Programmi käivitamine uus versioon Nebula 1.5, mis on paigutatud turvaliste ülekattevõrkude loomiseks mõeldud tööriistade kogumina Need võivad linkida mitmest kuni kümnete tuhandete geograafiliselt eraldatud hostide vahel, moodustades globaalse võrgu peal eraldi isoleeritud võrgu.
Projekti eesmärk on luua oma ülekattevõrke mis tahes vajaduse jaoks, näiteks kombineerida ettevõtte arvuteid erinevates kontorites, servereid erinevates andmekeskustes või virtuaalseid keskkondi erinevatelt pilveteenuse pakkujatelt.
Udu kohta
Nebula võrgu sõlmed suhtlevad P2P-režiimis üksteisega otse, kuna vajadus andmete ülekandmiseks sõlmede vahels loob dünaamiliselt otseseid VPN-ühendusi. Iga võrgus oleva hosti identiteeti kinnitab digisertifikaat ja võrguga ühendamine nõuab autentimist; iga kasutaja saab sertifikaadi, mis kinnitab IP-aadressi Nebula võrgus, nime ja hostrühmade kuulumist.
Sertifikaadid allkirjastab sisemine sertifitseerimisasutus, mille juurutab iga üksiku võrgu looja oma rajatistes, ja neid kasutatakse nende hostide volituste sertifitseerimiseks, millel on õigus ühenduda konkreetse sertifitseerimisasutusega ühendatud ülekattevõrguga.
Autentitud turvalise sidekanali loomiseks Nebula kasutab oma tunneldamisprotokolli, mis põhineb Diffie-Hellmani võtmevahetusprotokollil ja AES-256-GCM krüptimisel. Protokolli juurutamine põhineb kasutusvalmis ja testitud primitiividel, mida pakub Noise raamistik, mis on ka kasutatakse sellistes projektides nagu WireGuard, Lightning ja I2P. Väidetavalt on projekt läbinud sõltumatu ohutusauditi.
Teiste sõlmede avastamiseks ja võrguühenduse koordineerimiseks luuakse "majaka" sõlmed eripakkumised, mille globaalsed IP-aadressid on fikseeritud ja võrgus osalejatele teada. Osalevatel sõlmedel ei ole linki välise IP-aadressiga, neid tuvastavad sertifikaadid. Hostiomanikud ei saa ise allkirjastatud sertifikaatides muudatusi teha ja erinevalt tavapärastest IP-võrkudest ei saa nad IP-aadressi muutes teeselda, et nad on teised hostid. Tunneli loomisel kontrollitakse hosti identiteeti individuaalse privaatvõtme alusel.
Loodud võrgule määratakse teatud sisevõrgu aadresside vahemik (näiteks 192.168.10.0/24) ja sisemised aadressid on seotud hostisertifikaatidega. Ülekattevõrgus osalejatest saab moodustada rühmi, näiteks eraldi serveriteks ja tööjaamadeks, millele rakendatakse eraldi liikluse filtreerimise reegleid. Aadressitõlkijate (NAT) ja tulemüüride läbimiseks on ette nähtud erinevad mehhanismid. Nebula võrku mittekuuluvate kolmandate osapoolte hostide liikluse ülekattevõrgu kaudu on võimalik korraldada marsruutimist (ebaturvaline marsruut).
Samuti toetab tulemüüride loomist juurdepääsu eraldamiseks ja liikluse filtreerimiseks ülekattega udukogu võrgu sõlmede vahel. Filtreerimiseks kasutatakse sildistatud ACL-e. Iga võrgu host saab määrata oma filtrireeglid võrgu hostide, rühmade, protokollide ja portide jaoks. Samal ajal ei filtreerita hoste mitte IP-aadresside, vaid digitaalselt allkirjastatud hostiidentifikaatorite järgi, mida ei saa võltsida ilma võrku koordineerivat sertifitseerimiskeskust kahjustamata.
Kood on kirjutatud Go keeles ja sellel on MIT-i litsents. Projekti asutas Slack, kes arendab samanimelist korporatiivset sõnumitoojat. See toetab Linuxi, FreeBSD-d, macOS-i, Windowsi, iOS-i ja Androidi.
Kohta muudatused, mida uues versioonis rakendati on:
- Serdi PEM-i esituse printimiseks lisati käsule print-cert lipp "-raw".
- Lisatud on uue Linuxi riscv64 arhitektuuri tugi.
- Lisatud eksperimentaalne remote_allow_ranges säte, et siduda lubatud hostiloendid kindlate alamvõrkudega.
- Lisatud suvand pki.disconnect_invalid tunnelite lähtestamiseks pärast usalduse lõpetamist või sertifikaadi aegumist.
- Lisatud valik unsafe_routes. .metric konkreetse välistee kaalu määramiseks.
Lõpuks, kui olete huvitatud selle kohta rohkem teada saama, võite tutvuda selle üksikasjadega ja/või dokumentatsioon järgmisel lingil.