2016-08-09 14:43:39 +02:00
|
|
|
Hostsharing IP-Networking
|
|
|
|
=========================
|
|
|
|
|
|
|
|
Für die Überarbeitung des Paket-Moduls in HSAdmin sollten die
|
|
|
|
künftigen Anforderungen an die Netzwerkanbindung der Pakete
|
|
|
|
(Stichwort "Paket-IP-Adresse") festgelegt sein.
|
|
|
|
|
|
|
|
Zwei wichtige Anforderungen an die Hostsharing-Infrastruktur
|
|
|
|
für die nahe Zukunft sind:
|
|
|
|
|
|
|
|
* Unterstützung von IPv6
|
|
|
|
* kundenspezifische Netze zwischen mehreren Managed
|
|
|
|
Servern ("Hives")
|
|
|
|
|
|
|
|
Die fehlende IPv6-Anbindung bei Hostsharing ist fast schon ein
|
|
|
|
Anachronismus. Die kundenspezifischen Netze werden zur Zeit
|
|
|
|
aufwändig manuell konfiguriert.
|
|
|
|
|
|
|
|
Public Network
|
|
|
|
--------------
|
|
|
|
|
|
|
|
Unter dem "public network" verstehen wir die Anbindung der
|
|
|
|
Server ans das öffentliche Internet.
|
|
|
|
|
|
|
|
### Status Quo
|
|
|
|
|
|
|
|
Zur Zeit hat jeder Hive eine zentrale IPv4-Adresse, die für
|
|
|
|
Verbindungen ins Internet genutzt wird. Über diese Adresse
|
|
|
|
ist die Default-Route konfiguriert.
|
|
|
|
|
|
|
|
Für eingehende Verbindungen ist für jedes Paket eine
|
|
|
|
eigene IPv4-Adresse konfiguriert. Anfangs wurde die eigene
|
|
|
|
Adresse nur für Pakete mit den Paket-Optionen "HTTPS" oder
|
|
|
|
"Anonymes FTP" vergeben. Seit einigen Jahren sind diese
|
|
|
|
Optionen (und damit die eigene IPv4-Adresse) inklusive
|
|
|
|
für alle Pakete.
|
|
|
|
|
|
|
|
Anonymes FTP wir heute kaum noch verwendet. Und mit der
|
|
|
|
breiten Unterstützung für SNI in allen HTTP-Browsern ist
|
|
|
|
die eigene IP-Adresse für HTTPS nicht mehr erforderlich.
|
|
|
|
|
|
|
|
Hostsharing nutzt die eigene IP-Adresse seitdem auch für
|
|
|
|
die Traffic-Abrechnung auf Paket-Ebene. Vor der Vergabe der
|
|
|
|
IP-Adressen pro Paket wurde lediglich HTTP-Traffic aus den
|
|
|
|
Apache-Log-Dateien ermittelt.
|
|
|
|
|
|
|
|
Alle IPv4 Adressen stammen aus drei nicht zusammenhängenden
|
|
|
|
/24-Netzen. Aus historischen Gründen sind die Adressen
|
|
|
|
willkürlich über die gesamte Hostsharing-Infrastruktur am
|
|
|
|
Standort Berlin verteilt.
|
|
|
|
|
|
|
|
### Planung für die Zukunft
|
|
|
|
|
|
|
|
Jeder Hive soll nur genau je eine externe IPv4- und IPv6-Adresse
|
|
|
|
erhalten. Die IPv4-Adressen einer Server-Gruppe werden aus
|
|
|
|
einem /24-Netz entnommen, das der Server-Gruppe fest zugeordnet
|
|
|
|
ist. Für IPv6 wird ein /64-Netz pro Server-Gruppe zugeordnet.
|
|
|
|
|
|
|
|
Dieses Vorgehen macht die Konfiguration einfach und stellt
|
|
|
|
keine großen Anforderungen an die Leistungsfähigkeit der
|
|
|
|
Router-Infrastruktur.
|
|
|
|
|
|
|
|
Wir sehen die Vorteile:
|
|
|
|
|
|
|
|
* Einfachheit
|
|
|
|
* Eigenes Netz pro Host-Gruppe (Routing)
|
|
|
|
* Wenige belegte IP-Adressen bei IPv6
|
|
|
|
|
|
|
|
Nachteile können sein:
|
|
|
|
|
|
|
|
* bei Virtualisierung innerhalb von Hives, die als Root-Server
|
|
|
|
vermietet werden (z.B. LXC, Docker) gibt es keine
|
|
|
|
gerouteten IP-Adressen für die virtuellen Instanzen. Die
|
2016-08-09 15:03:52 +02:00
|
|
|
Services müssen über IP-Tables-Regeln erreichbar gemacht
|
2016-08-09 14:43:39 +02:00
|
|
|
werden, wie es zum Beispiel von Docker unterstützt wird.
|
|
|
|
* Das Traffic-Accounting pro Paket muss wieder auf weniger
|
|
|
|
zuverlässige Lösungen (wie zum Beispiel Log-File-Auswertungen)
|
|
|
|
umgestellt werden.
|
|
|
|
* Keine Vergabe von IPv6-Adressen pro Domain, obwohl es
|
|
|
|
natürlich genügend Adressen gäbe
|
|
|
|
|
|
|
|
Private Network
|
|
|
|
---------------
|
|
|
|
|
|
|
|
Die Server einer Server-Gruppe sind jeweils über ein internes
|
2016-08-09 14:49:23 +02:00
|
|
|
physikalisches Netzwerk ohne weitere Anbindung nach aussen
|
2016-08-09 14:43:39 +02:00
|
|
|
miteinander verbunden. Auf diesem Netz werden kundenspezifische
|
|
|
|
Netze als virtuelle Netze ("tagged VLANs") realisiert.
|
|
|
|
|
|
|
|
Die Konfiguration dieser Netze erfolgt heute manuell und
|
|
|
|
soll künftig in HSAdmin definiert und per Configuration
|
|
|
|
Management ("Saltstack") angewendet werden.
|
|
|
|
|
|
|
|
Jeder Kunde (jedes Mitglied) kann mehrere private Netze definieren
|
|
|
|
und jeweils seine Managed Server an diese Netze anbinden.
|
|
|
|
|
|
|
|
Services und Port-Vergabe
|
|
|
|
-------------------------
|
|
|
|
|
|
|
|
Alle von Hostsharing verantworteten Services der Managed Server
|
|
|
|
werden ausschließlich auf ihren jeweiligen Standard-Port am
|
|
|
|
Loopback-Device gebunden. Der Kunde konfiguriert in HSAdmin
|
|
|
|
IP-Tables-Regeln, die die Weiterleitung von IP-Paketen
|
|
|
|
vom Public- oder einem Private-Interface an den Service steuern.
|
|
|
|
|
|
|
|
Kunden VPNs
|
|
|
|
-----------
|
|
|
|
|
|
|
|
Zu einem späteren Zeitpunkt können Kunden-VPN als Erweiterung
|
|
|
|
der abgeschlossenen VLANs angeboten werden. Ein VPN mit Verbindung
|
|
|
|
ins Internet würde auch managed Server ohne externe geroutete
|
|
|
|
IP-Adressen erlauben. Eine "Einwahl" ins VPN für den Kunden
|
|
|
|
ermöglich den administrativen Zugang zu Servern ohne Public
|
|
|
|
Network.
|