The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Доступен OpenZiti 1.0, инструментарий для встраивания оверлейных сетей в приложения

11.04.2024 11:47

Представлен выпуск инструментария OpenZiti 1.0, позволяющего интегрировать в приложения средства для распределённого сетевого взаимодействия и обращения к сервисам в изолированном сетевом окружении. OpenZiti даёт возможность развернуть специфичную для разрабатываемых приложений оверлейную сеть, работающую поверх обычного интернета и использующую mesh-маршрутизацию, при которой каждая точка сети связывается через соседние точки. Код проекта написан на языке Go и распространяется под лицензией Apache 2.0. Предоставляются обвязки для языков C, Go, Python, Swift, Java, Node.js и C# (.NET), а также инструментарий для интеграции с приложениями для платформы Android.

Система OpenZiti изначально рассчитана на построение сетей, гарантирующих защиту и изоляцию трафика в условиях работы в незащищённых окружениях, узлы в которых могут быть скомпрометированы (архитектура с нулевым доверием - Zero Trust). Технология может применяться для организации связи c приложениями вместо VPN. Работа сети обеспечивается через использование процесса-контроллера, управляющего конфигурацией сети, аутентификацией и настройкой сервисов, а также узлов, которым разрешено выступать в роли маршрутизаторов, образующих mesh-сеть и выполняющих передачу через себя транзитного трафика. Возможно добавление сервисов для балансировки нагрузки и обеспечения отказоустойчивости.

Доступ к оверлейной сети реализуется при помощи специальных edge-клиентов, позволяющих обращаться из внешней сети к оверлейной сети, построенной при помощи OpenZiti. Возможно создание туннелей и прокси, позволяющих пробрасывать трафик из обычной сети в оверлейную и наоборот, чтобы из внешней сети взаимодействовать с работающими в оверлейной сети приложениями и обращаться к существующим приложениям, в которых не встроена поддержка оверлейной сети.

Обращение к сети и получение данных с серверов DNS возможно только после прохождения обязательной авторизации и аутентификации - без наличия полномочий клиент не сможет определить наличие сервиса и подключиться к нему. Весь трафик защищается при помощи mTLS (взаимная аутентификация, при которой клиент и сервер аутентифицируют друг друга) и сквозного шифрования (ChaCha20-Poly1305), т.е. компрометация узлов сети не позволит просматривать трафик приложений. Для шифрования задействованы функции библиотеки libsodium.

Из популярных приложений, использующих OpenZiti, можно отметить платформу совместного доступа к данным Zrok и экосистему browZer для развёртывания сайтов в оверлейной сети. Кроме создания распределённых сетевых приложений OpenZiti также подходит для построения частных сетей для организации доступа к закрытым API, сайтам или БД, скрытия в оверлейной сети инфраструктур на базе Kubernetes, а также удалённого управления внешними системами и устройствами без настройки межсетевых экранов и задействования VPN.

В выпуске OpenZiti 1.0 обеспечена стабильность API для маршрутизаторов и контроллеров (для клиентов стабильность API гарантировалась и раньше). Начиная с данного выпуска в API и интерфейсе командной строки будет поддерживаться обратная совместимость, а при необходимости удаления возможностей будет применяться процесс предварительного перевода их в разряд устаревших и фактического удаления только при значительном смене номера версии. В новой версии также проведено дополнительное тестирование с симуляцией различных сбоев компонентов сети (chaos testing), позволяющее убедиться в устойчивости сети в случае возникновения нештатных ситуаций и способности возвращения к нормальной работе после возобновления работы сбойных компонентов.

  1. Главная ссылка к новости (https://blog.openziti.io/annou...)
  2. OpenNews: Meshtastic - реализация самодостаточной mesh-сети на базе передатчиков LoRa
  3. OpenNews: Выпуск Commotion 1.0, свободной платформы для удобного развёртывания mesh-сетей
  4. OpenNews: Проект Darknet по созданию свободного интернета с помощью беспроводных mesh-сетей
  5. OpenNews: Первый выпуск проекта Weron, развивающего VPN на базе протокола WebRTC
  6. OpenNews: Выпуск Nebula 1.5, системы для создания оверлейных P2P-сетей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60971-openziti
Ключевые слова: openziti, mesh
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (16) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:18, 11/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    И сколько будет дыр в безопасности на один узел?
     
     
  • 2.6, дыра в безопастносте (?), 12:57, 11/04/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ну зато хоть что-то у вас будет в безопасности.
     
  • 2.16, Аноним (16), 16:33, 11/04/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Go это безопасТно. Ну может, не настолько безопасТно, как Rust, конечно.
     
     
  • 3.18, Анони (?), 16:51, 11/04/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Go безопаснее раста, там по крайней мере коллектор как гарант, а у раста утечки в std и десятки cve.
     

  • 1.7, Аноним (7), 13:13, 11/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ну, наконец-то жизнь упростили - ботнет-фреймворк сделали!
     
     
  • 2.20, Максим Белый (?), 17:03, 11/04/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А почему кстати ботнет фреймворк? :)
     
     
  • 3.28, aNonim (?), 23:02, 12/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    "Папа, где море?"(с)
     

  • 1.9, Аноним (9), 13:40, 11/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И как доступ к контроллеру осуществляется, если ты не аутентифицирован?

    PSK? Или TLS?

     
     
  • 2.13, OpenEcho (?), 15:07, 11/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    RTFM: https://docs.zrok.io/docs/getting-started
     
     
  • 3.14, Аноним (9), 15:59, 11/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Resources that are shared publicly are exposed to any users on the internet who have access to the zrok instance's "frontend".
    >A frontend is an HTTPS listener exposed to the internet, that lets any user with your ephemeral share token access your publicly shared resources.

    То есть, немедленно будет заблокировано на интересных мне рынках.

     
     
  • 4.29, aNonim (?), 23:05, 12/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Доступ к ботнету должен быть не только лишь у всех, мало у кого должен быть(с)
     

  • 1.17, Аноним (16), 16:36, 11/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Единая точка отказа - контроллер.
     
     
  • 2.19, Максим Белый (?), 17:01, 11/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Соглашусь
    Вопрос в том можно ли обеспечить High Avalability для контроллера

    Например несколько контроллеров развернуть

     
     
  • 3.27, scriptkiddis (?), 16:17, 12/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Документация говорит можно, на основе raft. Вопрос а что со splitbraiном? Как это разруливается?
     

  • 1.24, Аноним (24), 20:55, 11/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Yggdrasil лучше
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру