Citrix NetScaler Load Balance Cihazı üzerinde, web sunucular için Load-Balancing tanımlanması:

Management portları üzerinden birbirlerini pingleyerek bir tanesi Primary, diğeri Secondary olarak çalışan iki adet Citrix NetScaler- 12500 cihazımız olduğunu ve 1/15 numaralı portlarını da iki web sunucunun loadbalance işlemi için kullanacağımızı söylemiştik. Ve bunun için de primary olan cihazın bu portu üzerinde ilgili network tanımlamalarını yapmıştık.

Kısaca hatırlayalım:

- Interface, VLAN ve Tag değerlerinin tanımlanarak 1/15 portunun Trunk çalışmasının sağlanması.
- Kullanıcıların, Citrix üzerinde gelecekleri Virtual IP’nin oluşturulması.
- Citrix’in, göndereceği paketlerde source IP olarak kullanacağı Subnet IP’nin oluşturulması.

Şimdi, Citrix NetScaler cihazına web yönetim ekranından bağlanacağız ve web sunucuların aşağıdaki topolojiye uygun olarak loadbalance edilmesi için gerekli tanımlamaları gerçekleştireceğiz.

En sade haliyle Load Balance işleminin gerçekleştirilmesini sağlayabilmek için, üç temel öğenin tanımlanmış olması gerekir. Bu öğeler Server, Service ve Virtual Server’dır.

Server: Load Balance edilecek her bir makine Server olarak tanımlanır. Örneğimize göre tanımlayacağımız Server öğleri şunlardır.

Server1: WebServer-1(10.10.5.203)
Server2: WebServer-2 (10.10.5.204)

Service: Load Balance edilecek her bir Server, hizmet vereceği port ile birlikte tanımlanarak bir Service öğesini oluşturur. Server ve Port ikilisi örneğimizde aşağıdaki Service’lerin oluşturulmasını gerektirmektedir.

Service1: WebServer1:80
Service2: WebServer2:80

Virtual Server: Kullanıcılardan gelen istekleri karşılayan ve kendisine üye olan Service’lere load balance eden öğedir. Örneğimize göre bir tane Virtual Server tanımlayacağız.

VirtualServer1: Service1 + Service2

Server’ların Tanımlanması

Server öğelerinin tanımlanması için Load Balancing à Servers bölümüne gidilir ve açılan pencerede Add butonuna basılır

Açılan pencerede, aşağıda gösterildiği şekilde gerekli bilgiler yazılır ve Create butonuna basılır.

Yine aynı pencerede işaretli alanlar ikinci Server için güncellenir ve tekrar Create butonuna basılır.

Close ile yeni Server oluşturma penceresi kapatılır ve Servers sayfasında oluşturulan iki öğe görüntülenir. Save ile yaptığımız ayarlar kaydedilir.

Service’lerin Tanımlanması

Örneğimize göre, iki Server öğesi için iki Service tanımımız olacak. Bunun için Load Balancing à Services bölümüne gidilir ve açılan pencerede Add butonuna basılır

Açılan pencerede, aşağıda gösterildiği şekilde gerekli bilgiler yazılır ve Create butonuna basılır.

Yine aynı pencerede işaretli alanlar ikinci Server için güncellenir ve tekrar Create butonuna basılır.

Close ile yeni Service oluşturma penceresi kapatılır ve Services sayfasında oluşturulan iki öğe görüntülenir. Save ile yaptığımız ayarlar kaydedilir.

Virtual Server’ın Tanımlanması

Örneğimize göre, iki service load balance edilecek ve bunun için bir tane Virtual Server öğesi tanımlamamız gerekecek. Load Balancing à Virtual Servers bölümüne gidilir ve açılan pencerede Add butonuna basılır.

Açılan pencerede, aşağıda gösterildiği şekilde gerekli bilgiler yazılır ve Create butonuna basılır.

Close ile yeni Virtual Server oluşturma penceresi kapatılır ve Web-Sayfasi_HTTP isimli yeni Virtual Server öğesi Virtual Servers sayfasında görüntülenir. Save ile yaptığımız ayarlar kaydedilir.

Şimdiye kadar yaptığımız tanımlamalarla,

kullanıcı makinelerinden, 10.10.5.204 IP’li Virtual Server’a gelen HTTP (port:80) isteklerinin,

source IP’si 10.10.5.204 olacak şekilde,

iki web sunucusundan uygun olana iletilmesi sağlanabilecektir.

Load balance işleminde uygun olmanın koşulu, load balance metoduna göre değişmektedir.

NetScaler’ın varsayılan load balance metodu Least Connection metodudur. Web-Sayfasi-HTTP isimli Virtual Server’ımız için NetScaler’ın atadığı load balance metodu Load Balancing à Virtual Servers bölümünde görülmektedir.

Least Connections metodu, bir servis üzerinde aktif işlem hareketlerini en doğru şekilde tanımlayan ve yükü akıllıca en doğru şekilde dağıtabilen yöntemdir.

Farklı load balance metotlarını görmek ya da default metodu değiştirmek için Web-Sayfasi-HTTP isimli Virtual Server’ımız üzerinde çift tıklanır. Açılan pencerede Method and Persistence sekmesine gidilir.

Bu sayfada, LB Method başlığı altındaki Method satırında, açılır pencere kullanılarak farklı load balance metotlarını görmek ve default metodu değiştirebilmek mümkün olmaktadır.

Yapmamız gereken bir işlem kaldı. O da Persistence tanımıdır.

Session Persistence, bir istemcinin bütün isteklerinin, belirli bir sunucuya yönlendirilmesini sağlayacak şekilde konfigürasyon imkanı sağlar.

Yapılandırdığınız load balance metoduna bağlı olarak load balance yapılırken,

kimi zaman, e-ticaret sitelerindeki Alış-Veriş Sepeti gibi uygulamalar,

bir istemciyi, takip eden tüm isteklerinde aynı sunucuya yönlendirmeyi mecbur tutabilirler.

Bu durumlarda Session Persistence, yük dağıtım yönteminin ne olduğuna bakmaksızın bir istemciden gelen tüm istekleri belirli bir sunucuya yönlendirmeyi sağlayabilir.

Not: Session Persistence, Persistent TCP connections ile aynı değildir. Persistent TCP connections, Layer- 4’te kullanılırken, Session Persistence, kullanıcıları, kullanıcı bilgilerinin yüklü olduğu sunucuya göndermek için layer-7'de çalışır.

Persistence, varsayılan olarak etkin değildir. Bunu, Load Balancing à Virtual Servers bölümünde görebiliriz.

Persistence tanımlamak için, Web-Sayfasi-HTTP isimli Virtual Server’ımız üzerinde çift tıklanır. Açılan pencerede Method and Persistence sekmesine gidilir.

Görüldüğü gibi Persistence ve Backup Persistence tanımlamaları etkin değildir. Etkinleştirmek ve farklı persistence seçeneklerini görmek için açılır pencereler kullanılır.

Primary Persistence için COOKIEINSERT seçeneğini,

Backup Persistence için de SOURCEIP seçeneklerini etkinleştirmiş olalım.

Persistence metodu olarak CookieInsert seçildiğinde, NetScaler, kullanıcıya, bir HTTP cookie ekleyerek response’ları gönderir. Cookie, kullanıcının sonraki isteklerinin, doğrudan ilk isteği karşılayan sunucuya gönderilmesi için kullanılır.
Cookie, istemci request’lerinin yönlendirildiği service’in IP adresini ve port numarasını içerir.

Eğer bir istemci cookie tutamazsa, istemcinin sonraki cookie’siz request’leri kabul edilmez. Yapılandırma metoduna bağlı olarak load balancing'e karar verilir.

CookieInsert persistence, sistem kaynaklarını kullanmadığı için sınırsız sayıda istemciyi destekler.

CookieInsert persistence tanımlamasında kullanılan Time-out değeri, bir oturumun aktif olarak kullanılmama süresidir. Time-out değeri O olursa, oturum, asla Citrix tarafından sonlandırılmaz fakat oturumun kapanış süresi istemcinin kullandığı yazılıma bağlıdır ve genellikle istemci yazılımı kapandığında, cookie’lerinde kullanım süresi dolmuş olur.

Backup Persistence metodu olarak Source-IP seçildiğinde, Primary method’da yaşanan bir problem durumunda, persistence oturumunun sürdürülebilmesi için, Backup Persistence kullanılır. Örneğin, kullanıcıların web browser’ı Cookie desteklemiyorsa, persistence, cookie yerine Source- IP (kullanıcı makinelerinin IP’si) üzerinden sağlanacaktır. Bu durumda, NetScaler, tanımlanmış load-balancing metoduna bağlı olarak, aynı IP adresinden gelen tüm request’leri, ilk request’i alan sunucuya yönlendirir.

Kullanıcılarla NetScaler arasında, trafik, bir NAT cihazından geçiyorsa, NetScaler’a gelen tüm isteklerin kaynak IP adresleri, tek bir IP gibi görünecektir. Bu durumda persistence metodu olarak Source-IP verimli kullanılamaz. Çünkü çok fazla kaynaktan request’ler gelmesine rağmen, trafik aynı sunucuya yönlendirilecek.

Source IP adreslerinin persistence oturumları bir persistence tablosunda tutulur ve bu durum sistem kaynaklarını kullanır. Persistence tablosunda maksimum 256.000 oturum için kayıt tutulur. SourceIP persistence tanımlamasında kullanılan Time-out değeri, bir oturumun aktif olarak kullanılmama süresidir.

Time-out değerine ulaşıldığı durumda, oturum koparılır ve sunucu tercih edilen load-balancing metoduna göre, oturumu kaldığı yerden devam ettirir.

Primary persistence metodu olarak CookieInsert ve Backup persistence metodu olarak SourceIP seçilirse, her bir metot için farklı time-out değerleri atanabilir.

Gelelim NetScaler üzerinden yayınlanan sayfaya erişmeye.

Bir kullanıcı web browser’ı üzerinde, NetScaler’da tanımladığımız Virtual Server IP’sine erişmeyi denediğinde erişim gerçekleştirebiliyor olmalıdır. Bunun için http://10.10.5.204 adresi kullanılmalıdır.

Umarım faydası olmuştur.

Hoşçakalın.

Hardware Security Module (HSM) nedir?

Hardware Security Module (HSM)’ler hassas kriptografik anahtarları fiziksel ortamda saklamak ve kriptografik işlemleri en güvenli şekilde gerçekleştirmek için üretilmiş özel güvenlik donanımlarıdır. Bu donanımlar uygulamaların güvenli bir şekilde çalışmasını sağlarlar. Bu uygulamalara örnek; Kök anahtar korunumu, PIN yönetimi, online bankacılık, veritabanı şifreleme, doküman ve kod imzalama, doküman haklarının korunumu, sertifika geçerliliği, SSL Web, XML web servisleri, zaman damgası, DNS güvenliği işlemlerini verebiliriz.

Kriptografik cihazlar müşterilerin veya hükümetlerin talep ettikleri genel güvenlik standartlarını NITS(National Institute of Standards and Technology) veya FIPS(Federal Information Processing Standard ) sertifikasyonlarına uyarak sağlamaktadırlar. HSM’ler saldırılara karşı savunma sistemleri (Tamper Protection) ile donatılmışlardır. Herhangi bir müdahaleye karşı kendi kendilerini sıfırlama özelliğine sahiptirler.

