Jika Anda memiliki environment existing berbasis VMware dengan cloud di AWS, Anda dapat membuat suatu sistem hybrid cloud antara 2 environment tersebut. Anda dapat menghubungkan kedua environment tersebut, baik menggunakan AWS Direct Connect atau menggunakan VPN. Jika kebetulan di environment VMware Anda menggunakan VMware NSX, maka Anda dapat menghubungkan ke AWS menggunakan fitur VPN IPsec di AWS dan NSX. Di artikel ini saya akan menjelaskan cara konfigurasinya.
sebelum mencoba ini anda install ceph jewel terlebih dahulu disini
Preparation
Cluster yang saya pake saat ini mengunakan jewel (10.2.10) LTS, dengan jumlah 3 server dimana memiliki 1 ceph monitor dan 2 ceph OSD untuk lebih jelas anda bisa baca pada artikel saya sebelumnya tentang installasi ceph.
Semakin meningkatnya penggunaan teknologi virtualisasi server berdampak pada berubahnya traffic patterns dan volume traffic pada network datacenter. Model Datacenter terdahulu yang menggunakan hirarki three-tier model (Access, Aggregation, Core) sudah tidak optimal untuk mensupport traffic flow East-West yang berat.
Desain Leaf Spine menawarkan kemampuan yang lebih baik dari pada three-tier model, seperti scaling yang lebih mudah dan performa yang lebih baik. Penggunaan layer 3 pada desain Leaf Spine dapat mengeliminasi kebutuhan Layer 2 loop teknologi seperti spanning-tree.
VMware NSX merupakan software network virtualization dan security platform dari VMware. Salah satu fitur yang ada di NSX adalah load balancer, dan sesuai namanya, dapat digunakan sebagai load balancer atau gateway untuk membagi traffic dari beberapa VM yang ada di environment VMware Anda. Hal ini cukup penting untuk menjaga high availability dari layanan Anda.
Load balancer yang terdapat di NSX memiliki cukup banyak fitur diantaranya :
Dari sisi deployment, NSX Edge dapat menggunakan mode one-arm maupun two-arm. Di tutorial kali ini, RouteCloud akan menjelaskan cara konfigurasi load balancer untuk 2 buah VM website dengan SSL-Offload. Dengan SSL-offload, user dapat mengakses website menggunakan https, dan proses enkripsi SSL akan dihandle oleh NSX Edge. Di bawah ini adalah topologi yang akan diimplementasikan :
Two-factor, atau sering juga disebut dengan dual-factor atau multi-factor authentication adalah salah satu metode untuk meningkatkan level keamanan dalam mengakses suatu sistem. 2FA mewajibkan user untuk menggunakan 2 atau lebih proses authentikasi untuk login ke sistem untuk membuktikan bahwa user tersebut adalah user yang berhak dan benar untuk login ke sistem. Dengan kata lain, jika biasanya untuk login hanya perlu memasukkan username dan password, dengan 2FA maka user yang bersangkutan harus menyediakan bukti lain (factor) bahwa dia adalah benar pemegang akun tersebut. Bukti ini bisa dalam bentuk PIN yang digenerate dari hardware atau handphone yang sudah terverifikasi sebelumnya ke pemilik akun, bisa juga dalam bentuk biometric seperti fingerprint, voice, atau face detection.
Dalam tutorial kali ini, saya akan menjelaskan konfigurasi two-factor authentication (2FA) menggunakan OpenVPN dan Google Authenticator. Jadi jika biasanya untuk login ke jaringan menggunakan OpenVPN user hanya perlu memasukkan user/password, maka sebagai layer security tambahan user tersebut wajib memasukkan PIN hasil generate dari Google Authenticator yang terpasang di handphone. Di tutorial ini saya menggunakan OpenVPN Access Server v2.5, di OpenVPN AS versi ini fitur Google Authenticator sudah terintegrasi sehingga proses instalasinya jauh lebih mudah dibandingkan versi sebelumnya dan di versi community. Jadi kalau kamu masih menggunakan versi lama, ada baiknya diupgrade ke versi terbaru ini.
Ceph Storage adalah software open source yang di desain untuk menyediakan penyimpanan objek, block dan file yang sangat fleksibel.
Ceph Storage cluster dirancang untuk berjalan di atas hardware mengunakan algoritma CRUSH (Controlled Replication Under Scalable Hashing) untuk memastikan data didistribusikan secara merata di seluruh cluster dan semua node cluster dapat mengambil data dengan cepat tanpa hambatan terpusat.
Kali ini saya akan membahas salah satu fitur yang ada pada HTTP/2 yaitu server push. berdasarkan RFC 7540 Server Push merupakan fitur yang digunakan oleh server untuk mengirimkan statik konten yang diperlukan untuk membuat tampilan web sebelum client browser me-request konten tersebut. Fungsinya untuk mengurangi waktu tunggu saat melakukan request sebuah file. dapat dilihat pada gambar dibawah ini.
