Korzystanie z podsieci IP w wielu centrach danych

Kontrolujemy podsieci IPv4 i IPv6. Teraz chcielibyśmy użyć części /24podsieci IPv4 w jednym centrum danych i innej części w innym centrum danych. Wiem, że ogłoszenie podsieci w Internecie na wielu kontrolerach domeny stworzyłoby scenariusz Anycast, więc nie jest to opcja. Czy jest jakiś sposób, aby to zrobić?

Edytować:

Większość partnerów akceptuje tylko /24lub krócej, więc nie możemy ich podzielić i ogłosić części podsieci.

Połącz dwa DC za pomocą prywatnego połączenia. Następnie reklamuj / 24 w obu centrach danych.

Gdy ruch dociera do jednego DC do drugiego, urządzenia wewnętrzne trasują lub zmieniają ruch zgodnie z wymaganiami za pośrednictwem łącza prywatnego.

Druga opcja zależy od dostępnych opcji łączności. Być może będziesz w stanie uzyskać połączenie Layer2 (przełączane) między DC i dostawcą. W ten sposób dostawca usług internetowych używa jednego z twoich adresów IP po swojej stronie jako adresu IP bramy i zapewnia łączność w warstwie 2 z obu stron.

Jak wskazują poprzednie odpowiedzi, rozwiązania będą obejmować albo prywatne połączenie między dwoma centrami danych lub wystarczającą liczbę adresów IP do reklamowania bloku z każdego centrum danych.

Te dwie opcje nie wykluczają się jednak wzajemnie i istnieje kilka innych aspektów, o których należy pamiętać przy konfigurowaniu tego.

Jak się reklamować, jeśli masz wystarczającą liczbę adresów

Prawdopodobnie ostatecznie zdecydujesz się na prefiks IPv6, który jest wystarczająco krótki, aby reklamować połowę z każdego centrum danych, co oznacza A47 lub mniej. Następnie możesz dokonać wyboru, jak to ogłosić.

• Możesz ogłosić dwa różne / 48 z różnych centrów danych.
• Możesz ogłosić pojedynczy / 47 w obu centrach danych.
• Możesz zrobić jedno i drugie.

Jeśli ogłosisz dwa różne / 48, ruch zostanie przekierowany przez Internet do odpowiedniego centrum danych, co upraszcza sprawę. Jeśli natomiast podasz tylko / 47 w obu lokalizacjach, musisz skierować ruch do właściwego centrum danych. Może to być pożądane, jeśli masz prywatne połączenie między centrami danych, które są bardziej niezawodne niż publiczny Internet.

Wykonanie obu powyższych czynności będzie służyć jako rodzaj przełączenia awaryjnego. Zwykle ruch trafia prosto do właściwego centrum danych. Ale twoje prywatne połączenie będzie dostępne jako kopia zapasowa. Jeśli jednak inne sieci uważają, że wysyłasz im zbyt wiele ogłoszeń, mogą zignorować twoje / 48s i użyć tylko / 47, a twoje prywatne połączenie zobaczy większy ruch.

Jeśli nie masz prywatnego połączenia między centrami danych, najlepszym wyborem będzie prawdopodobnie zareklamowanie dwóch / 48 i nie reklamowanie zagregowanego / 47.

Wszystko to dotyczy również IPv4, tylko z różnymi długościami prefiksów.

Co zrobić, jeśli nie możesz uzyskać więcej adresów IPv4

Jeśli będziesz reklamować / 25 z każdego centrum danych, istnieje znaczne ryzyko, że reklamy zostaną zignorowane. Nawet jeśli zadziała dzisiaj, istnieje ryzyko, że przestanie działać w przyszłości, więc będziesz potrzebować innego planu.

Jeśli nie masz prywatnego połączenia między dwoma centrami danych, istnieje możliwość użycia tunelu IPv4 przez IPv6 między dwoma centrami danych jako połączenia prywatnego.

Oczywistą wadą podejścia tunelowego jest to, że tunel nie będzie bardziej niezawodny niż połączenie internetowe między dwoma centrami danych. I unikanie korzystania z tunelu poprzez reklamowanie tylko określonych prefiksów nie jest opcją, ponieważ te konkretne prefiksy byłyby zbyt długie.

