Линукс бридж против ovs Bridge, Proxmox Виртуальная Среда
vikozo
Guest
0
29.02.2020 21:04:00
Привет, Linux Bridge и OVS Bridge — в каких ситуациях лучше использовать каждую из этих технологий? Есть ли смысл смешивать оба типа мостов? Хорошего дня, vinc.
kkjensen
Guest
0
17.03.2020 17:44:00
Я как раз пытаюсь настроить OVS после переустановки моего тестового кластера из 4 узлов. Производственный кластер будет для небольшого провайдера, у которого куча VLAN. Я привык работать с коммутаторами Cisco и рассчитывал создать 10G транк через все узлы, начиная и заканчивая на одном из крупных граничных коммутаторов. Обычный мостовой режим (возможно, я читаю старые гайды и посты на форумах) вроде требует, чтобы каждый VLAN был явно прописан на порту, так что когда я узнал про OVS, мне показалось логичным настроить кластер, используя OVS на каждом узле для формирования 10G кольца. Тогда виртуальные машины смогут просто подключаться к этому кольцу, на котором разрешены все VLANы. До переустановки у меня один VLAN работал на одном контейнере, но я понял, что реализовать разные VLANы для всех разных сервисов, которые могут понадобиться когда-нибудь, будет, по моему мнению, настоящей головной болью. Теперь, когда я установил OVS на новых узлах, вижу новое поле "OVS options"... Я рассчитывал на какую-то реализацию в GUI, где можно было бы просто перечислить VLANы и, при необходимости, задать один из них как native VLAN. Искал идеальный туториал по Proxmox, OVS и Ceph. Есть какие-то советы?
hvisage
Guest
0
23.03.2020 04:25:00
Похоже, с «новым улучшенным» Linux Bridge это уже не нужно... Единственное, что я всё ещё указываю в поле «OVS options» — это такие вещи, как vlan_mode=native-untagged. Для «транков» native — это поле Tag, а чтобы сделать порт транковым, нужно добавить vlan_mode, иначе интерфейс с тегом считается access-интерфейсом (соответствующим VLAN).
Keeper of the Keys
Guest
0
12.07.2021 22:53:00
Интересно, позволяет ли OVS реализовать изоляцию портов, что, насколько я понимаю, невозможно с обычными мостами (если я правильно разбираюсь в этом вопросе — ? Причина, по которой «изоляция портов» может быть предпочтительнее включения файрвола на уровне Proxmox, как я вижу, в том, что тогда трафик проходит через «главный» файрвол, и политики можно задавать в одном месте (хотя я понимаю и аргумент, что у каждого устройства должен быть свой файрвол, но с другой стороны, это сильно усложняет поиск и устранение неполадок, если проблема может быть внутри виртуальной машины, снаружи или на сетевом уровне). /Редактирую — (И извиняюсь, что поднял эту старую тему, я именно такую информацию и искал, решил спросить про это отличие).
hvisage
Guest
0
13.07.2021 05:57:00
Моя «изоляция порта» — это когда я помещаю каждого клиента или стек в отдельный VLAN, а затем один фаервол управляет трафиком соответственно. Далее OpenVSwitch подключается к интерфейсу с 802.1q trunk, который связывает другие OpenVSwitch на других членах кластера. Таким образом я могу «без проблем» мигрировать ВМ между узлами кластера ProxMox, не переживая за сетевые проблемы.
hvisage
Guest
0
13.07.2021 06:03:00
Однако в мире OVS есть возможности SDN (Software Defined Networking), благодаря которым можно (используя некий «контроллер») создавать правила управления трафиком на основе разных критериев. Таким образом, концепция изоляции портов вполне реализуема, но не так просто (а под простотой я имею в виду первоначальную настройку, конфигурацию и обучение, чтобы всё заработало... особенно когда речь идёт о мостах OpenVSwitch и прочем) как обычные VLAN. Если только у вас нет намного больше 4000 клиентов или виртуальных машин, которые нужно изолировать.
t.lamprecht
Guest
0
13.07.2021 08:39:00
Технологический превью Proxmox VE SDN, разработанный @spirit, также поддерживает настройку зон и для более сложных сетей — контроллеры (BGP): Как уже говорилось, это пока что технический превью, но он доступен уже достаточно давно, и мы знаем некоторых (опытных) админов, которые уже используют его в продакшене.
