostatné počítače nebo může naopak řada či dokonce většina služeb rezidovat na jednom počítači. U každé služby či komponenty diskutujeme i případné nároky na výpočetní sílu příslušného počítače.
Bullet Rozvržení IP prostoru, definice podsítí. S IP-adresami není možno uvnotř firmy pracovat zcela libovolně. Neuvážené rozvržení IP adresního prostoru proti zvyklostem může způsobit posléze mnoho problémů. IP prostor používaný uvnitř firmy by měl sestávat z adres, které zaručeně nebudou veřejně přístupné na Internetu. Existuje několik možností pro volbu, tu pravou je třeba zvážit i z pohledu případného propojování vnitřní sítě firmy s jinou vnitřní sítí, například sesterské společnosti. Definice podsítí je vhodným nástrojem na omezení "viditelnosti" počítačů na síti mezi sebou a rovněž i na potlačení zbytečného přenosu dat po síti. Prakticky by větší síť firmy měla být hned zpočátku dělena na podsítě respektující logické nebo organizační uspořádání. Větší celky (například laboratoř, sklad, obchodní úsek)
Bullet Přidělování IP adres, DHCP server. Na bázi Linuxu, nároky na výpočetní sílu minimální. Konfiguruje se buď manuálně (u malých instalací) nebo pomocí úlohy na bázi VaxNt z prostředí Windows.
Bullet Převod číselných forem IP adres na symbolické. Tedy DNS server. Rozlišuje se dvojí. Směrem dovnitř firmy řeší vnitření adresy, implementován na bázi Linuxu, nároky na výpočetní sílu jsou minimální. Směrem ven, tedy pro potřeby mimo firmu je potřeba dodržet následující zásadu. Adresy pro vnější svět mohou vypadat například jako "firma.cz", směrem uvnitř musí být adresy jiné a rovněž i doména by měla být tvaru "hq.firma.cz". Používat stejnou doménu směrem dovnitř i směrem ven není dobrá praxe a zejména pak není dobrou praxí, aby stejný DNS sloužil pro vnitřní i vnější potřeby. DNS je zdrojem nejčastějšícj bezpečnostních děr a server určený pro vnějšek by měl opravdu být umístěn mimo vnitřní síť firmy a neměl by provozovat žádnou další službu, kterou by případný hackerský útok mohl zneužít. Nejlépe je prostě vnější DNS outsourcovat.
Bullet Poskytování přesného času - ntp. na bázi Linuxu, na výpočetní sílu nenáročné.
Bullet WINS - na bázi Linuxu, je to analogie DNS pro potřeby Windows. Počítač může poskytování této služby zatížit a to se stoupající měrou podle počítačů v síti.
Bullet Sdílení disků a tiskáren v sítích Windows - na bázi produktu Samba, zcela kompatibilní se síťovým protokolem Windows. Podle rozsahu a intenzity využívání sdílených disků nebo tiskáren může počítač zatížit v nepredikovatelné míře.
Bullet Proxy server pro webové stránky. Na bázi Squida. Funguje jako vyrovnávací paměť a poskytuje rovnou stránky, které již některý počítač v síti požadoval a které se nemohly mezitím změnit. Může počítač zatížit velmi mnoho v závislosti na intenzitě webového provozu.
Bullet Elektronická pošta. Kombinace produktů postfix a cyrus, přístup pomocí IMAP protokolu. Konfigurace buď manuální nebo pomocí aplikace na bázi VaxNt pro prostředí Windows.
Bullet Vnitřní routování. Jestliže je síť firmy rozdělena do podsítí, je vhodné komunikaci jdoucí mimo rámec podsítě nasměřovat na jediný počítač v síti firmy, interní router, kde se udržuje routovací informace do partnerských podsítí. S výjimkou velikých sítí na to postačí obyčejný počítač vybavený dvěma či více síťovými kartami.
Bullet Firewall. Ochrana proti nepovolené komunikaci. Připojení směrem na Internet je nutno směřovat přes tento jediný počítač a na něm udržovat pravidla na vyhodnocování přípustnosti nebo naopak nepřípustnosti komunikace podle typu (tedy port, cílová nebo zdrojová adresa apod.).
Bullet Vnitřní webový server. Bázová komponenta pro budování firemního intranetu. Linux a Apache.


Bullet Mezi infrastrukturní služby by se daly řadit ještě i další. Konfigurace a správa infrastruktury není jednorázovým a opakovaně prodávatelným produktem. Musí se do detailů naladit na požadavky dané firmy.
Bullet Typická konfigurace pro malou až střední firmu je následující. Jeden počítač jako firewall a žádná další služba na něm. Vnější DNS a odpovídající správa domény navenek outsourcovány ke specializované firmě, kupříkladu do JLabs. DHCP,DNS,SMB,Email,WWW-proxy atd. na jediném počítači k tomu určeném. Vyhovuje pro síť s několika desítkami počítačů.
Bullet Typická konfigurace pro větší firmu se liší zejména tím, že náročnějsí služby jsou delegovány na samostatné počítače. Jinak je výčet nutných služeb identický.


Bullet Nadřízená kapitola dokumentace / rejstřík

JLABS Aktualizováno dne 20030228. Komentář: info@jlabs.cz