Configurei um pequeno cluster de alguns servidores junto com uma SAN. Os servidores estão executando o Ubuntu 20.04 LTS.
Usando as instruções fornecidas pelo fornecedor (não consigo encontrar onde li antes), eles sugeriram que as conexões iSCSI entre a SAN e os servidores deveriam ser (ou talvez "devessem ser"?) Separadas de qualquer tráfego Ethernet. Por causa disso, configurei duas VLANs em nosso switch – uma para tráfego iSCSI e outra para tráfego Ethernet entre os servidores (nos quais a SAN não está ligada).
Até agora, parece bom. Suponha que a Ethernet esteja em 172.16.100.XXX/24 e o iSCSI esteja em 172.16.200.XXX/24. Mais especificamente, os endereços são mais ou menos assim:
| máquina | Ethernet | iSCSI | Fora da Ethernet também? |
|---|---|---|---|
| servidor1 | 172.16.100.1 | 172.16.200.1 | Sim |
| servidor 2 | 172.16.100.2 | 172.16.200.2 | Sim |
| servidor 3 | 172.16.100.3 | 172.16.200.3 | Sim |
| SAN | N / D | 172.16.200.4 | Não |
Não é de surpreender que eu possa fazer isso sshentre servidores usando qualquer uma das VLANs. Ou seja, do servidor 2 para o servidor 1, posso fazer o seguinte:
ssh 172.16.100.1ssh 172.16.200.1- ssh através do endereço IP visível externamente
O que me preocupa é se devo ou não separar melhor o tráfego não iSCSI da sub-rede 172.16.200.X com regras de firewall para que a porta 22 (ssh) seja bloqueada em todos os servidores.
Não estou preocupado com o inverso - a SAN está apenas na VLAN 200. Ela não sabe que a VLAN 100 existe, portanto não enviará repentinamente o tráfego iSCSI para essa VLAN.
Estou usando o Oracle Cluster Filesystem que parece usar a porta 7777 - talvez eu deva bloquear todas as portas na VLAN para que apenas a porta 7777 seja usada? Ter tráfego Ethernet em uma rede iSCSI cria problemas (atrasos ou erros?) dos quais devo estar ciente?
Obrigado!
Responder1
O que me preocupa é se devo ou não separar melhor o tráfego não iSCSI da sub-rede 172.16.200.X com regras de firewall para que a porta 22 (ssh) seja bloqueada em todos os servidores.
Se você usar nomes DNS para se conectar a outros servidores e eles resolverem os endereços LAN, você estará bem. (Como alternativa, você pode usar os endereços IP da LAN diretamente, é claro.)
Se vocêrealmentedeseja desabilitar todo o tráfego não-iSCSI na SAN, você precisará
- configure todos os serviços para vincular apenas a endereços IP da LAN
- use firewalls locais nos servidores para filtrar todo o tráfego indesejado
- use ACLs nas portas do switch iSCSI para filtrar todo o tráfego indesejado
Se você filtrar, apenas permitir o iSCSI e negar todo o resto é a abordagem correta.
Ter tráfego Ethernet em uma rede iSCSI cria problemas (atraso ou erros?)
A principal razão para separar o tráfego LAN e SAN é quevocê quer ter certeza de que sua rede de armazenamento não pode entupir em todos os eventos. Se isso acontecesse, causaria rapidamente erros de E/S, causando perda de dados e até mesmo corrupção. Um volume (muito) baixo de tráfego perdido não é motivo de preocupação.
No entanto, eu usaria a abordagem ACL se as ligações de serviço (nº 1) não fossem práticas ou se houvesse outros administradores de servidor levando as coisas de ânimo leve. Por exemplo, a atualização dinâmica de DNS coloca facilmente seus IPs iSCSI no DNS e qualquer tráfego entre servidores pode chegar rapidamente à SAN.