บรรจวบ เข้าสู่ระบบ
Score:0
avatar Server

การแยก iSCSI จากอีเทอร์เน็ตผ่าน VLAN

ธง in
Ray

ฉันได้ตั้งค่าคลัสเตอร์ขนาดเล็กของเซิร์ฟเวอร์สองสามตัวพร้อมกับ SAN เซิร์ฟเวอร์กำลังเรียกใช้ Ubuntu 20.04 LTS

การใช้คำแนะนำจากผู้ขาย (ฉันหาไม่เจอว่าเคยอ่านที่ไหนมาก่อน) พวกเขาแนะนำว่าการเชื่อมต่อ iSCSI ระหว่าง SAN และเซิร์ฟเวอร์ควรแยก (หรืออาจจะเป็น "ต้อง") แยกออกจากทราฟฟิกอีเธอร์เน็ต ด้วยเหตุนี้ ฉันได้กำหนดค่า VLAN สองรายการบนสวิตช์ของเรา หนึ่งรายการสำหรับทราฟฟิก iSCSI และอีกอันสำหรับทราฟฟิกอีเธอร์เน็ตระหว่างเซิร์ฟเวอร์ (ซึ่ง SAN ไม่ได้เปิดอยู่)

จนถึงตอนนี้ดูเหมือนว่าจะดี สมมติว่าอีเทอร์เน็ตอยู่บน 172.16.100.XXX/24 และ iSCSI อยู่บน 172.16.200.XXX/24 โดยเฉพาะอย่างยิ่ง ที่อยู่จะมีลักษณะดังนี้:

เครื่องจักร อีเธอร์เน็ต ไอเอสซีเอสไอ นอกอีเธอร์เน็ตด้วย?
เซิร์ฟเวอร์ 1 172.16.100.1 172.16.200.1 ใช่
เซิร์ฟเวอร์ 2 172.16.100.2 172.16.200.2 ใช่
เซิร์ฟเวอร์ 3 172.16.100.3 172.16.200.3 ใช่
ซาน ไม่มีข้อมูล 172.16.200.4 ไม่

ไม่แปลกใจเลยที่ฉันทำได้ จุ๊ๆ ระหว่างเซิร์ฟเวอร์โดยใช้ VLAN อย่างใดอย่างหนึ่ง นั่นคือ จากเซิร์ฟเวอร์ 2 ถึงเซิร์ฟเวอร์ 1 ฉันสามารถทำสิ่งใดสิ่งหนึ่งต่อไปนี้:

  • ssh 172.16.100.1
  • ssh 172.16.200.1
  • ssh ผ่านที่อยู่ IP ที่มองเห็นได้จากภายนอก

สิ่งที่ฉันกังวลคือฉันควรแยกทราฟฟิกที่ไม่ใช่ iSCSI ออกจากซับเน็ต 172.16.200.X ด้วยกฎไฟร์วอลล์หรือไม่ เพื่อให้พอร์ต 22 (ssh) ถูกบล็อกบนเซิร์ฟเวอร์ทั้งหมด

ฉันไม่กังวลเกี่ยวกับสิ่งที่ตรงกันข้าม -- SAN นั้นอยู่บน VLAN 200 เท่านั้น โดยไม่รู้ว่ามี VLAN 100 อยู่ ดังนั้นจึงไม่ส่งทราฟฟิก iSCSI ลง VLAN นั้นในทันที

ฉันใช้ระบบไฟล์ Oracle Cluster ซึ่งดูเหมือนว่าจะใช้พอร์ต 7777 -- บางทีฉันควรบล็อกพอร์ตทั้งหมดบน VLAN เพื่อให้ใช้พอร์ต 7777 เท่านั้น การรับส่งข้อมูลอีเธอร์เน็ตบนเครือข่าย iSCSI สร้างปัญหา (ทั้งการล่าช้าหรือข้อผิดพลาดหรือไม่) ฉันควรทราบหรือไม่

ขอขอบคุณ!

