Benutzer-Werkzeuge

Webseiten-Werkzeuge


plattform-migration:netzplan

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
plattform-migration:netzplan [2015/12/20 14:25] – [Tabelle] thomasbplattform-migration:netzplan [2016/06/25 07:42] (aktuell) – [Tabelle] otr4ta
Zeile 62: Zeile 62:
 ==== Überlegungen ==== ==== Überlegungen ====
   * die DNS Server sind samt IP Adressen bei den verschiedenen Registrars eingetragen. Eine Anpassung der IP-Adressen muss sorgfältig geplant werden. Daher macht es wohl Sinn die alten Adressen zu übernehmen. Allerdings ist es fraglich ob es zweckmässig ist knox weiterhin im zweiten IPv4 Netz zu betreiben.   * die DNS Server sind samt IP Adressen bei den verschiedenen Registrars eingetragen. Eine Anpassung der IP-Adressen muss sorgfältig geplant werden. Daher macht es wohl Sinn die alten Adressen zu übernehmen. Allerdings ist es fraglich ob es zweckmässig ist knox weiterhin im zweiten IPv4 Netz zu betreiben.
-  * Der Verweis von Webservernamen via CNAME auf virthost.trash.net klappt nur bei FQDN-Hostnamen, nicht aber bei Domainnamen. So kann z.B. allend.ch nicht mittels CNAME operieren. Deshalb müsste ein DNS-Failover direkt im Zonenfile von allmend.ch gemacht werden. +  * Der Verweis von Webservernamen via CNAME auf virthost.trash.net klappt nur bei FQDN-Hostnamen, nicht aber bei Domainnamen. So kann z.B. allend.ch nicht mittels CNAME operieren. Deshalb müsste ein DNS-Failover direkt im Zonenfile von allmend.ch gemacht werden. //(Anmerkung: dann wäre es einfacher, beim Ausfall eines Webservers seine IP-Adresse einfach auf die andere VM zu übernehmen. Wenn die Apache-Konfigurationen identisch sind, geht dies ohne Konfigurationsänderungen)// 
-  * Die Proxyserver sollen weiterhin nur über das grüne Interface zugänglich sein und via SSH-Tunnel genutzt werden. Daher könnte man den Proxyservice gleich auf dem Shellserver betreiben statt in einer eigenen VM+  * Die Proxyserver sollen weiterhin nur über das grüne Interface zugänglich sein und via SSH-Tunnel genutzt werden. Daher könnte man den Proxyservice gleich auf dem Shellserver betreiben statt in einer eigenen VM //(Anmerkung: Man muss hier unterscheiden zwischen dem internen Proxy und demjenigen für die User. Der interne Proxy (auf web1/web2) dient lediglich als Cache für die VM. Bei mehreren VM wäre es schade, wenn bei Updates x-mal die gleichen Inhalte vom Mirror geladen werden.//
   * Stunnel und DNS-Tunnel dienen als alternativer Zugang zu SSH für den Zugriff auf den Shellserver   * Stunnel und DNS-Tunnel dienen als alternativer Zugang zu SSH für den Zugriff auf den Shellserver
   * Der bisherige DB-Zugriff via Unix-Socket muss überall auf Netz-Socket umdefiniert werden   * Der bisherige DB-Zugriff via Unix-Socket muss überall auf Netz-Socket umdefiniert werden
   * es ist noch zu klären ob die NTP-Server nicht nur Privat sondern auch Public angeboten werden   * es ist noch zu klären ob die NTP-Server nicht nur Privat sondern auch Public angeboten werden
 +  * die NTP-Server sind auf den beiden DNS-Server platziert, da dort möglichst gleichmässiger Load sein sollte. Wenn eine VM zeitweise keinen Load hat (was beim Shell- oder Web-Server der Fall ist), bezieht sie beim Hypervisor auch keine CPU-Zeit und dann beginnt die Uhr ungenau zu gehen. Dies bewegt sich im Bereich von 10 bis 40ms, ist für einen NTP-Server aber ungünstig.
   * die Namensauflösung für die grüne Zone local soll im hosts-File gemacht werden, welches auf jede VM verteilt wird.   * die Namensauflösung für die grüne Zone local soll im hosts-File gemacht werden, welches auf jede VM verteilt wird.
 +
 +==== Service-IPs ====
 +
 +  * Service-IPs werden in der grünen Zone eingesetzt, damit mehrere Dienste auf einer Maschine unterschiedlich adressiert werden. Der Use-Case dafür sind VM, die mehrere Funktionen haben.