Donanımlar fiziksel olarak external ve internal olmak üzere kullanım amaçlarına göre ayrılırlar. External HSM’ler hizmet verdikleri uygulama sunucularına özel kablo ile direkt bağlı olarak veya ethernet portu üzerinden ağ ortamlarında çalışabilmektedirler. Internal HSM’ler ise PCI, PCI-Express ve PCMCIA Kart olarak sunucular üzerinde çalışmaktadırlar. Cihazlar tek başlarına veya “High Availability” ve ”Hot Backup” modlarında çalışarak yüksek performans ihtiyaçlarına cevap verebilmektedirler.

Örnek HSM donanımları (Internal Safenet PCI, External Thales 9000)

HSM üreten firmalar; Thales, Safenet, IBM, ARX, BULL, Utimaco, Atos Worldline

Uygulama seviyesinde alternatif API’ler kullanılabilir.

·         PKCS #11 (Public Key Cryptography Standards) (also cryptoki)

·         JCE (JAVA Cryptographic Engine)

·         OpenSSL – OpenSSL engine API

·         JCE/JCA – Java's cryptography API

·         MSCAPI (Microsoft Cryptography API) IIS, CA and others, also available in .NET

·         Microsoft CNG API – Microsoft's next-generation crypto API available for Windows Vista onwards, used by IIS, ADCS and others.

HSM YÖNETİMİ

HSM cihazlarının üreticiden satın alınmasında itibaren uyulması gereken fiziksel güvenlik zorunlulukları vardır. Bu gereklilikler VISA ve MASTERCARD gibi ödeme sistemleri dünyasındaki kuruluşlar tarafından denetimlerde, özellikle uygulanıp uygulanmadığı sorgulanmaktadır.

Öncelikle üreticiden teslim alınan ürünün size ulaşana kadar fiziksel bir müdahaleye uğramadığından emin olmalısınız. Cihazın teslim alınması aşamasında herhangi bir fiziksel darbesinin olmadığının gözle kontrolü önemlidir. Cihaz teslim alındıktan sonra güvenli ortama kurulana kadar geçen sürede müdahaleye açık ortamlarda tutulmamalıdır. Bunun için alınabilecek en pratik çözüm, donanımın kısa sürede güvenli ortama kurulumudur.

HSM donanımlarının tutulduğu güvenli ortamlar özel odalar ya da veri merkezleri içerisinde güvenli kabinler olmalıdır. Güvenli odalara ve veri merkezlerine erişim kontrolü sağlanmalı, erişim kayıtları tutulmalıdır.

HSM cihazlarını yöneten kişilerin tek başlarına doğrudan cihazlara müdahale edememeleri gerekmektedir. HSM donanımlarına erişim ikili kontrol prensibine uygun olmalıdır.

İkili Kontrol Prensibi: Anahtar parçalarının oluşturulması, saklanması ve yüklenmesi faaliyetlerinin gerçekleştirilebilmesi için yetkilendirilmiş en az iki görevlinin birlikte çalışmak zorunda olması gerekliliğidir.

İkili kontrol prensibini uygulamak için HSM’in bulunduğu kabinin ikili kontrol sistemi ile açılıyor olması gerekmektedir. Bu kontrol çift kilit, kilit + keypad , çift keypad ile sağlanabilir. HSM cihazlarının bulunduğu kabinlerde sadece ön kapak değil, arka kapağında tek kişi tarafından müdahale edilememesine dikkat edilmelidir. HSM cihazları üzerinde işlem sırasında, erişen ve eşlik eden tüm kişilerin imzaları ile yapılan işlem form ile kayıt altına alınmalı, formlarda yapılmış olan işlemler denetim sırasında detaylı şekilde görülebilmelidir.

HSM ekranları güvenlik kameraları tarafından görüntülenemeyecek şekilde konumlandırılmalıdır. HSM’in bulunduğu kabinetin üzerinde donanımın sarsıntıya karşı hassas olduğuna dair uyarı levhaları bulunmalıdır. HSM kabin içine varsa rack kitleri yoksa raf üzerine sarsıntıya duyarlı şekilde monte edilmelidir. Kabinet üzerinde müdahaleye açık elektrik sigortası olmamalıdır. HSM üzerinde varsa iki adet power girişinin ikiside kullanılmalı ve farklı kaynaklardan beslenmelidir.

HSM donanımın yönetimi için kullanılan laptop veya bilgisayar sadece bu iş için kullanılmalı ve HSM kabinlerinin içinde muhafaza edilmelidir. Yönetim için kullanılan laptop veya bilgisayar başka iş için kullanılmamalı, üzerinde herhangi bir ek yazılım barındırmamalıdır. HSM’i yönetmek için kullanılan program (Hyper Teminal vb.) prosedürde açıkça belirtilmelidir.

HSM her ne maksatla olursa olsun kurum dışı bir firmaya gönderilecekse (tamir / versiyon upgrade )mutlaka sıfırlanmalı (fabrika ayarlarına geri alınmalı) içindeki bilgilerin silindiğinden emin olunmalıdır. Bakıma gönderilecek cihazlar güvenilir bir kargo aracılığı ile ya da müşterinin kendi personeli tarafından “tedarikci anlaşması “ imzalanmış firmaya güvenli bir koli içinde teslim edilmelidir. HSM’in sıfırlama işleminden önce HSM üzerindeki anahtarlar başka bir HSM üzerine aktarılmalı yada yedeklemenin akıllı kartlar ile yapıldığından emin olunmalıdır. HSM donanımı kullanımdan kaldırılacaksa HSM üzerindeki anahtarlar yeni HSM üzerine aktarılmalı, HSM sıfırlanmalı, işlem sonrasında tutanak tutulmalıdır. HSM’in kullanımdan kaldırılacağı durumda anahtarların silinmesi mümkün değilse tutanakla cihaz fiziksel olarak imha edilmelidir.

ANAHTAR YÖNETİMİ

HSM hizmet verdiği tüm digital anahtarları şifrelemek için kendi üzerlerinde kök anahtar tutarlar. Bu anahtarları şifrelemek için kullandığı en hassas ve en gizli anahtar, LMK (Local Master Key) ana şifreleme anahtarıdır. En kritik olan bu anahtar formlara açık olarak yazılmaz, HSM ile üreticiden gelen akıllı kartlara istenilen adette parçalara bölünür. Genelde 3 adet key parçasından ana keyin elde edilmesi yeterlidir.

Oluşturulan anahtar parçaları kurumlarda en güvenilir personele (AGG: Anahtar Güvenlik Görevlisi) teslim edilmeli ve fiziksel güvenlikleri sağlanmalıdır.

Bilginin Bölüştürülmesi Prensibi: Hiçbir kimsenin ve hiçbir AGG’nin anahtar parçalarının açık metinlerinden üçünü birden bilmemesi ya da anahtar parçalarının saklandığı kasaların her üçüne birden erişim yetkisinin olmaması gerekliliğidir.

Bu prensibe uygun olarak AGG’lere teslim edilen anahtar parça açık formları ve akıllı kartlar güvenli kasalara, bir defa açıldığında tekrar kullanılamayan seri numaralı özel zarflarda konmalıdır. Kasaların anahtarları 2 farklı kişide olmalı ve AGG’ler kasalara direkt erişememelidirler. Kasalardaki her türlü key bilgisini tutan materyallerin her türlü hareketi (Kasadan alınması, Kasaya konulması) form ile kayıt altına alınmalıdır. AGG olarak seçilen kişilerin yedekleri olmalı ve yedeklere teslim edilen anahtar parçaları farklı lokasyonlarda güvenli kasalarda saklanmalıdır.

CobiT (Bilgi Teknolojilerine İlişkin Kontrol Hedefleri) Bilgi Sistemleri Denetim ve Kontrol Birliği (ISACA) tarafından bir denetim aracı olarak tasarlanmıştır. Yazılım Mühendisleri Enstitüsü’nün Yetenek Olgunluk Modeli (Capability Maturity Model-CMM) ile ISO ve ITIL’i esas alır. İşletmelerin iş hedefleri doğrultusunda servis sağlamak amacıyla bilgi işlem kaynaklarını kullanmasını amaçlar ve verilen servislerin, istenilen kalite, güvenlik ve hukuksal ihtiyaçlara cevap vermesini temin eder.

CobiT süreç değil kontrol esaslıdır bu yüzden kurumların neler yapmaları gerektiği ile ilgilenir ama bunları nasıl yapmaları gerektiği ile ilgilenmez.

1996 yılından ilk olarak yayımlanan CobiT standartları 2007 yılında CobiT 4.1v olarak güncellenmiş ve halen CobiT 4.1v birçok kurum ve kuruluş tarafından kullanılmaktadır. ISACA tarafından 2012 yılı Q1 sonunda CobiT 5 ’in yayımlanması beklenmektedir.

ISACA tarafından yorumlanması ve değerlendirilmesi amacı ile CobiT 5 draft olarak yayımlanmıştır. Bu draft versiyonun 2012 yılı Q1 sonu gibi yayımlanması beklenen final versiyona yakın olacağı düşünülmektedir.

Bu yazımızda CobiT 4.1v ile CobiT 5 arasındaki temel farklılıklara ve CobiT 5 ile gelen bazı yeni değişikliklere göz atacağız.

CobiT 5 üç adet kitapçık olarak tasarlanmıştır. Önceki versiyonlara göre daha kapsamlı ve uzun bir doküman olduğunu gözlemliyoruz.

1.       CobiT Çerçevesi (The Framework)

2.       Süreç Referans Rehberi (Process Reference Guide)

3.       Uygulama & Kurumsal BS Yönetişimin Sürekli Geliştirme (Implementing & Continually Improving Enterprise Governance of IT)

1.       CobiT Çerçevesi (The Framework)

CobiT çerçevesi toplam 5 ana prensip den oluşmaktadır.

·         Prensip 1: COBIT 5 INTEGRATOR FRAMEWORK—ARCHITECTURE

·         Prensip 2 & 3: STAKEHOLDER VALUE‐DRIVEN AND BUSINESS‐FOCUSSED

·         Prensip 4: COBIT 5 ENABLERS FOR GOVERNANCE AND MANAGEMENT

·         Prensip 5: GOVERNANCE‐ AND MANAGEMENT‐STRUCTURED

CobiT çerçevesini oluşturan 5 prensibi özetle inceleyelim:

Bütünleyici Çerçeve (Integrator Framework)

Val IT, Risk IT, BMIS ve ITAF standartlarını içeren ve diğer IT standartları (ISO, TOGAF, PMBOK ve ITIL) ile bütünleşmiş bir yapı oluşturulması anlatılmaktadır.

Paydaş Değerlerine Odaklı (Stakeholder Value Driven)

Organizasyonun var oluş amacı paydaşlar için değer oluşturmasıdır. Bu yüzden yönetişim objektiflerinden bir tanesi de değer oluşturmaktır. Değer oluşturulması faydalarının realize edilmesi, kaynakların optimize kullanılması ve risklerin optimize edilmesi şeklinde olmalıdır.

