AWS чөйрөңүз үчүн Hailbytes VPNди кантип орнотсо болот
тааныштыруу
Бул макалада биз тармагыңызга HailBytes VPN, тармагыңыз үчүн жөнөкөй жана коопсуз VPN жана брандмауэрди кантип орнотууну карап чыгабыз. Кошумча маалымат жана конкреттүү спецификацияларды шилтемеленген биздин иштеп чыгуучу документтерибизден тапса болот бул жерде.
даярдоо
1. Ресурстук талаптар:
- Масштабды көтөрүүдөн мурун 1 vCPU жана 1 ГБ RAM менен баштоону сунуштайбыз.
- 1 ГБдан аз эстутумга ээ серверлерде Omnibus негизинде жайгаштыруу үчүн Linux ядросу Firezone процесстерин күтүүсүздөн өлтүрүп албаш үчүн алмаштырууну күйгүзүшүңүз керек.
- 1 vCPU VPN үчүн 1 Гбит/сек шилтемени толтуруу үчүн жетиштүү болушу керек.
2. DNS жазуусун түзүү: Firezone өндүрүштө колдонуу үчүн туура домен атын талап кылат, мисалы, firezone.company.com. A, CNAME же AAAA жазуусу сыяктуу тиешелүү DNS жазуусун түзүү талап кылынат.
3. SSL орнотуу: Firezoneну өндүрүштүк кубаттуулукта колдонуу үчүн жарактуу SSL сертификаты керек болот. Firezone Docker жана Omnibus негизиндеги орнотуулар үчүн SSL сертификаттарын автоматтык түрдө камсыздоо үчүн ACMEти колдойт.
4. Ачык брандмауэр порттору: Firezone HTTPS жана WireGuard трафиги үчүн 51820/udp жана 443/tcp портторун колдонот. Бул портторду кийинчерээк конфигурация файлында өзгөртө аласыз.
Dockerде жайылтуу (сунушталат)
1. Пререквизиттер:
- Docker-compose версиясы 2 же андан жогору орнотулган колдоого алынган платформада экениңизди текшериңиз.
- Брандмауэрде портту багыттоо иштетилгенин текшериңиз. Демейки параметрлер төмөнкү порттордун ачык болушун талап кылат:
o 80/tcp (милдеттүү эмес): SSL сертификаттарын автоматтык түрдө чыгаруу
o 443/tcp: Веб интерфейсине кирүү
o 51820/udp: VPN трафигин угуу порту
2. Орнотуу серверинин варианты I: Автоматтык орнотуу (сунушталат)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Ал үлгүдөгү docker-compose.yml файлын жүктөөдөн мурун баштапкы конфигурацияга байланыштуу бир нече суроолорду берет. Сиз аны жоопторуңуз менен конфигурацияласаңыз жана Веб UIге кирүү үчүн нускамаларды басып чыгаргыңыз келет.
- Firezone демейки дареги: $HOME/.firezon.
2. Server орнотуу Option II: Кол менен орнотуу
- Докер түзүү шаблонун жергиликтүү жумушчу каталогго жүктөп алыңыз
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS же Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Керектүү сырларды жаратыңыз: docker run –rm firezone/firezone bin/gen-env > .env
- DEFAULT_ADMIN_EMAIL жана EXTERNAL_URL өзгөрмөлөрүн өзгөртүңүз. Керек болсо башка сырларды өзгөртүңүз.
- Маалыматтар базасын көчүрүү: докер түзүү run –rm firezone bin/migrate
- Администратор эсебин түзүү: докер түзүү run –rm firezone bin/create-or-reset-admin
- Кызматтарды көтөрүңүз: docker compose up -d
- Firezome UIге жогоруда аныкталган EXTERNAL_URL өзгөрмө аркылуу кире алсаңыз болот.
3. Жүктөөдө иштетүү (милдеттүү эмес):
- Ишке киргенде Docker иштетилгенин текшериңиз: sudo systemctl докерди иштетүү
- Firezone кызматтарында кайра баштоо: ар дайым же кайра баштоо: docker-compose.yml файлында көрсөтүлбөсө, токтоп калган опция болушу керек.
4. IPv6 Коомдук Routability иштетүү (милдеттүү эмес):
- IPv6 NAT иштетүү жана Docker контейнерлери үчүн IPv6 багыттоо конфигурациялоо үчүн /etc/docker/daemon.json дарегине төмөнкүнү кошуңуз.
- Демейки чыгуу интерфейсиңиз үчүн жүктөөдө роутер эскертмелерин иштетүү: egress=`ip маршрут демейки 0.0.0.0/0 көрсөтүү | grep -oP '(?<=dev ).*' | cut -f1 -d' ' | tr -d '\n'` sudo bash -c “echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”
- Докер контейнеринен Google'га пинг аркылуу кайра жүктөө жана сынап көрүү: docker run –rm -t busybox ping6 -c 4 google.com
- Туннелдүү трафик үчүн IPv6 SNAT/маскарадды иштетүү үчүн эч кандай iptables эрежелерин кошуунун кереги жок. Firezone муну чечет.
5. Кардар колдонмолорун орнотуу
Эми сиз тармакка колдонуучуларды кошуп, VPN сеансын түзүү үчүн нускамаларды конфигурациялай аласыз.
Постту орнотуу
Куттуктайбыз, орнотууну аяктадыңыз! Кошумча конфигурациялар, коопсуздук маселелери жана өркүндөтүлгөн мүмкүнчүлүктөр үчүн биздин иштеп чыгуучунун документтерин текшергиңиз келиши мүмкүн: https://www.firezone.dev/docs/
