Привет. Есть вопрос по организации сети для проекта. Суть в

следующем, есть 3 ДЦ самых простейших, не облачных, максимум что могут организовать - L2 между собственными серверами. Задача сделать некий аналог DMZ , чтобы все сервера ходили в Интернет только через файрвол с политиками + была глобальная защищенная локалка между ДЦ, т.е. трафик между серверами в двух разных ДЦ идет через шифрованный тунель.

Как я это сделал:

Выделил в каждом ДЦ по две виртуалки, накатил туда VyOS (аналог pfSense, только Linux, а не BSD), настроил плавающий IP между ними и указал его в качестве default gw на всех серваках (теперь все серваки по ЦОДовому лану ходят до этих виртуалок, если им надо в Инет). Далее все эти виртуалки связаны с аналогичными виртуалками в других ДЦ (по сути кольцевая топология, только двойная, т.к. по 2 вируталки) . Каждый ДЦ - своя приватная ASN, между ДЦ по wireguard бегает eBGP+BFD, между виртуалками "репликация" через iBGP. Все работает, все четко и отказоустойчиво + можно легко заводить доп. сегменты LAN. По сути, классический сетевой L2->L3. Собсно вопрос - может я тут какой-то оверхед и костыли нагородил, и есть магическое DevOps-решение типо развернул суперпрогу, написал пару YAML, у тебя все само заработало (ну а вдруг), и это прям все знают и используют? 😂

Нет, все правильно. Пока что с сетями суперпроги нет, можно посмотреть в сторону цилиум, но то что вы сделали намного лучше и интереснее

> DevOps-решение типа развернул суперпрогу, написал пару YAML, у тебя само всё заработало Кек.

У меня нету кота кстати

В облачных дц вы бы это сделали через yaml’ы и прочие json’в. В необлачных – норм решение.

Но в облачных нельзя при помощи ямликов связать два разных сегмента :(

Привет

Терраформ же

Рядом сидящий сеньор YAML-девелопер офигивает от таких технологий, и во мне проснулся синдром самозванца, но я его поборол. Всем пасибо)

А как он может помочь связать условно AWS и YaCloud?

Ну там есть CloudRouter, в GCP по крайней мере.

Угу

А на самом ДЦ у вас есть железяка кроме серверов? Коммутаторы?

нее, ток серваки. Это Хецнер + 2 каких-то ноунейма

Ну ваше решение выглядит намного лучше в любом случае

Ждём статью на Хабре

Ну вот я думал думал, что для онпрема сделать и не придумал ничего лучше :). Когда конектил GCP, там они со своей стороны BGP сессию поднимают, ты указываешь свой ASN с онпрема и интерконектишься с ними. Я просто подумал, ну раз гугл так делает, то надо скопипастить идею и сделать аналогично из того, что есть под руками)

Грубо говоря, терраформ – это конвертер REST API облаков в ямлики и жсоны, и наоборот. Если можете VyOS полностью настроить через REST API, то можете настроить его ямлами и джсонами терраформа.

О чём? Это типичная задача сисадмина/сетевика в средней компании.

да, тут вопрос был не про IaC, я и так щас прикручиваю Napalm. Тут вопрос именно продумать концепцию\топологию. Я больше искал какой-то солюшн, типо как Cilium у куба, ток для онпрема, сказал ему, вот серваки, дальше сам делай туннели и настраивай роутинг как хочешь.

Но не пса же

ну РФ родина онпремиса и аутстафа, что поделать :)

Ну и Cilium никто не мешает на ваших бордерах запустить.

ну это etcd тащить

https://github.com/foltik/terraform-provider-vyos

Вы бы поостереглись такое древнее гавно как vyos использовать. Я последний раз его пару лет назад устанавливал. Раскатил и ушел чаю попить. Когда пришел назад на машинке уже криптомайнер и ботнет работали.

Древнее о_О? Это форк Vyatta, который активно разрабатывается , образ собирается из исходников, и майнеров там не обнаружено, последний коммит 3 дня назад https://github.com/vyos/vyos-build.

I'm fully aware.