Sự ra mắt của phiên bản mới của Nebula 1.5 được định vị như một tập hợp các công cụ để xây dựng mạng lớp phủ an toàn Chúng có thể liên kết từ vài đến hàng chục nghìn máy chủ được phân tách về mặt địa lý, tạo thành một mạng tách biệt riêng biệt trên mạng toàn cầu.
Dự án được thiết kế để tạo mạng lớp phủ của riêng bạn cho bất kỳ nhu cầu nào, chẳng hạn như để kết hợp các máy tính của công ty trong các văn phòng khác nhau, máy chủ trong các trung tâm dữ liệu khác nhau hoặc môi trường ảo từ các nhà cung cấp đám mây khác nhau.
Về tinh vân
Các nút của mạng Nebula giao tiếp trực tiếp với nhau ở chế độ P2P, vì nhu cầu chuyển dữ liệu giữa các núts tạo động các kết nối VPN trực tiếp. Danh tính của mỗi máy chủ lưu trữ trên mạng được xác nhận bằng chứng chỉ kỹ thuật số và kết nối với mạng yêu cầu xác thực; mỗi người dùng nhận được chứng chỉ xác nhận địa chỉ IP trong mạng Nebula, tên và tư cách thành viên của các nhóm máy chủ.
Chứng chỉ được ký bởi tổ chức phát hành chứng chỉ nội bộ, được thực hiện bởi người tạo ra từng mạng riêng lẻ tại cơ sở của riêng họ và được sử dụng để chứng nhận quyền hạn của các máy chủ có quyền kết nối với một mạng lớp phủ cụ thể được liên kết với tổ chức phát hành chứng chỉ.
Để tạo một kênh giao tiếp an toàn đã được xác thực, Nebula sử dụng giao thức đào đường hầm của riêng mình dựa trên giao thức trao đổi khóa Diffie-Hellman và mã hóa AES-256-GCM. Việc triển khai giao thức dựa trên các nguyên tắc sẵn sàng sử dụng và đã được thử nghiệm do Noise framework cung cấp, cũng là được sử dụng trong các dự án như WireGuard, Lightning và I2P. Dự án được cho là đã vượt qua cuộc kiểm toán an toàn độc lập.
Để khám phá các nút khác và điều phối kết nối với mạng, các nút "beacon" được tạo đặc biệt, có địa chỉ IP toàn cầu được cố định và những người tham gia mạng biết. Các nút tham gia không có liên kết đến địa chỉ IP bên ngoài, chúng được xác định bằng chứng chỉ. Chủ sở hữu máy chủ lưu trữ không thể tự thay đổi chứng chỉ đã ký và không giống như các mạng IP truyền thống, họ không thể giả vờ là một máy chủ lưu trữ khác chỉ đơn giản bằng cách thay đổi địa chỉ IP. Khi một đường hầm được tạo, danh tính của máy chủ được xác thực dựa trên một khóa cá nhân riêng lẻ.
Mạng đã tạo được gán một dải địa chỉ mạng nội bộ nhất định (ví dụ: 192.168.10.0/24) và địa chỉ nội bộ được ràng buộc với chứng chỉ máy chủ. Các nhóm có thể được thành lập từ những người tham gia trong mạng lớp phủ, chẳng hạn như để tách các máy chủ và máy trạm, áp dụng các quy tắc lọc lưu lượng riêng biệt. Các cơ chế khác nhau được cung cấp để duyệt qua trình dịch địa chỉ (NAT) và tường lửa. Có thể tổ chức định tuyến thông qua mạng lớp phủ lưu lượng truy cập từ các máy chủ bên thứ ba không có trong mạng Nebula (tuyến không an toàn).
Ngoài ra hỗ trợ tạo Tường lửa để tách biệt truy cập và lọc lưu lượng giữa các nút của mạng Tinh vân lớp phủ. ACL ràng buộc thẻ được sử dụng để lọc. Mỗi máy chủ trên mạng có thể xác định các quy tắc lọc riêng cho máy chủ mạng, nhóm, giao thức và cổng. Đồng thời, các máy chủ không được lọc theo địa chỉ IP mà bằng các mã định danh máy chủ được ký kỹ thuật số, không thể giả mạo mà không ảnh hưởng đến trung tâm chứng nhận điều phối mạng.
Mã được viết bằng Go và được cấp phép bởi MIT. Dự án được thành lập bởi Slack, công ty phát triển sứ giả cùng tên của công ty. Nó hỗ trợ Linux, FreeBSD, macOS, Windows, iOS và Android.
Về những thay đổi đã được triển khai trong phiên bản mới là:
- Đã thêm cờ "-raw" vào lệnh print-cert để in biểu diễn PEM của chứng chỉ.
- Đã thêm hỗ trợ cho kiến trúc Linux riscv64 mới.
- Đã thêm cài đặt remote_allow_ranges thử nghiệm để liên kết danh sách máy chủ được phép với các mạng con cụ thể.
- Đã thêm tùy chọn pki.disconnect_invalid để đặt lại đường hầm sau khi chấm dứt ủy thác hoặc hết hạn chứng chỉ.
- Đã thêm tùy chọn secure_routes. .metric để đặt trọng số cho một đường dẫn bên ngoài cụ thể.
Cuối cùng, nếu bạn muốn biết thêm về nó, bạn có thể tham khảo chi tiết của nó và / hoặc tài liệu trong liên kết sau.