Я планирую развернуть инфраструктуру из 11 узлов с помощью Opscode Chef, обеспечивая веб-приложение высокой доступности. Я хотел бы распределить узлы по центрам обработки данных для обеспечения доступности, для чего я думаю, что rrDNS разрешает один из двух балансировщиков нагрузки, каждый в отдельном центре обработки данных со своими собственными кластерными узлами (обеспечивая приложение с nginx, memcached и Sphinx) . Третий DC будет использоваться для конфигурации MySQL master / slave, так как я читал, что репликация не работает через WAN. Это решение не допускает единой точки отказа.
Мой вопрос касается того, как эти узлы должны соединяться друг с другом? Как правило, предполагается, что вся информация, передаваемая этими службами, будет проходить через короткие LAN-соединения, поэтому встроенная безопасность не предоставляется, а это означает, что мне нужно будет указать это на самих ссылках.
Я думал сделать это с помощью туннелирования SOCKS или VPN. Последнее могло бы удвоить повышение безопасности самих узлов, поскольку тогда им не нужно было бы открывать несколько служб в своем интернет-интерфейсе, вместо этого просто открывая, скажем, экземпляр OpenVPN.
Что вы думаете о решениях для обеспечения связей между узлами в такой инфраструктуре?
Если это связь между узлами, и вы не в ситуации, когда вы можете установить частные ссылки (или VPN-туннель на основе брандмауэра), я бы предложил одноранговое клиентское решение под названием n2n из ntop.
Все это нужно контролировать с помощью надузел, но это может быть система Chef. Я использую этот подход для SNMP мониторинг систем, в которых у меня нет VPN или управления удаленными межсетевыми экранами.
Так что, на мой взгляд, у вас есть ответ. VPN - это способ сделать это. Это будет работать практически с любым центром обработки данных или облачным решением.
Теперь, если вы размещаете или имеете собственную инфраструктуру, у вас есть другой вариант, который может быть неплохим. EVPL (виртуальная частная линия Ethernet), в основном выделенное соединение между сайтами, большинство крупных интернет-провайдеров могут предоставить решение для этого. Вы также можете заглянуть в частные разговоры.
Раньше я использовал EVPL, и они предоставляют отличное решение для такого типа межсайтовой связи. Чтобы добавить избыточность, хорошей идеей было бы также создать VPN в качестве вторичного пути для данных, если EVPL выходит из строя.