كيفية تثبيت MikroTik CHR على خادم افتراضي وخادم سحابي - دليل شامل للتثبيت والتكوين وأفضل الإعدادات

لماذا يجب عليك تثبيت CHR على خادم افتراضي أو خادم سحابي؟

تثبيت ميكروتيك سي إتش آر على خادم افتراضي خاص أو خادم سحابي، سريع و مرن لإنشاء أجهزة توجيه افتراضية، وجدران حماية متقدمة، وبروتوكول BGP، وشبكات VPN، وإدارة حركة البيانات. هذا الدليل مُعدّ لمديري الشبكات، ومهندسي DevOps، واللاعبين، والمتداولين، وكل من يحتاج إلى التحكم في شبكته على مستوى بروتوكول الإنترنت (IP)، ويتضمن أوامر عملية، وأمثلة على KVM/Proxmox/VMware/Hyper-V، ونصائح أمنية، وتوصيات لتحسين الأداء.

نظرة عامة على برنامج CHR والمتطلبات الأساسية

ما هو CHR؟
ميكروتيك سي إتش آر إصدار من نظام التشغيل RouterOS مصمم للعمل في البيئات الافتراضية والسحابية. مناسب لأجهزة التوجيه الافتراضية، وNAT، وVPN، وBGP، والتوجيه المتقدم.

الترخيص والقيود
يعمل نظام CHR وفقًا لنموذج ترخيص RouterOS؛ وقد تتطلب بعض مستويات الأداء ترخيصًا. قبل النشر في بيئة الإنتاج، تحقق من حالة الترخيص من صفحة تنزيل Mikrotik يفحص.

متطلبات الأجهزة الموصى بها للخادم الافتراضي

• وحدة المعالجة المركزية: الحد الأدنى 2 وحدة معالجة مركزية افتراضية (4+ وحدة معالجة مركزية افتراضية للإنتاج)
• ذاكرة الوصول العشوائي (RAM): الحد الأدنى 2 جيجابايت (يوصى بـ 4 جيجابايت أو أكثر)
• القرص: SSD/NVMe لإدخال/إخراج منخفض زمن الوصول
• الشبكة: بطاقة شبكة virtio/VMXNET3 تدعم MTU حتى 9000 عند الحاجة

إعداد صورة CHR لبيئات مختلفة

قم بتنزيل الصورة الرسمية

قم بزيارة صفحة تنزيل MikroTik وقم بتنزيل ملف CHR (qcow2/vmdk/vhdx/iso) للإصدار المطلوب. وللقيام بذلك، استخدم صفحة تنزيل Mikrotik يستخدم.

قم بتحويل أو تجهيز الصورة باستخدام qemu-img (مثال KVM)

مثال على تحويل ملف ZIP يحتوي على qcow2 وإعداد القرص:

wget https://download.mikrotik.com/routeros/7.xx/chr-7.xx.qcow2.zip
unzip chr-7.xx.qcow2.zip
qemu-img convert -f qcow2 -O qcow2 chr-7.xx.qcow2 mikrotik-chr.qcow2

كيفية تثبيت Mikrotik CHR على خادم افتراضي وخادم سحابي - الطرق التقليدية

التثبيت على KVM/libvirt (لينكس)

ضع القرص في مسار الجهاز الظاهري، ثم أنشئ الجهاز الظاهري باستخدام الأمر import:

sudo mv mikrotik-chr.qcow2 /var/lib/libvirt/images/
sudo virt-install --name mikrotik-chr \
  --ram 4096 --vcpus 2 \
  --disk path=/var/lib/libvirt/images/mikrotik-chr.qcow2,format=qcow2 \
  --os-type=linux --import \
  --network network=default,model=virtio \
  --graphics none

ملحوظة: لتحقيق أداء أفضل للشبكة مقارنةً بالنموذج فضيلة استخدم خاصية تثبيت وحدة المعالجة المركزية (CPU pinning) وقم بضبطها إن أمكن.