Paydaş Değerlerine Odak İçeriği:

·         Risk Optimizasyonu

·         Kaynak Optimizasyonu

·         Fayda Farkındalık

İş ve Bağlam Odaklı (Business and Context Focussed)

Bir iş odaklı olması, kurumsal amaç ve hedeflere odaklanan anlamına gelir. Bu faydaları gerçekleştirilmesi, risk optimizasyonu ve kaynak optimizasyonu için her işletmenin amacı ile ilgilidir. COBIT 5 kritik iş elemanları, yani süreçleri, organizasyon yapıları, ilke ve politikalar, kültür, beceri ve servis yeteneklerini kapsar. Buna ek olarak, yeni bilgi modeli basit bir iş bilgi ve BT fonksiyonu arasında bir bağlantı sağlar.

Etkinleştirici Tabanlı (Enabler Based)

Yönetişim için kullanılan organizasyon araçlar (çerçeveler, ilkeler, yapılar, süreç ve uygulamalar) yönetişim kolaylaştırıcılar olarak tanımlanır. Yönetişim tüm organizasyonlar için uygulanabilir, ve işletmenin, maddi veya maddi olmayan tüm varlıklarına uygulanabilir.

Yönetişim ve Yönetim (Governance and Management Structured)

CobiT 5 Yönetişim ile Yönetim kavramları net olarak ayırmaktadır. Yenilik olarak göze ilk çarpan özelliklerden bir tanesidir.

Yönetişim (Governance) : Üst yönetim takımının kurumsal hedeflere ulaşılması için sponsorluk sunması ve doğru kararların verilmesini sağlamasıdır.

Yönetim (Management) : Yönetişim tarafından belirlene çalışma stratejisi doğrultusunda kaynakların, insan kaynaklarının, süreçlerin ve uygulamaların efektif olarak kullanılmasının sağlanmasından sorumludur.

Proses Kapasite Modeli (Process Capability Model)

CobiT 5 ile birlikte CobiT 4.1v tarafından kullanılmakta olan “Maturity Model” değiştirilmiştir. Proses kapasite değerlendirme standardı olarak ISO/IEC 15504 standardı kullanılmıştır.

Seviye                  Açıklama

0                    Eksik

1                    Gerçekleşen

2                    Yönetilen

3                    Kurulu

4                    Tahmin Edilebilen

5                    Optimize

2.       Süreç Referans Rehberi (Process Reference Guide)

Süreç Referans Rehberi içerisinde mevcut CobiT 4.1v,Val IT ve Risk IT süreçlerini kapsayacak şekilde kapsamlı bir doküman olarak oluşturulmuştur. Val IT ve Risk IT ISACA tarafından ilk yayımlandığından beri gereken ilgi ve alakayı görmemiştir. ISACA tarafından Val IT ve Risk IT CobiT 5’in içerisine doğrudan eklenmiştir. ISACA tarafından favori olmayan Val IT ve Risk IT bu şekilde biraz daha göz önüne alınmaya çalışılmaktadır.

Süreç Referans Rehberi her bir süreç için :

·         Proses Adı, Alanı ve Domain

·         Proses Tanımı

·         Proses Amaç İfadesi

·         IT İlişkili Hedefler ve Metrikler

·         Proses Hedefleri ve Metrikleri

·         RACI Tablosu

·         Proses (Yönetişim veya Yönetim) Aktiviteleri, Gidiler/Çıktılar bulunmaktadır.

Proseslerin girdi/çıktıları (inputs / outputs) detaylı olarak Süreç Referans Rehberi içerisinde ele alınmıştır.

Mevcut süreçlerin isimlerinde/kapsamlarında değişiklik yapılmış ve bu dört sürecin üzerinde bir adet yeni kurumsal yönetişim süreci oluşturulmuştur.

12 adet APO başlığı içerisinde, 8 adet BAI başlığı içerisinde, 8 adet DSS başlığı içerisinde, 3 adet MEA başlığı içerisinde ve tüm bu dört başlığı çevreleyen 5 adet EDM başlığı içerisinde olmak üzere toplam olarak 36 adet süreç tasarlanmıştır.

CobiT 5 süreçlerin oluşturulmasında farklı bir tarz izleyerek, ilk aşamada süreçleri iki alana ayırmaktadır. Yönetişim Süreçleri ve Yönetim Süreçleri.

Yönetişim Süreçleri:

Değerlendirme, Yönetme & İzleme (Evaluate, Direct and Monitor)

·         EDM1 - Yönetişim Çerçevesini Belirle ve Yaşat

·         EDM2 - Değer Optimizasyonu

·         EDM3 - Risk Optimizasyonu

·         EDM4 - Kaynak Optimizasyonu

·         EDM5 - Paydaşların Şeffaflığı

Yönetim başlığında mevcut domainler korunmuş ve isimleri güncellenmiş ve içeriklerinde eklemeler ve/veya çıkarımlar yapılmıştır. CobiT 5 Yönetim başlığında dört adet domain bulunmaktadır.

Yönetim Süreçleri:

·         Hizala, Planla ve Organizasyonu Oluştur (Align, Plan and Organise)

·         Geliştirme, Tedarik ve Kurulum (Build, Acquire and Implement)

·         Hizmet Sunumu, Servis ve Destek (Deliver, Service and Support)

·         İzleme, Değerlendirme ve Sağlama (Monitor, Evaluate and Assess)

CobiT 5 içerisinde birleştirilen süreçler:

·         DS7 süreci PO7 ile birleştirilmiştir

·         PO6 süreci PO1 ile birleştirilmiştir

·         PO2 süreci PO3 ile birleştirilmiştir

·         AI2 süreci AI3 ile birleştirilmiştir

·         DS12 süreci DS5 ile birleştirilmiştir

CobiT 5 içerisinde yeni domain’e atanan süreçler:

·         ME4 süreci EDM1, 2, 3, 4, 5 olarak belirlenmiştir.

CobiT 5 içerisinde yeri değişen süreçler:

·         PO1 süreci yeni yapıda APO2 başlığı altına alınmıştır.

·         PO4 süreci yeni yapıda APO1 başlığı altına alınmıştır.

CobiT 5 içerisinde tamamen yeni olan süreçler:

·         EDM1 Yönetişim Çerçevesini Belirle ve Yaşat

·         APO1 BS Yönetim Çerçevesini Tanımla

·         APO4 Yeniliklerin Yönetimi (kısmen PO3)

·         APO8 İlişkilerin Yönetimi

·         BAI8 Bilgi Birikimi Yönetimi

·         DSS2 Varlıkların Yönetimi (kısmen DS9)

·         DSS8 İş Süreçleri Kontrollerinin Yönetimi

ISACA IT tarafından kullanılan standartlar içerisinde bulunmayan IT Yönetişim olgusunu fark etmiş ve bunu ISO 38500 standardını kullanarak yeni oluşturduğu CobiT 5 yapısına eklemiştir. IT Yönetişiminde üç seviye bulunmaktadır:

·         Yönetişim(Değerlendir, Yönet, İzle)

·         Yönetim (Planla, Oluştur, Çalıştır, İzle)

·         Operasyon (Planla, Yap, Kontrol Et, Harekete Geç)

3.       Uygulama & Kurumsal BS Yönetişimin Sürekli Geliştirme (Implementing & Continually Improving Enterprise Governance of IT)

Cobit 4.1v lifecycle yaklaşımı (Implementing and Continually Improving IT Governance) güncellenerek mevcut versiyondan CobiT 5 versiyona geçiş çalışmalarını kapsayan bir dokümandır.

Özetle, CobiT 5 önceki sürümlerde tanımlanmış süreç modelleri üzerine kurulmaktadır. Mevcut süreçlerin birleştirilmesi ve/veya başka bir başlık altına alınması sağlanmış ve IT Yönetişim ve Yönetim başlıklarını içeren bir çerçeve oluşturulmuştur. Seviye 2 olgunluk seviyesinde olan kurumların CobiT 4.1v den CobiT 5 ‘e geçişlerinin kolay olacaktır. Seviye 1 ve altında olgunluk seviyesi bulunan kurumların doğrudan CobiT 5 çerçevesi için çalışmaları ve olgunluk seviyelerini yeni çerçeveye göre oluşturmaya çalışmaları daha hızlı sonuç almalarına ve daha az maliyetli olacaktır.

CobiT 4.1v süreçleri uygulayan bir organizasyon öncelikle CobiT 4.1v süreçlerinin uyumunu sağlamalı ve daha sonrasında CobiT 5 ile süreçlerini hizalamalıdır. Sistem Yönetimi ve Çerçeve Yönetişimi algıları birçok organizasyon için tamamen yeni bir anlayıştır. Sistem Yönetimi ve Çerçeve Yönetişimi ile ilgili olarak temel bir yaklaşım oluşturmasını gerektirmektedir. Bu yaklaşımda yöneticilerin nasıl planlama yapacağı, nasıl organize edeceği, nasıl yöneteceği ve nasıl gerekli olan performansı göstereceği belirlenmelidir.

Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliğine göre bağımsız denetim ekipleri tarafından yapılacak olan denetimlerde denetim döneminin başlangıcı itibariyle (ISACA) Bilgi Sistemleri Yönetişim Enstitüsü tarafından yayınlanmış olan güncel versiyonun kullanılması gerekmektedir.

BDDK tarafından bankaların denetimi kapsamında kullanılan CobiT, güncellenmesi ile birlikte BDDK ve bağımsız denetim firmaları tarafında bankalara yönelik yapılan denetimlerin değişebileceği ön görülmektedir.

Merhaba arkadaşlar. IBM’in her ne kadar yeni olmasa da Microsoft’a rakip ürünü olan daha doğrusu SCOM’a rakip olan ürününden bahsedeceğim. Microsoft’un system Center ürün ailesine rakip bir ürün ailesindekilerden biri de diyebiliriz.

Bilmeyenler varsa bahsetmekte fayda görüyorum, IBM Tivoli ürünlerinin 400’e yakın ürünü mevcut. Artı ve eksisi bir tarafa gayet kullanışlı bir ürün olduğunu söyleyebilirim ve de detaylı. Tabi ki kıyaslama yapacak olursak da IBM in Tivoli ürünleriyle ilgili detaylı bir bilgi almak isterseniz bunlarla ilgili doküman, kaynak bulabileceğiniz tek adres o da http://publib.boulder.ibm.com/infocenter. Tabi ki İngilizce de gerekiyorJ

IBM Tivoli (ITNM) ürünü ne iş yapar

ITNM kısa adıyla,  networkümüzde bulunan cihazlarımızın discover işlemlerini yapar. Bunlarla ilgili sıkıntıları monitör etmemize ve eğer ki networkümüzde 100,200 değil 1000,2000 tane router, switch imiz varsa işte bu noktada devreye girer ve bu cihazlarla ilgili detaylı bilgiye ulaşırız.

Ana ekran görüntüsü

Öncelikle şuna da açıklık getirmek gerekirse bu tarz ürünlerde kullandığımız terimler açısından Microsoft tarafında da olsun ajan kelimesini kullanırız, “ajanı gönderdik mi, kullanıcı ajanı yedimi, aldı mı?” vb. nedir bu ajan sorusuna cevap vermek gerekirse ajan dediğimiz durum şu:

Hangi olayı monitör etmek istiyorsanız networke ekliyorsunuz ve makine onu ilgilendiren scripti buluyor ve çalıştırıyor diyebiliriz.

