Как организовать сеть между датацентром в Москве и Hetzner?

Question

[dostoevkiy22]

Имеется развёрнутая инфраструктура в одном из датацентров Москвы, анонснутая ANS и подсеть /24. Сейчас встал вопрос об расширении числа нод (занимаюсь хостингом), выбор пал на Hetzner, так как там относительно дешевые вычислительные мощности. Собственно стал вопрос об организации сети, хочу разделить /24 на 2 по /25, одну для Москвы, вторую для хетзнера.
Собственно вопрос, как правильно организовать работу сети? Сейчас рассматриваю такой вариант Москва <= gre => отдельный виртуальный роутер на хетзнере <= их vswitch => нода(ноды) вод виртуалки.
Имеется ряд вопросов к такой схеме:
1) Не сильно ли лишним будет отдельный роутер на инфраструктуре хетзнера? Просто немного переживаю как gre справится с /25 и не будет ли сильно грузить процессор ноды с вмками лишними вычислениями
2) Как через vswitch дать доступ к реальным ip адресам на роутере? То есть необходимо будет поднимать второй gre туннель между роутером и нодой с вмками?

Comments

[Valentin Barbolin]

Виртуально разделить AS на два блока по /25 можно и настроить iBGP, но анансировать блок меньше /24 нельзя, соответственно каждый из датацентров будет частично гонять танзитный трафик для втого.

На vswitch не тестил, но VyOS легко с таким справляется. В обоих вариантах используется процессо x86, соответственно vswitch тоже должен справиться.

Answer 1

[inteIIigence]

Так в чем проблема, ты же все расписал как оно есть.

1. Не лишним, если хочешь на хостинге локальную сеть. Если нужды в этом нет - то можешь использовать туннели с мск до узлов. Хецнер Клауд не лучший вариант, ибо там ограничение в 100К pps.
2. В хецнер доке описано как настроить vswitch, дальше все от твоего сетевого инженера зависит, как он захочет распределить сети. Статическая маршрутизация или динамическая.
1-й вариант простой и затратный в плане IP, так как могут оставаться свободные ипы.
2-й вариант посложнее в плане первичной настройки, даже не так, он более время затратный. Но тут ты используешь 100% от сетей. Но опять таки, все зависит от твоего сетевого инженера, либо от тебя. Статей на тему GRE туннелей -- сотня.

Надеюсь чем-то помог

Comments

[dostoevkiy22]

Спасибо за развёрнутый ответ. Просто не совсем был уверен, что правильно понимаю процесс работы gre и vswitch, думал где-то ошибаюсь.

В целом ещё 1 вопрос возник по пропускной способности GRE. В мск стоит виртуальный роутер c 8 ядерным процом, на стороне хетзнера решили взять роутер на ryzen 5 3600, можно ли как-то посчитать примерную максимальную пропускную способность в PPS, при условии, что канал между роутерами неограничен?

[inteIIigence]

Так как GRE представляет из себя незашифрованный трафик, то нагрузки на процессор быть не должно. Из PPS могу сказать, что хецнер держит 400-500 тысяч ппс на 1Гбит. Если мы говорим про выделенный 10гбит линк, то я прогонял 2-3млн ппс для теста и все было хорошо (защита хенцера даже не заметила =) )
Конечно существуют дополнительные методы распределения сетевой нагрузки на процессор, что было бы конечно правильно сделать, но я не вижу в этом "острой" необходимости.

Еще хотел бы оставить небольшой отзыв касательно vSwitch. Вроде как это L2 от Хецнера для связи между серверами, но работает он крайне нестабильно + имеет ограничения. Я же все таки рекомендовал рассмотреть другие методы создания L2 канала связи между серверами. Лично у меня были проблемы, когда 25% пакетов где-то терялись и не понятно из-за чего.

[inteIIigence]

+ почему вы не рассматриваете использовать stormwall в Германии?

[nilas]

inteIIigence, wireguard умеет в GRE?

Answer 2

[suzuki_press]

В целом легко, достаточно не заниматься фигней и анонсировать IP в хезнере считаю.

А лучшее вообще гре не поднимать не стабильная шутка.

Comments

[dostoevkiy22]

В поднятии ip в хетзнере 2 проблемы, 1 - цена новой подсети, 2 - на Москве у нас стоят фильтры антиддос. У хетзнера эти самые фильтры очень плохие, знаю лично

[dostoevkiy22]

Может быть подскажете альтернативу гре? ipip?

[suzuki_press]

dostoevkiy22, А что за фильтры какая Вы компания или хостинг?

[dostoevkiy22]

suzuki_press, Хостинг, вмки продаём. Фильтры от stormwall, у них в хетзнере нет оборудования, поэтому подключить туда защиту не выйдет, спрашивал уже

[suzuki_press]

dostoevkiy22, а что за компания, интересно даже стало.

[dostoevkiy22]

suzuki_press, Пожелаю остаться анонимным) Самый обычный хост с антиддосом