146
0 + 3
Michael Hampton avatar
cz flag
Michael Hampton
สิ่งนี้ตอบคำถามของคุณหรือไม่ [การผสมทราฟฟิก SAN iSCSI เข้ากับทราฟฟิกเครือข่ายหลัก ฉันกำลังประสบปัญหาหรือไม่](https://serverfault.com/questions/272115/mixing-san-iscsi-traffic-with-core-network-traffic-am-i- ถามหาเรื่อง)
0
ตอบกลับ
in flag
Ray
@MichaelHampton อืมมมม...ก็ไม่เชิง คำตอบดูเหมือนจะเกี่ยวกับการมีสวิตช์ทางกายภาพแยกต่างหากสำหรับ iSCSI หรือว่าแยกทั้งสองด้วย VLAN จะทำงาน เรามีสวิตช์เพียงตัวเดียว -- ฉันไม่ได้ตัดสินใจซื้อสวิตช์อีกตัว แม้ว่านั่นจะดี และฉันใช้ VLAN อยู่แล้ว ฉันเดาว่าคำถามของฉันคือ ฉันจำเป็นต้องใช้ไฟร์วอลล์ (เช่น `ufw`) เพื่อป้องกันการรับส่งข้อมูลอีเทอร์เน็ตบน iSCSI VLAN หรือไม่ (เช่น พอร์ตทั้งหมดยกเว้น 7777 เป็นต้น) ในทางกลับกันไม่จำเป็นเนื่องจาก SAN ไม่ได้อยู่บน Ethernet VLAN
0
ตอบกลับ
joeqwerty avatar
cv flag
joeqwerty
**ไม่น่าแปลกใจที่ฉันสามารถ ssh ระหว่างเซิร์ฟเวอร์โดยใช้ VLAN ใดก็ได้** - อืมมม... เซิร์ฟเวอร์ทั้งสองเชื่อมต่อกับ VLAN คุณสามารถ SSH จากโฮสต์บน non-iSCSI VLAN ไปยังเซิร์ฟเวอร์โดยใช้ที่อยู่ IP ของ iSCSI VLAN ของเซิร์ฟเวอร์ได้หรือไม่ เรียกใช้การติดตามเครือข่ายบนเซิร์ฟเวอร์หนึ่งและ ssh ไปยังเซิร์ฟเวอร์อื่นโดยใช้ที่อยู่ IP ของ iSCSI เป็นเป้าหมายของเซสชัน ssh ของคุณ อินเทอร์เฟซต้นทางและที่อยู่ IP ของเซสชัน ssh คืออะไร
0
ตอบกลับ
in flag
Ray
@joeqwerty ขอบคุณสำหรับการติดตาม! ฉันอัปเดตคำถามด้วยตารางซึ่ง (หวังว่า) จะอธิบายปัญหาของฉันได้ดีขึ้น ฉันไม่แน่ใจว่าจะช่วยได้หรือไม่... คำสั่งให้ทำ "การติดตามเครือข่าย" คืออะไร ฉันไม่รู้ว่าจะทำอย่างไร ...
0
ตอบกลับ
Nikita Kipriyanov avatar
za flag
Nikita Kipriyanov
ฉันคิดว่า "การติดตามเครือข่าย" คือการติดตามเส้นทาง ตัวอย่างเช่น `mtr`
0
ตอบกลับ
Score:1
Zac67 avatar Server
ธง ru
Zac67

สิ่งที่ฉันกังวลคือฉันควรแยกทราฟฟิกที่ไม่ใช่ iSCSI ออกจากซับเน็ต 172.16.200.X ด้วยกฎไฟร์วอลล์หรือไม่ เพื่อให้พอร์ต 22 (ssh) ถูกบล็อกบนเซิร์ฟเวอร์ทั้งหมด

