Zoom Node Dağıtım Hususları

Bu bölüm, Zoom Node’un Zoom Meetings Hybrid ve Zoom Phone Local Survivability (ZPLS) gibi çeşitli Hizmet Modüllerini nasıl destekleyebileceğine dair birkaç örnek içerir. Ayrılmış bir IP Adresi ile yapılan tipik dağıtımlar aşağıdaki diyagramlar koleksiyonu gibi görünebilir.

Zoom Node üzerinde dağıtılan her hizmet benzersiz bir IP Adresi gerektirir. Bir Zoom Node, yönetim için belirli bir adres ve Node üzerinde dağıtılan her hizmet için (en fazla dört) bir adres Ata Sağlanmışsa, toplam beş (5) IP Adresine kadar atanmış olabilir. Tek bir hizmet (örneğin ZPLS) çalıştıran bir Zoom Node, Node ve hizmet aynı IP Adresini paylaşacak şekilde Ata sağlanırsa tek bir IP Adresiyle dağıtılabilir.

Aşağıda birkaç dağıtım seçeneği gösterilmektedir. Çeşitli dağıtım seçenekleri için IP sayısına ve sertifikalara (CN/SAN'lar) dikkat edin.

Seçenek 1: Ayrılmış IP'ler ve ana bilgisayar adlarıyla dağıtılan Zoom Meetings Hybrid

Yukarıdaki görsel, dağıtım için gereken IP ve sertifika yapılandırma gereksinimlerini özetler Zoom Meetings Hybrid yerinde veya hibrit bulut ortamlarında.

Aşağıdaki tablo, örnek Node'u parçalara ayırır ve onun aktif vekil ve MMR Hizmet Modüllerini içerir:

Yukarıdaki görsel, dağıtım için gereken en düşük yapılandırmayı ana hatlarıyla belirtir Zoom Phone Local Survivability (ZPLS). ZPLS, Zoom Node VM üzerinde dayanıklılık mantığını yerel olarak çalıştırarak internet veya bulut kesintisi durumunda telefon hizmetinin kullanılabilirliğinin sürmesini sağlar.

Aşağıdaki ana bilgisayar adları DNS'te yapılandırılmalı ve TLS sertifikasına dahil edilmelidir:

• node1.customer.com

• zplsl.customer.com

Ana bilgisayar adı İşlevsel Eşleştirmesi

TLS Sertifika Yapılandırması

Sertifikalar, yukarıda listelenen hem CN'yi hem de SAN'ları içerecek şekilde oluşturulmalı veya temin edilmelidir (genel veya özel CA). Bu, güvenli modüller arası iletişim için uygun TLS doğrulamasını sağlar.

IP Adresi Gereksinimleri

Genel dağıtım için beş (5) IP gereklidirken, yalnızca iki (2) IP Adresi aktif olarak kullanılır ZPLS dağıtımında: modül başına bir tane, şu üzerinde çalışan ayrılmış bir Node VM.

Bu diyagramlar nasıl karşılaştırılır? İlk görsel, bir Zoom Meetings Hybrid dağıtımı örneğini gösterir. İkinci görsel, bir Zoom Phone Local Survivability dağıtımı örneğini gösterir.

İsterseniz, gereken IP Adresleri, ana bilgisayar adları ve Konu Alternatif Adları (SAN'ler) sayısını azaltmak için ilk IP/ana bilgisayar adını işletim sistemi ve ilk modül arasında paylaşabilirsiniz.

Seçenek 2: Paylaşılan bir IP ve paylaşılan bir ana bilgisayar adı ile dağıtılan Zoom Meetings Hybrid

Bu yapılandırma, Seçenek 1 Zoom Meetings Hybrid diyagramında görüldüğü gibi Node yapısını tekrarlar. Ancak, bu dağıtımda, Node işletim sistemi, IP Adresi'ni dağıtılan ilk modülle paylaşır (genellikle Zoom Bağlayıcı Proxy, ZCP). Bu, TLS ve işlevsel gereksinimleri korurken IP kullanımının azalmasıyla sonuçlanır.

Aşağıdaki ana bilgisayar adları DNS'te yapılandırılmalı ve TLS sertifikasına dahil edilmelidir:

• zcp1.customer.com

• mmr1.customer.com

• mmr2.customer.com

• mmr3.customer.com

Ana bilgisayar adı İşlevsel Eşleştirmesi

TLS Sertifika Yapılandırması

Sertifikalar, Zoom Node ile kurulu Zoom modülleri arasındaki güvenli TLS iletişimini desteklemek için tüm SAN'leri içermelidir.

IP Adresi Gereksinimleri

Yukarıdaki görsel, Node işletim sisteminin IP Adresi'ni kurulu ZPLS modülüyle paylaştığıasgari bir ZPLS dağıtımını gösterir. Bu, tek senaryo Zoom Node çerçevesinde, burada tek oturum sahibi sertifikası geçerlidir.

Aşağıdaki ana bilgisayar adı DNS'te yapılandırılmalı ve TLS sertifikasına dahil edilmelidir:

• zplsl.customer.com

Ana bilgisayar adı İşlevsel Eşleştirmesi

TLS Sertifika Yapılandırması

Bu yapılandırmada, hem işletim sistemi hem de ZPLS modülü aynı ana bilgisayar adını ve IP Adresi'ni paylaştığından tek oturum sahibi sertifikası yeterlidir.

IP Adresi Gereksinimleri

Dağıtımlarınız için hangi sertifika yönetim yönteminin en iyi çalıştığına karar verin

Zoom Node üzerinde dağıtılan her Hizmet Modülü, Zoom Node'un sertifika güven listesindeki, herkese açık olarak güvenilen bir Sertifika Yetkilisi (CA) tarafından imzalanmış geçerli bir sertifika gerektirir. Buna iyi bilinen kamuya açık yetkililer dahildir.

Zoom Node iki sertifika yönetim yöntemi sunar:

• Otomatik PKI: Bu yenilikçi çözüm, herkese açık olarak güvenilen Sertifika Yetkilileri (CA'lar) ile güvenli sertifika kaydı ve yenilemeyi otomatikleştirir. Zoom, kayıt ve yenilemeyle ilişkili maliyetleri karşılar.

• Kendi Sertifikanı Getir (BYOC): Bu seçenekle, büyük ve herkese açık olarak güvenilen herhangi bir CA tarafından imzalanmış kendi sertifikalarınızı sağlarsınız. Sertifika kaydı ve yenilemelerini siz yönetirsiniz. Müşteri tarafından sağlanan sertifikalar kullanılırken Zoom Node'un en fazla beş ana bilgisayar adı/SAN potansiyeline ilişkin ek hususlar geçerlidir; bunlar aşağıda daha ayrıntılı olarak açıklanmıştır.

Otomatik PKI ile Otomatik Sertifika Yönetimi

Zoom Auto PKI, Zoom Node platform ve üzerinde dağıtılan tüm modüller için geçerli, herkese açık olarak güvenilen CA sertifikalarını otomatik olarak yükler. Sertifika yenileme de otomatik olarak gerçekleştirilir. Bu, tüm hizmetler ve Zoom Node'un kendisi için sertifika yönetimini basitleştirir.

Auto PKI Sertifika Kaydı ve Yenilemeyi Anlama

Aşağıdaki senaryo, sertifika kaydı ve yenilemenin nasıl çalıştığını anlamanıza yardımcı olabilir.

Örneğin: Bir yönetici yeni bir Node örneği dağıtmıştır. Her örnek geçerli bir x509 sertifika gerektirir. Sertifikanın özel anahtarı bu örnekten asla ayrılmamalıdır.

Auto PKI süreci aşağıdaki adımları gerçekleştirir:

1. Şablon Alımı: Çoklu CA sağlayıcıları için seçenekler de dahil olmak üzere tüm desteklenen yapılandırma şablonlarını Zoom bulut içindeki Auto PKI hizmetinden çeker.

2. IP Adresi Toplama: Node üzerinde çalışan hizmetlerin kullandığı tüm IP Adresleri toplar ve bunları Zoom bulut içindeki Auto PKI hizmetine gönderir.

3. DNS Adı Sağlama: Auto PKI bulut hizmeti, biçiminde bir dizi DNS adı döndürür <instance_tanımlayıcı>.<customer_tanımlayıcı>.zoomonprem.com. Bu alan adları A/AAAA kayıtlarıyla yapılandırılmıştır.

4. Rezerve DNS Adı İsteği: şu formatta rezerve edilmiş bir DNS adı ister rsvd-<randomized_string>.<customer_tanımlayıcı>.zoomonprem.com.

5. Sertifika İsteği Oluşturma: SAN alanında üçüncü adımdaki DNS adlarını ve Common Name (CN) alanında dördüncü adımdaki rezerve adı kullanarak bir x509 sertifika isteği oluşturur.

6. Sertifika Verilmesi: Sertifika İmzalama İsteğini (CSR) Zoom bulut içindeki Auto PKI hizmetine gönderir. Bu hizmet daha sonra CA sağlayıcılarıyla birlikte çalışarak, önceki adımdaki SAN listesini ve CN alanını içeren sertifikayı verir.

