Virtuální routery pod OS, virtuální sítě

[Bespi_]

Stale nechapu na co je potom vice serveru s jednou IP. Ok, beru tech 5 ruznych venkovnich IP, ale neni nutne kazdou mapovat na dva servery. To prece nic neprinese. Nehlede na to, ze vsech tech 5 venkovnich IP muze odkazovat na jeden server a uplne odpadne virtualizace. Kazda IP muze klidne ukazovat na jiny web v IIS.
------
Omal: Reverzni proxy se da pouzivat i pro jine ucely nez vytvoreni load balancing clusteru s dohledem. Dohled je ta revezni proxy co tam musi byt navic. Takze jsi navrhl totez co ja, jen s pouzitim jineho reseni.

[harryc]

1) Moc nerozumim tomu, proc ches mit 5 routeru. Prekladat zdrojovou adresu nebo nejakou skupinu zdrojovych adres na jednu IP verejnou adresu a jinou skupinu zdrojovych adres na jinou je celkem obvykla vec a snad jsem se nestkal s routerem nebo firewallem, ktery by to nedokazal. Mozna tedy s vyjimkou vyslovene domacich zarizeni.

2) Nevim, jakou virtualizacni technologii pouzivas, ale i treba zdarma dostupny Virtualbox na Windows umi vytvroti virtualni sit(e), ve ktere jsou navzajem propojeny virtualni stroje. Pokjud bys tedy nemel vhodny HW router, tak by topologie mohla vypadat tak, ze Internet bude pripojen do jedine fyzicke sitove karty serveru. Ve virtualizacnim prostredi bude vytvoren jeden virtualni server (virtualni router) s jednou virtualni sitivou kartou v bridge rezimu s fyzickou sitovou kartou serveru a druhou virtualni sitovou kartou pripojenou do virtualni site. Ostatni virtualni stroje budou mit pouze jednu virtualni sitovou kartu pripojenou do virtualni site. Jako branu budou mit uvedenu adresu virtualniho routeru. Jako virtualni router muze poslouzit cokoliv, co dokaze delat celkem jednoduchy NAT. Pokud by to byl treba linuxovy router, tak by si vystacil s pravidly typu:

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.8/30 -j SNAT --to-source 172.16.0.10
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.12/30 -j SNAT --to-source 172.16.0.11
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.16/30 -j SNAT --to-source 172.16.0.12
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.20/30 -j SNAT --to-source 172.16.0.13
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.24/30 -j SNAT --to-source 172.16.0.14

Virtualy s IP 192.168.0.8 - 192.168.0.11 pak budou venku videt pod IP 172.16.0.10, virtualy s IP 192.168.0.12 - 192.168.0.15 pod 172.16.0.11, atd.

Teoreticky by bylo mozne pouzit na virtualnim routeru pool adres pro NAT typu:

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to-source 172.16.0.10-172.16.0.14

, ale tam by zalezelo na implementaci NATu a konkretni aplikaci, protoze by mohlo dochazet k tomu, ze jeden klient bude mit v ruznych pozadavacich ruzne zdrojove IP adresy.

Kdyz se tak divam, co jem napsal, tak mi prijde, ze problem, ktery mas je spis obecne s routerem/firewallem/NATovacim zarizenim, nez s virtualizaci

[Bespi_]

Vis on je cely vtip v tom, ze on tohle komplikovane reseni nejspis vubec nepotrebuje. Podle toho co totiz z nej vypadlo ani nepotrebuje ty virtualni stroje .

Proste je nutne pockat co odepise.
--------------
Popis jak se pridavaji IP do IIS http://technet.microsoft.com/en-us/libr ... 34869.aspx .

[Bari007]

Nech si od poskytovatele internetu naroutovat nějaký celý rozsah (aktuálně tedy asi /29, v případě růstu /28 a víc) na nějaký trochu chytřejší router (Mikrotiky nebo cokoliv s OpenWRT). Na hypervizoru si pak uděláš virtuální switch (žádný NAT!) a router ti bude dělat částečný NAT na několik subnetů (VLAN), každý subnet za jednou veřejnou IP. Koncové IP budeš rozdělovat podle MAC adres síťovek (ať už fyzických nebo virtuálních). Jednoduché a zcela korektní řešení.

[Lukke]

Bespi: Experte, pokud zařízení takto využívám, tak ho logicky potřebuji (tuto informaci jsem již psal několikrát). Jedná se o velmi specifický robotizovaný reklamní software, který zasílá reklamní spoty, blogy, a videa na servery do celého světa. Tento robot funguje ve virtuálním stroji. Virtuálních strojů mám cca 80 (z toho doma 10-20). Všechny logicky nemůžou běžet pod jednou IP adresou, to by se serverům moc nelíbilo. Proto jsou rozloženy do více IP adres.

Poskytovatel mi bohužel doma přidělil zatím jen 5 IP adres. Nejsem nikde v serverovně, ani na virtuály nepotřebuji přistupovat zvenčí (otevírat na routeru porty).

-- 7. 4. 2014 10:51 --

Bari007: Díky, přesně takto jsem si to nějak představoval, pokusím se vyřešit!

[cabman]

NO pokud máš 80 virtuálních počítačů které se "živí" reklamnou tak by neměl být problém zauvažovat o nějakém profesionálním řešení nebo si najmout člověka který ti udělá jednoduchý router na linuxu.

[Bespi_]

Lukke: Ty Experte, psal jsem ti ze jeden IIS dokaze bezet na vice IP na jednom stroji na jednom OS. Naprosto bezne se to pouziva, protoze v pripade pouziti HTTPS ma kazdej web svoji IP.

doted jsi poradne nedokazal popsat co to dela. Takze je tezke poradit, porad jen meles ze potrebujes ty virtualy, ale nenapsal si nic co by to ospravedlnilo.

Mozna kdyby jsi misto reseni jak rozchodit miliardu virtualnich stroju resit jak to udelat bez nich udelal by jsi lip a jeste usetril. Nakonec se jeste zjisti ze by to zvladl usporejne server s jednim Atomem.

[Lukke]

Ne, experte Bespi, opravdu to bez virtuálních strojů nelze (specializovaný software používající mimo jiné i simulaci myši). Ty se mi pořád snažíš vnutit řešení, které je serverové. Já ale potřebuji přesný opak, mít co nejvíce klientských zařízení. Nejedné se o žádné servery a na žádné se nepřistupuje zvenčí!

[Omal]

A co když nemusí být virtuální OS? Nestačí třeba libovolná linuxová distribuce s více plochami?

Nešla by použít kontejnerová virtualizace?

Jinak je řešení opravdu asi jenom reverzní proxy. Na konfiguraci s 5x NAT na jednom počítači zapomeň. S tím budeš mít akorát problémy.