Отделение iSCSI от Ethernet через VLAN
Я настроил небольшой кластер из нескольких серверов вместе с SAN. На серверах установлена Ubuntu 20.04 LTS.
Используя инструкции, предоставленные поставщиком (Я не могу найти, где я читал это раньше), они предположили, что соединения iSCSI между SAN и серверами должны быть (или, может быть, это было "должно быть "?)отделен от любого сетевого трафика. По этой причине я настроил две VLAN на нашем коммутаторе --одну для трафика iSCSI и одну для трафика Ethernet между серверами (, на которых нет SAN).
Пока все вроде нормально. Предположим, что Ethernet находится на 172.16.100.XXX/24, а iSCSI — на 172.16.200.XXX/24. В частности, адреса выглядят примерно так::
| машина | ethernet | iSCSI | Также вне ethernet? |
|---|---|---|---|
| сервер 1 | 172.16.100.1 | 172.16.200.1 | Да |
| сервер 2 | 172.16.100.2 | 172.16.200.2 | Да |
| сервер 3 | 172.16.100.3 | 172.16.200.3 | Да |
| SAN | Н/Д | 172.16.200.4 | Нет |
Неудивительно, что я могу sshмежду серверами, использующими любую VLAN. То есть, с сервера 2 на сервер 1 я могу сделать любой из следующих:
ssh 172.16.100.1ssh 172.16.200.1- ssh через внешний-видимый IP-адрес
Что меня беспокоит, так это то, что мне лучше отделить не-]iSCSI-трафик из подсети 172.16.200.X с правилами брандмауэра, чтобы порт 22 (ssh)был заблокирован на всех серверах.
Меня не беспокоит обратное --SAN находится только в VLAN 200. Он не знает о существовании VLAN 100, поэтому он не будет внезапно отправлять трафик iSCSI в эту VLAN.
Я использую кластерную файловую систему Oracle, которая использует порт 7777 --, возможно, мне следует заблокировать все порты в VLAN, чтобы использовался только порт 7777? Создает ли трафик Ethernet в сети iSCSI проблемы (задержки или ошибки?)Мне следует знать об этом?
Спасибо!
Что меня беспокоит, так это то, следует ли лучше отделять не-iSCSI-трафик от 172.16.200.X с правилами брандмауэра, чтобы порт 22 (ssh) был заблокирован на всех серверах.
Если вы используете DNS-имена для подключения к другим серверам, и они разрешаются в адреса локальной сети, все должно быть в порядке. (В качестве альтернативы вы, конечно, можете использовать IP-адреса локальной сети напрямую.)
Если вы действительнохотите отключить весь не-iSCSI-трафик в SAN, вам нужно либо
- настроить все службы для привязки только к IP-адресам локальной сети
- использовать локальные брандмауэры на серверах для фильтрации всего нежелательного трафика
- использовать ACL на портах коммутатора iSCSI для фильтрации всего нежелательного трафика
Если вы фильтруете, просто разрешите iSCSI и запретите во всем остальном правильный подход.
Создает ли трафик Ethernet в сети iSCSI проблемы (задержки или ошибки?)
Основная причина разделения трафика LAN и SAN состоит в том, что вы хотите убедиться, что ваша сеть хранения данных не засоряется вообще события. Если бы это было так, это быстро привело бы к ошибкам ввода-вывода, что, в свою очередь, привело бы к потере данных и даже повреждению. (Очень) низкий объем случайного трафика не является поводом для беспокойства.
Однако я бы использовал подход ACL, если привязки служб (№1) нецелесообразны или если другие администраторы серверов относятся ко всему легкомысленно. Например. динамическое обновление DNS очень легко помещает ваши IP-адреса iSCSI в DNS, и любой межсерверный трафик может быстро попасть в SAN.