Gambar 1. komparasi server push dengan yang tidak menggunakan server push
pada gambar diatas menjelaskan jika menggunakan get biasa, pertama kali file html akan di-load lalu menyusul me-request file-file yang lain karena terdapat link yang ada di dalam file html tersebut. namun untuk server push, kita akan mendefinisikan file-file apa saja yang akan di-load jika kita me-request salah satu file html, saat server mengirimkan file html server juga akan mengirimkan file konten yang telah difenisikan tersebut.
Sebagai orang security jaringan, anda tidak hanya di tuntut untuk mengerti setup suatu perangkat network atau firewall, atau hanya menyediakan service availibility tapi juga anda perlu memperhatikan aspek security. Apalagi saat ini perkembangan IT cukup pesat, termasuk cyber attacks. Model cyber attacks saat ini sudah semakin canggih dan bisa melumpuhkan sebuah system sbg contoh adalah serangan yang heboh tahun 2017 kmren WannaCry, Petya Ransomware. Maka seorang security engineer perlu berpikir layaknya cyber attacker. Apalagi yang di proteksi adalah service penting, atau service yang bisa menghasilkan revenue bagi perusuhaan tersebut.
Serangan terjadi biasanya karena adanya celah keamanan yang tidak terproteksi dengan baik. Meskipun anda punya firewall, tapi jika anda membiarkan celah tersebut, maka besar sekali kemungkinan terjadi serangan. Serangan sbetulnya bisa terjadi dari dalam maupun dari luar, oleh karena itu dari semua ‘pintu’ harus bener-bener terkunci dengan baik, jangan sampai ada backdoor.
Nah, hal yang paling mendasar yang di proteksi adalah menutupi semua port-port yang tidak di perlukan, baik dari sisi server maupun di firewall. Karena yang biasanya pertama kali di lakukan oleh attacker adalah melakukan scaning port dengan menggunakan tools seperti nmap. Tujuannya adalah mengumpulkan atau gathering information terkait system yang di tuju baik port yang di buka, aplikasi maupun versinya, bahkan jenis sistem operasinya. Baik bertikut ini saya contohkan beberapa command di nmap untuk melakukan scaning port di server – ini anda bisa lakukan di server anda sebelum server tersebut di pindahkan ke firewall, atau anda bisa lakukan test scaning setelah di proteksi oleh firewall. Tujuannya adalah memastikan bahwa proteksi di firewall juga sudah sesuai standar security.
Berikut ini contoh command nmap yang sy coba lakukan di system opersi kali linux.
Segment Routing(SR), also known as Source Packet Routing in Networking (SPRING), is a recent network routing paradigm covered by several complementary IETF drafts. The most fundamental are draft-ietfspring-segment-routing, draft-ietf-spring-segment-routing-mpls, draft-ietf-isis-segmentrouting-extensions, and draft-ietf-ospf-segment-routing-extensions.
SPRING is proposed as an alternative to LDP and/or RSVP-TE, segment routing is an emerging technology for IP/MPLS networks that enables source routing (SR), if you enable SR on your network no state is held in the network except the ingress SR router. This allow SR to scale significantly better then RSVP-TE while providing most the same functions, SR can offer IGP-based MPLS tunnels to services such as VPRN or VPWS without the addition of any other transport signaling protocol (Different with BGP-LU). Read More
Kali ini tidak seperti pada kebanyakan post saya yang sebelumnya yang sering membahas mengenai Networking dan System, post kali ini membahas mengenai pemrograman.
Saya sering membaca artikel, berita atau report yang dikeluargan oleh website seperti SDXcentral, Gartner,dll mengenai manfaat dan keuntungan automasi pada network dan sistem infrastruktur, automasi erat ikatannya dengan pemrograman yang notabene untuk orang network tidak begitu terbiasa, seperti saya, hehe. Oleh karena itu untuk bisa mengikuti teknologi yang kekinian menurut saya seorang network atau sistem paling tidak harus mengerti dan bisa menulis sebuah kode pemrograman.
Saya sering membaca bahwa bahasa pemrograman python sering dipakai untuk melalukan automasi pada networking, oleh karena itu saya memilih bahasa pemrograman ini untuk melatih kemampuan programming.
Python adalah interpreted (mengeksekusi kode dengan urut satu demi satu) language dan kita dapat menjalankan python secara simpel menggunakan interactive programming environment yang disebut shell. Cara paling gampang membuka shell yaitu dengan IDLE (Integrated DeveLopment Environtment). IDLE adalah integrated program bawaan ketika kita melakukan instalasi Python. Read More
Komentar