اطلاق ال .. انطلاق ال .. اقلاع ال الإصدار الجديد من يتم وضع Nebula 1.5 كمجموعة من الأدوات لبناء شبكات تراكب آمنة يمكنهم الارتباط من عدة إلى عشرات الآلاف من المضيفين المنفصلين جغرافيًا ، مما يشكل شبكة منفصلة معزولة أعلى الشبكة العالمية.
تم تصميم المشروع لإنشاء شبكات تراكب خاصة بك لأي حاجة ، على سبيل المثال ، لدمج أجهزة كمبيوتر الشركة في مكاتب مختلفة أو خوادم في مراكز بيانات مختلفة أو بيئات افتراضية من موفري خدمات سحابية مختلفين.
حول سديم
تتواصل عُقد شبكة Nebula مع بعضها البعض مباشرة في وضع P2P ، منذ الحاجة إلى نقل البيانات بين العقدs ينشئ اتصالات VPN مباشرة ديناميكيًا. يتم تأكيد هوية كل مضيف على الشبكة بواسطة شهادة رقمية ، ويتطلب الاتصال بالشبكة المصادقة ؛ يتلقى كل مستخدم شهادة تؤكد عنوان IP في شبكة Nebula واسم وعضوية المجموعات المضيفة.
يتم توقيع الشهادات من قبل سلطة تصديق داخلية ، ويتم تنفيذها من قبل منشئ كل شبكة فردية في منشآتها الخاصة ، وتستخدم للمصادقة على سلطة المضيفين الذين لديهم الحق في الاتصال بشبكة تراكب معينة مرتبطة بمرجع التصديق.
لإنشاء قناة اتصال آمنة مصدق عليها ، يستخدم Nebula بروتوكول النفق الخاص به بناءً على بروتوكول تبادل المفاتيح Diffie-Hellman وتشفير AES-256-GCM. يعتمد تنفيذ البروتوكول على العناصر الأولية الجاهزة للاستخدام والتي تم اختبارها والتي يوفرها إطار عمل الضوضاء ، وهو أيضًا تستخدم في مشاريع مثل WireGuard و Lightning و I2P. يقال أن المشروع قد اجتاز تدقيق سلامة مستقل.
لاكتشاف العقد الأخرى وتنسيق الاتصال بالشبكة ، يتم إنشاء عقد "منارة" العروض الخاصة التي تكون عناوين IP العالمية الخاصة بها ثابتة ومعروفة للمشاركين في الشبكة. العقد المشاركة ليس لها ارتباط بعنوان IP خارجي ، يتم تحديدها بواسطة الشهادات. لا يمكن لمالكي المضيف إجراء تغييرات على الشهادات الموقعة بأنفسهم ، وعلى عكس شبكات IP التقليدية ، لا يمكنهم التظاهر بأنهم مضيف آخر ببساطة عن طريق تغيير عنوان IP. عندما يتم إنشاء نفق ، يتم التحقق من صحة هوية المضيف مقابل مفتاح خاص فردي.
يتم تعيين نطاق معين من عناوين الإنترانت للشبكة التي تم إنشاؤها (على سبيل المثال ، 192.168.10.0/24) والعناوين الداخلية مرتبطة بشهادات المضيف. يمكن تشكيل المجموعات من المشاركين في شبكة التراكب ، على سبيل المثال لفصل الخوادم ومحطات العمل ، والتي يتم تطبيق قواعد منفصلة لتصفية حركة المرور عليها. يتم توفير آليات مختلفة لاجتياز مترجمي العناوين (NAT) والجدران النارية. من الممكن تنظيم التوجيه عبر شبكة التراكب لحركة المرور من مضيفين تابعين لجهات خارجية غير مدرجين في شبكة Nebula (مسار غير آمن).
وبالإضافة إلى ذلك، يدعم إنشاء جدران الحماية لفصل الوصول وتصفية حركة المرور بين عقد شبكة سديم التراكب. يتم استخدام قوائم ACL المرتبطة بعلامات للتصفية. يمكن لكل مضيف على الشبكة تحديد قواعد التصفية الخاصة به لمضيفي الشبكة والمجموعات والبروتوكولات والمنافذ. في الوقت نفسه ، لا تتم تصفية المضيفين من خلال عناوين IP ، ولكن من خلال معرفات المضيف الموقعة رقمياً ، والتي لا يمكن تزويرها دون المساس بمركز الشهادات الذي ينسق الشبكة.
تمت كتابة الكود في Go وتم ترخيصه من قبل MIT. تم تأسيس المشروع من قبل Slack ، الذي طور رسول الشركة الذي يحمل نفس الاسم. وهو يدعم Linux و FreeBSD و macOS و Windows و iOS و Android.
فيما يتعلق التغييرات التي تم تنفيذها في الإصدار الجديد وهم على النحو التالي:
- تمت إضافة علامة "-raw" إلى الأمر print-cert لطباعة تمثيل PEM للشهادة.
- دعم إضافي لمعمارية Linux riscv64 الجديدة.
- تمت إضافة الإعداد التجريبي remote_allow_ranges لربط قوائم المضيف المسموح بها بشبكات فرعية محددة.
- تمت إضافة خيار pki.disconnect_invalid لإعادة تعيين الأنفاق بعد إنهاء الثقة أو انتهاء صلاحية الشهادة.
- تمت إضافة خيار unsafe_routes. .metric لتعيين الوزن لمسار خارجي معين.
أخيرًا ، إذا كنت مهتمًا بأن تكون قادرًا على معرفة المزيد عنها ، يمكنك الرجوع إلى تفاصيلها و / أو الوثائق في الرابط التالي.