Предложения по VPN-решению между внутренними серверами
Я использую облачную среду для размещения серверной фермы. Проблема, с которой я столкнулся, состоит в том, что Rackspace разделяет весь внутренний сетевой трафик в одной подсети (или, точнее, на всех серверах, которые они называют "huddle"). Это не идеально, так как мне нужно передавать некоторую конфиденциальную информацию между серверами, и я не хочу рисковать, чтобы ее прослушали. Мы могли бы использовать ssl, но это потребовало бы значительного изменения архитектуры приложения.
Rackspace предложил создать VPN между серверами. Это кажется самым простым решением на данный момент, однако я ищу vpn-решение, которое будет стабильным и хорошо работает в среде бэкэнд-сервера с большим трафиком.
Серверы представляют собой смесь серверов Windows и Linux. Имейте в виду, что vpn должен работать без входа в систему интерактивного пользователя. Таким образом, он должен быть чем-то удобным для обслуживания. Таким образом, клиентские виртуальные частные сети, такие как Hamachi, на самом деле не являются жизнеспособными, и при этом я не хочу решения, которое требует внешнего сервера.
Какие-либо предложения?
РЕДАКТИРОВАТЬ:
Я хотел бы избежать любых опций, которые требуют большой конфигурации для работы. Это исключает IPSec и OpenVPN (оба из которых предоставляют очень мощный низкоуровневый контроль, но требуют большой настройки)
EDIT2:
Я думал, что это было относительно очевидно из моих требований, но у меня не может быть двухточечного решения, это должна быть частная подсеть, а не клиенты, подключающиеся к одному серверу. И я определенно не хочу создавать конфигурации для подключения ко всему набору серверов.
4 ответа
Тинк делает именно то, что вы хотите; хотя автоматическое развертывание потребует дополнительных сценариев.
Изменить: основные моменты:
- Пользовательское пространство tun / tap daemon, работает как минимум на win + lin, без взаимодействия с пользователем
- Создает один виртуальный ник на концентраторе / коммутаторе (уровень 2) или маршрутизаторе (уровень 3) (в зависимости от конфигурации) для всего вашего облака, так что для полного произвольного доступа к любому туннелю не требуется N^2 перекрестных туннелей или шлюзов.
- совместимый с ipv6 (фактически используется в некоторых местах в туннельной системе ipv6 sixxs)
- Меньшее сообщество, но очень хорошо осведомленное и полезное
Можно ли настроить IPSec для шифрования сетевого трафика? Это не потребует никаких изменений в коде приложения, только быстрое изменение конфигурации на ваших серверах.
Вы не сказали, хотите ли вы использовать сетку или один сервер для установки нескольких клиентов. Для установки на одном сервере OpenVPN прост и работает. Никогда не пробовал сетку с OpenVPN.