به صورت کلی استقرار و راه اندازی یک از امر های مهمی میباشد که در رابطه با اکثر زیرساخت ها خارج از بخش Splunk باید به خوبی برنامه ریزی شود و به شکل صحیح به انجام برسد که هم نیازمان را برطرف سازد هم براساس تجهیزات موجود و محیط مورد استفاده ما باشد. در این مقاله قصد داریم در رابطه با مبحث انواع حالت های استقرار سازی یا همان Deployment در نرم افزار Splunk صحبت کنیم و آنهارا مورد بررسی قرار دهیم.
به صورت کلی در Splunk ما چهار حالت استقرار سازی را در پیش روی خودمان داریم که عبارتند از:
بیشتر ببینید: دوره SANS Security 573 | خودکارسازی امنیت اطلاعات با Python
باید در نظر داشته باشید که علاوه بر روش های استقرار سازی بالا ما یک سری طبقه بندی و اولویت بندی را نیز داریم که براساس مقایس و اندازه سازمان و کسب کار متفاوت میباشد که اینها نیز عبارتند از:
توجه داشته باشید که حالت استقرار سازی Standalone بستر Splunk بدین شکل است که تمامی توابع و موارد مربوط به Splunk توسط یک Instance مدیریت میشود و در اینجا ما صرفا یک Splunk واحد و تنها داریم که تمامی موارد بر روی این Splunk انجام و مدیریت میشود.
این فرآيند ها در حالت Standalone Deployment شامل موارد متعددی میشود از جمله
توجه داشته باشید که در اینجا معماری ما مانند Standalone میباشد اما با این تفاوت که به جای استفاده از یک Instance ما از چندین Instance استفاده میکنیم و یکی از این Splunk Instance های ما به عنوان یک سرور مرکزی قرار میگیرد که به اصطلاح به آن میگویم Search Head و از همین جهت دستورات و Search ها به Search Head داده میشود و توسط Search Head به سمت دیگر Instance های زیرساختی Search Head که اغلب با عنوان Search Peers شناخته میشود توزیع میکند و نمایه سازی (Visualization) و جست و جو را بر روی آنها انجام میدهد و نتیجه را برای کاربر نهایی نمایش میدهد.
توجه کنید که برای راه اندازی و پیکربندی Splunk در حالت Distributed Deployment شما نیاز به یک سری اجزا یا اصطلاح Component دارید تا این عملیات را پیش ببرید که این اجزا به ترتیب زیر میباشند:
داشتن یک Search Head - در Search Head ما به یک سری بستر و ابزار دیگر نیاز داریم از جمله Splunk App Stream و Splunk TA Stream Wire Data
داشتن Indexers - در Indexer هایمان ما جهت جست و جو و تجزیه و تحلیل داده ها به Splunk TA Stream Wire Data احتیاج داریم
داشتن UF یا همان Universal Forwarder - دراصل Splunk TA Stream جهت دریافت داده ها نیاز یه داشتن ارسال کننده های دارد که بتوانند داده هارا از مکان های مختلف به سمت آن ارسال کنند که اینکار با استفاده از UF انجام میشود.
توجه داشته باشید که موارد بالا فقط بخشی از Distributed Deployment میباشند و موارد دیگر و معماری های دیگر از جمله Heavy Forwarder و Deployment Server نیز از این قبیل موارد مورد استفاده در این حالت میباشد.
توجه داشته باشید که در این حالت ما چندین Splunk Node (البته در این حالت بیشتر Indexer ها در نگاهمان میباشند) داریم و داده های موجود در این Splunk Node ها بین یک دیگر اشتراک گذاری و همگام سازی میشود و به اصطلاح دیگر در این حالت Indexer هایمان در Splunk Node های ما داده هارا بین خود همگام سازی و یکسان سازی میکنند که به اصطلاح به این موضوع و این حالت Index Replication نیز گفته میشود.
توجه کنید حالت Cloud Deployment بدین شکل میباشد که ما Splunk را بر روی محیط ابری و از طریق وب سایت این بستر درسترس داریم و در هر مکانی به راحتی میتوانیم به بستر Splunk خودمان در لحظه دسترسی پیدا کنیم از این بابت Splunk Cloud به عنوان یک SaaS شناخته میشود.
توجه کنید که Splunk Cloud علاوه بر اینکه خود یکی از حالت های Deployment در Splunk میباشد اما خودش نیز دارای دو حالت Deployment دست و بدین شکل که برای دسترسی به آن ما به دو صورت میتوانیم عمل کنیم که به شرح زیر هستند:
حالت Purchased: در این حالت برای دسترسی به Splunk Cloud Platform ما باید به صورت غیر رایگان و با پرداخت هزینه اشتراک مربوط به Splunk را تهیه کنیم
حالت Free Trial: این حالت همانطور که از نام آن هم پیداست بدین شکل است که به صورت محدود ما توانایی دسترسی به این بستر را داریم و میتوانیم جهت تست و یادگیری و نگاهی بر روی خدمات و نحوه کار Splunk Cloud Platform از آن استفاده کنیم