URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23979
[ Назад ]

Исходное сообщение
"Кривой датацентр"
Отправлено ACCA , 13-Июл-24 13:02

Коллеги,
попалась дурацкая затея -
* стойка в ЦОД
* в стойке куча хостов VMware+KVM
* блок /28
ожидалось, что /28 нарезан где-то в раутере, а мне отдали VLAN, куда воткнули портом.
Оказалось, что меня воткнули в свитч ЦОД. IPv6, разумеется ни у кого не конфигурён. 300+ моих VM подняли радостный лай через NDP. Им ответили ВСЕ свитчи ЦОД и стали спорить по поводу default router. Мои 10Gb свитчи оказались сильнее. NDP шторм уложил весь ЦОД.
Пришлось бежать в центр и рубить питание. А потом ставить свой раутер. А как нужно было сделать?

Содержание

Кривой датацентр,Pahanivo пробегал, 02:06 , 15-Июл-24
- Кривой датацентр,ACCA, 19:25 , 16-Июл-24
Кривой датацентр,Andrey, 10:18 , 15-Июл-24
- Кривой датацентр,ACCA, 23:11 , 16-Июл-24
  - Кривой датацентр,ACCA, 05:09 , 21-Июл-24

Сообщения в этом обсуждении

"Кривой датацентр"
Отправлено Pahanivo пробегал , 15-Июл-24 02:06

Нихрена не понял как ты собрался свои "300+ моих VM" распихать на /28 )))
Оказалось что меня ... вообще интересный подход к решению задач, прям как в анекдоте "даю вводную".

"Кривой датацентр"
Отправлено ACCA , 16-Июл-24 19:25

> Нихрена не понял как ты собрался свои "300+ моих VM" распихать на
> /28 )))
300+ VM сидят по своим VLAN.
/28 сидит в отдельной VLAN и туда торчат [reverse] proxy и прочие VPN серверы.

"Кривой датацентр"
Отправлено Andrey , 15-Июл-24 10:18

>[оверквотинг удален]
> * в стойке куча хостов VMware+KVM
> * блок /28
> ожидалось, что /28 нарезан где-то в раутере, а мне отдали VLAN, куда
> воткнули портом.
> Оказалось, что меня воткнули в свитч ЦОД. IPv6, разумеется ни у кого
> не конфигурён. 300+ моих VM подняли радостный лай через NDP. Им
> ответили ВСЕ свитчи ЦОД и стали спорить по поводу default router.
> Мои 10Gb свитчи оказались сильнее. NDP шторм уложил весь ЦОД.
> Пришлось бежать в центр и рубить питание. А потом ставить свой раутер.
> А как нужно было сделать?
Ответ на вопрос:
Всегда(!) свою сеть отгораживать роутером/файрволом. Тем более что виртуалок у вас 300+.
Ну если только вы не берете L2 между площадками. Но это уже другая история.
С той стороны тоже шляпы. Клиенту, в большинстве случаев, должен отдаваться приватный VLAN в режиме access, и всегда без возможности доступа к менеджменту оборудования ЦОД. Т.е. конфликт между оборудованием клиента и оборудованием ДЦ должен быть невозможен.
Технические характеристики подключения согласовываются допником к договору, как и действия ЦОД/оператора связи по автоматической блокировке клиента в случае подобных эксцессов.
Тут не ДЦ кривой. Тут обе стороны не очень...

"Кривой датацентр"
Отправлено ACCA , 16-Июл-24 23:11

> Технические характеристики подключения согласовываются допником к договору, как и действия
> ЦОД/оператора связи по автоматической блокировке клиента в случае подобных эксцессов.
В ЦОД - HSRP, а у меня - VRRP. Вот и поговорили.
Автомат что-то не сработал, админы ЦОД - водители мыши. Кабельщики подрабатывают охраной. При этом 3 га площади залов.

> Тут не ДЦ кривой. Тут обе стороны не очень...
Походу проще купить Cisco, чем договориться про VRRP.

"Кривой датацентр"
Отправлено ACCA , 21-Июл-24 05:09

> Автомат что-то не сработал, админы ЦОД - водители мыши. Кабельщики подрабатывают охраной.
> При этом 3 га площади залов.
Я конкретно не прав - все ЦОД так и должны работать, как автомат Калашникова.
В 4 утра позвонил в техподдержку по поводу кривого счёта. Эти пoцы просто разбудили среди ночи главбуха и заставили отвечать.
Пошёл покупать раутер Cisco, чтобы не мешать пацанам работать...