Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN

Wed, 30 Sep 2020 02:55:39 -0700 

A ce niveau là, on est plus proche du EVPN que du routage classique...
(Ça marche avec du BGP dans lequel tu annonces les IPs et les MACs de tes 
machines dans chaque vxlan, en disant sur quel HV elles sont)

Tu couple ça avec du VXLAN (un par client) dans lequel tu peux faire soir du 
RFC1918, ou au pire router direct les IPs publiques.
Une fois que tu as les deux en place, tu n'a plus trop de problème d'étanchéité 
entre tes clients !

Et pour le routeur, tu as des stack de routage VXLAN<->"reste du monte" qui 
existent en soft (vmware edge gateway) ou en hard (cisco asr9k par exemple).

--
Guillaume Genty | WAYCOM
Directeur Innovation et Expertise
1 quai Marcel Dassault | 92150 Suresnes, FRANCE
T. : +33 (0)1 41 44 83 00 | F. : +33 (0)1 41 44 00 22
gge...@waycom.net | www.waycom.net

Le 30/09/2020 à 11:46, David Ponzone a écrit :

Ok ça revient au même que le modèle avec une VM de routage, sauf que là, c’est 
l’HV qui route.
J’avoue que je n’ai jamais considéré ce modèle. Pour moi l’HV est pas là pour 
router.
Par contre, l’avantage est que c’est plus facile au niveau de l’HV de scripter 
l’ajout de l’annonce BGP d’un /32 quand une VM est détectée comme up (en 
fonction d’un CMDB/IIMAP).
C’est à un truc comme ça que tu penses ?


Le 30 sept. 2020 à 11:40, Wallace <wall...@morkitu.org> a écrit :

Ouh là non c'est l'hyperviseur qui fait du ebgp pas les vms, ça serait le 
bordel et ça consommerait pas mal de ressources pour pas grand chose.

Le 30/09/2020 à 10:57, David Ponzone a écrit :

Le 30 sept. 2020 à 10:11, Wallace <wall...@morkitu.org 
<mailto:wall...@morkitu.org>> a écrit :

Je valide c'est LA bonne méthode.

Et tu peux même pousser plus loin en mettant du eBGP entre la machine et le 
routeur.

Oui bien entendu, mais ça marche pas quand tu contrôles pas la VM.
Raison pour laquelle il y a probablement pas mal de monde qui met une VM de 
routage devant les VM clients, mais ça rend alors la migration d’une VM entre 2 
HV moins trivial         (puisque l’IGP n’allant pas jusqu’à la VM, il y a 
forcément une conf en dur qqpart pour savoir vers quelle VM de routage il faut 
router l’IP publique de la VM).



---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/



---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Reply via email to