Tôi đang trong quá trình thiết kế một thiết lập mạng riêng ảo cho môi trường lưu trữ đám mây. Đưa ra các yêu cầu của chúng tôi, tôi không thực sự thấy điều này khác với môi trường máy chủ chuyên dụng. Ý tưởng là chúng tôi muốn cho phép khách hàng có thể yêu cầu người dùng của họ kết nối với các máy ảo cụ thể hoặc máy chủ chuyên dụng bằng VPN có thể cung cấp mã hóa phụ trợ (ví dụ: cho các công việc in được gửi lại cho mạng của khách hàng).
Chúng tôi đang xem xét việc hỗ trợ máy chủ lưu trữ IPSec (ESP và AH), và tất nhiên là các đường hầm SSH, nhưng cả hai đều không thực sự cung cấp khả năng sử dụng bộ điều hợp VPN. Do đó, chúng tôi đang xem xét bổ sung ít nhất một số điều sau đây, nhưng vì không gian ở mức cao, chúng tôi muốn tiêu chuẩn hóa không quá một hoặc hai trong số này (một sẽ tốt hơn):
- Hỗ trợ đường hầm IPSec trên máy chủ ảo hoặc chuyên dụng
- tin
- PPTP
Vì các máy chủ của chúng tôi đang sao lưu, v.v. có thể ở các trung tâm dữ liệu khác nhau, chúng tôi muốn sử dụng lại phương pháp VPN của chúng tôi ở đây. Điều này dường như sẽ loại trừ PPTP. Suy nghĩ hiện tại của tôi là IPSec có khả năng tốt hơn bởi vì chúng tôi có thể sử dụng các bộ điều hợp VPN tiêu chuẩn, nhưng việc thiết lập định tuyến (dựa trên yêu cầu của khách hàng) có thể khó khăn hơn đáng kể, đó là lý do tại sao chúng tôi cũng đang xem xét tinc.
Cái nào trong hai cái này là thích hợp hơn? Có phải nỗi sợ của tôi rằng quản lý định tuyến có thể là một vấn đề đau đầu nghiêm trọng với IPSec không chính đáng? Có một cách dễ dàng xung quanh này? Có những vấn đề khác liên quan đến tinc mà tôi đang thiếu (tức là ngoài việc yêu cầu một khách hàng riêng biệt)?
Cập nhật để trả lời câu trả lời của @ Wintermute :
Vâng, câu hỏi này là từ góc độ máy chủ. Lý do là đây là những máy chủ bị ngắt kết nối hiệu quả khỏi mạng của khách hàng. Có thị trường mục tiêu của chúng tôi là mạng lưới doanh nghiệp vừa và nhỏ. Có, chúng tôi đang mong đợi sử dụng IP công cộng cho mỗi máy chủ của khách hàng trừ khi họ cần một cái gì đó khác nhau (và sau đó chúng tôi có thể nói chuyện).
Giải pháp mà chúng tôi đang hướng tới là một trong đó khách hàng xác định các đường hầm IP và phạm vi mạng có thể truy cập được bởi các đường hầm đó và nơi chúng tôi kết hợp chúng với các công cụ quản lý riêng của chúng tôi (đang được phát triển), kết nối các yêu cầu của khách hàng với các thay đổi cấu hình. Vấn đề là vì chúng tôi không có khả năng chạy phần mềm định tuyến trên vms và máy chủ, nên bảng định tuyến cần được quản lý tĩnh để khách hàng mắc lỗi trong cấu hình sẽ thấy rằng VPN không hoạt động đúng.
Cũng có khả năng chúng tôi sẽ sử dụng ESP qua mạng cho các hoạt động nội bộ của chính chúng tôi (đối với những thứ như sao lưu). Toàn bộ thiết lập khá phức tạp và có nhiều quan điểm khác nhau, từ trung tâm máy chủ (máy khách vpn của chúng tôi đến máy chủ lưu trữ) đến trung tâm mạng (công cụ nội bộ), đến trung tâm cơ sở dữ liệu (công cụ của chúng tôi). Vì vậy, tôi sẽ không nói câu hỏi là đại diện cho toàn bộ cách tiếp cận của chúng tôi (và các câu hỏi đang được hỏi trên một loạt các trang web SE).
Không ai trong số này thực sự ảnh hưởng đến toàn bộ câu hỏi. Nó có lẽ là bối cảnh hữu ích mặc dù.