Использование IP-подсети в нескольких центрах обработки данных

10

Мы контролируем подсети IPv4 и IPv6. Теперь мы хотели бы использовать часть /24подсети IPv4 в одном центре данных, а другую часть - в другом центре данных. Я знаю, что объявление подсети в Интернете на нескольких DC приведет к созданию сценария Anycast, так что это не вариант. Есть ли способ, которым мы могли бы сделать это?


Редактировать:

Большинство пиров принимают /24или сокращают, поэтому мы не можем разделить их и объявить части подсети.

Матиас Меркель
источник
Разве вы не можете разделить подсеть на две части / 25?
Zac67
1
Вам нужно личное соединение между двумя центрами обработки данных. Это может быть даже VPN, если у каждого центра обработки данных есть хотя бы один адрес вне этого / 24, чтобы быть конечной точкой VPN.
Дэвид Шварц
Вам помог какой-нибудь ответ? Пожалуйста, примите ответ, если он помог вам с вашей проблемой. :-)

Ответы:

14

Соедините два DC с частным соединением. Затем рекламируйте / 24 в обоих дата-центрах.

Когда трафик поступает на один DC для другого, ваши внутренние устройства маршрутизируют или переключают трафик в соответствии с требованиями через частную связь.


Второй вариант зависит от доступных вариантов подключения. Возможно, вы сможете получить канал Layer2 (коммутируемый) между контроллерами домена и вашим вышестоящим поставщиком. Таким образом, Интернет-провайдер использует один из ваших IP-адресов на своей стороне в качестве IP-адреса шлюза и предоставляет вам коммутируемое соединение уровня 2 с обеих сторон.

Criggie
источник
8

Как указывалось в предыдущих ответах, решения будут включать либо частное соединение между двумя центрами обработки данных, либо наличие достаточного количества IP-адресов для объявления блока из каждого центра обработки данных.

Эти два параметра, однако, не являются взаимоисключающими, и при их настройке необходимо учитывать еще несколько аспектов.

Как разместить рекламу, если у вас достаточно адресов

Скорее всего, вы решите получить префикс IPv6, который достаточно короткий, чтобы рекламировать половину от каждого центра обработки данных, что означает / 47 или меньше. Затем у вас есть выбор, как объявить об этом.

  • Вы можете объявить два разных / 48 из разных центров обработки данных.
  • Вы можете объявить один / 47 в обоих дата-центрах.
  • Вы можете сделать оба.

Если вы объявите два разных значения / 48, трафик будет перенаправлен через Интернет в нужный центр обработки данных, что облегчит вам задачу. Если, с другой стороны, вы объявляете только / 47 в обоих местах, вы должны получить трафик в нужный центр обработки данных. Это может быть желательно, если у вас есть частное соединение между центрами обработки данных, которое вы считаете более надежным, чем общедоступный Интернет.

Выполнение обоих вышеперечисленных действий послужит своего рода переключением при сбое. Обычно трафик идет прямо в правильный центр обработки данных. Но ваше личное соединение будет там в качестве резервной копии. Однако если другие сети считают, что вы отправляете им слишком много объявлений, они могут решить игнорировать ваши / 48 и использовать только / 47, и ваше частное соединение увидит еще больше трафика.

Если у вас нет частной связи между центрами обработки данных, лучшим выбором, скорее всего, будет реклама двух / 48, а не реклама агрегированных / 47.

Все вышеперечисленное относится и к IPv4, только с разной длиной префикса.

Что делать, если вы не можете получить больше адресов IPv4

Если вы пойдете и будете рекламировать / 25 от каждого центра обработки данных, существует значительный риск, что реклама будет просто проигнорирована. Даже если он работает сегодня, есть риск, что он перестанет работать в будущем, поэтому вам понадобится другой план.

Если у вас нет частного соединения между двумя центрами обработки данных, есть возможность использовать туннель IPv4 поверх IPv6 между двумя центрами обработки данных в качестве частного соединения.

Очевидный недостаток туннельного подхода заключается в том, что туннель не будет более надежным, чем интернет-соединение между двумя центрами обработки данных. И избегать использования туннеля только за счет объявления определенных префиксов не вариант, потому что эти конкретные префиксы будут слишком длинными.

