В ряде случаев ИТ-специалистам необходимо предоставить удаленный доступ пользователям одного VLAN к компьютерам или серверам другого VLANа. В этом случае наиболее распространенная практика — маршрутизация (перенаправление) портов. На UNIX/Linux ОС такие правила поднимаются довольно часто и сравнительно легко с помощью iptables. Если вы имеете дело с Windows серверами задача несколько усложняется и не всегда интуитивна. В случае если же у вас поднята структура доменов, то задача маршрутизации портов будет не только трудоемкой, но и некрасивой с т.з. логики.
Как альтернативное решение — использование VPN доступа: в этом случае сохраняется логическая структура сети, сохраняется уровень безопасности и обеспечивается требуемое удобство.
Вся статья размещена на сайте экспериментальной студии Хорош
"Недавно при работе над архитектурой и модернизацией сети для одной из студий 3D-моделирования, возникла довольно щекотливая ситуация. Суть ее сводилась к следующему. В результате модернизации локальной сети в студии, все структурные подразделения были логически разделены на VLANы с помощью CISCO-роутеров. В отдельный VLAN вывели и рендерный кластер — конкретно о нем и пойдет речь в этой статье.
Рендерный кластер состоит из 108 вычислительных серверов (нод) и 2 менеджеров (основной и резервный). На менеджерах подняты ActiveDirectory, DNS, DHCP, ComputeCluster (де-факто используемый пока только в плане деплоя и RIS). Каждый из менеджер-серверов использует по два NIC — один смотрит во внешнюю сеть, второй — приватный кластерный VLAN.
Все замечательно, но сложился конфликт интересов. Дело в том, что специфика сетевого 3D-рендеринга требует зачастую прямой проверки что же именно происходит на той или другой ноде (в этом отличие сетевого рендеринга от кластерного — когда задание контролируется исключительно на менеджер-сервере, хотя физически так же считается на нодах). Для этого необходим удаленный доступ на конкретную ноду — дабы увидеть что происходит и как происходит. Поскольку VLANы были созданы специально для предотвращения несанкционированного доступа к рендер-кластеру и дабы сами рендер-ноды использовали свою приватную сеть — такая структура не позволяет удаленный доступ к вычислительным нодам напрямую из общей сети. Но определенным пользователям такой доступ оказался нужен. Что делать?"
Комментариев нет:
Отправить комментарий