ITNM kurulum işlemleri ve gereksinimler

ITNM kurulum aşaması ise size kalmış. İster Microsoft işletim sistemlerine ITNM kurabilirsiniz ya da Linux tabanlı bir işletim sistemine. Şu dipnotu da düşmekte fayda var. Eğer ki centos, ubuntu tarzı işletim sistemlerine kuracak olursanız destek alma ihtimaliniz çok zayıf, hatta yok diyebilirim. Bu nedenle Red Hat sürümlerine kurmanızda fayda var.

Linux kullanmayı bilmiyorsanız direk Microsoft işletim sistemi üzerine kurabilirsiniz. Tabi bunu Microsoft taki gibi direk download etme şansınız yok. Partner üyeliği gerekiyor, sonrasında ise gerekli tool ları indirip deneyebilirsiniz.

Kullanılan Portlar

Kullandığı portlardan biraz bahsetmek istiyorum. ITNM network teki cihazları discover ederken kullandığı port SNMP portudur yani 161 nolu port.

Tabi ki kullandığı diğer portlar ise 22-23-161-162-16310 http(Default port for the Tivoli Integrated Portal.) ve 16311 https (Default secure port for the Tivoli Integrated Portal.). Eğer ki ITNM’e TIP(Tivoli Integrated Portal) web ara yüzünden bağlanmak istiyorsanız bu portların açılması gerekiyor.

Diğer bir konu ise şu. Firmaya gittiniz haydi kuruluma başlayayım durumu söz konusu değil. Öncelikle o firmadaki network yapısını bilmeniz gerekiyor. Neden mi? ITNM’in işi neydi? Network cihazlarını discover etmek, discover etmek için hangi portu kullanıyor SNMP portunu. Discover edeceği makinelerin snmp portlarının açık olup olmadığını kontrol etmeniz ya da oradaki networkten sorumlu kişiye check ettirmeniz gerekiyor. Tabi ki check ettirdiğinizde snmp nin açık demesi yetmeyecektir. Eğer ki o firmada bir firewall varsa ve sizde o makineye ulaşamıyorsanız bunu o işle ilgilenen kişiye kanıtlamanız gerekecektir. Yoksa oradaki işiniz hiç bitmeyecektirJ.

Biraz network bilgisi gerekeceğinden emin olabilirsiniz.

Bir üstteki ekranda iç networkte discover edilen cihazların hangi subnette bulunduğunu ve o subnette hangi makinelerin bulunduğunu görebilirsiniz. Şunu da belirtmek isterim ki ITNM serverlarınızı discover etmez! Kavuniçi rengiyle belirtmiş olduklarım ise o networkteki herhangi bir cihaza erişemediğimi, discover edemediğini gösterir. Muhtemelen o subnetteki cihazlara erişim bir yerlerde engelleniyor diyebiliriz ya da o subnette bir cihaz yok.

Diğer kırmızı olanlar ise, bize ITNM in sağlıklı çalıştığını gösteriyor diyebiliriz. ITNM görevi de bu zaten değil mi? Bize network cihazlarındaki hataları gösterir yani monitör eder. Hangi ip de ne sorun olduğunu aşağıdaki ekran görüntüsünde görebilirsiniz.

Bir sonraki makalede görüşmek dileğiyle,

Altıncı JunOS makalemizde, JunOS işletim sistemli bir Juniper SRX 3400 Firewall üzerinde NAT(Network Address Translation) konfigürasyonlarının nasıl gerçekleştirileceğini inceleyeceğiz.

IPv4 adreslerinin yetersizliğine çözüm olarak geliştirilmiş NAT fonksiyonu sayesinde internet ortamında kullanılan gerçek IP’ler (public) ve lokal ağda kullanılan özel IP’ler (private) arasında dönüşüm ve dolayısıyla iletişim mümkün olabilmektedir. Bu sayede zaten yetersiz kalan public IP’lerin lokal ağlarda kullanılmalarının önüne geçilmiş olmaktadır.

Private IP olarak kullanılabilecek IP blokları şu şekildedir:

Tüm firewall’larda özünde iki çeşit NAT konfigürasyonu gerçekleştirilmektedir. Bir tanesi Source NAT ve diğeri Destination NAT’tır. Yani lokal ağınızdaki sistemlerinizin internet ortamına erişimlerinde Source NAT tanımı yapılandırılmalıyken, internet ortamından lokal ağınızda publish ettiğiniz sistemlerinize erişimler için de destination NAT konfigürasyonu yapılandırılmalıdır.

Bu iki NAT tanımının haricinde bir de Static NAT vardır ki aslında görevi destination NAT’lık yapmaktır. Farklarını ve kullanımını ilerleyen sayfalarda inceleyeceğiz.

NAT

1 – Source NAT
2 - Destination NAT
i- Destination NAT
ii- Static NAT

NAT konfigürasyonları yapılandırılırken paketlerin source ve destination IP’leri için dönüşümler sağlanabildiği gibi port dönüşümleri de mümkün olabilmektedir(Port Address Translation - PAT).

Aşağıdaki topolojiye göre yapacak olduğumuz örnek konfigürasyonlarla JunOS CLI’ında NAT yapılandırmasını inceleyelim:

1 – Source NAT

Source NAT Örnek-1:

TRUST zone’undaki 192.168.1.11 IP’li bilgisayar internete 5.10.15.11 IP’si ile NAT’lanarak çıkış yapsın.

Source NAT Örnek-2:

TRUST zone’undaki diğer tüm bilgisayarlar 5.10.15.12 ve 5.10.15.13 IP’leriyle çıkış yapsın. (İki IP’den oluşan bir Pool’un kullanımı)

Bunun için yapacak olduğumuz Source NAT konfigürasyonları aşağıdaki gibi olmalıdır:

Örnek-1:

Rule-Set Tanımlanmalı (Kaynağı TRUST hedefi UNTRUST olacak T_to_U isimli bir rule-set tanımlayalım )

{primary:node0}[edit]
sensoy@Semerkand-Fw1# set security nat source rule-set T_to_U from zone TRUST
sensoy@Semerkand-Fw1# set security nat source rule-set T_to_U to zone UNTRUST

Pool Tanımlanmalı (Sensoy-pool isimli bir pool tanımlayalım)

{primary:node0}[edit]
sensoy@Semerkand-Fw1# set security nat source pool Sensoy-pool address 5.10.15.11/32

Rule Tanımlanmalı

{primary:node0}[edit]
sensoy@Semerkand-Fw1# set security nat source rule-set T_to_U rule Sensoy-rule match source-address 192.168.1.11/32
sensoy@Semerkand-Fw1# set security nat source rule-set T_to_U rule Sensoy-rule match destination-address
0.0.0.0/0
sensoy@Semerkand-Fw1# set security nat source rule-set T_to_U rule Sensoy-rule then source-nat pool
Sensoy-pool

Örnek-2:

Rule-Set Tanımlanmalı

T_to_U isimli bir rule-set bir önceki örnekte zaten tanımlanmıştı.

Pool Tanımlanmalı (All-Clients-pool isimli bir pool tanımlayalım)

{primary:node0}[edit]
sensoy@Semerkand-Fw1# set security nat source pool All-Clients-pool address 5.10.15.12/32 to 5.10.15.13/32

Rule Tanımlanmalı

{primary:node0}[edit]
sensoy@Semerkand-Fw1# set security nat source rule-set T_to_U rule All-Clients-rule match source-address
0.0.0.0/0
sensoy@Semerkand-Fw1# set security nat source rule-set T_to_U rule All-Clients-rule match destination-address 0.0.0.0/0
sensoy@Semerkand-Fw1# set security nat source rule-set T_to_U rule All-Clients-rule then source-nat pool All-Clients-pool

Source NAT konfigürasyonunda pool tanımı kullandığımız iki örneği yukarıda gördük. Pool tanımının haricinde, Source NAT IP değeri olaral UNTRUST interface’inin IP’si de kullanılabilir.

sensoy@Semerkand-Fw1# set security nat source rule-set T_to_U rule All-Clients-rule then source-nat interface

Ya da Source NAT kullanılmasın da denilebilir.

sensoy@Semerkand-Fw1# set security nat source rule-set T_to_U rule All-Clients-rule then source-nat off

2 – Destination NAT

i- Destination NAT

Destination NAT Örnek-1:

192.168.2.1 IP’li Web sunucumuz üzerinde geliştirilmiş sayfamızı dışarıdan 5.10.15.80 IP’si ile erişilebilir hale getirmek için(Web Publishing) Destination NAT tanımı yapalım.

Destination NAT Örnek-2:

192.168.5.1 IP’li SFTP sunucumuzu dışarıdan SSH portundan ve 5.10.15.22 IP’si ile erişilebilir hale getirmek için Destination NAT tanımı yapalım.

Örnek-1:

Rule-Set Tanımlanmalı (Kaynağı UNTRUST olacak U_DNAT isimli bir rule-set tanımlayalım )

{primary:node0}[edit]
sensoy@Semerkand-Fw1# set security nat destination rule-set U_DNAT from zone UNTRUST

Pool Tanımlanmalı (Web-pool isimli bir pool tanımlayalım)

{primary:node0}[edit]
sensoy@Semerkand-Fw1# set security nat destination pool Web-pool address 192.168.2.1/32
sensoy@Semerkand-Fw1# set security nat destination pool Web-pool address port 80

Rule Tanımlanmalı

{primary:node0}[edit]
sensoy@Semerkand-Fw1# set security nat destination rule-set U_DNAT rule Web–rule match source-address 0.0.0.0/0
sensoy@Semerkand-Fw1# set security nat destination rule-set U_DNAT rule Web–rule match destination-address 5.10.15.80/32
sensoy@Semerkand-Fw1# set security nat destination rule-set U_DNAT rule Web–rule match destination-port 80
sensoy@Semerkand-Fw1# set security nat destination rule-set U_DNAT rule Web–rule then destination-nat pool
Web-pool

Örnek-2:

Rule-Set Tanımlanmalı

U_DNAT isimli bir rule-set bir önceki örnekte zaten tanımlanmıştı.

Pool Tanımlanmalı (SFTP-pool isimli bir pool tanımlayalım)

{primary:node0}[edit]
sensoy@Semerkand-Fw1# set security nat destination pool SFTP-pool address 192.168.5.1/32
sensoy@Semerkand-Fw1# set security nat destination pool SFTP-pool address port 22

Rule Tanımlanmalı

{primary:node0}[edit]
sensoy@Semerkand-Fw1# set security nat destination rule-set U_DNAT rule SFTP–rule match source-address 0.0.0.0/0
sensoy@Semerkand-Fw1# set security nat destination rule-set U_DNAT rule SFTP–rule match destination-address 5.10.15.22/32
sensoy@Semerkand-Fw1# set security nat destination rule-set U_DNAT rule SFTP–rule match destination-port 22
sensoy@Semerkand-Fw1# set security nat destination rule-set U_DNAT rule SFTP–rule then destination-nat pool SFTP-pool

2 – Destination NAT

ii- Static NAT

Destination NAT tanımında yaptığımız iki örneği şimdi de Static NAT ile gerçekleştirelim.

Örnek-1:

Rule-Set Tanımlanmalı

{primary:node0}[edit]
sensoy@Semerkand-Fw1# set security nat static rule-set U_StNAT from zone UNTRUST

Rule Tanımlanmalı

{primary:node0}[edit]
sensoy@Semerkand-Fw1# set security nat static rule-set U_StNAT rule Web–rule match destination-address 5.10.15.80/32
sensoy@Semerkand-Fw1# set security nat static rule-set U_StNAT rule Web–rule then static-nat prefix 192.168.2.1/32

Örnek-2:

Rule-Set Tanımlanmalı

U_StNAT isimli bir rule-set bir önceki örnekte zaten tanımlanmıştı.