หากคุณใช้ชื่อ DNS เพื่อเชื่อมต่อกับเซิร์ฟเวอร์อื่นและแก้ไขที่อยู่ LAN คุณก็ไม่เป็นไร (หรือคุณสามารถใช้ที่อยู่ IP ของ LAN ได้โดยตรง)

ถ้าคุณ จริงๆ ต้องการปิดการใช้งานการรับส่งข้อมูลที่ไม่ใช่ iSCSI ทั้งหมดบน SAN คุณจะต้องดำเนินการอย่างใดอย่างหนึ่ง

  1. กำหนดค่าบริการทั้งหมดเพื่อเชื่อมโยงกับที่อยู่ IP ของ LAN เท่านั้น
  2. ใช้ไฟร์วอลล์ในเครื่องบนเซิร์ฟเวอร์เพื่อกรองการรับส่งข้อมูลที่ไม่ต้องการทั้งหมด
  3. ใช้ ACL บนพอร์ตสวิตช์ iSCSI เพื่อกรองการรับส่งข้อมูลที่ไม่ต้องการทั้งหมด

หากคุณทำการกรอง เพียงอนุญาต iSCSI และปฏิเสธสิ่งอื่นทั้งหมดเป็นวิธีการที่ถูกต้อง

การรับส่งข้อมูลอีเธอร์เน็ตบนเครือข่าย iSCSI สร้างปัญหาหรือไม่ (อาจล่าช้าหรือข้อผิดพลาด)

เหตุผลหลักในการแยกทราฟฟิก LAN และ SAN ก็คือ คุณต้องการให้แน่ใจว่าเครือข่ายการจัดเก็บข้อมูลของคุณไม่อุดตันในทุกเหตุการณ์. หากเป็นเช่นนั้น จะทำให้เกิดข้อผิดพลาดของ I/O อย่างรวดเร็ว ซึ่งจะทำให้ข้อมูลสูญหายและแม้แต่ความเสียหาย ปริมาณการจราจรจรจัดที่น้อย (มาก) ไม่ใช่เรื่องที่ต้องกังวล

อย่างไรก็ตาม ฉันจะใช้วิธี ACL หากการผูกบริการ (#1) ไม่สามารถใช้งานได้จริง หรือหากมีผู้ดูแลเซิร์ฟเวอร์รายอื่นทำเรื่องเล็กน้อย เช่น. การอัปเดต DNS แบบไดนามิกจะทำให้ iSCSI IPs ของคุณอยู่ใน DNS ได้อย่างง่ายดาย และทราฟฟิกระหว่างเซิร์ฟเวอร์ใดๆ ก็สามารถลงจอดใน SAN ได้อย่างรวดเร็ว

0 + 0
in flag
Ray
ขอบคุณสำหรับคำอธิบายที่ชัดเจน! คำแนะนำของผู้ให้บริการ SAN คือแยกทราฟฟิกทั้งสองออกจากกันโดยไม่มีคำอธิบายที่ชัดเจนว่าทำไม ฉันจะดูว่าสิ่งต่าง ๆ เป็นอย่างไร หากประสิทธิภาพของเครือข่ายลดลง ฉันจะตรวจสอบตัวเลือกที่คุณเสนอ ขอขอบคุณ!
0
ตอบกลับ
Zac67 avatar
ru flag
Zac67
@Ray ฉันเดาว่าส่วนหนึ่งของคำแนะนำนั้นเกิดจากการที่สวิตช์อาจถูกจำกัดแบนด์วิธทั้งหมด ดังนั้นเฟรมอาจถูกทิ้ง *ก่อน* ลิงก์จะถึงขีดจำกัด อย่างไรก็ตาม สวิตช์ที่ทันสมัยทั้งหมดนั้น *ไม่ปิดกั้น* กล่าวคือ จำกัดเฉพาะความเร็วอินเทอร์เฟซเท่านั้น (ไม่รวมแชสซีแบบโมดูลาร์ขนาดใหญ่)
1
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา