OpenZiti 入门:零信任网络与核心概念
技术实践
1
帖子
1
发布者
10
浏览
-
本文将带你了解 OpenZiti 是什么、它解决的核心问题,以及零信任网络的基本原理。作为系列开篇,我们将建立对 OpenZiti 架构的整体认知。
一、OpenZiti 是什么?
OpenZiti 是一个开源的零信任网络解决方案,它允许你构建安全的、应用嵌入式的可编程网络。
核心特点
特性 说明 零信任架构 每次访问都需要身份验证和授权 暗服务(Dark Services) 服务无需开放任何入站端口 端到端加密 从客户端到服务端的全程加密 可编程网络 通过 API 动态配置网络策略 开源免费 Apache 2.0 许可证 二、OpenZiti 解决的问题
传统 VPN 的局限性
- 一旦进入内网,可横向移动
- 需要开放 VPN 入口端口
- 用户切换设备不便
- 不适合外部客户使用
OpenZiti 的优势
- 零信任:每次访问都需验证
- 无需开放入站端口(暗服务)
- 精细化权限控制
- 支持任意设备、任意地点
三、核心组件介绍
控制器(Controller)
控制器是 OpenZiti 网络的大脑,负责:管理网络配置和策略、处理身份认证和授权、协调路由器之间的通信、提供 REST API 和 Web 管理界面。
路由器(Router)
路由器构成网络传输层,负责在节点之间转发流量、实现智能路由选择、支持暗模式(只发起出站连接)。
边缘路由器(Edge Router)
边缘路由器是用户接入网络的入口点,处理客户端连接、验证客户端身份、与控制器协调获取服务信息。
客户端 SDK
OpenZiti 提供多种语言的 SDK:
SDK 语言 适用场景 ziti-sdk-c C 嵌入式设备、系统级应用 sdk-golang Go 云原生应用 ziti-sdk-jvm Java/Kotlin 企业级 Java 应用 ziti-sdk-nodejs Node.js Web 应用 ziti-sdk-csharp C# .NET 应用 ziti-sdk-swift Swift iOS/macOS 应用 四、零信任网络基本原理
核心原则
- 永不信任,始终验证 - 每次访问请求都需要进行身份验证和授权检查
- 最小权限原则 - 用户/服务只能访问被明确授权的资源
- 假设已被入侵 - 网络设计假设攻击者可能已在内部
身份(Identity)
在 OpenZiti 中,每个访问者都有一个身份:身份由证书标识、证书由控制器签发、身份关联角色和权限。
服务(Service)
服务是可通过 OpenZiti 网络访问的资源:可以是 HTTP 服务、SSH、数据库等、服务可以配置为暗模式、通过策略控制谁能访问。
策略(Policy)
OpenZiti 使用策略实现精细化访问控制:服务策略定义谁可以访问什么服务、边缘路由策略定义谁可以通过哪些边缘路由器接入。
五、总结
本文介绍了:OpenZiti 是什么、它解决的核心问题、核心组件、零信任原理。
下一篇将介绍安装部署测试环境。
相关资源
- 官方文档:https://openziti.io/docs/
- GitHub 仓库:https://github.com/openziti/ziti
- 社区论坛:https://openziti.discourse.group/
- OpenZiti 中文社区:https://www.openziti.cn