Rule Tanımlanmalı

{primary:node0}[edit]
sensoy@Semerkand-Fw1# set security nat static rule-set U_StNAT rule Web–rule match destination-address 5.10.15.22/32
sensoy@Semerkand-Fw1# set security nat static rule-set U_StNAT rule Web–rule then static-nat prefix 192.168.5.1/32

Destination NAT ile Static NAT arasındaki en büyük fark, Static NAT konfigürasyonunda port tanımlama imkanının bulunmamasıdır. Tanımlanan NAT, tüm port’lar için geçerli olacaktır.

Ayrıca, Static NAT tanımlanmış bir Server, dışarıya da aynı IP ile NAT’lanıp çıkar. Bizim örneğimizde Web Server için

5.10.15.80 ß à192.168.2.1 şeklinde bir Static NAT tanımı yaptık. 192.168.2.1 IP’li Web sunucumuz, internete erişim gerçekleştirdiğinde de IP’si 5.10.15.80 olarak görülecektir. Farklı bir IP ile NAT’lanıp çıkması mümkün olmayacaktır.

Proxy-ARP Konfigürasyonu

İster Source isterse de Destination( Destination & Static) NAT tanımı gerçekleştirilsin, NAT konfigürasyonunda tanımlanan tüm IP’ler için Proxy-ARP tanımı yapılmak zorundadır. Bizim örneklerimizde kullandığımız Public IP’ler şunlardı:

5.10.15.11/32
5.10.15.12/32
5.10.15.13/32
5.10.15.80/32
5.10.15.22/32

Bu beş IP için yapılması gereken Proxy-ARP konfigürasyonu aşağıdaki gibi olmalıdır:

{primary:node0}[edit]
sensoy@Semerkand-Fw1# set security nat proxy-arp interface reth1.0 address 5.10.15.11/32
sensoy@Semerkand-Fw1# set security nat proxy-arp interface reth1.0 address 5.10.15.12/32
sensoy@Semerkand-Fw1# set security nat proxy-arp interface reth1.0 address 5.10.15.13/32
sensoy@Semerkand-Fw1# set security nat proxy-arp interface reth1.0 address 5.10.15.80/32
sensoy@Semerkand-Fw1# set security nat proxy-arp interface reth1.0 address 5.10.15.22/32

Son olarak, Destination NAT tanımı yaptığımız Web Server için yazılacak policy örneğiyle makalemizi sonlandıralım. Dikkat edilmesi gereken husus, policy’nin destination-address kısmında public IP değil private IP tanımlanması gerektiğidir. Yani destination-address kısmında 5.10.15.80 değil, 192.168.2.1 IP’si yazılmalıdır.

{primary:node0}[edit]
sensoy@Semerkand-Fw1# set security policies from-zone UNTRUST to-zone WEB policy WebSayfasi-Erisim match source-address any
sensoy@Semerkand-Fw1# set security policies from-zone UNTRUST to-zone WEB policy WebSayfasi-Erisim match destination-address WEB_Server-192.168.2.1
sensoy@Semerkand-Fw1# set security policies from-zone UNTRUST to-zone WEB policy WebSayfasi-Erisim match application junos-http
sensoy@Semerkand-Fw1# set security policies from-zone UNTRUST to-zone WEB policy WebSayfasi-Erisim then permit
sensoy@Semerkand-Fw1# set security policies from-zone UNTRUST to-zone WEB policy WebSayfasi-Erisim then log session-close

Hoşçakalın.

Bu yazıda, Windows Azure bulut servislerinden SQL Azure bulut veritabanı hizmetinin yapılandırılmasına değineceğiz. Öncelikli olarak http://windows.azure.com adresinden Windows Azure Management Portal’e Windows Live ID’miz ile giriş yapıyoruz. Giriş yapınca karşımıza çıkan sol taraftaki sekmelerden Database sekmesi tıklıyoruz. SQL Azure veritabanının temel yönetim ayarları buradan yapılmaktadır. Kayıtlı subscription’ımızı seçili hale getirip Ribbon’dan Create’e basıyoruz.

Yeni veritabanı sunucumuz için bir lokasyon seçimi yapmamız isteniyor: West Europe. Daha sonra administrator hesabının login adı ve şifresini giriyoruz: pavelsqltest. Sonraki adımda, sunucuya erişim için izin verilen güvenlik duvarı ayarlarını yapılandırmamız gerekmekte. Windows Azure ortamında host edilen bir uygulamanın SQL Azure veritabanına erişebilmesini sağlamak için alt tarafta yer alan Allow other Windows Azure services to access this server kutusunu seçili hale getirmeliyiz. Add butonuna basarak, sunucuya erişim yapabilecek makinaların IP adresi ve/veya IP adres aralığını belirtmeliyiz. Son olarak Finish’e basarak sunucumuzun yaratılması işini tamamlıyoruz.

Sunucu adı otomatik olarak atanıyor ve altında master veritabanı yine otomatik olarak yaratılıyor. Yeni bir veritabanı yaratmak için Ribbon’dan Create’e basıyoruz. Veritabanımız için bir isim belirleyip Web veya Business sürümünü ve ihtiyaç duyduğumuz üst boyut limitini tanımlıyoruz. Sürüm ve boyutların farklı ödeme koşullarına tabi tutulduğunu unutmayın. OK’ bastıktan sonra yeni veritabanımızın yaratıldığını görmekteyiz: pavelsqltestdb. Test Connectivity’e tıklayarak erişim testi yaptırabiliyoruz.

SQL Azure veritabanımızı yönetmek için birbirini tamamlayan iki yöntem sunuluyor. Birincisi yine Silverlight tabanlı bir web arayüzü, diğeri bilgisayarımıza yüklediğimiz standart SQL Server Management Studio yazılımı. Her ikisinde yapmamıza izin verilen işlevler kısıtlı ve birbirini tamamlayan cinsten. İlk olarak web arayüzüne bakalım. Yeni oluşturduğumuz veritabanı seçili durumdayken Ribbon’dan Manage’e tıklıyoruz. https://manage-am2.sql.azure.com adresine yönlendirildiğimizi görmekteyiz. Çıkan ekrandan sunucu adresi, veritabanı adı ve administrator hesabının login adı ve şifresini girip Connect’e tıklıyoruz.

Başarıyla gerçekleştirdiğimiz bağlantının ardından yine Ribbon’dan New Table’a tıklayarak yeni bir tablo oluşturmak işlemlerine geçiyoruz. Tablomuzun sütun bilgilerini, int değeri tutan ID isimli bir sütun; isim ve soyisim bilgilerini içerecek olan nvarchar değeri tutan iki sütun olarak oluşturup Save’e tıklıyoruz. Tablomuzun Design modundayken ihtiyaç duyduğumuz tüm ayarları Access benzeri bir arayüzle kolaylıkla yapabilmekteyiz. Data moduna geçtiğimizde ise manüel olarak veri girişi yapıyoruz. Row’a tıklayarak yeni bir satır oluşturuyoruz ve ID olarak 1, isim olarak pavel, soyisim olarak slavov girdikten sonra Save’e tıklıyoruz.

Tablomuzdaki verilere ulaşıp ulaşamadığımız test etmek için Database sekmesinden New Query’e tıklayıp yeni bir sorgu başlatıyoruz: select * from dbo.testtable1. Execute’e bastığımızda “pavel slavov” verisinin başarıyla tablomuzdan çekildiğini gözlemlemekteyiz.

Yönetim için kullanabileceğimiz ikinci yöntem ise bildiğimiz SQL Server Management Studio. Connect to Server penceresinde, Server Type olarak Database Engine, Server Name yerine windows.net ile biten sunucu adını, Authentication metodu olarak SQL Server Authentication, Login ve Password yerine gerekli bilgileri tanımladıktan sonra Connect’e basarak bulutta çalışan veritabanımıza erişebiliyoruz.

Bulutta çalışan veritabanımızı, bir önceki yazıda (“Windows Azure: Yönetim Paneli ve İlk Bulut Uygulaması”) oluşturduğumuz bulut uygulamamıza basitçe bağlamak için, Visual Studio’dan PavelsCloudApp isimli projemizi açalım. Default.aspx sayfasına Toolbox yardımıyla bir GridView ekleyelim. GridView’un Choose Data Source kısmından Add New Data Source’a girelim ve SQL Database seçip bir ID girelim: Cloud DB. Sıradaki ekrandan New Connection’a tıklayalım. Server Name yerine windows.net ile biten sunucu adını, Authentication metodu olarak SQL Server Authentication, Login ve Password yerine gerekli bilgileri tanımladıktan sonra, Select or enter a database name’den pavelsqltestdb’yi seçelim ve OK’e tıklayalım. Sonraki üç adımı da Next diyerek geçelim ve Finish’e tıklayarak sihirbazı bitirelim.

Önceki yazıda bahsedildiği gibi, projemizi Package olarak Publish edelim ve Management Portal’e dönelim. Hosted Service’imiz “Pavel’s Cloud App” seçiliyken Ribbon’dan New Staging Deployment’a tıklıyoruz. Deployment name olarak “Pavel’s Cloud App with Cloud DB” girdikten sonra .cspkg ve .cscfg dosyalarımızı tekrar seçip OK’e tıklıyoruz ve işlemin tamamlanmasını bekliyoruz.

Şu anda biri Staging biri Production ortamında çalışan iki adet bulut uygulamamız mevcut. Staging aşamasındakini test amacıyla kullanıp, Production ortamına geçirmeye karar verdiğimizde Ribbon’dan Swap VIP’e tıklıyıp çıkan pencereden OK diyoruz. Staging’teki uygulamamız ile Production’daki uygulamamız yer değiştirecek ve SQL Azure’a bağlı olana normal adresimizden erişirken, diğerine otomatik bir adres atanacaktır.

İşlemlerin sonunda, Windows Azure’da barındırılan ve SQL Azure veritabanından veri çekebilen bir bulut uygulamamız mevcut.

Umarım faydalı olmuştur.

Uzun bir süredir Microsoft ürünleri dışında makale yazmamıştım. Malum uzmanlık alanlarım dışında makale yazmayı pek seven bir insan değilim. Ancak sizlerle paylaşım yapmak istediğim ve gerçekten beğendiğim bir ürün hakkında önce kısa bir kullanım yazısı olarak hazırladığım karalamamı makale yapma kararı aldım. Ve bunun sonucu olarak sizlere bir NAS ürünü olan Thecus N4100PRO ürününün teknik bir makalesini yazdım.

Elimdeki ürün Thecus N4100PRO modeli. Aslında donanım olduğu için bazı noktalardaki özelliklerini direk kendi sitesindende ulaşabilirsiniz.

http://www.thecus.com/product.php?PROD_ID=17

Yani işin özü herkese açık olan bilgileri uzun uzadıya burada yazmak bana çok mantıklı gelmediği için ben makalemin bazı noktalarında link ile sizleri yönlendireceğim.

İlk olarak Thecus markası ve NAS kavramlarına değinmek istiyorum.