التثبيت على Proxmox

قم بتحميل qcow2 إلى وحدة التخزين أو استخدم qm importdisk:

qm create 9000 --name mikrotik-chr --memory 4096 --net0 virtio,bridge=vmbr0
qm importdisk 9000 mikrotik-chr.qcow2 local-lvm
qm set 9000 --scsihw virtio-scsi-pci --scsi0 local-lvm:vm-9000-disk-0
qm set 9000 --boot c --bootdisk scsi0

اضبط الشبكة على فضيلة ولا تنس الجسر الصحيح.

التثبيت على VMware ESXi

باستخدام VMDK: قم بتحميل ملف vmdk إلى مخزن البيانات، وقم بإنشاء جهاز افتراضي بنظام تشغيل ضيف Linux (أو 64 بت أخرى)، واستخدم VMXNET3 أو e1000e وقم بإرفاق vmdk ثم قم بالتمهيد.

التثبيت على Hyper-V

قم بتحويل ملف QCOW2/VMDK إلى VHDX وأنشئ جهازًا افتراضيًا:

qemu-img convert -f qcow2 -O vhdx mikrotik-chr.qcow2 mikrotik-chr.vhdx

ثم قم بإنشاء جهاز افتراضي من الجيل الأول وقم بإرفاق ملف vhdx؛ واضبط المحول على الوضع الاصطناعي.

التثبيت في بيئات الحوسبة السحابية العامة (AWS/GCP/شركتك)

تتيح معظم الخدمات السحابية تحميل صور مخصصة. قم بتحويل صورة CHR إلى التنسيق المطلوب من قبل المنصة ثم استوردها.

ملاحظة هامة: في خدمات الحوسبة السحابية العامة، استخدم استيراد الصور وحدد نوع بطاقة الشبكة مع أفضل برنامج تشغيل (virtio، ena، e1000).

إعداد CHR الأولي بعد بدء التشغيل

يتم الوصول المبدئي عبر وحدة تحكم المشرف، أو SSH، أو Winbox. لاحظ أن RouterOS يستخدم عنوان IP 192.168.88.1 واسم المستخدم افتراضيًا. مسؤل لا يوجد كلمة مرور (قد تختلف حسب الصورة).

/user add name=ops password=StrongPass group=full
/user remove admin
/ip address add address=192.168.88.1/24 interface=ether2

مثال على تكوين NAT لإخراج الإنترنت

/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

ضبط نظام أسماء النطاقات (DNS) والبوابة

/ip dns set servers=8.8.8.8,8.8.4.4 allow-remote-requests=yes
/ip route add gateway=203.0.113.1

تكوين بروتوكول BGP، وشبكة VPN، والتوجيه (أمثلة)

تكوين BGP الأساسي

قبل إعداد بروتوكول BGP في السحابة، ستحتاج إلى عنوان IP عام ورقم نظام مستقل (ASN)؛ قد يوفر لك مزود الخدمة عنوان IP/ASN أو يقوم بتمكين بروتوكول BGP عبر شبكة VLAN مخصصة.

/routing bgp instance set default as=64512 router-id=1.1.1.1
/routing bgp peer add name=isp peer-address=203.0.113.2 remote-as=65001 out-filter=none in-filter=none

مثال على إنشاء شبكة VPN من موقع إلى موقع باستخدام بروتوكول IPSec

/ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc
/ip ipsec peer add address=198.51.100.2 auth-method=pre-shared-key secret=MySecret exchange-mode=ike2
/ip ipsec policy add src-address=10.0.0.0/24 dst-address=10.1.0.0/24 sa-src-address=203.0.113.1 sa-dst-address=198.51.100.2 tunnel=yes

نصائح أمنية وأفضل الممارسات بعد التثبيت

قم بتغيير منفذ SSH وتفعيل مفتاح RSA:

/ip service set ssh port=2222

تعطيل الخدمات غير الضرورية:

/ip service disable telnet ftp www api api-ssl

تفعيل جدار الحماية الأساسي:

/ip firewall filter add chain=input connection-state=established,related action=accept
/ip firewall filter add chain=input protocol=tcp dst-port=22 action=accept
/ip firewall filter add chain=input action=drop

تهيئة التسجيل والمراقبة:

/snmp set enabled=yes
/system logging action add name=remote target=remote remote=10.10.10.10

تحسين الأداء لمجموعة متنوعة من التطبيقات

للتداول (أقل زمن استجابة، استقرار)

يُعد اختيار موقع قريب من خوادم التداول والبورصات (نيويورك، لندن، فرانكفورت، طوكيو، سنغافورة) أمرًا بالغ الأهمية. شركتنا أكثر من 85 موقعًا عالميًا فهو يوفر إمكانية إنشاء مواقع قريبة من الأسواق.

