boundary

• ขอบเขตคืออะไร: https://developer.hashicorp.com/boundary/docs/overview/what-is-boundary
• เว็บไซต์: https://www.boundaryproject.io/
• ฟอรัม: Hashicorp พูดคุย
• เอกสาร: https://boundaryproject.io/docs
• บทเรียน: แพลตฟอร์มการเรียนรู้ของ Hashicorp

Boundary เป็นพร็อกซีที่ตระหนักถึงตัวตนที่ให้วิธีที่ง่ายและปลอดภัยในการเข้าถึงโฮสต์และระบบที่สำคัญในเครือข่ายของคุณ

ด้วยขอบเขตที่คุณสามารถ:

• รวมเข้ากับ IDP ที่คุณเลือกโดยใช้ OpenID Connect ทำให้ผู้ใช้สามารถลงชื่อเข้าใช้สภาพแวดล้อมขอบเขตได้อย่างปลอดภัย
• ให้การเข้าถึงเครือข่ายแบบทันเวลาไปยังแหล่งข้อมูลเครือข่ายไม่ว่าพวกเขาจะอยู่ที่ไหน
• จัดการข้อมูลรับรองเซสชันผ่านร้านค้าข้อมูลรับรองแบบคงที่หรือสร้างข้อมูลรับรองต่อเซสชั่นที่ไม่ซ้ำกันโดยการรวมเข้ากับ Hashicorp Vault
• ทำการค้นพบจุดสิ้นสุดใหม่โดยอัตโนมัติ
• จัดการเซสชันที่ได้รับการยกเว้นโดยใช้การควบคุมเซสชันของขอบเขต
• ทำให้เวิร์กโฟลว์การเข้าถึงของทีมของคุณเป็นมาตรฐานด้วยประสบการณ์ที่สอดคล้องกันสำหรับโครงสร้างพื้นฐานทุกประเภททั่วทั้งผู้ให้บริการ

เขตแดนได้รับการออกแบบให้ตรงไปตรงมาเพื่อทำความเข้าใจปรับขนาดได้สูงและยืดหยุ่น มันสามารถทำงานในคลาวด์, on-prem, enclaves ที่ปลอดภัยและอื่น ๆ และไม่จำเป็นต้องมีตัวแทนที่จะติดตั้งในทุก ๆ โฮสต์ปลายทางทำให้เหมาะสำหรับการเข้าถึงบริการที่มีการจัดการ/คลาวด์และเวิร์กโฟลว์ที่ใช้คอนเทนเนอร์นอกเหนือจากระบบโฮสต์และบริการดั้งเดิม

สำหรับข้อมูลเพิ่มเติมโปรดดูที่ "ขอบเขตคืออะไร" บนเว็บไซต์เขตแดน

ขอบเขตประกอบด้วยสององค์ประกอบเซิร์ฟเวอร์:

• คอนโทรลเลอร์ ซึ่งให้บริการคำขอเซสชัน API และประสานงาน
• คนงาน ซึ่งทำการจัดการเซสชัน

การติดตั้งขอบเขตในโลกแห่งความเป็นจริงอาจประกอบด้วยตัวควบคุมหนึ่งตัวขึ้นไปที่จับคู่กับคนงานหนึ่งคนขึ้นไป ไบนารีขอบเขตเดียวสามารถทำหน้าที่ได้ทั้งสองอย่างหรือทั้งสองอย่างของสองโหมดนี้

นอกจากนี้ Boundary ยังให้บริการลูกค้าเดสก์ท็อปและ CLI สำหรับผู้ใช้ปลายทางเพื่อขอและกำหนดเซสชันที่ได้รับอนุญาตให้ใช้ทรัพยากรในเครือข่าย

ขอบเขต ไม่ จำเป็นต้องติดตั้งซอฟต์แวร์บนโฮสต์และบริการของคุณ

ขอบเขตมีสองการพึ่งพาภายนอก:

• ฐานข้อมูล SQL
• อย่างน้อยหนึ่งกิโลเมตร

ฐานข้อมูลมีข้อมูลการกำหนดค่าและเซสชันของขอบเขต โหนดคอนโทรลเลอร์จะต้องสามารถเข้าถึงฐานข้อมูลได้

ค่าที่เป็นความลับ (เช่นข้อมูลรับรอง) ถูกเข้ารหัสในฐานข้อมูล ปัจจุบัน PostgreSQL ได้รับการสนับสนุนเป็นฐานข้อมูลและได้รับการทดสอบด้วย Postgres 12 ขึ้นไป

ขอบเขตการใช้งานส่วนขยายทั่วไปเท่านั้นและทั้งกรณีที่โฮสต์และการจัดการตนเองได้รับการสนับสนุน ในกรณีส่วนใหญ่สิ่งที่คุณต้องการคือจุดสิ้นสุดฐานข้อมูลและข้อมูลรับรองที่เหมาะสม

