Začetek nova različica Nebula 1.5, ki je postavljena kot zbirka orodij za izgradnjo varnih prekrivnih omrežij Povezujejo se lahko od nekaj do deset tisoč geografsko ločenih gostiteljev in tvorijo ločeno izolirano omrežje na vrhu globalnega omrežja.
Projekt je zasnovan za ustvarjanje lastnih prekrivnih omrežij za vse potrebe, na primer za združevanje korporativnih računalnikov v različnih pisarnah, strežnikov v različnih podatkovnih centrih ali virtualnih okolij različnih ponudnikov oblakov.
O meglici
Vozlišča omrežja Nebula komunicirajo neposredno med seboj v načinu P2P, ker je treba prenašati podatke med vozliščis dinamično ustvarja neposredne povezave VPN. Identiteta vsakega gostitelja v omrežju je potrjena z digitalnim potrdilom, povezava z omrežjem pa zahteva preverjanje pristnosti; vsak uporabnik prejme potrdilo, ki potrjuje IP naslov v omrežju Nebula, ime in članstvo v gostiteljskih skupinah.
Certifikate podpisuje interni overitelj certifikatov, ki jih izvaja ustvarjalec vsakega posameznega omrežja na svojih lastnih objektih in se uporabljajo za certificiranje avtoritete gostiteljev, ki imajo pravico povezovanja v določeno prekrivno omrežje, povezano s overiteljem potrdil.
Če želite ustvariti preverjen varen komunikacijski kanal, Nebula uporablja svoj lasten protokol tuneliranja, ki temelji na protokolu za izmenjavo ključev Diffie-Hellman in šifriranju AES-256-GCM. Izvedba protokola temelji na pripravljenih za uporabo in preizkušenih primitivih, ki jih zagotavlja okvir Noise, ki je tudi uporablja se v projektih, kot so WireGuard, Lightning in I2P. Projekt naj bi prestal neodvisno varnostno presojo.
Za odkrivanje drugih vozlišč in usklajevanje povezave z omrežjem se ustvarijo vozlišča "svetilnikov". posebnosti, katerih globalni naslovi IP so fiksni in znani udeležencem omrežja. Sodelujoča vozlišča nimajo povezave do zunanjega naslova IP, identificirana so s certifikati. Lastniki gostiteljev ne morejo spreminjati samopodpisanih potrdil in za razliko od tradicionalnih omrežij IP se ne morejo pretvarjati, da so drug gostitelj, preprosto s spremembo naslova IP. Ko je tunel ustvarjen, se identiteta gostitelja potrdi z zasebnim ključem.
Ustvarjenemu omrežju je dodeljen določen obseg intranetnih naslovov (na primer 192.168.10.0/24) in notranji naslovi so vezani s potrdili gostitelja. Skupine je mogoče oblikovati iz udeležencev v prekrivnem omrežju, na primer na ločene strežnike in delovne postaje, za katere se uporabljajo ločena pravila filtriranja prometa. Na voljo so različni mehanizmi za prečkanje prevajalcev naslovov (NAT) in požarnih zidov. Možno je organizirati usmerjanje prek prekrivnega omrežja prometa od gostiteljev tretjih oseb, ki niso vključeni v omrežje Nebula (nevarna pot).
Poleg tega podpira ustvarjanje požarnih zidov za ločevanje dostopa in filtriranja prometa med vozlišči mreže prekrivne meglice. Za filtriranje se uporabljajo ACL, vezani na oznake. Vsak gostitelj v omrežju lahko definira svoja pravila filtra za omrežne gostitelje, skupine, protokole in vrata. Hkrati se gostitelji ne filtrirajo po naslovih IP, temveč po digitalno podpisanih identifikatorjih gostitelja, ki jih ni mogoče ponarediti brez ogrožanja certifikacijskega centra, ki koordinira omrežje.
Koda je napisana v Go in je licencirana s strani MIT. Projekt je ustanovil Slack, ki razvija istoimenski korporativni messenger. Podpira Linux, FreeBSD, macOS, Windows, iOS in Android.
V zvezi spremembe, ki so bile implementirane v novi različici So, kot sledi:
- Ukazu print-cert je dodana zastavica "-raw" za tiskanje PEM predstavitve potrdila.
- Dodana podpora za novo arhitekturo Linux riscv64.
- Dodana je eksperimentalna nastavitev remote_allow_ranges za vezavo seznamov dovoljenih gostiteljev na določena podomrežja.
- Dodana možnost pki.disconnect_invalid za ponastavitev tunelov po prekinitvi zaupanja ali poteku certifikata.
- Dodana možnost unsafe_routes. .metric za nastavitev teže za določeno zunanjo pot.
Končno, če vas zanima več o njem, si lahko ogledate njegove podrobnosti in/ali dokumentacijo na naslednji povezavi.