Network Attached Storage

NAS cihazı aslında LAN’a bağlı yüksek erişim hızında depolama yapabilen bir dosya sunucusudur. Genel kullanım için oluşturulmuş olan işletim sistemi, NAS cihazlarında sadece dosya paylaşımıyla ilgili işlemleri yapabilmek için sadeleştirilmiş, dosya I/O ‘ları (input/output) gerekli protokoller eklenmiş ve bu iş için optimize edilmiştir. NAS Server olarak da adlandırılan bu cihazlara her ne kadar sonuna “Server”ibaresi ekleniş olsa da yanılıp veri depolayıp paylaşıma açmaktan daha başka özellikler (DNS Server, DHCP Server) kazandırmak mümkün değildir. ( Not; gelişen teknoloji ve rekabet nedenleri ile makalenin yazıldığı dönemdeki bazı şartlar ilerleyen zamanlarda değişkenlik gösterebilir. Zamanında print server özelliği olmayan ADSL modemlere zaman içerisinde bu özelliğin bile eklenmesi gibi örnek verebiliriz ).

Bir NAS cihazı alttaki bileşenlerden oluşur.

•Bir ya da daha fazla network kartı. (Örn: Gigabit Ethernet, Fast Ethernet, ATM vb.)

•Network File Systems (NFS) ya da Common Internet File Systems (CIFS)

•Patentli; Windows, Linux ya da Unix tabanlı işletim sistemi.

•Fiziksel diskleri bağlayıp yönetmek için endüstri standardı protokoller (SATA,SCSI, Fibre Channel)

NAS cihazları çoklu dosya servisi protokollerini desteklemekle birlikte bunların en genel olanları NFS ve CIFS’tir.

NFS; Sun tarafından geliştirilmiş olup Unix tabanlı işletim sistemleri tarafından kullanılır. Bilgisayarlar arası haberleşme için Remote Procedure Call (RPC; Microsoft’un çevirisine göre Uzak Yordam Çağrısı) servisini kullanır. Eğer dosya transferi için TCP/IP protocol yığını kullanılacaksa hem sunucuda hem de istemcide TCP/IP’nin kurulu olması gerekmektedir.

CIFS ise Microsoft ‘un Server Message Block (SMB) protokolünün public yani halka açılmış varyasyonudur. SMB genellikle LAN’lerde kullanılır ve FTP ve HTTP gibi varolan Internet uygulama protokollerinin tamamlayıcısı olarak gösterilebilir.

CIFS protokolü ile Client’lar;

•Local’deki ya da Server üzerindeki dosyalara erişip onlara read/write yapabilir.

•Unicode dosya isimleri kullanılabilir.

•Network hatalarında bağlantı otomatik olarak restore edilebilir.

•Diğer clientlarla özel kilitlerle dosya paylaşabilir.

Evet bu kadar temel NAS bilgisinin ardından Thecus markası hakkında da birkaç bilgi paylaşmak istiyorum.

Yedekleme teknolojileri ve çözümleri konusunda dünya lideri konumunda olan THECUS Intel Storage Cominity üyesidir.Merkezi Tayvan'de bulunan THECUS geniş ürün yelpazesine sahip NAS serverlar ve NVR lar ile dünya genelinde hızla büyümeye devam etmektedir.

Yine gartner sonuçlarına bakarak aslında QNAP gibi bu pazarda uzun süredir olan bir markaya göre hızlı bir yükseliş grafiği olduğunu söyleyebiliriz.

Gelelim incelemekte olduğum ürünün teknik detaylarına. Aslında incelemek biraz yanlış ifade olabilir çünkü bu ürünü ben bizzat kendim kullanmak için aldım. Yani bu nedenle detaylı bir inceleme yaptım ve sizlerle paylaşıyorum.

Cihazın internet üzerindende paylaşılan özellikleri aşağıdaki gibidir.

Hardware Platform

2. Software Functions

Baktığınız zaman pek çok NAS cihazı için standart özellikler sunmaktadır. Ancak benim bu ürünü seçmemdeki en önemli nedenleri sizlerle paylaşmak istiyorum.

İlk olarak RAID seçenekleri benim için çok önemli bir özellik ve ben RAID 10 kullanan bir bilgi sistemleri çalışanıyım ve bu üründe RAID tarafında RAID 0, 1, 5, 6,10, JBOD desteklemektedir.

Bir diğer önemli nokta ise elimde son derece karmaşık ve farklı sistemler bulunmaktadır. Bundan dolayı farklı bu sistemler için farklı disk kaynağı ihtiyaçları bulunmaktadır. Bu cihaz bu noktada da benim ihtiyaçlarımı karşılamaktadır. Desteklediği protokoller ise SMB/CIFS, HTTP/HTTPS, FTP, NFS, AFP dir.

Bir diğer güzellik ise kolay yedekleme. Acronis True image yazılımı ile entegre çalışan ve yedeklemenin son derece kolay gerçekleşmesini sağlayan bu cihaz beni bu noktada da etkilemeyi başardı.

Bu temel gereksinimlerin yanında sunduğu Multimedia özellikleri ise gerçekten dikkat çekici. iTunes Server, Photo Web Server ve Media Server özelliği bulunmaktadır.

Gelelim ürünün kullanımına.

Thecus NAS modellerinden farklı segmentler için ürün üretmektedir. Benim incelediğim ürün SMB olarak geçen KOBİ ler için bir üründür.

Tabiki bir KOBİ olup çok ciddi bir yedekleme veya veri saklama ihtiyaçlarınızın olması durumunda Enterprise serisine geçebilirsiniz.

İlk izlenim olarak ben ürünü başarılı buldum ancak plastik kalitesi daha iyi olmalıydı. Evet şık bir tasarımı var ancak kullanılan malzeme bence daha iyi olabilirdi. Bu tabiki biraz kullandığım seri ile alaklı. Neden derseniz ortalama 800$ lık bir NAS kullanıyorum ve malum NAS denince çok daha yüksek maliyetlere ürün temini söz konusu.

Aşağıdaki ürünü sadece örnek olması açısından sizlerle paylaşıyorum.

Daha üst seri bir ürün ve tabiki malzeme kalitesi daha iyi.

Gelelim kurulum aşamalarına.

İlk olarak kutu içeriğini inceleyelim.

Ardından kablolama kısmını tamamlayalım.

Kablolama kısmına geçmeden önce sizlere cihazın arka panelini özetlemek istiyorum.

Son derece anlaşılır bir arka panele sahip. USB bağlantı portları, iki adet ethernet girişi ve elektirik girişi bulunmaktadır. Bu bilgiler ışığında kablolamaları tamamlayabiliriz.

Cihazın ön panelinin detayları ise aşağıdaki gibidir.

Bu bilgilerin ardından temel kurulum adımları için iki seçeneğimiz bulunmaktadır. İstersek cihazın ön panelinde yer alan ekrandan ip adresini alıp aynı Network ID ye sahip bir bilgisayardan kablo ile arayüze girebilir veya kutu içeriğinde bizlere gönderilen CD içerisindeki ara yüz ile bağlanabiliriz.

Cihazın ön panelindeki ekranda aşağıdaki temel bilgilere ulaşabilirsiniz.

Arka bölümde iki adet ethernet girişi bulunmaktadır. Üst bölümdeki “1” numaralı giriş WAN olarak isimlendirilmekte olup varsayılan olarak IP adresi 192.168.1.100 dür. Hemen altındaki “2” numaralı giriş ise LAN olarak isimlendirilmekte olup varsayılan IP adresi 192.168.2.254 dür.

CD ile kurulum için aşağıdaki adımları takip edebilirsiniz.

Kurulum sonrası aşağıdaki gibi bir arayüz yardımı ile temel ayarları yapabilirsiniz.

Ancak ben bu yöntemi tercih etmiyorum ve direk olarak NAS cihazını network’ e bağlıyorum. Sonra bir browser üzerinden 192.168.1.100 ip adresine ulaşıyorum.

Bu karşılama ekranında ben ilk olarak yönetim adımlarını gerçekleştireceğim için en sol bölümde bulunan linke tıklıyorum.

Standart kurulumda şifre “admin” dir. Login işleminden sonra karşımıza aşağıdaki gibi bir arayüz çıkmaktadır.

Ben ilk olarak sahip olduğum cihazın Firmware yani yazılım sürümünü kontrol ediyorum ki sizede tavsiye ederim.

Elimdeki cihazın sürümü v3, ancak güncel sürüm v5. Bu nedenle en güncel firmware dosyasını internet üzerinden indiriyorum.

Firmware yükseltmesi için biraz detay bilgi gereklidir.

Öncelikle sizinde elinizdeki cihaz benim gibi v3 ise, ilk olarak bir RAID kümesi oluşturun. Bu RAID kümesinin disk sayısı veya boyutu yada hangi RAID modelini seçtiğiniz önemli değildir. Örneğin ben iki disk ile hızlı bir şekilde RAID 0 yaptım. Eğer bunu nasıl yapacağınızı bilmiyorsanız makalenin ilerleyen bölümlerinde değineceğim.

RAID kümesini tamamladıktan sonra indirdiğiniz dosyadan ilk olarak v3tov5 dosyasını kullanıyoruz.

Karşımıza çıkan uyarıya “OK” diyerek ilerliyoruz. Ancak burada çok önemli bir nokta var. İlk firmware yüklemesinin başarı ile sonuçlanmasının ardından cihazın yeniden başlatılması gerektiğine dair bir uyarı alacaksınız fakat sakın cihazı yeniden başlatmayın.

Bu uyarıya rağmen tekrar firmware sayfasına giderek bu sefer v5 firmware dosyasınıda yükleyin.

Bunu yaptığınız zaman 3.04.03 sürümünden 5.02.02 sürümüne geçiş yapmış olacaksınız. Bu işlemin sonunda da benzer bir uyarı gelecektir ancak bu sefer cihazı yeniden başlatmayı unutmayın J

Evet cihaz yeniden başladıktan sonra yeni firmware ile gelen ilk yenilik gözümüze çarpıyor, arayüzde yapılan değişiklikler.

Benzer şekilde admin panele giriş yapıyoruz ve güncel versiyon numarasını kontrol ediyoruz.

Bu sayede cihazımı şu anda en güncel firmware ile çalışmaya hazır. Bu işlem için geçici olarak oluşturduğunuz RAID yapısını silebilirsiniz.

Gelelim RAID konusuna. Benim elimde 1TB x 4 = 4 TB lık bir disk alanı bulunmaktadır ve herkesin ihtiyacı olarak farklı gereksinimlere göre farklı RAID yapıları kurabilirsiniz. Hatta 3 disk raid yapısında 1 disk spare yani raid yapısındaki disklerden birinin bozulması sonucu otomatik olarak onun yerine geçen disk olarak ayarlayabilirsiniz.

Şimdi gelelim RAID kümesi oluşturmaya

Yönetim panelinden “Storage” ana başlığı altında “RAID Management” linkine tıklıyoruz.

Ardından sağ bölümde yer alan “RAID Management” Başlığı altından “Create” diyerek yeni bir RAID kümesi oluşturuyoruz.

Create dedikten sonra ilk olarak yukarıdaki gibi bu RAID kümesine dahil edilecek diskleri seçiyoruz.Ben elimdeki yüm diskleri seçtim ve hiç spare ayırmadım.

