Configuré un pequeño grupo de algunos servidores junto con una SAN. Los servidores ejecutan Ubuntu 20.04 LTS.
Usando las instrucciones proporcionadas por el proveedor (no puedo encontrar dónde las leí antes), sugirieron que las conexiones iSCSI entre la SAN y los servidores deberían estar (¿o tal vez "debían estar"?) separadas de cualquier tráfico de Ethernet. Debido a esto, configuré dos VLAN en nuestro conmutador: una para el tráfico iSCSI y otra para el tráfico Ethernet entre los servidores (en los que no está la SAN).
Hasta ahora parece estar bien. Supongamos que Ethernet está en 172.16.100.XXX/24 y iSCSI está en 172.16.200.XXX/24. Más específicamente, las direcciones se ven así:
| máquina | ethernet | iSCSI | ¿Fuera de Ethernet también? |
|---|---|---|---|
| servidor 1 | 172.16.100.1 | 172.16.200.1 | Sí |
| servidor 2 | 172.16.100.2 | 172.16.200.2 | Sí |
| servidor 3 | 172.16.100.3 | 172.16.200.3 | Sí |
| SAN | N / A | 172.16.200.4 | No |
No es sorprendente que pueda cambiar sshentre servidores usando cualquiera de las VLAN. Es decir, del servidor 2 al servidor 1, puedo hacer cualquiera de las siguientes cosas:
ssh 172.16.100.1ssh 172.16.200.1- ssh a través de la dirección IP visible desde el exterior
Lo que me preocupa es si debería o no separar mejor el tráfico que no sea iSCSI de la subred 172.16.200.X con reglas de firewall para que el puerto 22 (ssh) quede bloqueado en todos los servidores.
No me preocupa lo contrario: la SAN solo está en la VLAN 200. No sabe que la VLAN 100 existe, por lo que no enviará de repente tráfico iSCSI por esa VLAN.
Estoy usando el sistema de archivos Oracle Cluster que parece usar el puerto 7777. ¿Quizás debería bloquear todos los puertos en la VLAN para que solo se use el puerto 7777? ¿Tener tráfico Ethernet en una red iSCSI crea problemas (¿retrasos o errores?) ¿Debo tener en cuenta?
¡Gracias!
Respuesta1
Lo que me preocupa es si debería o no separar mejor el tráfico que no sea iSCSI de la subred 172.16.200.X con reglas de firewall para que el puerto 22 (ssh) quede bloqueado en todos los servidores.
Si usa nombres DNS para conectarse a otros servidores y estos se resuelven en las direcciones LAN, debería estar bien. (Como alternativa, puede utilizar las direcciones IP de LAN directamente, por supuesto).
Si usteden realidadSi desea deshabilitar todo el tráfico que no sea iSCSI en la SAN, deberá hacerlo
- configurar todos los servicios para que se vinculen solo a direcciones IP de LAN
- Utilice firewalls locales en los servidores para filtrar todo el tráfico no deseado.
- use ACL en los puertos del conmutador iSCSI para filtrar todo el tráfico no deseado
Si filtra, simplemente permitir iSCSI y negar todo lo demás es el enfoque correcto.
¿Tener tráfico Ethernet en una red iSCSI crea problemas (ya sea retrasos o errores?)
La razón principal para separar el tráfico LAN y SAN es quedesea asegurarse de que su red de almacenamiento no pueda obstruirse en ningún caso. Si lo hiciera, causaría rápidamente errores de E/S, lo que a su vez provocaría pérdida de datos e incluso corrupción. Un volumen (muy) bajo de tráfico perdido no es nada de qué preocuparse.
Sin embargo, usaría el enfoque ACL si los enlaces de servicios (#1) no son prácticos o si hay otros administradores de servidores que se toman las cosas a la ligera. Por ejemplo, la actualización dinámica de DNS coloca muy fácilmente sus IP iSCSI en DNS y cualquier tráfico entre servidores puede aterrizar rápidamente en la SAN.