да, я про него и говорил )
это вендор, под крупняком я имел ввиду isp/ent кастомера-юзера clos топологий
Ivan
vitex
Это не то все равно
vitex
А вот мплс + евпн для л2
vitex
Это уже лучше
Ivan
да, это 2 варианта которые рассматриваю, макро и фаер на хостах с оркестратором
vitex
А ты как думаешь?
vitex
:)
Ivan
ну 4к на trident II+ ацлы впихивать, даже среднему энту не хватит
Ivan
и это тоже
Ivan
азик не может в мэджик и dpdk. Только stateless обычный, а sdn деплоит да
Vladimir
ну 4к на trident II+ ацлы впихивать, даже среднему энту не хватит
ну вот ариста предлагает один из вариантов централизованный роутинг. в таком случае там можно и аклы вешать, если ivr делать на каких-нибудь фаерах
vitex
Новые чипсеты на лифах уже с внешним ткамом, нексусы те же
Так что там такой проблемы не будет
Но когда они настолько подешевеют хз
Igor
если мэджик пони вылазят, это к доктору
vitex
Vladimir
http://chinog.org/wp-content/uploads/2015/05/VXLAN-Routing-Design.pdf
Vladimir
страница 16
vitex
Моё аеспишное нутро кричит про л3впн
Vladimir
не оно?
Ivan
я посмотрю доку, но централизованный роутинг в vxlan это обычно терминация всех gw на одной паре leafs
vitex
А вообще круг замкнулся в очередной раз
Опять в сетях выносим интеллект на перефирию
Ivan
ну либо как вариант на нормальном statefull FW , но тут скейлить сложно если много east-west трафика
Ivan
именно
Ivan
нормальное решение это весь дц на nsx
Ivan
distributed firewall
vitex
А если у него серверов много?
Несколько десятков или сотня
?
Ivan
вот я для такого и спрашиваю)
Vladimir
ну легко же. на хостах фаеры настраивать
Vladimir
сам не так давно рекламировал
Ivan
нужен оркестратор
Evgeniy
человек оркестр
Ivan
это дорогая разработка либо покупка
Ivan
тут уже ничего кроме как кусок vrf в statefull фаере выделить на ум не приходит
Vladimir
управление аклами как сервис и пусть сам рулит
vitex
В ддосах :)
Ivan
вот вот
Ivan
стейтлесс это уже не назвать секурити, все равно в итоге придется через antiddos appliance Гнать часть трафика, и будет и stateless девайс на пути и statefull
Ivan
но это уже другая история
Ivan
управление аклами как сервис и пусть сам рулит
не хватит acl , к тому же сервис с acl не всегда идеален и может много лишнего создавать, по опыту
Vladimir
Ivan
аклы на хостах
на мой взгляд это идеально, но тут нужна оркестрация, создание acl на свои сервисы должно создавать reverse правило на другой точке, которая под другим административным контролем, это уже система аппрувов, серьезная разработка, пока склоняюсь как best-effort решение - упрощение и макросегментация
Ivan
мне поэтому и интересно как сделано у high load сервисов в этом плане
Vladimir
Илья
Vladimir
Ivan
Илья
нужны два уровня обороны
Ivan
вот тут подробнее, statefull фаер на хосте проще скомпрометировать чем stateless на свитче?)
Ivan
и это немного не кейз с внешней связностью, речь про внутри CLOS
Ivan
nsx да, уже выше мечал о нём)
Илья
NSX L3?
Ivan
но это решения для архитектуры, может не быть vmware, может не быть виртуализации, может не быть лицензий
Илья
Как он интегрится с магистралью?
Ivan
уровень сервисов не строят под потребности сети
Илья
L3 там distributed router вроде как, просто гипервизор роутит
роутер роутит по роутам. откуда он эти роуты получает? BGP vpnv4?
Ivan
как хочешь
Vladimir
Цена неразумная
Ivan
хоть по evpn
Ivan
обычный роутинг на хосте
Илья
уровень сервисов не строят под потребности сети
архитектор должен склеить два уровня, можно сказать что сервис первичен и сеть должна под него подстроиться, а может оказаться так что на сети есть разумные ограничения и дешевле прогнуть сервис, чем апгредить транспорт. тут всегда надо думать
Ivan
архитектор должен склеить два уровня, можно сказать что сервис первичен и сеть должна под него подстроиться, а может оказаться так что на сети есть разумные ограничения и дешевле прогнуть сервис, чем апгредить транспорт. тут всегда надо думать
согласен, но из за acl не будут всё свопать на VMware , и не только из за цены, есть куча других ограничений
Илья
тогда я не понимаю. у нас итшники топят за nsx, я говорю что они охуели. я пока не понимаю что будет если они реально купят, может стоит их поддержать, надо просто понять. я до сих пор пока не вижу как это работает и интегрируется
Ivan
Ivan
он в 99% кейзов вписывается, но цена...
Илья
что значит сервис внешних клиентов? ты хостер иаас? тогда какая в жопу разница, пусть ацл на вирталках настраивают
Ivan
про iaas вопрос конечно интересный, но там ведь ты на уровне vrf будешь разделять клиентов, так зачем тебе на инфраструктуре политики, свою Security юзеры мне кажется сами должны контролировать как им удобнее внутри своего тенанта ? а leak между тенантами не очень много обычно
Илья
вот я и говорю что внешние клиенты сами пусть колупаются, для внутренних надо смотреть. если свой цод и свои сервера и сервисы там, то сами внутри конторы можете разрулить как сделать лучше. а внешний кастомер сам захочет быть независимым от хостинга и рулить всем
Ivan
концепт понятен, нужен proof) у кого-то тут сделана макросегментация на CLOS , либо оркестрация фаера на хосте?
vitex
Что то новенькое
Roman
зачем вррп
есть же virtual-gateway
virtual-gateway-address - оно только в kernel мод, где перформанс ни к чёрту и не рекомендуется джуном
Ivan
vrf в л3 фабрике????
конечно, а как ты тенантов будешь разделять, evpn+vxlan в vrf со своими rt , ну или l3vpn+mpls
vitex
virtual-gateway-address - оно только в kernel мод, где перформанс ни к чёрту и не рекомендуется джуном
Рекомендуется джуном для евпн
И мы получили от них poc на использования этого в mclag
Так что не умничай
Roman
Igor
опять срётесь, да?
vitex