 +    * Falls ein einzelner Service auf einer VM nicht mehr in Betrieb genommen werden kann, dann kann die jeweilige Service-IP auf ihre Partner-Maschine umgezogen werden. Dies würde nicht gehen, wenn mehrere Services über dieselbe IP adressiert werden.
 +    * Es wird keine Service-IP verwendet, falls eine VM nur eine einzelne Funktion übernimmt.
 +    * Der dnssec3 ist ein rekursiver DNS und hat zur Zeit nach innen und aussen die gleiche Funktion. Zukünftig könnte sich das aber ändern, deshalb wird die interne Namensauflösung über eine Service-IP angesprochen.
 +    * NTP ist auf ns1/ns2 und nutzt eine Service-IP, damit er später einmal einfach umgezogen werden könnte.
 +  * Es gibt einen Typ Service-IP - transient, bei der ein Dienst auf einer Maschine eine IP hat und diese zwischen Hosts verschoben werden kann. Der Failover hängt dabei vom Admin ab, der die IP umziehen muss.
 +  * Es gibt einen zweiten Typ Service-IP - persistent, bei der ein Dienst auf zwei Maschinen zwei IP hat und die nicht verschoben wird. Der Failover hängt dann davon ab, dass die Clients beide IPs kennen und selber bemerken, dass sie wechseln müssen.
  
 ==== Tabelle ==== ==== Tabelle ====
  
 ^ Service ^ Host ^ Interface ^ Adresse ^ Bemerkungen ^ ^ Service ^ Host ^ Interface ^ Adresse ^ Bemerkungen ^
-Hypervisor | box1.local | eth0 | - | Crosslink box2 |+Hypervisor | box1.local | eth0 | - | Crosslink box2 |
 | ::: | ::: | eth2 | - | Crosslink box2 | | ::: | ::: | eth2 | - | Crosslink box2 |
 | ::: | ::: | bond0 | - | Portchannel eth0/eth2 | | ::: | ::: | bond0 | - | Portchannel eth0/eth2 |
 | ::: | ::: | bond0.5 | fdd9:35eb:9824:5::1/126 | DRBD-Replikation | | ::: | ::: | bond0.5 | fdd9:35eb:9824:5::1/126 | DRBD-Replikation |
-| ::: | ::: | bond0.xxx | fdd9:35eb:9824:6::1/64 grüne Zone |+| ::: | ::: | bond0.5 | 172.31.4.129/30 | DRBD-Replikation | 
 +| ::: | ::: | br1 | fdd9:35eb:9824:6::1 | - | 
 +| ::: | ::: | br1 | fdd9:35eb:9824:6::3 | Service-IP NFS |
 | ::: | ::: | eth1 | 172.31.4.1/30 | Crosslink IPMI box2 | | ::: | ::: | eth1 | 172.31.4.1/30 | Crosslink IPMI box2 |
 | ::: | ::: | IPMI | 172.31.4.6/30 | lokales IPMI | | ::: | ::: | IPMI | 172.31.4.6/30 | lokales IPMI |
Zeile 82: Zeile 95:
 | ::: | ::: | eth2 | - | Crosslink box1 | | ::: | ::: | eth2 | - | Crosslink box1 |
 | ::: | ::: | bond0 | - | Portchannel eth0/eth2 | | ::: | ::: | bond0 | - | Portchannel eth0/eth2 |
-| ::: | ::: | bond0.5 | fdd9:35eb:9824:5::2/126 | DRBD-Replikation | +| ::: | ::: | bond0.5 | fdd9:35eb:9824:5::2 | DRBD-Replikation | 
-| ::: | ::: | bond0.xxx | fdd9:35eb:9824:6::2/64 grüne Zone |+| ::: | ::: | bond0.5 | 172.31.4.130/30 | DRBD-Replikation | 
 +| ::: | ::: | br1 | fdd9:35eb:9824:6::2 | |
 | ::: | ::: | eth1 | 172.31.4.5/30 | Crosslink IPMI box1 | | ::: | ::: | eth1 | 172.31.4.5/30 | Crosslink IPMI box1 |
 | ::: | ::: | IPMI | 172.31.4.2/30 | lokales IPMI | | ::: | ::: | IPMI | 172.31.4.2/30 | lokales IPMI |
-Shellserver | access1.local eth0 | 213.144.137.164 |zus. Stunnel DNS-Tunnel | +Shellserver | access1.trash.net eth1 | 213.144.137.164 |zus. Stunnel DNS-Tunnel | 