Ardından bu menüde değişken olarak yani seçtiğiniz disk sayısına göre yapabileceğiniz RAID seçenekleri çıkacaktır. Bu RAID seçeneklerinin detayları ÇözümPark Bilişim Portalı üzerindeki makalelerde detaylandırıldığı için bir kez daha detaya inmiyorum ve ben RAID 5’ i seçerek ilerliyorum. Yani benim amacım RAID 5 mimarisi kurmak.

Bu RAID kümesine bir isim veriyorum. Eğer bu kümeyi şifrelemek ( Encryption ) bunun için bir şifre belirtmeniz gerekmektedir.

Hemen alt bölümde ise “Quick Raid” kutucuğu bulunmaktadır.

Thecus firması 3.03.00.4 sürümü ile birlikte Quick RAID özelliğini cihazlarına eklemiştir. Bu özellik normal bir RAID sürecine göre %70 daha az bir zamanda RAID kümesini oluşturmayı sağlamaktadır. Bunu tek şartı bu eklenen hard disklerin önceden formatlanmamış ve ya partition yapısına sahip olmamış olması gerekli, bir başka deyişle sıfır yani yeni satın alınmış bir HDD için kullanılan bir özelliktir.

Bu seçeneklerden sonra bir sonraki ekrana geçiyoruz.

Bu ekranda ise Stripe Size ve Dosya sistemi özelliklerine karar veriyoruz.

Stripe size aslında veri depolama ürünleri ile ilgilenenler için bilindik bir değerdir. Ancak ilk defa bu işler ile uğraşanlar için kısaca özetlemek istiyorum.

Örneğin siz iki disk ile bir RAID kümesi oluşturdunuz. Bu RAID kümesi RAID 0 olarak ayarlandı. Bu ne demektir ? Bu şu demektir, bilgisayarınızdan gelen her bir yazma isteği stripe size değerine göre ikiye bölünecek ve disklere yazılacaktır. Çünkü RAID 0’ ın özelliği budur. Yani gelen datayı disklere böler, bu sayede tek bir diskin yazma hızından daha hızlı hareket eder. Ancak bu aslında stripe size ile çok ilişikili bir durumdur.

Neden derseniz, şöyle düşünelim. Bu RAID kümesinde Stripe size olarak 64KB seçtiniz ve bilgisayarınız 128KB lik bir veriyi diske kayıt etmek istediği zaman RAID kartı bu veriyi ikiye böler ve 64KB bir diske, diğer 64KB ise diğer diske yazılır. Buraya kadar güzel çalışıyor. Benzer şekilde bu dosyayı okumak içinde her iki diske erişmek gereklidir.

Eğer sizin bu mimaride yazmak istediğiniz dosya 128KB değilde 1024KB ise bu durumda bu veri 16 parçaya bölünecek ve 8 – 8 yazılacaktır, bu da tabiki bir zaman alacaktır.

Veya durumu tam tersi düşünelim. Stripe size yüksek tuttuk diyelim ki 512KB. Yine bilgisayarınız 128KB lik bir veriyi kayıt etmek istediğinde bu veri hep bir diske yazılacaktır. Yani siz iki disk ile bir RAID kümesi kurdunuz ancak stripe size nedeni ile küçük veriler için sadece bir diski kullanıyorsunuz.

Özetlemek gerekirse stripe size Bir RAID kontrol kartının verileri RAID kümesi içerisindeki disklere yazarken veya bu disklerden okurken bu verileri ayırdığı parça boyutları olarak isimlendirilir. Bu size belirlenirken neye dikkat etmeliyiz ?

Eğer RAID kümesi ile sunacağınız disk alanı sanallaştırma veya video hosting vb büyük boyutlu dosyaları saklamak için kullanılacak ise eğer size tavsiyem stripe size yüksek olsun. Ancak file server ve benzeri küçük dosyaların yoğunlukta olduğu bir disk alanı ihtiyacınız var ise eğer bu durumda tavsiyem düşük boyutta seçim yapmanızdır.

Yine bu ekranda “Data Percentage” bölümü yer almaktadır. Buradaki yüzde değeri, oluşturacağınız bu RAID kümesinin ne kadarının Data için ne kadarının ISCSI kullanımına ayrılacağını belirlediğiniz yer. Eğer bu RAID kümesini ISCSI için tanımlıyorsanız bu değeri düşürmeniz gerekli.

Peki bu seçimide yapıp ilerliyoruz.

Yaptığımız seçimler ile ilgili bir özet bilgisi bize sunulmaktadır.

RAID kümesi oluşturulması sırasında tüm servislerin duracağına dair bir bilgi ve onay eklranı gelmektedir. Yes diyerek devam ediyoruz.

RAID kümesi oluşumunun başladığını bu pencereden anlıyoruz. Ama malum bu süreç uzun bir süreçtir. Kullandığınız disk boyutları ve RAID çeşitlerine göre farklılık göstermektedir. Örneğin ben 1TB x 4 disk ile RAID 5 yaptım ve tam 12 saat sürdü. J

Bu ekrandan ise RAID kümesinin ilerleyişini görebiliyoruz.

Peki disklerimizi artık bir RAID kümesine aldığımıza göre şimdi bunu şirket ortamı için kullanıma açmalıyız.

Elimizdeki cihazda pek çok özellik bulunmaktadır. Yani mevcut bu saklama alanını insanlara farklı şekillerde sunabiliriz. ISCSI üzerinden bazı sunucular için direk LUN bağlayabileceğimiz gibi, bir file server gibi ortak klasörler açabiliriz.

Ortak klasör kullanımı için kullanıcı yetkilendirmesini cihaz üzerinden açtığımız kullanıcı ve gruplar için yapılandırabileceğimiz gibi Active Directory mimarisi ile de entegre çalışmaktadır.

İlk olarak kullanıcı tanımlarını yapalım. Ben “Hakan” isminde bir kullanıcı açıyorum.

Burada açtığınız kullanıcıyı isterseniz öncesinden tanımladığınız gruplara üye yapabilirsiniz. Yani aynı windows ACL mantığı ile çalışmakta olup eğer domain ortamı yok ise cihaz üzerinde önce gruplar açıp sonra kullanıcıları bu gruplara üye yapıp, açacağınız paylaşımlara ise bu gruplar bazında yetki verebilirsiniz.

Ayrıca Thecus N4100Pro ile beraber Active Directory ortamında da çalışabilirsiniz. Bunun için “User and Group Authentication” sekmesindeki “ADS Support” sayfasında aşağıdaki gibi bir ayar yapabilirsiniz.

Yukarıda görüldüğü gibi Domain’ in NetBIOS ismini yazıyorum, ardından Domain Controller ismi, domain DNS ismi ve yetkili bir kullanıcı ile NAS cihazımı domain’ e almış oluyorum.

Bu bize artık tüm yetkilendirmelerde Active Directory kullanıcı ve gruplarını kullanmamızı sağlar.

Artık kullanıcı tarafını tamamladığımıza göre bir ortak klasör açalım.

Yukarıdaki şekilde N4100 ile beraber gelen standart dosya ve bunların paylaşım durumunu görebiliyoruz. Burada “Public” olarak paylaştırılan dosyalar için herhangi bir kimlik doğrulama istenmemektedir.

Ancak Public olmayan bir klasöre bağlanmak isterseniz sizden kimlik bilgisi istenecektir . Örneğin USBCOPY klasörü public değildir.

Ama istersem bunu ayarlarını değiştirebilirim.

Yukarıda görüldüğü gibi USBCOPY klasörü üzerine tıkladıktan sonra üst köşedeki ACL linkine tıklıyorum ve karşıma yukarıdaki ekran açılıyor. Buradan mevcut tanımladığım Hakan kullanıcısı için okuma yetkisi veriyorum. Veya hali hazırda AD ile entegre çalışan bir NAS cihazım olduğu için alt bölümdeki “Sync” butonu yardımı ile tüm AD kullanıcı gruplarını da çekebilirim.

Daha sonra istediğim yetkiyi veriyorum ve artık USBCOPY klasörü ulaşılabilir bir duruma geliyor.

Ben ise kendime yeni bir klasör oluşturacağım.

Klasörümün ismi “SanalMakineler” dir. Dikkat ederseniz ben bilerek Public seçtim ki aşağıdaki gibi bu klasör için ACL ayarlarının aktif olmadığını göstermek istiyorum.

Eğer Public olarak açtığınız bir klasörde yetkilendirme yapmak istiyorsanız “Edit” menüsü yardımı ile tekrar bunu public olmayan bir klasör haline getirebilirsiniz.

Sonra yine aşağıdaki ekranda olduğu gibi istediğiniz yetkiler verebilirsiniz.

Burada local bir kullanıcı olan “Hakan” kullanıcısına yazma yetkisi veriyorum.

Ardından \\192.168.1.100 yolundan bu klasöre girmek istediğim zaman bana bir kullanıcı bilgisi soruluyor, bende “Hakan” ve şifre “1234” yazarak giriş yapıyorum ve yeni bir klasör oluşturuyorum.

Evet klasör oluşturma ve yetkilendirmelerde son derece kolay. Son olarak aklınızda hız durumu nasıl tarzında bir soru oluşabilir.

Öncelikle 100mbit lik bir network de hız malum 10Mbyte civarında

Tek parça bir sanal makine dosyası taşıyorum ve hız 9.5MB altında düşmedi.

Ancak malum bu cihazdan tam olarak yararlanmak istiyorsanız 1000’ lik networkler kullanmalısınız. Bende ardından 1000Mbit lik bir s ve tabiki 1000 lik kartı olan bir bilgisayardan benzer bir test yaptım.

Bu hızlar sizi şaşırtmasın çünkü NAS cihazlarının asıl gücü iSCSI config yapıldığında ortaya çıkıyor. Günümüzde Windows 7 istemci bilgisayarlarının bile bu teknolojiyi desteklediğini düşünürsek son derece kullanışlı bir durum ortaya çıkmaktadır.

Hemen son olarak iSCSI config bilgisinide paylaşıp makalemi sonlandırıyorum. J

Bu işlem için öncelikle “Storage” menüsü altındaki Space Allocation linkine tıklıyorum. Gördüğünüz gibi iki diksten oluşan ve 1.8TB’ lık bir RAID yapım var. Şimdi bu Data için oluşturulmuş olduğum RAID yapıma bir iSCSI target ekleyeceğim.

İlk bölümde “Allocation” bana sorulan, sahip olduğum RAID mimarisi içerisindeki toplam disk alanımın ne kadarını iscsi target için ayıracağımı soruyor. Bende bu alanın tamamını seçiyorum

Not; Toplamda iki adet 1 TB lık disk ile RAID 0 yaptım ve kullanılabilir 1.8TB RAID disk alanım bulunmaktadır. Ancak ben RAID yaparken bana Space Allocation sorulmuştu ve ben bu değeri %50 olarak seçmiştim. Yani oluşan bu 1.8TB alanın %50 si data için %50 si iscsi için. Şimdi burada geriye kalan bu %50 üzerinden ayrıca bir bölümleme yapıp yapmayacağımı soruyor aslında!

Sonrası ise kolay J bir isim ve iqn verilerini giriyoruz. Ben kimlik doğrulama seçmedim. Bu işlemlerin sonucunda Thecus tarafındaki tanımlamalarımız bitmiş oluyor.