7. Yerel Depolama: Yeni verilen x509 sertifikasını son adımdan ve buna karşılık gelen özel anahtarını (daha önce oluşturulan) yerel depolamaya yazar, böylece Node örneğinde çalışan hizmetler için uygun hale getirir.

Auto PKI, son kullanma tarihlerini otomatik olarak izleyip yeni sertifikalar talep ederek Zoom Node üzerinde sertifika yönetimini basitleştirir ve manuel yenileme ihtiyacını ortadan kaldırır.

Kendi Sertifikalarınızı Getirin (BYOC)

Kendi geçerli, herkese açık olarak imzalanmış sertifikalarınızı Zoom Node üzerinde yerel web arayüzünü kullanarak yükleyebilirsiniz. Bunu ilk kurulum sırasında veya daha sonraki bir zamanda yapabilirsiniz. Süreç, web tabanlı uygulamalara sertifika yüklemeye alışkın olanlara tanıdık gelecektir.

Kendi sertifikalarınızı kullanmayı seçerseniz, sertifikanın birden fazla ana makine adıyla iletişim kuran bir sunucuda olacağını unutmayın. Bu nedenle, Seçtiğiniz sertifika türü birden fazla ana makineden kaynaklanan trafik için şifreleme desteği sağlamalıdır (sertifika CN). Node ve dağıtılan tüm hizmetler için kullanılan tüm ana makine adları, Zoom'un bulut hizmetleri tarafından herkese açık şekilde çözümlenebilmelidir.

Zoom iki tür sertifika önerir:

• Wildcard sertifika

• Multi-SAN sertifika (aynı zamanda Multi-Domain Sertifika, SAN Sertifika veya UCC Sertifika olarak da bilinir)

Wildcard Sertifikaları: Basitlik için önerilir

Bir wildcard sertifika, etki alanındaki herhangi bir ana bilgisayardan gelen trafiği şifreleyebilir. Örneğin: *.customer.com gibi bir wildcard sertifika, aşağıdakilerden gelen trafiği şifreleyebilir: host1.customer.com ve host2.customer.com veya içindeki herhangi bir ad .customer.com.

Zoom Node’u dağıttığınız ve wildcard sertifikayı yüklediğinizde, Node üzerinde dağıttığınız herhangi bir hizmet için trafiği otomatik olarak şifreler; bunun için dağıtılan tüm Hizmetlerin wildcard etki alanından bir Tam Nitelikli Etki Alanı Adı (FQDN) kullanması gerekir.

Bu, Node üzerinde hizmet dağıtma çabasını en aza indirir: dağıtmadan önce hizmetlerin adlarını bilmeniz gerekmez. Ancak, çoklu SAN Sertifika yöntemini kullanıyorsanız hizmet adlarını bilmeniz gerekir.

Multi-SAN, Multi-Domain, SAN veya UCC Sertifikaları

Zoom Node için Multi-SAN sertifika gereklidir çünkü beş (5) ana makine adından gelen trafiği şifreler. Bu sertifika için tek seferlik bir talep, planlanan Node adları ve Node üzerinde dağıtıma alınacak tüm hizmetlerin adları da dahil olmak üzere gerekli tüm bilgilerin önceden bilinmesini gerektirir. Örneğin, ZPLS gibi bir modülle, her Node başına yalnızca bir ZPLS modülü dağıtılır; bu nedenle ZPLS hizmet ana makine adı için yalnızca bir ek SAN gerekir.

Aşağıdaki tablo bir örnek olarak kullanılabilir:

Bu örnek, aynı IP üzerinde ZPLS'yi barındıran bir Node ve ayrı IP'lerde iki ek servis bulunan tipik bir yapılandırmadır. “company.com” ifadesini kendi gerçek etki alanınızla değiştirin ve ağınızın IP adreslerini kullanın.

DNS Çözümleme Gereksinimleri

Zoom, iki yönlü güvenin oluşturulabilmesi için ana bilgisayar adlarının genel olarak çözümlenebilir olmasını gerektirir. Tüm Zoom Node ana bilgisayar adları ve Nodes üzerinde dağıtılan tüm servis ana bilgisayar adları DNS Bölgesine dahil edilmelidir.

Organizasyonunuz ayrı dahili ve harici DNS servisleri veya etki alanları kullanıyorsa, Zoom Node ana bilgisayar adlarının harici DNS sunucularınız tarafından çözümlenebilen bir bölgede barındırılması gerekir (yalnızca Zoom IP aralıkları için çözümleme ile sınırlandırılabilir). Dahili Zoom kullanıcılarınız ve Zoom bulut aynı ana bilgisayar adı kümesini kullanarak iletişim kurmalıdır.