boundary

• ما هو الحدود: https://developer.hashicorp.com/boundary/docs/overview/what-is-boundary
• الموقع الإلكتروني: https://www.boundaryproject.io/
• المنتديات: HASHICORP مناقشة
• الوثائق: https://boundaryproject.io/docs
• دروس: منصة تعلم Hashicorp

الحدود هي وكيل مدرك للهوية يوفر طريقة بسيطة وآمنة للوصول إلى المضيفين والأنظمة الحرجة على شبكتك.

مع الحدود يمكنك:

• تتكامل مع IDP المفضل لديك باستخدام OpenID Connect ، مما يتيح للمستخدمين تسجيل الدخول بشكل آمن ببيئة الحدود الخاصة بهم
• توفير الوصول إلى الشبكة في الوقت المناسب إلى موارد الشبكة ، أينما كانوا
• إدارة بيانات اعتماد الجلسة عبر متجر بيانات اعتماد ثابتة ، أو إنشاء بيانات اعتماد فريدة لكل جلسة من خلال الاندماج مع Hashicorp Vault
• أتمتة اكتشاف نقاط النهاية الجديدة
• إدارة الجلسات المميزة باستخدام عناصر التحكم في جلسة الحدود
• قم بتوحيد سير عمل الوصول لفريقك مع تجربة متسقة لأي نوع من البنية التحتية عبر أي مزود

تم تصميم الحدود لتكون واضحة لفهم وقابلة للتطوير للغاية ومرونة. يمكن أن تعمل في السحب ، والجيوب الآمنة ، والمزيد ، ولا تتطلب تثبيت وكيل على كل مضيف نهائي ، مما يجعل من المناسب الوصول إلى الخدمات المدارة/السحابة وسير العمل القائم على الحاويات بالإضافة إلى أنظمة وخدمات المضيف التقليدية.

لمزيد من المعلومات ، راجع "ما هي الحدود؟" على موقع الحدود.

يتكون الحدود من مكونين من الخادم:

• وحدة التحكم ، التي تخدم API وتنسيق طلبات الجلسة
• العمال ، الذين يؤديون معالجة الجلسة

من المحتمل أن يتكون تثبيت الحدود في العالم الحقيقي من وحدة تحكم واحدة أو أكثر مقترنة بواحد أو أكثر من العمال. يمكن أن تعمل الحدود الثنائية الواحدة في إما ، أو كليهما ، من هذين الوضعين.

بالإضافة إلى ذلك ، يوفر الحدود عميل سطح المكتب و CLI للمستخدمين النهائيين لطلب وإنشاء جلسات معتمدة للموارد عبر الشبكة.

لا تتطلب الحدود تثبيت البرامج على المضيفين والخدمات.

الحدود لها اثنين من التبعيات الخارجية:

• قاعدة بيانات SQL
• على الأقل كيلومتر واحد

تحتوي قاعدة البيانات على تكوين الحدود ومعلومات الجلسة. يجب أن تكون عقد وحدة التحكم قادرة على الوصول إلى قاعدة البيانات.

يتم تشفير القيم التي هي أسرار (مثل بيانات الاعتماد) في قاعدة البيانات. حاليًا ، يتم دعم PostgreSQL كقاعدة بيانات وتم اختباره مع Postgres 12 وما فوق.

يستخدم الحدود امتدادات شائعة فقط ويتم دعم كل من الحالات المستضافة والمكافحة ذاتيا. في معظم الحالات ، كل ما تحتاجه هو نقطة نهاية قاعدة البيانات وبيانات الاعتماد المناسبة.

يستخدم الحدود مفاتيح KMS لأغراض مختلفة ، مثل حماية الأسرار ، ومصادقة العمال ، واستعادة البيانات ، وتشفير القيم في تكوين الحدود ، وأكثر من ذلك. يستخدم الحدود الاشتقاق الرئيسي على نطاق واسع لتجنب الامتداد الرئيسي لهذه المفاتيح عالية القيمة.

يمكنك استخدام أي سحابة KMS أو محرك Transit Secrets في Vault لتلبية متطلبات KMS.

يتطلب تشغيل الحدود في سياق أكثر دائمة بعض الخطوات الأخرى ، مثل كتابة بعض ملفات التكوين البسيطة لإخبار العقد كيفية الوصول إلى قاعدة البيانات و KMs. يتم تفصيل الخطوات أدناه ، إلى جانب المعلومات الإضافية اللازمة للتركيبات الدائمة ، في دليل التثبيت الخاص بنا.

️ لا تستخدم الفرع main باستثناء حالات DEV أو اختبار. حدود 0.10 مقدمة من فروع الإصدار والتي يجب أن تكون آمنة لتتبع ، ومع ذلك ، يمكن إعادة ترقيات الترحيل في main إذا لزم الأمر. لن يتمكن فريق الحدود من تقديم المساعدة في حالة تشغيله main على المدى الطويل في كسر الهجرة أو الأخطاء الأخرى.

قم بتنزيل أحدث إصدار من خادم العميل (عميل) سطح المكتب من الخادم من صفحة التنزيلات الخاصة بنا

يحتوي الحدود على وضع dev الذي يمكنك استخدامه للاختبار. في وضع dev ، يمكنك بدء وحدة تحكم وعامل مع أمر واحد ، ولديهم الخصائص التالية:

• تبدأ وحدة التحكم حاوية Docker PostgreSQL لاستخدامها كمساحة تخزين. سيتم إغلاق هذه الحاوية وإزالتها ، إن أمكن ، عند إغلاق وحدة التحكم بأمان.
• يستخدم وحدة التحكم KMS مع مفاتيح سريعة الزوال

إذا واجهت المتطلبات المحلية التالية ، فيمكنك الاستيقاظ بسرعة مع الحدود:

• اذهب v1.21 أو أكثر
• عامل ميناء
• إما تبعيات واجهة المستخدم الحدودية لبناء أصول واجهة المستخدم محليا أو GH CLI لتنزيل أصول واجهة المستخدم مسبقًا.

