Tho*_*mas 5 networking linux ip
我们在同一个接口上的同一个子网中有不同的 IP 集,用于不同的目的:
192.168.1.201..230 用于服务器(所有 Linux)
192.168.1.1..199 用于在这些服务器上运行的服务
因此,每个服务器在同一个物理接口上都有多个 IP——可能是两个甚至更多。这个想法是能够轻松地将服务从一台服务器转移到另一台服务器。
有一些服务——比如 ssh——没有绑定到特定的 IP,但所有“生产性”服务(代理、DNS、NTP 等)都绑定到一个特定的 IP(和 DNS 名称),这意味着如果服务被移动,则移动到另一台服务器。
现在,这种设置可能不被视为“最佳实践”,但到目前为止,我们还没有遇到任何由此引起的问题。然而,我与之交谈的很多人一直说“在这样的设置中发生非常糟糕的事情只是时间问题” - 没有能够明确说明这可能是什么。现在我们正在讨论从长远来看我们是否应该改变设置,这需要大量的努力。基本上我正在寻找支持和反对改变这一点的论据。
所以这就是问题:在这样的设置中可能会出现什么“坏事”?它是否总是可以通过做或不做某些事情来避免?是否存在可以“触发”以演示问题并表明需要更改设置的问题?
正如其他人所补充的那样,只要所有服务都绑定到 OP 地址,并且您不会从这些服务器发出需要从特定地址查看的请求,那么这将正常工作。
根据服务的性质,您可能还需要考虑网络设置对安全/防火墙的影响,特别是所需防火墙的复杂性增加以及攻击/妥协横向传播的风险增加。
它不会解决您的问题(但它可以减少它)-您提供了似乎是任意 IP 范围的内容-相反,为什么不将这些范围安排在不同的网络块中-如果空间不是问题,也许是顺序类C 在 /23 边界上,或者如果空间有问题, 1-190 和 193-254 ?
只要您可以将所有内容(或至少所有重要的内容)绑定到特定地址,就可以了。
问题始于无法绑定到特定地址的应用程序:它们会选择接口上的众多 IP 之一作为源地址,并且该选择可能不是特别一致。这可能会破坏另一端的东西。
这也适用于内核出于某种原因发出的数据包;他们还会选择众多源地址中的一些。
如果您开始使用 iptables 或 tc 做更复杂的网络工作,这也很重要。
如果这些都不适用于您的服务器,那就没问题了。如果其中任何一个开始实现,您始终可以添加一个网络命名空间(无论是为您的所有服务,还是为无法绑定且应保证使用服务器的单个“主”地址的事物)。
| 归档时间: |
|
| 查看次数: |
1136 次 |
| 最近记录: |