Я настроил небольшой кластер из нескольких серверов вместе с SAN. Серверы работают под управлением Ubuntu 20.04 LTS.
Используя инструкции, предоставленные поставщиком (я не могу найти, где я это читал раньше), они предположили, что соединения iSCSI между SAN и серверами должны быть (или, может быть, это было "обязательно"?) отделены от любого трафика Ethernet. Из-за этого я настроил два VLAN на нашем коммутаторе — один для трафика iSCSI и один для трафика Ethernet между серверами (на которых SAN не находится).
Пока что все выглядит нормально. Предположим, что Ethernet находится на 172.16.100.XXX/24, а iSCSI — на 172.16.200.XXX/24. Точнее, адреса выглядят примерно так:
| машина | етернет | iSCSI | А также внешний Ethernet? |
|---|---|---|---|
| сервер 1 | 172.16.100.1 | 172.16.200.1 | Да |
| сервер 2 | 172.16.100.2 | 172.16.200.2 | Да |
| сервер 3 | 172.16.100.3 | 172.16.200.3 | Да |
| САН | Н/Д | 172.16.200.4 | Нет |
Неудивительно, что я могу sshмежду серверами, использующими любой VLAN. То есть, с сервера 2 на сервер 1 я могу сделать любое из следующего:
ssh 172.16.100.1ssh 172.16.200.1- ssh через видимый снаружи IP-адрес
Меня беспокоит, стоит ли мне лучше отделить не-iSCSI-трафик из подсети 172.16.200.X с помощью правил брандмауэра, чтобы порт 22 (ssh) был заблокирован на всех серверах.
Меня не беспокоит обратный вариант — SAN находится только в VLAN 200. Он не знает о существовании VLAN 100, поэтому не будет внезапно отправлять трафик iSCSI по этой VLAN.
Я использую Oracle Cluster Filesystem, которая, похоже, использует порт 7777 — возможно, мне следует заблокировать все порты в VLAN, чтобы использовался только порт 7777? Возникают ли проблемы (задержки или ошибки) при использовании трафика Ethernet в сети iSCSI, о которых мне следует знать?
Спасибо!
решение1
Меня беспокоит, стоит ли мне лучше отделить не-iSCSI-трафик из подсети 172.16.200.X с помощью правил брандмауэра, чтобы порт 22 (ssh) был заблокирован на всех серверах.
Если вы используете DNS-имена для подключения к другим серверам, и они преобразуются в адреса локальной сети, то все должно быть в порядке. (В качестве альтернативы вы, конечно, можете использовать IP-адреса локальной сети напрямую.)
Если выДействительнохотите отключить весь не-iSCSI трафик в SAN, вам нужно будет либо
- настроить все службы на привязку только к IP-адресам локальной сети
- используйте локальные брандмауэры на серверах для фильтрации всего нежелательного трафика
- используйте списки контроля доступа на портах коммутатора iSCSI для фильтрации всего нежелательного трафика
Если вы фильтруете, правильным подходом будет просто разрешить iSCSI и запретить все остальное.
Возникают ли проблемы (задержки или ошибки) при использовании Ethernet-трафика в сети iSCSI?
Основная причина разделения трафика LAN и SAN заключается в том, чтовы хотите быть уверены, что ваша сеть хранения данных не будет засоряться ни при каких обстоятельствах. Если бы это было так, это быстро привело бы к ошибкам ввода-вывода, что в свою очередь привело бы к потере данных и даже повреждению. (Очень) низкий объем случайного трафика — это не то, о чем стоит беспокоиться.
Однако я бы использовал подход ACL, если привязки сервисов (#1) непрактичны или если есть другие администраторы серверов, которые относятся к этому легкомысленно. Например, динамическое обновление DNS очень легко помещает ваши IP-адреса iSCSI в DNS, и любой межсерверный трафик может быстро попасть в SAN.