Если вы пользуетесь одним и тем же транзитным провайдером в обоих местах, то стоит объявить как агрегированные / 24, так и более конкретные / 25. То, что вам нужно от поставщика транзита для рекламы в мире, это / 24. Два / 25, которые вам понадобится только для того, чтобы поставщик услуг транзита принимал и использовал их в своей собственной сети, чтобы трафик направлялся на правильный из ваших двух центров обработки данных.

Очевидно, что прежде чем делать что-либо подобное, вам нужно будет обсудить это с вашим транзитным провайдером, чтобы убедиться, что это конфигурация, которую они готовы поддерживать.

Другие предостережения с туннелем

Еще одна оговорка в случае любого туннеля - проблемы MTU. Вы должны убедиться, что вы не делаете в своем туннеле глупостей, которые могли бы привести к молча отбрасыванию больших пакетов. Более того, вам лучше настроить серверы с достаточно низким MSS, чтобы он работал, даже если люди, с которыми вы общаетесь, молча отбрасывают слишком большие ошибки. Для настройки, подобной той, которую я описываю, установка MSS на 1200 должна быть безопасной.

Если ваша установка будет включать какой-либо тип распределения нагрузки DSR, следует помнить, что для балансировки нагрузки может потребоваться и туннель. В этом случае убедитесь, что ваш балансировщик нагрузки DSR настроен так, что туннелирование, которое он выполняет, будет вместо туннелирования для подключения ваших центров обработки данных, а не другого уровня туннеля поверх него.

Вывод

Самое простое решение - просто получить достаточно IP-адресов. Но альтернативы существуют, если они вам абсолютно необходимы.

kasperd
источник
5

Когда вы подключаете сеть к сети, вы не рекламируете всю сеть из обоих мест. Предполагая, что у вас есть 10.0.0.0/24сеть, и вы хотите использовать половину в каждом центре обработки данных, вы размещаете рекламу 10.0.0.0/25из одного центра обработки данных и 10.0.0.128/25из другого центра обработки данных. Вы не рекламируете 10.0.0.0/24оба центра обработки данных, а рекламируете только то, что используется.


Редактировать:

Поскольку вы пытаетесь публично объявить в Интернете, вы не можете рекламировать любой префикс больше, чем /24с IPv4 или /48с IPv6. Вам нужно будет приобрести другой блок общедоступных адресов IPv4 для вашего другого центра обработки данных или подключить два центра обработки данных, чтобы трафик в этом блоке, полученный в одном центре обработки данных, можно было внутренне пересылать в другой центр обработки данных. Это возможно, если вы идете на рынок адресов IPv4, но это может быть дорого. С IPv6 это очень просто.

Рон Мопин
источник
Нет, это невозможно, так как большинство пиров принимают только объявления с маской 24 или меньше для IPv4
Матиас Меркель
Это правда, что интернет-провайдеры не будут рекламировать что-либо большее, чем /24вы, но вы можете делать то, что вы хотите в своей собственной сети. Вы не дали нам никакой информации о том, как что-либо связано. Если вы пытаетесь публично разместить рекламу в Интернете, у вас есть проблема, когда вы не можете подсеть, но если это для вашего собственного использования, то вы можете сделать это.
Рон Мопин
Да, мы размещаем рекламу в интернете. Я отредактирую это.
Матиас Меркель
5

У вас есть основной момент: ваши / 24 невозможно реально разделить и рекламировать между несколькими провайдерами. Если оба сайта подключены к одному и тому же провайдеру, и они решили принять вашу пару / 25, то вы потенциально можете объединить маршрут в / 24 для рекламы для восходящих и одноранговых узлов, при этом позволяя трафику перетекать в соответствующее средство.

В противном случае вам нужно будет рекламировать / 24 с обоих сайтов и установить какую-то логическую связь, которая не связана с этим / 24. Как уже упоминалось, предоставление частной ссылки между сайтами позволит это сделать. Другой вариант - построить какой-то туннель (IPSEC, GRE и т. Д.), Привязанный к внешнему адресу, назначенному вашим оператором связи (я предполагаю, что оба являются статическими). В этом случае вы потенциально могли бы получать трафик для другого сайта, который затем должен быть инкапсулирован и отправлен через туннель (или частную ссылку), что, в зависимости от ваших настроек, может представлять неприемлемую степень неэффективности.

rnxrx
источник