私は、SAN とともにいくつかのサーバーの小さなクラスターをセットアップしました。サーバーは Ubuntu 20.04 LTS を実行しています。
ベンダーから提供された指示 (以前どこで読んだかはわかりません) によると、SAN とサーバー間の iSCSI 接続は、イーサネット トラフィックから分離する必要がある (または「分離する必要がある」) とのことでした。このため、スイッチに 2 つの VLAN を構成しました。1 つは iSCSI トラフィック用、もう 1 つは (SAN が接続されていない) サーバー間のイーサネット トラフィック用です。
これまでのところ、問題ないようです。イーサネットが 172.16.100.XXX/24 にあり、iSCSI が 172.16.200.XXX/24 にあるとします。具体的には、アドレスは次のようになります。
| 機械 | イーサネット | iSCSI | 外部イーサネットもですか? |
|---|---|---|---|
| サーバー 1 | 172.16.100.1 | 172.16.200.1 | はい |
| サーバー2 | 172.16.100.2 | 172.16.200.2 | はい |
| サーバー 3 | 172.16.100.3 | 172.16.200.3 | はい |
| さん | 該当なし | 172.16.200.4 | いいえ |
当然のことながら、sshどちらの VLAN を使用してもサーバー間で可能です。つまり、サーバー 2 からサーバー 1 に対して、次のいずれかを実行できます。
ssh 172.16.100.1ssh 172.16.200.1- 外部から見えるIPアドレス経由でSSH
私が心配しているのは、ファイアウォール ルールを使用して 172.16.200.X サブネットから非 iSCSI トラフィックを分離し、すべてのサーバーでポート 22 (ssh) がブロックされるようにしたほうがよいかどうかです。
逆については心配していません。SAN は VLAN 200 上にのみ存在します。VLAN 100 が存在することを認識していないため、突然 iSCSI トラフィックがその VLAN に送信されることはありません。
私はポート 7777 を使用すると思われる Oracle Cluster Filesystem を使用しています。おそらく、ポート 7777 のみが使用されるように、VLAN 上のすべてのポートをブロックする必要があるのでしょうか。iSCSI ネットワーク上でイーサネット トラフィックが発生すると、注意すべき問題 (遅延またはエラー) が発生しますか。
ありがとう!
答え1
私が心配しているのは、ファイアウォール ルールを使用して 172.16.200.X サブネットから非 iSCSI トラフィックを分離し、すべてのサーバーでポート 22 (ssh) がブロックされるようにしたほうがよいかどうかです。
DNS 名を使用して他のサーバーに接続し、それが LAN アドレスに解決される場合は、問題ありません。(もちろん、LAN IP アドレスを直接使用することもできます。)
もし、あんたが本当にSAN上のすべての非iSCSIトラフィックを無効にするには、次のいずれかを行う必要があります。
- すべてのサービスをLAN IPアドレスのみにバインドするように設定する
- サーバー上のローカルファイアウォールを使用して、不要なトラフィックをすべてフィルタリングします。
- iSCSIスイッチポートでACLを使用して、不要なトラフィックをすべてフィルタリングします。
フィルタリングする場合は、iSCSI のみを許可し、その他すべてを拒否するのが正しいアプローチです。
iSCSI ネットワーク上でイーサネット トラフィックが発生すると、問題 (遅延またはエラー) が発生しますか?
LANとSANのトラフィックを分離する主な理由は、ストレージネットワークがいかなる状況でも詰まらないようにしたいそうなると、すぐに I/O エラーが発生し、データの損失や破損さえも引き起こすことになります。(非常に)少量の迷走トラフィックは、特に心配する必要はありません。
ただし、サービス バインディング (#1) が実用的でない場合、または他のサーバー管理者が軽視している場合は、ACL アプローチを使用します。たとえば、動的 DNS 更新により、iSCSI IP が DNS に簡単に配置され、サーバー間のトラフィックがすぐに SAN に到達できます。