Өөрийн AWS орчинд Hailbytes VPN-г хэрхэн тохируулах вэ
Оршил
Энэ нийтлэлд бид HailBytes VPN-ийг сүлжээндээ хэрхэн тохируулах талаар авч үзэх болно, энгийн бөгөөд аюулгүй VPN болон таны сүлжээнд зориулсан галт хана. Дэлгэрэнгүй мэдээлэл болон тодорхой үзүүлэлтүүдийг манай хөгжүүлэгчийн баримт бичгүүдээс олж болно энд.
Бэлтгэл
1. Нөөцийн шаардлага:
- Томруулахаасаа өмнө 1 vCPU болон 1 ГБ RAM-аар эхлүүлэхийг зөвлөж байна.
- 1 ГБ-аас бага санах ойтой серверүүд дээр Omnibus-д суурилсан байршуулалтын хувьд та Linux цөмийг гэнэт Firezone процессуудыг устгахаас зайлсхийхийн тулд свопыг асаах хэрэгтэй.
- 1 vCPU нь VPN-ийн 1 Gbps холбоосыг хангахад хангалттай байх ёстой.
2. DNS бичлэг үүсгэх: Firezone нь үйлдвэрлэлийн зориулалтаар ашиглахад тохиромжтой домэйн нэрийг шаарддаг, жишээ нь firezone.company.com. A, CNAME эсвэл AAAA бичлэг гэх мэт тохирох DNS бичлэгийг үүсгэх шаардлагатай.
3. SSL тохируулах: Firezone-г үйлдвэрлэлийн хүчин чадлаар ашиглахын тулд танд хүчинтэй SSL сертификат хэрэгтэй болно. Firezone нь Docker болон Omnibus-д суурилсан суулгацуудад зориулсан SSL сертификатуудыг автоматаар хангах ACME-г дэмждэг.
4. Нээлттэй галт ханын портууд: Firezone нь HTTPS болон WireGuard урсгалд тус тус 51820/udp болон 443/tcp портуудыг ашигладаг. Та эдгээр портуудыг дараа нь тохиргооны файлаас өөрчилж болно.
Docker дээр байрлуулах (санал болгож байна)
1. Урьдчилсан нөхцөл:
- Та docker-compose хувилбар 2 буюу түүнээс дээш хувилбарыг суулгасан дэмжигдсэн платформ дээр байгаа эсэхээ шалгаарай.
- Галт хананд порт дамжуулахыг идэвхжүүлсэн эсэхийг шалгаарай. Өгөгдмөл нь дараах портуудыг нээлттэй байлгахыг шаарддаг:
o 80/tcp (заавал биш): SSL сертификатуудыг автоматаар гаргах
o 443/tcp: Вэб UI руу нэвтрэх
o 51820/udp: VPN урсгалыг сонсох порт
2. Серверийн I хувилбарыг суулгах: Автомат суулгах (санал болгож байна)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Энэ нь жишээ docker-compose.yml файлыг татахын өмнө анхны тохиргооны талаар хэдэн асуулт асуух болно. Та хариултаараа үүнийг тохируулах, вэб UI-д хандах зааврыг хэвлэхийг хүсэх болно.
- Firezone өгөгдмөл хаяг: $HOME/.firezone.
2. Сервер суулгах Сонголт II: Гараар суурилуулах
- Докер бичих загварыг орон нутгийн ажлын лавлах руу татаж авна уу
– Линукс: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS эсвэл Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Шаардлагатай нууцыг үүсгэх: docker run –rm firezone/firezone bin/gen-env > .env
- DEFAULT_ADMIN_EMAIL болон EXTERNAL_URL хувьсагчдыг өөрчил. Шаардлагатай бол бусад нууцыг өөрчлөх.
- Өгөгдлийн санг шилжүүлэх: docker compose run –rm firezone bin/migrate
- Админ акаунт үүсгэх: docker compose run –rm firezone bin/create-or-reset-admin
- Үйлчилгээг дээшлүүл: docker compose up -d
- Та дээр тодорхойлсон EXTERNAL_URL хувьсагчаар дамжуулан Firezome UI-д хандах боломжтой байх ёстой.
3. Ачаалах үед идэвхжүүлэх (заавал биш):
- Эхлэх үед Docker идэвхжсэн эсэхийг шалгаарай: sudo systemctl docker-г идэвхжүүлнэ
- Firezone үйлчилгээ нь docker-compose.yml файлд заагаагүй бол дахин эхлүүлэх: үргэлж эсвэл дахин эхлүүлэх: гэсэн сонголттой байх ёстой.
4. IPv6 Public Routability-г идэвхжүүлэх (заавал биш):
- IPv6 NAT-г идэвхжүүлэхийн тулд /etc/docker/daemon.json-д дараахыг нэмж, Docker контейнерт IPv6 дамжуулалтыг тохируулна уу.
- Өөрийн өгөгдмөл гарах интерфэйсийг ачаалах үед чиглүүлэгчийн мэдэгдлийг идэвхжүүлнэ үү: egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | таслах -f1 -d' ' | tr -d '\n'` sudo bash -c “echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”
- Докерын контейнер дотроос Google рүү ping хийж дахин ачаалж, шалгана уу: docker run –rm -t busybox ping6 -c 4 google.com
- Хонгилтой урсгалд IPv6 SNAT/masquerading-ийг идэвхжүүлэхийн тулд iptables дүрэм нэмэх шаардлагагүй. Firezone үүнийг зохицуулна.
5. Үйлчлүүлэгчийн програмуудыг суулгана уу
Та одоо сүлжээндээ хэрэглэгч нэмж, VPN сесс үүсгэх зааварчилгааг тохируулах боломжтой.
Тохиргооны дараах
Баяр хүргэе, та тохиргоогоо хийж дуусгалаа! Та манай хөгжүүлэгчийн бичиг баримтаас нэмэлт тохиргоо, аюулгүй байдлын талаар анхаарах зүйлс болон дэвшилтэт функцуудыг шалгахыг хүсэж магадгүй: https://www.firezone.dev/docs/
