У меня есть несколько удаленных серверов для различных целей - веб-серверы и серверы приложений. Мне действительно нужна своего рода «сеть управления», чтобы я мог упростить такие задачи, как сбор журналов и управление пакетами, но это сложно с серверами, расположенными в сторонних центрах обработки данных.
Я собираюсь настроить выделенный сервер OpenVPN в нашем офисе и установить клиентов на каждом удаленном сервере, чтобы обеспечить ту же функцию, что и выделенная сеть управления. Однако я безуспешно искал примеры, когда это делали другие люди. Идея:
Это разумная идея или есть лучший подход?
Изменить: все серверы (в офисе и удаленные) работают под управлением различных версий Linux. Windows не задействована.
I have been unsuccessful looking for examples of other folks having done this.
Я делаю что-то подобное выше. У меня есть множество устройств, которые я обслуживаю, развернутыми в сетях клиентов. Они поддерживают ссылку OpenVPN, чтобы я мог обновлять, управлять и отслеживать их. IPsec, хотя и хорош в теории, часто требует больше усилий, чтобы пройти через брандмауэры.
Настройка простой сети управления через OpenVPN должна быть очень простой. Нет ничего особенно плохого в использовании OpenVPN для этой цели.
Я бы использовал OpenVPN. IPSec более зрелый, чем OpenVPN, но он тяжелее, требует больше накладных расходов и требует сложной настройки и устранения неполадок. L2TP и PPTP - другие примеры, но их труднее заставить работать и труднее преодолевать межсетевые экраны и NAT.
Настройте OpenVPN со всеми включенными параметрами безопасности, создайте отдельные сертификаты для каждого клиента, настройте брандмауэр на VPN-сервере, чтобы отбрасывать все подключения к порту OpenVPN и принимать только с IP-адресов ваших серверов.
Это можно сделать? Конечно.
Это хорошая идея? Нет.
Вместо этого используйте IPSec. Это очень зрелая технология, которая встроена во все современные операционные системы и является гораздо лучшим выбором для VPN-подключений «инфраструктурного» типа.
OpenVPN великолепен, но IMO следует использовать только для случаев использования типа удаленного работника, а не для инфраструктуры.