ขอบเขตใช้คีย์ KMS เพื่อวัตถุประสงค์ต่าง ๆ เช่นการปกป้องความลับการตรวจสอบความถูกต้องของคนงานการกู้คืนข้อมูลการเข้ารหัสค่าในการกำหนดค่าของขอบเขตและอื่น ๆ ขอบเขตการใช้คีย์มาอย่างกว้างขวางเพื่อหลีกเลี่ยงการแผ่กิ่งก้านสาขาของคีย์ที่มีมูลค่าสูงเหล่านี้

คุณสามารถใช้กลไกความลับของระบบการขนส่งคลาวด์หรือเครื่องยนต์ของ Vault เพื่อตอบสนองความต้องการ KMS

การเรียกใช้ขอบเขตในบริบทถาวรมากขึ้นต้องใช้ขั้นตอนอีกสองสามขั้นตอนเช่นการเขียนไฟล์การกำหนดค่าง่าย ๆ เพื่อบอกโหนดวิธีการเข้าถึงฐานข้อมูลและ KMS ของพวกเขา ขั้นตอนด้านล่างพร้อมกับข้อมูลเพิ่มเติมที่จำเป็นสำหรับการติดตั้งถาวรมีรายละเอียดในคู่มือการติดตั้งของเรา

อย่า ใช้สาขา main ยกเว้นกรณีการทดสอบหรือการทดสอบ ขอบเขต 0.10 แนะนำสาขาการเปิดตัวซึ่งควรจะปลอดภัยในการติดตามอย่างไรก็ตามการย้ายถิ่นใน main อาจได้รับการจัดลำดับใหม่หากจำเป็น ทีมเขตแดนจะไม่สามารถให้ความช่วยเหลือได้หากการทำงาน main ในระยะยาวผลลัพธ์ในการเบี่ยงเบนการย้ายถิ่นหรือข้อบกพร่องอื่น ๆ

ดาวน์โหลดรุ่นล่าสุดของเซิร์ฟเวอร์ไบนารีและไคลเอนต์เดสก์ท็อปที่เหมาะสมจากหน้าดาวน์โหลดของเรา

ขอบเขตมีโหมด dev ที่คุณสามารถใช้สำหรับการทดสอบ ในโหมด dev คุณสามารถเริ่มต้นทั้งคอนโทรลเลอร์และคนงานด้วยคำสั่งเดียวและพวกเขามีคุณสมบัติดังต่อไปนี้:

• คอนโทรลเลอร์เริ่มคอนเทนเนอร์ PostgreSQL Docker เพื่อใช้เป็นที่เก็บข้อมูล คอนเทนเนอร์นี้จะถูกปิดและลบออกถ้าเป็นไปได้เมื่อคอนโทรลเลอร์ถูกปิดอย่างสง่างาม
• คอนโทรลเลอร์ใช้ KMs ภายในที่มีปุ่มชั่วคราว

หากคุณปฏิบัติตามข้อกำหนดของท้องถิ่นต่อไปนี้คุณสามารถลุกขึ้นและทำงานกับขอบเขตได้อย่างรวดเร็ว:

• ไป v1.21 หรือมากกว่า
• นักเทียบท่า
• ไม่ว่าจะเป็นการพึ่งพาขอบเขต UI สำหรับการสร้างสินทรัพย์ UI ในท้องถิ่นหรือ GH CLI สำหรับการดาวน์โหลดสินทรัพย์ UI ที่สร้างไว้ล่วงหน้า

เพียงแค่วิ่ง:

make install

สิ่งนี้จะสร้างขอบเขต (ครั้งแรกที่นี่จะเรียกใช้มันจะดึงและรวบรวมสินทรัพย์ UI; ซึ่งจะใช้เวลาสองสามนาที) เมื่อเสร็จสิ้นการรันขอบเขตในโหมด dev :

$GOPATH/bin/boundary dev

โปรดทราบว่าการพัฒนาอาจต้องใช้เครื่องมืออื่น ๆ ในการติดตั้งชุดเครื่องมือในรุ่นที่ใช้โดยทีมงานขอบเขตให้เรียกใช้:

make tools

โดยไม่ต้องทำเช่นนั้นคุณอาจพบข้อผิดพลาดในขณะที่ทำงาน make install เป็นสิ่งสำคัญที่จะต้องทราบว่าการใช้ make tools จะติดตั้งเครื่องมือต่าง ๆ ที่ใช้สำหรับการพัฒนาขอบเขตไปยังไดเรกทอรีไบนารี GO ปกติ สิ่งนี้อาจเขียนทับหรือมีความสำคัญเหนือกว่าเครื่องมือที่อาจติดตั้งในระบบแล้ว