-| ::: | ::: | eth0 | 2001:1620:2001::164 | - | +| ::: | ::: | eth1 | 2001:1620:2001::164 | - | 
-| ::: | ::: eth1 | fdd9:35eb:9824:6::164 | - | +| ::: | access1.local eth0 | fdd9:35eb:9824:6::164 | - | 
-| ::: | access2.local eth0 | 213.144.137.165 |zus. Stunnel DNS-Tunnel | +| ::: | access2.trash.net eth1 | 213.144.137.165 |zus. Stunnel DNS-Tunnel | 
-| ::: | ::: | eth0 | 2001:1620:2001::165 | - | +| ::: | ::: | eth1 | 2001:1620:2001::165 | - | 
-| ::: | ::: eth1 | fdd9:35eb:9824:6::165 | - | +| ::: | access2.local eth0 | fdd9:35eb:9824:6::165 | - | 
-DNS-Server NTP-Server ns1.local (rekursiv) ULA::187 ns1.trash.net ns.trash.net dnssec1.trash.net (authoritativ) dnssec3.trash.net (rekursiv) 213.144.137.186 x::186 213.144.137.187 x::187 alte IP-Adressen, zusprivat Rekursiv, privat NTP +^ Mailserver mail.trash.net | mail1.trash.net | eth1 | 213.144.137.166 | zus. Submission IMAPS POPS | 
-| ::: | ns2.local (rekursiv) ULA::189 | ns2.trash.net knox.trash.net dnssec2.trash.net (authoritativ) dnssec4.trash.net (rekursiv) 213.144.137.188 x::188 213.144.137.189 x::189 | alte IP-Adressen, zus. privat Rekursiv, privat NTP | +| ::: | ::: | eth1 | 2001:1620:2001::166 | - | 
-Mailserver mail.trash.net mail1.local ULA::166 mail1.trash.net 213.144.137.166 x::166 zusSubmission IMAPS POPS +| :::| mail1.local | eth0 | fdd9:35eb:9824:6::166 - | 
-| :::| mail2.local ULA::167 mail2.trash.net 213.144.137.167 x::167 zusSubmission IMAPS POPS +| ::: | mail2.trash.net | eth1 | 213.144.137.167 | zusSubmission IMAPS POPS | 
-Webserver www.trash.net | web1.local ULA::172 web1.trash.net 213.144.137.172 x::172 zuswebmail.trash.net | +| ::: | ::: | eth1 | 2001:1620:2001::167 | - | 
-| ::: | web2.local ULA::173 web2.trash.net 213.144.137.173 x::173 | zus. webmail.trash.net +| :::| mail2.local | eth0 | fdd9:35eb:9824:6::167 | - | 
-Webserver vhost.trash.net | vhost1.local ULA::174 vhost1.trash.net 213.144.137.174 x::174 Userspace +^ DNS-Server | ns1.trash.net | eth1 | 213.144.137.186 | DNS authoritativ | 
-| ::: | vhost2.local ULA::175 vhost2.trash.net 213.144.137.175 x::175 Userspace | +::: | resolv1.trash.net | eth1 | 213.144.137.187 | Public Resolver | 
-Webserver sites.trash.net | sites1.local ULA::176 sites1.trash.net 213.144.137.176 x::176 Projects +| ::: | ::: | eth1 | 2001:1620:2001::186 | DNS authoritativ | 
-| ::: | sites2.local ULA::177 sites2.trash.net 213.144.137.177 x::177 Projects +| ::: | resolv1.trash.net | eth1 | 2001:1620:2001::187 | Public Resolver 
-DB Server db.local LDAP Server db1.local ULA::| | zusLDAP +| ::: | ns1.local | eth0 | fdd9:35eb:9824:6::186 | - | 
-| ::: | db2.local ULA::| | zus. LDAP |+| ::: | ::: | eth0 | fdd9:35eb:9824:6::187 | - | 
 +| ::: | ::: | eth0 | fdd9:35eb:9824:6::e53 | interner DNS-Resolver | 
 +| ::: | ::: | eth0 | fdd9:35eb:9824:6::e123 | interner NTP | 
 +| ::: | ns2.trash.net | eth1 | 213.144.137.188 | DNS authoritativ 
 +| ::: | resolv2.trash.net | eth1 | 213.144.137.189 | Public Resolver | 
 +| ::: | ::: | eth1 | 2001:1620:2001::188 | - | 
 +| ::: | resolv2.trash.net | eth1 | 2001:1620:2001::189 | Public Resolver | 
 +| ::: | ns2.local | eth0 | fdd9:35eb:9824:6::188 | - | 
