Mạng VPN lớn (~ 600 máy chủ) với OpenVPN

9

Tôi đang thực hiện một nghiên cứu sơ bộ cho một hợp đồng xây dựng mạng VPN giữa ~ 600 máy chủ từ xa chạy Linux CentOS 6 (+ 600 mạng LAN riêng của họ). Mạng được coi là dựa trên sao, để mỗi máy chủ từ xa kết nối với (các) máy chủ trung tâm để vào VPN (Tôi biết đó là SPOF nhưng không sao vì ứng dụng chính mà VPN này được xây dựng sẽ chạy trên máy chủ trung tâm nào).

Tôi muốn sử dụng OpenVPN (nó thực sự linh hoạt và có thể được điều chỉnh theo cấu hình chúng tôi cần), nhưng tôi đã tự hỏi đâu là cách thực hành tốt nhất để chạy nó trên một mạng lớn như vậy. Chẳng hạn, nếu được sử dụng trong chế độ điều chỉnh, nó sẽ tạo ra 600 giao diện điều chỉnh trên (các) máy chủ trung tâm, điều mà tôi thậm chí không biết nếu nó được hỗ trợ và / hoặc tạo ra bất kỳ vấn đề nào.

Tôi không có bất kỳ kinh nghiệm nào với một mạng lưới lớn như vậy, vì vậy tôi mở cho bất kỳ loại gợi ý và gợi ý nào. Cảm ơn!

networking  openvpn  scaling 
Giovanni Bajo
nguồn

Câu trả lời:

4

Kiểm tra tinc. Đó là một daemon đơn giản hơn mà tự động đàm phán các tuyến đường. Vì vậy, ở các kết nối đầu tiên trông giống như một ngôi sao, nhưng nếu gần hơn để hai máy chủ kết nối trực tiếp, chúng sẽ làm điều đó. Ngoài ra vì mỗi hộp chỉ phải được cấu hình để kết nối với nút chính một lần, nên thêm một máy chủ mới có nghĩa là bạn không phải cập nhật cấu hình trên tất cả các máy chủ hiện có. Với ~ 600 máy chủ sẽ trở nên đau đớn nhanh chóng.

http://tinc-vpn.org/

n8
nguồn
4

Với OpenVPN AFAIK, bạn chỉ tạo một giao diện điều chỉnh trên máy chủ trung tâm và sau đó tất cả các nút kết nối được đặt trong mạng con của giao diện này. Vì vậy, bạn sẽ không gặp phải bất kỳ hạn chế nào ở bên này.

Tôi có một VPN tương tự được thiết lập mặc dù không theo quy mô mà bạn đang đề cập. Chúng tôi có 80 máy chủ với 80/24 LAN phía sau chúng. Chúng tôi sử dụng OpenVPN và nó hoạt động rất tốt. Vấn đề chính chúng tôi gặp phải là quá tải băng thông do giám sát kém và lập kế hoạch xấu. Nhiều máy chủ có thể dễ dàng đạt tới 100Mbit / s nên bạn phải lập kế hoạch cẩn thận. Phụ thuộc vào việc sử dụng của bạn là đúng nhưng đó là vấn đề chính chúng tôi gặp phải.

Cấu hình khôn ngoan, bạn phải sử dụng cấu hình máy khách cụ thể buộc chứng chỉ VPN vào một tuyến cụ thể. Điều này có thể được thực hiện với thư mục ccd. Giữ cấu hình của bạn sạch sẽ vì với nhiều máy chủ, nó có thể nhanh chóng trở thành một mớ hỗn độn. Tạo một tập lệnh nhỏ cho chính bạn để tạo các khóa nhanh chóng vì sẽ mất một lúc với rất nhiều khóa. Bạn chỉ có thể sửa đổi các tiện ích OpenVPN để thực hiện âm thầm. Đặt thời gian hết hạn chứng chỉ dài nếu bảo mật không phải là vấn đề lớn, việc cấp lại 600 chứng chỉ đã trở nên khó khăn.

Antoine Benkemoun
nguồn
Xin lỗi tôi không theo dõi, giao diện 100Mbit / s cụ thể nào đang bị quá tải?
Giovanni Bajo
Giao diện 100Mbit / s của máy chủ VPN vì tất cả lưu lượng LAN đến LAN sẽ sử dụng giao diện đó trong và ngoài. 1 bit dữ liệu LAN sang LAN là một bit và một bit trong giao diện của máy chủ VPN. Điều đó cộng lại nhanh chóng.
Antoine Benkemoun
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.