qual é a melhor configuração multi-servidor com o OpenVPN?

4

Temos vários servidores de banco de dados executando o MongoDB no Debian, além de vários servidores de aplicativos também no Debian. Os servidores de banco de dados mantêm clusters de banco de dados de replicação, portanto, precisam conversar entre si. Os servidores de aplicativos precisam falar com todos os servidores do banco de dados (por motivos de tolerância a falhas). Os servidores estão potencialmente espalhados por vários centros de hospedagem, por isso precisamos de canais seguros entre todos os servidores. O número de servidores deve crescer, por isso precisamos de uma solução VPN que seja fácil de manter e expandir. É por isso que sinto que o SSH que usamos para testes pode não estar à altura da tarefa e o OpenVPN parece ser o caminho a seguir.

Eu descartei o TAP, já que eu entendo que isso significaria todo o tráfego indo para todos os servidores - talvez este seja um mal-entendido e o TAP atue mais como um switch?

Com dispositivos TUN, imagino que todos os servidores DB residam em sua própria sub-rede separada; eles também precisam de um cliente configurado para poder se conectar a cada um de seus pares. Os servidores de aplicativos poderiam viver em um intervalo de sub-rede comum apenas com uma configuração de cliente.

Isso soa como uma configuração razoável? Estranhamente, na web eu não encontrei nada sobre multi-servidor com o OpenVPN.

Obrigado por todos os insights e ideias!

    
por sebut 11.10.2012 / 12:30

2 respostas

2

Você parece ter algumas suposições que não são necessariamente justificadas, e você está complicando demais as coisas.

O toque não roteará todo o tráfego pela VPN, a menos que você o configure para fazer isso com instruções de roteamento. Isso é coberto na documentação do OpenVPN em seu site.

Se os seus datacenters estiverem se conectando com uma tecnologia VPN, a única razão pela qual você deve precisar de vários servidores VPN é a conectividade com a sub-rede de cada datacenter. O OpenVPN é muito eficaz no encaminhamento de tráfego entre sub-redes e é um caso de uso quase onipresente.

Se você está tentando configurar uma rede VPN mesh com conexões ponto-a-ponto entre todos os servidores, está se preparando para um mundo de problemas em termos de sobrecarga de gerenciamento.

    
por 13.10.2012 / 17:07
0

A interface de toque está na camada 2 - parece que todas as máquinas estão no mesmo segmento. A camada de sintonização 3 (como você disse - elas estarão em sub-redes diferentes).

Se você optar pelo TUN iface, não precisará instalar o cliente vpn em cada par. É suficiente ter um cliente vpn por site e configurar o roteamento entre eles. Desta forma, o cliente VPN atuará como roteador. Para mim, isso é o mais fácil, porque você só precisará adicionar rota para a nova rede em cada máquina (ou configurar o seu padrão gw).

    
por 11.10.2012 / 13:17