Utilisation d'un sous-réseau IP dans plusieurs centres de données

Nous contrôlons les sous-réseaux IPv4 et IPv6. Nous aimerions maintenant utiliser une partie d'un /24sous-réseau IPv4 dans un centre de données et une autre partie dans un autre centre de données. Je sais que l'annonce du sous-réseau sur Internet à plusieurs contrôleurs de domaine créerait un scénario Anycast, ce n'est donc pas une option. Y a-t-il un moyen de le faire?

Éditer:

La plupart des pairs n'acceptent que /24ou plus court donc nous ne pouvons pas les diviser et annoncer les parties de sous-réseau.

Connectez les deux DC avec une connexion privée. Annoncez ensuite le / 24 dans les deux centres de données.

Lorsque le trafic arrive à un DC pour l'autre, vos appareils internes acheminent ou commutent le trafic comme requis via la liaison privée.

La deuxième option dépend des options de connectivité disponibles, vous pourrez peut-être acquérir une liaison de couche 2 (commutée) entre les deux contrôleurs de domaine et votre fournisseur en amont. De cette façon, le FAI utilise l'une de vos adresses IP de son côté comme passerelle IP et vous offre une connectivité de couche 2 commutée des deux côtés.

Comme les réponses précédentes le soulignent également, les solutions vont impliquer d'avoir une connexion privée entre les deux centres de données ou d'avoir suffisamment d'adresses IP pour publier un bloc de chaque centre de données.

Ces deux options ne sont cependant pas mutuellement exclusives et il y a quelques autres aspects à garder à l'esprit lors de la configuration.

Comment faire de la publicité si vous avez suffisamment d'adresses

Vous finirez probablement par décider d'obtenir un préfixe IPv6 suffisamment court pour publier la moitié de chaque centre de données, ce qui signifie un / 47 ou plus court. Vous avez ensuite un choix à faire sur la façon d'annoncer cela.

• Vous pouvez annoncer les deux différents / 48 à partir des différents centres de données.
• Vous pouvez annoncer un seul / 47 dans les deux centres de données.
• Vous pouvez faire les deux.

Si vous annoncez les deux / 48 différents, le trafic sera acheminé via Internet vers le bon centre de données, ce qui vous simplifie la tâche. Si, en revanche, vous n'annoncez que le / 47 aux deux endroits, vous devez acheminer le trafic vers le bon centre de données. Cela peut être souhaitable si vous disposez d'une connexion privée entre les centres de données que vous jugez plus fiable que l'Internet public.

Faire les deux ci-dessus servira comme une sorte de basculement. Habituellement, le trafic ira directement au centre de données approprié. Mais votre connexion privée sera là en tant que sauvegarde. Cependant, si d'autres réseaux pensent que vous leur envoyez trop d'annonces, ils peuvent décider d'ignorer vos / 48 et d'utiliser uniquement le / 47, et votre connexion privée verra plus de trafic.

Si vous n'avez pas de connexion privée entre les centres de données, le meilleur choix sera très probablement de faire la publicité des deux / 48 et non pas des / 47 agrégés.

Tout ce qui précède s'applique également à IPv4, uniquement avec différentes longueurs de préfixe.

Que faire si vous ne pouvez pas obtenir plus d'adresses IPv4

Si vous allez de l'avant et annoncez un / 25 de chaque centre de données, il y a un risque important que les publicités soient simplement ignorées. Même si cela fonctionne aujourd'hui, il existe un risque qu'il cesse de fonctionner à l'avenir, vous aurez donc besoin d'un plan différent.

Si vous n'avez pas de connexion privée entre les deux centres de données, il est possible d'utiliser un tunnel IPv4 sur IPv6 entre les deux centres de données en tant que connexion privée.

L'inconvénient évident de l'approche par tunnel est que le tunnel ne sera pas plus fiable que la connexion Internet entre les deux centres de données. Et éviter d'utiliser le tunnel en ne annonçant que les préfixes spécifiques n'est pas une option car ces préfixes spécifiques seraient trop longs.

