VPN có lưới thông lượng cao để kết nối máy chủ trung tâm dữ liệu

Chúng tôi đang thuê một số máy chủ lưu trữ trong một trung tâm dữ liệu công cộng. Trung tâm dữ liệu không cung cấp Vlan riêng; tất cả các máy chủ nhận được một (hoặc nhiều) địa chỉ IPv4 / IPv6 công cộng. Các máy chủ đi kèm với CPU rất hiện đại (lõi tứ Haswell, 3,4 GHz) và có đường lên Gbit. Các khu vực khác nhau (phòng? Tầng? Tòa nhà?) Của trung tâm dữ liệu được kết nối với nhau - từ những gì tôi có thể nói - liên kết Gbit hoặc 500Mbit. Máy chủ của chúng tôi đang chạy debian wheezy. Hiện tại chúng tôi chỉ chạy trên 10 máy chủ, với kỳ vọng tăng trưởng trong tương lai gần.

Tôi đang tìm cách để tất cả các máy chủ liên lạc với nhau, một cách an toàn và bảo mật. Lớp 3 ổn, lớp 2 ok (nhưng không cần thiết). Vì tôi không có quyền truy cập vào Vlan, nên nó sẽ phải là một loại VPN nào đó.

Điều gì là quan trọng với tôi:

1. thông lượng cao, lý tưởng gần với dây dẫn
2. Kiến trúc phi tập trung, có lưới - điều này là để đảm bảo rằng thông lượng không bị làm chậm bởi một yếu tố trung tâm (ví dụ: bộ tập trung VPN)
3. Dấu chân CPU không quá mức (được cung cấp bộ mã hóa AESNI và GCM, tôi hy vọng đây không phải là một yêu cầu vô lý)
4. hoạt động dễ sử dụng; không quá phức tạp để thiết lập; mạng có thể phát triển mà không mất kết nối được thiết lập

Chúng tôi hiện đang sử dụng tinc . Nó đánh dấu [2] và [4], nhưng tôi chỉ đạt khoảng 600Mbit / s (đơn giản) của một dây tốc độ 960Mbit / s, và tôi mất hoàn toàn một lõi. Ngoài ra, tinc 1.1 - hiện đang được phát triển - chưa được đa luồng, vì vậy tôi bị mắc kẹt với hiệu suất của singlecore.

IPSec truyền thống không nằm trong câu hỏi này, vì nó yêu cầu một yếu tố trung tâm hoặc một khối lượng đường hầm được định cấu hình (để đạt được [2]). IPsec với mã hóa cơ hội sẽ là một giải pháp, nhưng tôi không chắc nó đã biến nó thành mã sản xuất ổn định.

Tôi đã tình cờ gặp tcpcrypt ngày hôm nay. Ngoại trừ xác thực bị thiếu, nó trông giống như những gì tôi muốn. Việc triển khai không gian người dùng có mùi chậm, nhưng tất cả các VPN khác cũng vậy. Và họ nói về việc thực hiện kernel. Tôi chưa thử nó, và quan tâm đến cách nó hoạt động lại [1] và [3].

tùy chọn khác là gì ở đó? Mọi người đang làm gì, những người không tham gia AWS?

Thông tin bổ sung

Tôi quan tâm đến GCM, hy vọng rằng nó sẽ giảm dấu chân CPU. Xem bài viết của Intel về chủ đề này . Khi nói chuyện với một trong những nhà phát triển tinc, ông giải thích rằng ngay cả khi sử dụng AESNI để mã hóa, thì HMAC (ví dụ SHA-1) vẫn rất đắt ở tốc độ Gbit.

Cập nhật cuối cùng

IPsec trong chế độ vận chuyển hoạt động hoàn hảo và thực hiện chính xác những gì tôi muốn. Sau nhiều đánh giá, tôi đã chọn Openswan thay vì ipsec-tools, đơn giản vì nó hỗ trợ AES-GCM. Trên CPU Haswell, tôi đo được thông lượng khoảng 910-920Mbit / giây với tải trọng CPU khoảng 8-9% của một kworkerd.

Những gì bạn không muốn là một VPN. Những gì bạn làm muốn thực sự là IPsec, nhưng không ở chế độ đường hầm. Thay vào đó, bạn muốn IPsec trong chế độ vận chuyển .

Trong cấu hình này, mỗi máy chủ liên lạc trực tiếp với máy ngang hàng và chỉ có các tải trọng gói được mã hóa, để lại các tiêu đề IP. Bằng cách này, bạn không cần phải thực hiện bất kỳ môn thể dục định tuyến nào để mọi thứ hoạt động.

Có, bạn sẽ cần một khổ kết nối IPsec cho mỗi máy chủ (trừ khi máy chủ của bạn được nhóm trong mạng con, trong trường hợp đó bạn có thể thực hiện việc này thông qua khối CIDR), nhưng hệ thống quản lý cấu hình của bạn có thể dễ dàng tạo lập trình.

Bạn đã không hỏi về chi tiết cấu hình, nhưng nếu bạn cần một số gợi ý (không có nhiều thông tin chắc chắn về chế độ vận chuyển), bạn có thể tham khảo bài đăng blog này tôi đã viết gần đây.