Opcją wartą skorzystania, jeśli korzystasz z tego samego dostawcy transportu w obu lokalizacjach, jest reklamowanie zarówno zagregowanych / 24, jak i bardziej szczegółowych / 25s. To, czego potrzebujesz od operatora tranzytu, aby reklamować się na świecie, to / 24. Dwie / 25s, których potrzebujesz tylko od operatora tranzytu, aby akceptował i używał w swojej własnej sieci, aby ruch był kierowany do właściwego z dwóch centrów danych.

Oczywiście zanim zrobisz coś takiego, musisz omówić to z operatorem transportu publicznego, aby upewnić się, że jest to konfiguracja, którą zechcą wesprzeć.

Inne zastrzeżenia z tunelem

Kolejnym zastrzeżeniem w przypadku każdego tunelu są problemy MTU. Musisz upewnić się, że nie robisz w tunelu czegoś głupiego, co spowodowałoby dyskretne upuszczenie dużych pakietów. Co więcej, lepiej skonfiguruj swoje serwery z wystarczająco niskim MSS, aby działał, nawet jeśli ludzie, z którymi się komunikujesz, cicho zgłaszają zbyt duże błędy. Dla konfiguracji takiej jak ta, którą opisuję, ustawienie MSS na 1200 powinno być bezpieczne.

Jeśli twoja konfiguracja będzie obejmować równoważenie obciążenia DSR, warto pamiętać, że równoważenie obciążenia może również wymagać tunelu. W takim przypadku upewnij się, że moduł równoważenia obciążenia DSR jest skonfigurowany w taki sposób, że przeprowadzane przez niego tunelowanie będzie zamiast tunelowania w celu połączenia centrów danych - a nie kolejnej warstwy tunelu na nim.

Wniosek

Najprostszym rozwiązaniem jest uzyskanie wystarczającej liczby adresów IP. Ale istnieją alternatywy, jeśli są absolutnie potrzebne.

Podsieć sieci nie powoduje reklamowania pełnej sieci z obu miejsc. Zakładając, że masz 10.0.0.0/24sieć i chcesz wykorzystać połowę w każdym centrum danych, następnie reklamujesz się w 10.0.0.0/25jednym centrum danych i 10.0.0.128/25w drugim centrum danych. Nie reklamujesz się 10.0.0.0/24z obu centrów danych, reklamujesz tylko to, co jest używane.

Edytować:

Ponieważ próbujesz publicznie ogłosić w Internecie, nie możesz reklamować żadnego prefiksu większego niż w /24przypadku IPv4 lub /48IPv6. Konieczne będzie uzyskanie innego bloku adresu publicznego IPv4 dla drugiego centrum danych lub połączenie dwóch centrów danych, aby ruch w tym bloku odbierany w jednym centrum danych mógł być wewnętrznie wysyłany do drugiego centrum danych. Jest to możliwe, jeśli przejdziesz na rynek adresów IPv4, ale może to być kosztowne. Z IPv6 jest to bardzo łatwe.

Masz podstawową kwestię: twój / 24 nie może być realistycznie podzielony i reklamowany przez wielu dostawców. Jeśli obie strony są połączone z tym samym operatorem i zdecydują się zaakceptować twoją parę / 25, wówczas potencjalnie możesz mieć agregację trasy w / 24 w celu reklamowania w górę i równorzędnych kanałach, jednocześnie umożliwiając przepływ ruchu do odpowiedniego obiektu.

W przeciwnym razie musisz zareklamować / 24 z obu stron i ustanowić logiczną łączność, która nie jest z tym związana / 24. Jak wspomnieli inni, zapewnienie prywatnego łącza między stronami osiągnęłoby to. Inną opcją byłoby zbudowanie tunelu (IPSEC, GRE itp.) Powiązanego z adresem zewnętrznym przypisanym do operatora (zakładam, że oba są statyczne). W takim przypadku potencjalnie byłby generowany ruch do innej witryny, która musiałaby zostać obudowana i przesłana przez tunel (lub prywatny link), co w zależności od konfiguracji może stanowić niedopuszczalny stopień nieefektywności.