Gelelim iscsi için disk ekleyeceğimiz bilgisayara. Ben kendi laptop’ ım üzerinde denedim. Malum iscsi kullanmak için illaki server işletim sistemi olmasına gerek yok.

Denetim masası – yönetimsel araçlar altındaki “iSCSI Initiator” linkine tıklıyoruz.

Target Portal olarak NAS cihazının ip adresini veriyoruz.

Daha sonra ise “Targets” sekmesine gelip tazele butonuna basıyoruz ve otomatik olarak “iqn.2012-3.com.cozumpark:RAID.iscsi0.vg0.hakan” isimli iscsi target görünüyor ve connect diyerek bağlantı kuruyoruz.

Bağlantı kurulduktan sonra disk management ekranını açınca sistem otomatik olarak eklediğimiz diski görüyor.

Formatladıktan sonra artık kopyalama denemesi yapabiliriz ve sonuç aşağıdaki gibidir.

Bence gayet başarı değerler. Tek parça bir dosya olması tabiki önemli J Parçalı dosyalarda bu hız 30mb veya dosya sayısına göre 20mb lara kadar düşebiliyor ancak aynı dosyaları iscsi yerine file sharing üzerinden kopyalarsanız hızları 3 veya 4mb olarak görüyorsunuz.

Evet uzun ama keyifli bir makale oldu. Umarım faydalı olmuştur.

Bir sonraki makalemde görüşmek dileği ile esen kalın.

Bu makalenin hazırlanmasında donanım desteği sunan Nira Bilişim' e teşekkür ediyorum.

Makale serimizin 7 bölümünde Linux sistemlerde dosya ve dizin sahiplikleri ve izin işlemleri konusuna değineceğim.

Dosyalara ve dizinlere erişilirken Unix&Linux sistemlerde standart olarak kullanıcı ve grup sahiplikleri, izinleri kullanılmaktadır.

2 adet sahiplik vardır.

1. Dosya veya dizinin kullanıcısının kime ait olduğu(owner of the file/directory)

1. Dosya veya dizinin grubunun ne olduğu(group of the file/directory)

3 adet izin alanı bulunmaktadır.

1. Dosya veya dizinin sahibinin izinleri (user)

1. Dosya veya dizinin grubunun izinleri(group)

1. Dosya veya dizinin diğer şahıslara göre olan izinleri.(others)

Temel komutlar makalemizde “ls” komutunun çıktısını şöyle göstermiştik.

Bilgipark kullanıcısı ile ev dizinine gidip izin_test isimli bir dosya oluşturduk.

[bilgipark@artemis ~]$ touch izin_test

[bilgipark@artemis ~]$

[bilgipark@artemis ~]$ ls -l

total 0

-rw-rw-r-- 1 bilgipark bilgipark 0 Sep 16 21:03 izin_test

Gördüğünüz gibi izin bölümünde( - --- --- --- ) 10 adet –(tire/çizgi) işareti var. İlk - dosyanın türü için ayrılıyor ,geriye 3’lü gruplar halinde 3 adet set kalıyor.

Setler 2’lik düzende izinleri belirtmek için kullanılır,eğer tam değerler kullanılırsa toplamda bir set için değer 2²2¹2⁰ -- > 421 --> 7 olur. Bu sayıların anlamı ise şu şekildedir.

4-r -- > okuma(r) izni

2-w -- > yazma(w) izni

1-x -- > çalıştırma(x) izni(dizinler için çalıştırma izni o dizine girebilmektir,dosyalar için çalıştırma izni ise script veya binary halinde bildiğimiz şekilde çalıştırmaktır.)

Bu şekilde dosya veya dizinin izninden bahsetmek gerekirse 3 seti de yan yana koymalıyız.Hemen aşağıdaki resimde izin_test isimli dosyamızın izinlerinin neye karşılık geldiğini anlatmaya çalıştık.

Yani bizim izin_test dosyamız “ -rw-rw-r--“ izinleriyle 664 olur. Peki bu neyi ifade eder?

Ø  Dosyanın sahibi(bilgipark) ; dosyayı okuyup, yazabilir.

Ø  Dosyanın ait olduğu gruptakiler(bilgipark grubuna üye olanlar); dosyayı okuyup, yazabilir.

Ø  Sistemde bulunan diğer kişiler(others-sistemdeki bu kullanıcı ve gruba üye olmayan herhangi birileri) dosyayı sadece okuyabilir.

Dosya veya Dizinin İzinlerini Değiştirmek

Chmod; Dosya ve dizinlerin izinleri sahipleri ve root tarafından değiştirilebilir. Değiştirmek için “chmod” komutu kullanılır.

chmod [seçenekler]... MODE[,MODE]... FILE... -- >          MODE: sembolik ifadeler verilerek,u-user,g-group,o-others, r-read,w-write,x-execute; uo+rw gibi

chmod [seçenekler]... OCTAL-MODE FILE... -- >                 OCTAL-MODE: sayısal değer verilerek,777-rwx,755-r-x gibi.

chmod [seçenekler]... --reference=RFILE FILE... -- >        izinlerinde başka bir dosyadan kopya çekilerek yapılması

Bir Dosya için r,w,x izinleri anlaşılabilirken ,bir dizin için aynı şeyleri söylemek mümkün değil. Onun için dizinlere izin verirken aşağıdaki tabloya dikkat etmek gerek.

(MODE kısmı) Sembolik ifadelerle izin işlemleri yapılırken izin vermek için +, almak için –,tam şuna benzesin diyorsanız = işareti ile beraber kullanılmalıdır. Mesela,

Chmod ugo+rwx myscript -- > myscript dosyası için user,group ve others’a bütün hakları(r,w,x) verdik.

Chmod a+x myscript       -- > myscript dosyası için user,group ve others’ı sadece a işareti ile belirterek execute hakkını(x) verdik.

Chmod o-x myscript        -- > myscript dosyası için group’stan – işareti ile execute hakkını(x) kaldırdık.

Örnekler;

[bilgipark@artemis ~]$ chmod 777 izin_test

[bilgipark@artemis ~]$

[bilgipark@artemis ~]$ ls -l izin_test

-rwxrwxrwx 1 bilgipark bilgipark 0 Sep 16 21:03 izin_test

[bilgipark@artemis ~]$ touch ref_file

[bilgipark@artemis ~]$ ls -l

total 0

-rwxrwxrwx 1 bilgipark bilgipark 0 Sep 16 21:03 izin_test

-rw-rw-r-- 1 bilgipark bilgipark 0 Sep 18 16:46 ref_file

[bilgipark@artemis ~]$ chmod -v --reference=ref_file izin_test

mode of `izin_test' changed to 0664 (rw-rw-r--)

[bilgipark@artemis ~]$

[bilgipark@artemis ~]$

[bilgipark@artemis ~]$ ls -l

total 0

-rw-rw-r-- 1 bilgipark bilgipark 0 Sep 16 21:03 izin_test

-rw-rw-r-- 1 bilgipark bilgipark 0 Sep 18 16:46 ref_file

[bilgipark@artemis ~]$ mkdir izin_dir

[bilgipark@artemis ~]$ touch izin_dir/izinler1

[bilgipark@artemis ~]$ touch izin_dir/izinler2

[bilgipark@artemis ~]$ touch izin_dir/izinler3

[bilgipark@artemis ~]$ ls -lRt izin_dir

izin_dir:

total 0

-rw-rw-r-- 1 bilgipark bilgipark 0 Sep 18 16:52 izinler1

-rw-rw-r-- 1 bilgipark bilgipark 0 Sep 18 16:52 izinler2

-rw-rw-r-- 1 bilgipark bilgipark 0 Sep 18 16:52 izinler3

[bilgipark@artemis ~]$

[bilgipark@artemis ~]$

[bilgipark@artemis ~]$ ls -lrt

total 8

-rw-rw-r-- 1 bilgipark bilgipark 0 Sep 18 16:46 ref_file

-r--rw-r-- 1 bilgipark bilgipark 46 Sep 18 16:49 izin_test

drwxrwxr-x 2 bilgipark bilgipark 4096 Sep 18 16:53 izin_dir

[bilgipark@artemis ~]$

[bilgipark@artemis ~]$ chmod -r 775 izin_dir -- > izin_dir dizinin kendisi dahil içindekilerle beraber izinlerini –r seçeneği sayesinde 775’ çektik.

[bilgipark@artemis ~]$ ls -lrt

total 8

-rw-rw-r-- 1 bilgipark bilgipark 0 Sep 18 16:46 ref_file

-r--rw-r-- 1 bilgipark bilgipark 46 Sep 18 16:49 izin_test

drwxrwxr-x 2 bilgipark bilgipark 4096 Sep 18 16:53 izin_dir

[bilgipark@artemis ~]$

[bilgipark@artemis ~]$ ls -rlt izin_dir

izin_dir:

total 0

-rwxrwxr-x 1 bilgipark bilgipark 0 Sep 18 16:53 izinler1

-rwxrwxr-x 1 bilgipark bilgipark 0 Sep 18 16:53 izinler2

-rwxrwxr-x 1 bilgipark bilgipark 0 Sep 18 16:53 izinler3

Örnek-2;

Bu örnekte cozumpark ve bilgipark kullanıcılarını kullanarak,cozumpark kullanıcısının /tmp altında oluşturduğu bir dizinin içini bilgipark kullanıcısının listeleyip listeleyememesini işledik.

Çekilen snapshot’da üst yeşil konsolda çözümpark kullanıcısı,alt siyah konsolda bilgipark kullanıcısı yer alıyor ve işlem adımları numaralandırılmış durumda.

[cozumpark@artemis ~]$ cd /tmp

[cozumpark@artemis tmp]$

[cozumpark@artemis tmp]$ mkdir cozum

Burada /tmp altında cozumpark kullanıcısının oluşturmuş olduğu cozum isimli dizinin sahibi ve grubu yine cozumpark doğal olarak. Dolayısıyla bilgipark kullanıcısının haklarını incelerken “others” kısmının izinlerine bakmak bizim için yeterli. Örneğimizde cozumpark kullanıcısı cozum dizininden “others” dan read-okuma hakkını kaldırdığında ,bilgipark kullanıcısı “Permission Denied” diye bir hata aldı.

Peki;ben bir dosya veya dizin oluşturduğumda hemen standart olarak belli izinler geliyor.Bunları sistem otomatik olarak nereden çekiyor diyorsanız söyleyelim, umask.

Umask; Sistemdeki varsayılan izinler umask değerleri ile son hallerine dönüşür. Normalde sistemde dosyalar 666,dizinler ise 777 izinleri ile oluşturulur eğer umask 000 ise. Fakat Unix&Linux sistemlerde umask’i 022’e ayarlayarak genel bir izin sınırlaması getirilmiş olur. Burada dikkat edilmesi gereken nokta Umask ‘a verilen değerin sistemden verdiği değerlerden kaldırılacak izinleri göstermesidir.

umask [value]

Örnek;

[cozumpark@artemis ~]$ umask

0002

[cozumpark@artemis ~]$ touch ornek_mask

[cozumpark@artemis ~]$

[cozumpark@artemis ~]$ ls -l ornek_mask

-rw-rw-r-- 1 cozumpark cozumpark 0 Oct 14 17:53 ornek_mask

[cozumpark@artemis ~]$

[cozumpark@artemis ~]$ mkdir ornek_dir_mask

[cozumpark@artemis ~]$