 +| ::: | ::: | eth0 | fdd9:35eb:9824:6::189 | - 
 +| ::: | ::: | eth0 | fdd9:35eb:9824:6::f53 | interner DNS-Resolver | 
 +| ::: | ::: | eth0 | fdd9:35eb:9824:6::f123 | interner NTP | 
 +^ DB Server db1.local eth0 | fdd9:35eb:9824:6::500 | - | 
 +| ::: | ::: | eth0 | fdd9:35eb:9824:6::e389 | Service-IP LDAP | 
 +| ::: | ::: | eth0 | fdd9:35eb:9824:6::e336 | Service-IP MySQL| 
 +| ::: | db2.local | eth0 | fdd9:35eb:9824:6::501 - | 
 +| ::: | ::: | eth0 | fdd9:35eb:9824:6::f389 | Service-IP LDAP | 
 +| ::: | ::: | eth0 | fdd9:35eb:9824:6::f336 | Service-IP MySQL | 
 +^ Web trash.net | web1.trash.net | eth1 | 213.144.137.178 | www.trash.net u.a. | 
 +| ::: | ::: | eth1 | 2001:1620:2001::178 | www.trash.net u.a. | 
 +| ::: | web1.local | eth0 | fdd9:35eb:9824:6::178 - | 
 +| ::: | ::: | eth0 | fdd9:35eb:9824:6::e80 | interner Proxy | 
 +| ::: | web2.trash.net | eth1 | 213.144.137.179 www.trash.net u.a. | 
 +::: | ::: | eth1 | 2001:1620:2001::179 | www.trash.net u.a. | 
 +| ::: | web2.local | eth0 | fdd9:35eb:9824:6::179 - | 
 +| ::: | ::: | eth0 | fdd9:35eb:9824:6::f80 | interner Proxy | 
 +^ Web Sites | web11.trash.net | eth1 | 213.144.137.176 | Projet Home Pages | 
 +| ::: | ::: | eth1 | 2001:1620:2001::176 | Projet Home Pages | 
 +| ::: | web11.local | eth0 | fdd9:35eb:9824:6::176 | - | 
 +| ::: | web12.trash.net | eth1 | 213.144.137.177 | Projet Home Pages 
 +| ::: | ::: | eth1 | 2001:1620:2001::177 | Projet Home Pages | 
 +| ::: | web12.local | eth0 | fdd9:35eb:9824:6::177 - | 
 +^ Monitoring | mon1.local | eth0 | fdd9:35eb:9824:6::502 | - | 
 +| ::: | ::: | eth0 | fdd9:35eb:9824:6::e514 | interner Syslog | 
 +^ Messaging | msg.local | eth0 | fdd9:35eb:9824:6::172 | - | 
 +| ::: | lists.trash.net | eth1 | 213.144.137.172 Mailinglists,  Jabber zus. evIRCD 
 +^ knox VM knox.trash.net | eth1 | 213.144.137.34 | DNS/Postfix | 
 +| ::: | ::: | eth1 | 213.144.137.35 | DNS dnssec2.trash.net. | 
 +| ::: | ::: | eth1 | 213.144.137.36 | DNS dnssec3.trash.net. | 
 +| ::: | ::: | eth1 | 2001:1620:2001::20 | DNS/Postfix 
 +| ::: | ::eth1 | 2001:1620:2001::21 | DNS dnssec3.trash.net. 
 +| ::: | ::: eth1 2001:1620:2001::22 | DNS dnssec2.trash.net| 
 +| ::: | knox.local | eth0 | fdd9:35eb:9824:6::34 | - | 
 +^ stinky VM stiny.trash.net | eth1 | 213.144.137.162 DNS/Postfix 
 +| ::: | ::: | eth1 | 213.144.137.170 | DNS dnssec1.trash.net. | 
 +| ::: | ::: | eth1 | 2001:1620:2001::10 | DNS/Postfix 
 +::: | ::eth1 2001:1620:2001::11 | DNS dnssec1.trash.net. | 
 +| ::: | stinky.local | eth0 | fdd9:35eb:9824:6::162 | 
 + 
 + 
 +unfertig: 
 + 
 +^ Service ^ Host ^ Interface ^ Adresse ^ Bemerkungen ^
 | Proxyserver proxy.local | proxy1.local ULA::6 | | ev. auf Shellserver | | Proxyserver proxy.local | proxy1.local ULA::6 | | ev. auf Shellserver |
 | ::: | proxy2.local ULA::7 | | ev. auf Shellserver | | ::: | proxy2.local ULA::7 | | ev. auf Shellserver |
-| Messaging| msg.local ULA::178 | msg.trash.net 213.144.137.178 | Jabber zus. ev. IRCD, Messaging | +
plattform-migration/netzplan.1450621553.txt.gz · Zuletzt geändert: 2015/12/20 14:25 von thomasb