ببساطة الجري:

make install

هذا سوف يبني الحدود. (في المرة الأولى التي يتم فيها تشغيل ذلك ، سيتم جلب أصول واجهة المستخدم وتجميعها ؛ والتي ستستغرق بضع دقائق إضافية.) بمجرد الانتهاء ، قم بالتشغيل في وضع dev :

$GOPATH/bin/boundary dev

يرجى ملاحظة أن التطوير قد يتطلب أدوات أخرى ؛ لتثبيت مجموعة الأدوات في الإصدارات التي يستخدمها فريق الحدود ، قم بتشغيل:

make tools

دون القيام بذلك ، قد تواجه أخطاء أثناء التشغيل make install . من المهم أيضًا ملاحظة أن استخدام make tools سيقوم بتثبيت أدوات مختلفة تستخدم لتطوير الحدود إلى الدليل العادي GO الثنائي ؛ قد يكتب هذا أو يطول الأسبقية على الأدوات التي قد يتم تثبيتها بالفعل على النظام.

ابدأ الخادم الثنائي مع:

boundary dev

سيبدأ هذا خدمة وحدة التحكم في الاستماع إلى http://127.0.0.1:9200 لطلبات واجهات برمجة التطبيقات الواردة وخدمة العمال تستمع على http://127.0.0.1:9202 لطلبات الجلسة الواردة. سيقوم أيضًا بإنشاء موارد افتراضية مختلفة ويعرض العديد من المعلومات المفيدة ، مثل اسم تسجيل الدخول وكلمة المرور التي يمكن استخدامها للمصادقة.

لاختبار بسيط للحدود في وضع dev ، لا تحتاج عمومًا إلى تكوين أي موارد على الإطلاق! لكن من المفيد أن نفهم ما فعله وضع dev بالنسبة لك حتى تتمكن من اتخاذ المزيد من الخطوات. بشكل افتراضي ، سيتم إنشاء وضع dev :

• النطاق global للمصادقة الأولية ، التي تحتوي على طريقة مصادقة من نوع كلمة المرور ، إلى جانب حساب لتسجيل الدخول.
• نطاق تنظيم تحت global ، ونطاق المشروع داخل المنظمة.
• كتالوج مضيف مع مجموعة مضيف افتراضي ، والتي تحتوي على مضيف مع عنوان الجهاز المحلي ( 127.0.0.1 )
• تعيين الهدف تعيين المضيف إلى مجموعة من معلمات الاتصال ، مع منفذ افتراضي 22 (على سبيل المثال SSH)

يمكنك الانتقال إلى واجهة مستخدم الويب الخاصة بـ BONDARY أو استخدام واجهة برمجة التطبيقات الخاصة به لتغيير هذه القيم الافتراضية ، على سبيل المثال إذا كنت ترغب في الاتصال بمضيف مختلف أو تحتاج إلى تعديل المنفذ الذي يجب الاتصال به.

بعد ذلك ، دعونا نوضح في الواقع اتصال SSH المحلي عبر الحدود:

1. المصادقة على الحدود ؛ باستخدام قيم dev الافتراضية ، سيكون هذا boundary authenticate password -auth-method-id ampw_1234567890 -login-name admin -password password . (لاحظ أنه إذا لم تقم بتضمين علامة password ، فستتم مطالبتك به.)
2. تشغيل boundary connect ssh -target-id ttcp_1234567890 . إذا كنت ترغب في ضبط اسم المستخدم ، فقم بتمرير -username <name> إلى الأمر.

تحقق من إمكانيات التكوين المستهدف لاختبار الحد من (أو زيادة) عدد الاتصالات في كل جلسة أو تحديد الحد الأقصى للوقت ؛ حاول إلغاء جلسة نشطة من صفحة الجلسات أو عبر boundary sessions ، ووضع الأوامر الخاصة بك مع boundary connect -exec ، وما إلى ذلك.

هذا المثال هو وسيلة بسيطة للبدء ولكنها تغفل العديد من الخطوات الرئيسية التي يمكن اتخاذها في سياق الإنتاج:

• باستخدام جدار حماية أو وسيلة أخرى لتقييد مجموعة المضيفين المسموح لهم بالاتصال بخدمة محلية لعقد العمال الحدودية فقط ، مما يجعل الحدود الوسيلة الوحيدة للدخول إلى المضيف
• باستخدام مزود Terraform الحدود لدمج الحدود بسهولة مع البنية التحتية القائمة على الرمز الحالي
• توجيه أداة BI (Powerbi ، Tableau ، إلخ) في مستودع بيانات الحدود لإنشاء رؤى والبحث عن الحالات الشاذة فيما يتعلق بالوصول إلى الجلسة

يرجى ملاحظة : نأخذ أمان الحدود وثقة مستخدمينا على محمل الجد. إذا كنت تعتقد أنك قد وجدت مشكلة أمنية في الحدود ، فيرجى الكشف عن طريق الاتصال بنا على [email protected].

شكرا لك على اهتمامك بالمساهمة! يرجى الرجوع إلى المساهمة. md للحصول على التوجيه.