Ich habe einen kleinen Cluster aus einigen Servern und einem SAN eingerichtet. Auf den Servern läuft Ubuntu 20.04 LTS.
Unter Verwendung der Anweisungen des Herstellers (ich kann nicht finden, wo ich sie zuvor gelesen habe) wurde vorgeschlagen, dass die iSCSI-Verbindungen zwischen dem SAN und den Servern von jeglichem Ethernet-Verkehr getrennt werden sollten (oder vielleicht „mussten“?). Aus diesem Grund habe ich auf unserem Switch zwei VLANs konfiguriert – eines für den iSCSI-Verkehr und eines für den Ethernet-Verkehr zwischen den Servern (auf dem sich das SAN nicht befindet).
Bisher scheint alles in Ordnung zu sein. Nehmen wir an, das Ethernet befindet sich auf 172.16.100.XXX/24 und iSCSI auf 172.16.200.XXX/24. Genauer gesagt sehen die Adressen ungefähr so aus:
| Maschine | Ethernet | iSCSI | Auch außerhalb des Ethernet? |
|---|---|---|---|
| Server 1 | 172.16.100.1 | 172.16.200.1 | Ja |
| Server 2 | 172.16.100.2 | 172.16.200.2 | Ja |
| Server 3 | 172.16.100.3 | 172.16.200.3 | Ja |
| SAN | N / A | 172.16.200.4 | NEIN |
Es überrascht nicht, dass ich sshzwischen Servern über jedes VLAN wechseln kann. Das heißt, von Server 2 zu Server 1 kann ich Folgendes tun:
ssh 172.16.100.1ssh 172.16.200.1- ssh über die von außen sichtbare IP-Adresse
Was mir Sorgen bereitet, ist, ob ich den Nicht-iSCSI-Verkehr mit Firewall-Regeln besser vom Subnetz 172.16.200.X trennen sollte, sodass Port 22 (SSH) auf allen Servern gesperrt ist.
Umgekehrt mache ich mir keine Sorgen – das SAN befindet sich nur auf VLAN 200. Es weiß nicht, dass VLAN 100 existiert, und wird daher nicht plötzlich iSCSI-Verkehr über dieses VLAN senden.
Ich verwende das Oracle Cluster Filesystem, das Port 7777 zu verwenden scheint. Vielleicht sollte ich alle Ports im VLAN blockieren, sodass nur Port 7777 verwendet wird? Verursacht Ethernet-Verkehr in einem iSCSI-Netzwerk Probleme (Verzögerungen oder Fehler?), die ich kennen sollte?
Danke schön!
Antwort1
Was mir Sorgen bereitet, ist, ob ich den Nicht-iSCSI-Verkehr mit Firewall-Regeln besser vom Subnetz 172.16.200.X trennen sollte, sodass Port 22 (SSH) auf allen Servern gesperrt ist.
Wenn Sie DNS-Namen verwenden, um eine Verbindung zu anderen Servern herzustellen, und diese in LAN-Adressen aufgelöst werden, sollte alles problemlos funktionieren. (Alternativ können Sie natürlich auch direkt die LAN-IP-Adressen verwenden.)
Wenn duWirklichWenn Sie den gesamten Nicht-iSCSI-Verkehr im SAN deaktivieren möchten, müssen Sie entweder
- Konfigurieren Sie alle Dienste so, dass sie nur an LAN-IP-Adressen gebunden sind
- Verwenden Sie lokale Firewalls auf den Servern, um den gesamten unerwünschten Datenverkehr zu filtern.
- Verwenden Sie ACLs auf den iSCSI-Switch-Ports, um den gesamten unerwünschten Datenverkehr zu filtern.
Wenn Sie filtern, ist das Zulassen von iSCSI und das Verweigern von allem anderen der richtige Ansatz.
Verursacht Ethernet-Verkehr in einem iSCSI-Netzwerk Probleme (Verzögerungen oder Fehler)?
Der Hauptgrund für die Trennung von LAN- und SAN-Verkehr ist, dassSie möchten sichergehen, dass Ihr Speichernetzwerk auf keinen Fall verstopfen kann. Wenn dies der Fall wäre, würde es schnell zu E/A-Fehlern kommen, die wiederum zu Datenverlust und sogar Datenbeschädigung führen. Ein (sehr) geringes Volumen an Streuverkehr ist kein Grund zur Sorge.
Ich würde jedoch den ACL-Ansatz verwenden, wenn Servicebindungen (Nr. 1) nicht praktikabel sind oder wenn es andere Serveradministratoren gibt, die die Dinge nicht so ernst nehmen. Beispielsweise können Sie durch dynamische DNS-Aktualisierung Ihre iSCSI-IPs ganz einfach in DNS einfügen, und jeglicher Datenverkehr zwischen Servern kann schnell im SAN landen.