Я создал небольшой кластер из нескольких серверов вместе с SAN. На серверах установлена Ubuntu 20.04 LTS.
Используя инструкции, предоставленные поставщиком (я не могу найти, где я читал это раньше), они предложили, чтобы соединения iSCSI между SAN и серверами были (или, может быть, это было «должно быть»?) отделены от любого Ethernet-трафика. По этой причине я настроил на нашем коммутаторе две сети VLAN — одну для трафика iSCSI и одну для трафика Ethernet между серверами (на которых нет SAN).
Пока вроде нормально. Предположим, что Ethernet находится на 172.16.100.XXX/24, а iSCSI — на 172.16.200.XXX/24. В частности, адреса выглядят примерно так:
| машина |
Ethernet |
iSCSI |
Вне Ethernet тоже? |
| сервер 1 |
172.16.100.1 |
172.16.200.1 |
Да |
| сервер 2 |
172.16.100.2 |
172.16.200.2 |
Да |
| сервер 3 |
172.16.100.3 |
172.16.200.3 |
Да |
| САН |
Н/Д |
172.16.200.4 |
Нет |
Не удивительно, что я могу ssh между серверами, использующими любую VLAN. То есть с сервера 2 на сервер 1 я могу сделать любое из следующего:
СШ 172.16.100.1СШ 172.16.200.1- ssh через видимый снаружи IP-адрес
Что меня беспокоит, так это то, следует ли мне лучше отделить трафик, отличный от iSCSI, от подсети 172.16.200.X с помощью правил брандмауэра, чтобы порт 22 (ssh) был заблокирован на всех серверах.
Меня не беспокоит обратное — SAN находится только в VLAN 200. Он не знает о существовании VLAN 100, поэтому он не будет внезапно отправлять трафик iSCSI в эту VLAN.
Я использую файловую систему Oracle Cluster, которая, кажется, использует порт 7777 - возможно, мне следует заблокировать все порты в VLAN, чтобы использовался только порт 7777? Создает ли трафик Ethernet в сети iSCSI проблемы (задержки или ошибки?), о которых мне следует знать?
Спасибо!
