推出 新版本 Nebula 1.5 定位为构建安全覆盖网络的工具集合 它们可以链接来自几个到数万个地理上分离的主机,在全球网络之上形成一个单独的隔离网络。
该项目旨在创建您自己的覆盖网络以满足任何需求,例如,将不同办公室的公司计算机、不同数据中心的服务器或来自不同云提供商的虚拟环境组合在一起。
关于星云
Nebula 网络的节点之间直接以 P2P 方式相互通信, 由于需要在节点之间传输数据s 动态创建直接 VPN 连接。 网络上每台主机的身份都由数字证书确认,连接网络需要身份验证; 每个用户都会收到一个证书,确认 Nebula 网络上的 IP 地址、主机组的名称和成员资格。
证书由内部证书颁发机构签名,由每个单独网络的创建者在其自己的设施中实施,用于验证有权连接到与证书颁发机构链接的特定覆盖网络的主机的颁发机构。
要创建经过身份验证的安全通信通道, Nebula 使用自己的基于 Diffie-Hellman 密钥交换协议和 AES-256-GCM 加密的隧道协议。 该协议的实现基于噪声框架提供的即用型和经过测试的原语,这些原语也是 用于 WireGuard、Lightning 和 I2P 等项目。 据说该项目已经通过了独立的安全审计。
为了发现其他节点并协调与网络的连接,创建了“信标”节点 特价商品, 其全球 IP 地址是固定的并且为网络参与者所知。 参与节点没有指向外部 IP 地址的链接,它们由证书标识。 主机所有者无法更改自签名证书,并且与传统 IP 网络不同,他们不能仅通过更改 IP 地址来伪装成另一台主机。 创建隧道时,会根据个人私钥验证主机的身份。
创建的网络被分配了一定范围的内网地址 (例如,192.168.10.0/24)和内部地址与主机证书绑定。 可以从覆盖网络中的参与者形成组,例如,将单独的流量过滤规则应用于单独的服务器和工作站。 为穿越地址转换器 (NAT) 和防火墙提供了各种机制。 可以通过来自未包含在 Nebula 网络中的第三方主机的流量的覆盖网络组织路由(不安全路由)。
也, 支持创建防火墙来分离访问和过滤流量 覆盖星云网络的节点之间。 标记绑定 ACL 用于过滤。 网络上的每个主机都可以为网络主机、组、协议和端口定义自己的过滤规则。 同时,主机不是通过 IP 地址过滤,而是通过数字签名的主机标识符进行过滤,这在不损害协调网络的认证中心的情况下是无法伪造的。
该代码是用 Go 编写的,并由 MIT 授权。 该项目由开发同名企业信使的 Slack 创立。 它支持 Linux、FreeBSD、macOS、Windows、iOS 和 Android。
恩CUANTO一个 在新版本中实施的更改 分别是:
- 向 print-cert 命令添加了“-raw”标志以打印证书的 PEM 表示。
- 添加了对新 Linux riscv64 架构的支持。
- 添加了实验性的 remote_allow_ranges 设置以将允许的主机列表链接到特定子网。
- 添加了 pki.disconnect_invalid 选项以在信任终止或证书到期后重置隧道。
- 添加了 unsafe_routes 选项。 .metric 设置特定外部路径的权重。
最后,如果您有兴趣了解更多信息,可以查阅其详细信息和/或 以下链接中的文档.