Дистр - как корабль - подбирается под воду, что его окружает (в нашем случае под утилиту usbip). Благо вариантов не мерено появилось за годы с рождения linux и подбор ограничивается только временем и желанием. Если, например, регламент ИБ запрещает использовать сборок, в которых не выкошено - сразу ищем аппаратное сертифицированное решение.
Сама утилита usbip, к сожалению, свой траффик не шифрует и нужно его чем то маркировать и заворачивать в туннель (еще тема для размышлений вечером под лампой вместо книги)- и в случае с ключами доступа - временная, почти бесплатная мера.
К тому же -есть аппаратные хабы, которые умеют в ss/tls и стоят они относительно недорого.
При достаточном резервировании входящих каналов (2 роутера с каждой стороны с vrrp, мультиван так же с обеих и тд и тп) по всем прикидкам работать будет стабильно. Хотя тесты провести бы не повредило и нужно учесть что USB хаб будет самым узким местом. Была идея реализовать двухнодовую архитектуру на малинках с переключением хаба и , возможно, когда нибудь эта идея получит реализацию в виде Pet-проекта.
Можно ли забирать разные ключи разными VM?
ВМ забирают только те ключи, которые указаны в конфиге клиента, установленного на самих ВМ - хоть по ВМ на каждый ключ создавайте.
ЭЦП, скорее резонансный и знакомый многим пример использования технологии USBoverIP - оставим такой способ на совесть и страх , пользующих. Статья же больше для тех , кому достались в наследство аппаратные лицензии софта, давно уже живущего на виртуальных машинах. По поводу:
чтобы только владелец ЭП имел к ней доступ, а не обслуживающий персонал ЦОДа, уборщицы и другие допущенные в машзал лица
Возможно стоит предусмотреть отдельные стойки с максимальной защитой от присутствия лишних лиц, если такая необходимость все же возникнет? Правда скорее всего это повлечет доп издержки и доп штат.
Information
Rating
Does not participate
Location
Санкт-Петербург, Санкт-Петербург и область, Россия
Благодарю - поправил.
Банальная копипаста закралась в заметки по настройке сервиса, по которым писалась статья...
Дистр - как корабль - подбирается под воду, что его окружает (в нашем случае под утилиту usbip). Благо вариантов не мерено появилось за годы с рождения linux и подбор ограничивается только временем и желанием. Если, например, регламент ИБ запрещает использовать сборок, в которых не выкошено - сразу ищем аппаратное сертифицированное решение.
Сама утилита usbip, к сожалению, свой траффик не шифрует и нужно его чем то маркировать и заворачивать в туннель (еще тема для размышлений вечером под лампой вместо книги)- и в случае с ключами доступа - временная, почти бесплатная мера.
К тому же -есть аппаратные хабы, которые умеют в ss/tls и стоят они относительно недорого.
При достаточном резервировании входящих каналов (2 роутера с каждой стороны с vrrp, мультиван так же с обеих и тд и тп) по всем прикидкам работать будет стабильно. Хотя тесты провести бы не повредило и нужно учесть что USB хаб будет самым узким местом. Была идея реализовать двухнодовую архитектуру на малинках с переключением хаба и , возможно, когда нибудь эта идея получит реализацию в виде Pet-проекта.
ВМ забирают только те ключи, которые указаны в конфиге клиента, установленного на самих ВМ - хоть по ВМ на каждый ключ создавайте.
ЭЦП, скорее резонансный и знакомый многим пример использования технологии USBoverIP - оставим такой способ на совесть и страх , пользующих.
Статья же больше для тех , кому достались в наследство аппаратные лицензии софта, давно уже живущего на виртуальных машинах.
По поводу:
Возможно стоит предусмотреть отдельные стойки с максимальной защитой от присутствия лишних лиц, если такая необходимость все же возникнет? Правда скорее всего это повлечет доп издержки и доп штат.