เริ่มต้นเซิร์ฟเวอร์ไบนารีด้วย:

boundary dev

สิ่งนี้จะเริ่มต้นบริการคอนโทรลเลอร์ที่ฟังบน http://127.0.0.1:9200 สำหรับคำขอ API ที่เข้ามาและบริการคนงานฟังบน http://127.0.0.1:9202 สำหรับคำขอเซสชันที่เข้ามา นอกจากนี้ยังจะสร้างทรัพยากรเริ่มต้นที่หลากหลายและแสดงข้อมูลที่เป็นประโยชน์ต่าง ๆ เช่นชื่อเข้าสู่ระบบและรหัสผ่านที่สามารถใช้ในการตรวจสอบสิทธิ์

สำหรับการทดสอบขอบเขตอย่างง่ายในโหมด dev คุณไม่จำเป็นต้องกำหนดค่าทรัพยากรใด ๆ เลย! แต่มันมีประโยชน์ที่จะเข้าใจว่าโหมด dev ทำอะไรให้คุณเพื่อที่คุณจะได้ทำตามขั้นตอนต่อไป โดยค่าเริ่มต้นโหมด dev จะสร้าง:

• ขอบเขต global สำหรับการรับรองความถูกต้องเริ่มต้นซึ่งมีวิธีการรับรองความถูกต้องประเภทรหัสผ่านพร้อมกับบัญชีสำหรับการเข้าสู่ระบบ
• ขอบเขตขององค์กรภายใต้ global และขอบเขตโครงการภายในองค์กร
• แคตตาล็อกโฮสต์ที่มีชุดโฮสต์เริ่มต้นซึ่งมีโฮสต์ที่มีที่อยู่ของเครื่องท้องถิ่น ( 127.0.0.1 )
• การแมปเป้าหมายชุดโฮสต์ที่ตั้งค่าเป็นชุดพารามิเตอร์การเชื่อมต่อโดยมีพอร์ตเริ่มต้น 22 (เช่น SSH)

คุณสามารถเข้าสู่เว็บ UI ของ Boundary หรือใช้ API เพื่อเปลี่ยนค่าเริ่มต้นเหล่านี้เช่นหากคุณต้องการเชื่อมต่อกับโฮสต์อื่นหรือจำเป็นต้องแก้ไขพอร์ตที่จะเชื่อมต่อ

ต่อไปเรามาเชื่อมต่อกับ SSH daemon ในพื้นที่ของคุณผ่านเขตแดน:

1. รับรองความถูกต้องตามขอบเขต การใช้ค่า dev เริ่มต้นนี่จะเป็น boundary authenticate password -auth-method-id ampw_1234567890 -login-name admin -password password (โปรดทราบว่าหากคุณไม่รวมสถานะ password คุณจะได้รับแจ้งให้ทราบ)
2. เรียกใช้ boundary connect ssh -target-id ttcp_1234567890 หากคุณต้องการปรับชื่อผู้ใช้ให้ผ่าน -username <name> ไปยังคำสั่ง

ตรวจสอบความเป็นไปได้สำหรับการกำหนดค่าเป้าหมายเพื่อทดสอบการ จำกัด (หรือเพิ่ม) จำนวนการเชื่อมต่อต่อเซสชันหรือกำหนดเวลาสูงสุด ลองยกเลิกเซสชันที่ใช้งานอยู่จากหน้าเซสชันหรือผ่าน boundary sessions ทำคำสั่งของคุณเองด้วย boundary connect -exec และอื่น ๆ

ตัวอย่างนี้เป็นวิธีง่ายๆในการเริ่มต้น แต่ละเว้นขั้นตอนสำคัญหลายประการที่สามารถทำได้ในบริบทการผลิต:

• การใช้ไฟร์วอลล์หรือวิธีการอื่น ๆ เพื่อ จำกัด ชุดของโฮสต์ที่ได้รับอนุญาตให้เชื่อมต่อกับบริการท้องถิ่นกับโหนดผู้ปฏิบัติงานขอบเขตเท่านั้นจึงทำให้ขอบเขตเป็นวิธี เดียว ของการเข้าสู่โฮสต์
• การใช้ผู้ให้บริการ Terraform Boundary เพื่อรวมขอบเขตกับโครงสร้างพื้นฐานที่ใช้รหัสที่มีอยู่ของคุณได้อย่างง่ายดาย
• การชี้เครื่องมือ BI (Powerbi, Tableau ฯลฯ ) ที่คลังข้อมูลของ Boundary เพื่อสร้างข้อมูลเชิงลึกและมองหาความผิดปกติเกี่ยวกับการเข้าถึงเซสชัน

โปรดทราบ : เราให้ความสำคัญกับความปลอดภัยของเขตแดนและความไว้วางใจของผู้ใช้อย่างจริงจัง หากคุณเชื่อว่าคุณพบปัญหาด้านความปลอดภัยในขอบเขต โปรดเปิดเผยอย่างรับผิดชอบ โดยติดต่อเราที่ [email protected]

ขอบคุณสำหรับความสนใจในการบริจาค! โปรดดูที่การสนับสนุน MD สำหรับคำแนะนำ