استخدم بطاقة شبكة منخفضة زمن الاستجابة (virtio/VMXNET3)، وتخصيص وحدة معالجة مركزية مخصصة أو تثبيتها، ووحدة تخزين NVMe SSD. يُنصح بتفعيل تحسين BGP/Route وفلاتر مسار AS لتحسين التوجيه.

للألعاب (زمن استجابة منخفض)

يوصى باختيار مراكز البيانات القريبة من نقطة اتصال اللاعب/مزود خدمة الإنترنت الخاص به واستخدام خادم افتراضي خاص بالألعاب مع شبكة منخفضة زمن الوصول وحماية من هجمات DDoS.

يمكن أن يؤدي تكوين MTU المناسب وتمكين المسار السريع إذا كان مدعومًا من قبل الأجهزة والصورة إلى تقليل زمن الاستجابة (ping).

للذكاء الاصطناعي / العرض / النطاق الترددي العالي

يُعدّ CHR مناسبًا للتوجيه، ولكن بالنسبة للحوسبة باستخدام وحدة معالجة الرسومات (GPU Cloud)، يُنصح باستخدام خادم رسومات (GPU Cloud). يُوصى به للتوجيه عالي السرعة، وتخصيص موارد الشبكة، واستخدام خادم سحابي مع بطاقة شبكة بسرعة الخط.

النسخ الاحتياطي والتحديث والصيانة

إعداد ملف تصدير الإعدادات:

/export file=full-config-backup

قم بتنزيل الملف عبر بروتوكول نقل الملفات (FTP/SCP). استخدم أيضًا لقطة أو نسخة احتياطية على مستوى برنامج إدارة الأجهزة الافتراضية قبل إجراء تغييرات جوهرية.

تحديث نظام التشغيل RouterOS:

/system package update check-for-updates
/system package update download
/system reboot

نصائح عملية ومشاكل شائعة

• مشكلة في الوصول إلى وحدة التحكم: استخدم وحدة التحكم الافتراضية لبيئة المشرف وتحقق مما إذا كانت الصورة قد تم تشغيلها.
• مشكلة السرعة المنخفضة: تحقق من نوع بطاقة الشبكة، وتفريغ العمليات، وسرقة وحدة المعالجة المركزية، والتحكم في السرعة على مستوى المشرف.
• حدود الترخيص والإنتاجية: راجع ترخيص CHR وقيوده قبل النشر في بيئة الإنتاج.

لماذا يُعد استخدام CHR في البنية التحتية السحابية لشركتنا أمرًا منطقيًا؟

• الحضور في أكثر من 85 موقعًا عالميًا للقرب من العملاء والأسواق التجارية وألعاب نقاط البيع.
• توفير خوادم افتراضية خاصة للتداول وخوادم افتراضية خاصة للألعاب مع شبكة ذات زمن استجابة منخفض وحماية من هجمات DDoS.
• إمكانيات BGP وVLAN والشبكة الخاصة ومشاركة IP لحلول الاتصال المتعدد والاتصال الآمن بين مراكز البيانات.
• خادم سحابي عالي الأداء، وصيانة، ونسخ احتياطي، ودعم فني لتثبيت وإعداد نظام CHR.

ملخص

يشرح هذا الدليل خطوات تنزيل الصورة، وإعدادها للعمل مع KVM/Proxmox/VMware/Hyper-V، والتكوين الأولي، والأمان، وبروتوكول BGP، وتحسين الأداء لمختلف الاستخدامات. باتباع نصائح الأمان وإجراء الاختبارات في بيئة تجريبية، يمكنك نشر CHR بأمان وثبات في بنيتك التحتية السحابية.

الأسئلة الشائعة