DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

阿里云高防ip_vacheronconstanti高防_无限

06-09 DDOS防御

阿里云高防ip_vacheronconstanti高防_无限

BlueCat邀请了《自动化您的网络:引入企业网络管理的现代方法》一书的作者johncapobianco为我们介绍他的网络自动化之旅。从规划阶段到部署阶段,John将讨论每个网络自动化项目应该解决的权衡和关键决策,包括DNS的角色。约翰的意见完全是他自己的,20g每秒ddos防御,不能表达雇主的意见。网络自动化。大多数管理者和工程师只希望有一天能自动化他们的网络,但它似乎总是一个"战略项目",永远无法启动为什么?几乎有太多的借口可以提。"我们真的没有做太多的手动任务。"目前还没有合适的网络自动化工具。""网络配置管理太耗时,即使有一个自动化平台。""我们的网络工程师没有接受自动化框架方面的培训;我们习惯于通过命令行界面来运行我们的网络服务。"我们的网络运营只是建立在人工干预的前提下——我们没有那种能够自然实现自动化的网络类型。""软件定义的网络和虚拟网络是云团队的责任——我们只是工作这里。"等等。我明白了。我曾经是这些网络管理员之一。大约两年前,我被介绍给了Ansible,服务器防御ddos,它改变了我的整个观点、方法论,并冒着听起来很戏剧化的风险,改变了我的生活本身。这篇文章是一个由多个部分组成的系列文章的第一篇,被ddos怎么防御,它反映了我从传统网络设计师和管理员到现代网络开发人员的两年历程和转变。我将重点介绍我所学到的主要知识,并以代码的形式介绍从基本的一次性更改到完整的配置管理和网络基础设施的演变过程。自动化之前:挑战让我们从快速了解"之前"状态开始。作为一家拥有庞大而复杂的全国性网络的大型公共部门机构的高级IT规划师和集成商,我负责在日益复杂的环境中设计和实施变革。我管理的网络很快就成了流程瓶颈,免费dd和cc防御,阻碍了几个项目的敏捷性。一个更大的项目涉及更新网络接入层的QoS模型。这需要手动更新300多台设备!规模上的变化往往是最大的挑战,需要最长的开发周期。即使核心修复相对简单,准确地分发更改也是一个非常手工的过程—在每个设备的CLI上遵循脚本,一次更新一个设备的配置。最后,一个巨大而复杂的网络变化"破坏"了我们的系统。一个新的数据中心正在整合到网络中,这意味着校园内的基本路由配置需要改变。一旦我们统计了实现更改和停机窗口所需的手动工作,我们决定自动化不能再等待了。自动化之前:工具箱由于我所处理的网络的规模和复杂性,通过预先确定的框架学习和实现网络自动化是必要的。很明显传统(遗产?)我一直使用的方法很快就过时了。我无法再手动维护企业网络。我选择了Ansible作为最容易接近的选项——我想要快速的胜利。让我们退一步,讨论一下作为自动化解决方案的需求复选框Ansible,以及我最终是如何选择Ansible作为我的工具集的。无代理在我的设备上没有什么特别的配置可以让Ansible与它们交互安全Ansible使用安全外壳(SSH)协议连接到正在自动化的网络基础设施具有成本效益Ansible是免费的,可以选择使用企业许可证进行支持Ansible可以在任何Linux发行版上运行,低价法国高防cdn,包括Ubuntu和CentOS(它们也是免费的)Ansible也可以在受支持的许可的Red Hat Enterprise Linux上运行无障碍解决方案不必"简单",但需要灵活事实证明,Ansible可以根据需要简单或复杂随着您对框架越来越熟悉,解决方案的复杂性会随着时间的推移而增加重要的是要清楚地区分Ansible不是一种编程语言。这不是java或C++的网络。但你不需要知道Python是用Ansible编写的。我们来介绍一下框架:库存:静态ini文件可能是动态的,使用API调用NMS、IPAM或已用网络设备列表维护的资源清册系统变量:群变量主机YAML格式网络设备作为组和单个设备的数据模型剧本:YAML文件格式任务的串行执行调用Ansible模块模板:Jinja2文件格式在playbook运行时动态调用变量。静态文本、简单逻辑("if"、"else"、"for")和变量的混合插件:Python格式扩展核心Ansible引擎的基本能力定制的模块:Python和PowerShell格式用于与设备通信的特定于供应商的模块一旦你掌握了Ansible工具的工作原理,你就可以开始以一次性行动手册的形式对网络进行战术上的改变。在您的成功基础上构建和发展的全自动配置管理和CI/CD可以作为最后一个高级步骤来实施。在我的例子中,由于我的变更的规模和复杂性,我直接投入到了网络变更的自动化中。一些网络项目需要进行大规模的复杂变更。我的特定项目需要在整个企业的核心层和分发层进行更改。除了全局路由表,我们所有的虚拟路由转发(VRF)都需要更改以适应新的数据中心。具体细节并不重要,但如果处理不当,可能会影响核心层和分发层的整个网络。这种特殊变化的爆炸半径可能会使整个校园内的建筑"黑洞"(无法进入)。一旦第一个分发层设备发生更改,它将处于脱机状态,直到最后一个分发层设备完成—这是在核心进行匹配所需更改的必要步骤。我们很早就决定,目前核心更改将在CLI中手动执行。回想起来,这些更改也可以很容易地实现自动化。网络自动化的目标我们的目标很简单,我们的目标是:最小化停机时间快速、高效、高质量地完成更改避免错误并标准化每个分发层设备的部署避免访问任何位置通过控制台电缆恢复连接捕获更改前状态OSPF信息全局路由表和per vrf路由表邻里关系每个设备的运行配置在每个配电开关处进行更改创建并分发所需的状态配置文件使用Cisco配置替换方法更新配置改变核心使用标准配置命令不使用配置替换方法捕获更改后状态与更改前状态期间捕获的信息相同用于新网络状态的比较/差异/验证我们的一些目标被证明是相互冲突的,例如,我们希望限制停机时间,但也希望在更改之前从每个设备捕获信息。如果我们手动执行此阶段,则意味着为每个CLI会话设置putty日志记录会话,从而为该过程添加大量时间。而且,大多数步骤都是在每个设备上可重复的命令,而在每个设备上几乎没有什么变化。这是自动化的绝佳机会。回想起来,我的第一个自动化任务——替换整个校园分布层的运行配置——对于初学者来说是雄心勃勃的。我的建议是从自动收集网络信息开始,而不是直接使用该工具进行更改。简单的信息收集是非侵入性的,它允许管理员在对网络进行任何更改之前习惯于Ansible框架。在我的下一篇文章中,我将讨论我将基于Ansible的框架应用于网络的第一步。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/69496.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9199303访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X