Une option qui vaut la peine d'être explorée si vous utilisez le même fournisseur de transport en commun sur les deux sites est d'annoncer à la fois les / 24 agrégés et les / 25 plus spécifiques. Ce que vous auriez besoin du fournisseur de transport en commun pour faire de la publicité dans le monde est le / 24. Les deux / 25 que vous auriez seulement besoin du fournisseur de transport en commun pour accepter et utiliser au sein de leur propre réseau afin que le trafic soit acheminé vers le bon de vos deux centres de données.

Évidemment, avant de faire quelque chose comme ça, vous devez en discuter avec votre fournisseur de transport en commun pour vous assurer qu'il s'agit d'une configuration qu'il est prêt à prendre en charge.

Autres mises en garde avec un tunnel

Une autre mise en garde en cas de tunnel est liée aux problèmes de MTU. Vous devez vous assurer que vous ne faites pas quelque chose de stupide sur votre tunnel qui entraînerait la suppression silencieuse de gros paquets. De plus, vous feriez mieux de configurer vos serveurs avec un MSS suffisamment bas pour que cela fonctionne même si les personnes avec lesquelles vous communiquez font silencieusement des erreurs trop importantes. Pour une configuration comme celle que je décris, le réglage du MSS sur 1200 devrait être sûr.

Si votre configuration doit impliquer une sorte d'équilibrage de charge DSR, il convient de garder à l'esprit que l'équilibrage de charge peut également nécessiter un tunnel. Dans ce cas, assurez-vous que votre équilibreur de charge DSR est configuré de telle sorte que le tunneling qu'il effectue sera au lieu du tunneling pour connecter vos centres de données - pas une autre couche de tunnel au-dessus.

Conclusion

La solution la plus simple consiste simplement à obtenir suffisamment d'adresses IP. Mais des alternatives existent si vous en avez absolument besoin.

Lorsque vous sous-réseau d'un réseau, vous ne publiez pas le réseau complet des deux endroits. En supposant que vous disposez du 10.0.0.0/24réseau et que vous souhaitez en utiliser la moitié dans chaque centre de données, vous faites de la publicité à 10.0.0.0/25partir d'un centre de données et 10.0.0.128/25de l'autre centre de données. Vous n'annoncez pas à 10.0.0.0/24partir des deux centres de données, annoncez uniquement ce qui est utilisé.

Éditer:

Puisque vous essayez d'annoncer publiquement sur Internet, vous ne pouvez pas annoncer de préfixe plus grand /24qu'avec IPv4 ou /48avec IPv6. Vous devrez acquérir un autre bloc d'adresses publiques IPv4 pour votre autre centre de données, ou vous devrez connecter les deux centres de données afin que le trafic de ce bloc reçu dans un centre de données puisse être envoyé en interne à l'autre centre de données. Cela est possible si vous accédez au marché des adresses IPv4, mais cela peut être coûteux. C'est très simple avec IPv6.

Vous avez le point de base: votre / 24 ne peut pas être divisé et annoncé de manière réaliste sur plusieurs fournisseurs. Si les deux sites sont connectés au même transporteur et choisissent d'accepter votre paire de / 25, vous pouvez potentiellement agréger la route en un / 24 pour la publicité en amont et les pairs tout en permettant au trafic de circuler vers l'installation appropriée.

À défaut, vous devrez publier le / 24 sur les deux sites et établir une sorte de connectivité logique qui n'est pas liée à ce / 24. Comme d'autres l'ont mentionné, la fourniture d'un lien privé entre les sites permettrait d'atteindre cet objectif. Une autre option serait de construire une sorte de tunnel (IPSEC, GRE, etc.) lié à votre adresse externe attribuée par l'opérateur (je suppose que les deux sont statiques). Dans ce cas, vous pourriez recevoir du trafic pour l'autre site qui devrait ensuite être encapsulé et envoyé à travers le tunnel (ou lien privé), ce qui, selon votre configuration, pourrait représenter un degré inefficace inacceptable.