웹 서비스(웹 서버, API, gitlab...)를 호스팅하는 이중 네트워크 RHEL8 엔터프라이즈 시스템에 구성을 설정하고 싶습니다. 머신에는 로컬 네트워크용 eno1과 기업 네트워크용 eno2의 두 가지 네트워크 인터페이스가 있습니다. 목표는 두 네트워크 모두에서 WEB 서비스를 제공하는 것입니다. WEB 서비스는 WEB에서도 요청할 수 있어야 하며, 로컬이나 기업 네트워크의 다른 서버에도 요청할 수 있어야 합니다.
다음은 현재 서버가 "웹 서버"인 단순화된 네트워크 다이어그램입니다.
웹 인터페이스 구성:
# eno1 interface
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME=eno1
UUID=40eefeb5-cf77-4332-9b13-5efff8ca1191
DEVICE=eno1
ONBOOT=yes
IPADDR=192.168.0.4
NETMASK=255.255.255.0
PREFIX=24
GATEWAY=192.168.0.254
IPV4_ROUTE_METRIC=100
# eno2 interface
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=dhcp
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME=eno2
UUID=b0ba0e02-f62a-48bb-95b3-e4411316d102
DEVICE=eno2
ONBOOT=yes
IPV4_ROUTE_METRIC=100
라우팅 테이블이 자동으로 생성되었습니다(ip Route).
default via 172.26.254.254 dev eno2 proto dhcp src 172.26.0.1 metric 100
default via 192.168.0.254 dev eno1 proto static metric 100
172.26.0.0/16 dev eno2 proto kernel scope link src 172.26.0.1 metric 100
192.168.0.0/24 dev eno1 proto kernel scope link src 192.168.0.4 metric 100
예상되는 동작과 실제 동작을 자세히 설명하기 전에 마지막으로 할 일은 로컬 네트워크의 VLAN 간 라우팅이 구현된다는 것입니다. 이는 웹 서비스에 필요한 모든 포트의 양방향 통신을 고려하고 이 경우 사용되는 컴퓨터 간의 ICMP 프로토콜도 고려합니다.
무슨 일이야:
이는 NetworkManager가 시작될 때 원하는 동작입니다.
- 웹 서비스는 VLAN 1의 모든 서버(예: 서버 B)에서 액세스할 수 있습니다.
- 웹 서비스는 모든 VLAN 2 서버(예: 서버 A)에서 액세스할 수 있습니다.
- 웹 서비스는 서버 D 또는 회사 네트워크의 다른 서버에서 액세스할 수 있습니다.
- 웹 서버가 네트워크에 액세스할 수 있습니다.
- 웹 서버는 Gitlab 서버와 LDAP 서버를 요청할 수 있습니다
마지막으로 시작된 인터페이스에 따라 두 가지 다른 동작이 있습니다.
표시된 마지막 인터페이스가 eno1(로컬 네트워크 인터페이스)인 경우:
- 웹 서비스는 VLAN 1의 모든 서버에서 액세스 가능합니다.
- 웹 서비스아니요모든 VLAN 2 서버에서 액세스 가능
- 웹 서비스는 서버 D 또는 회사 네트워크의 다른 서버에서 액세스할 수 있습니다.
- 네트워크 서버아니요네트워크에 액세스할 수 있음
- 네트워크 서버아니요Gitlab 서버 및 LDAP 서버를 요청하는 기능
마지막으로 시작된 인터페이스가 eno2(기업 네트워크 인터페이스)인 경우:
- 웹 서비스아니요VLAN 1의 모든 서버에서 액세스 가능
- 모든 VLAN 2 서버에서 액세스 가능한 웹 서비스
- 웹 서비스는 서버 D 또는 회사 네트워크의 다른 서버에서 액세스할 수 있습니다.
- 웹 서버가 네트워크에 액세스할 수 있습니다.
- 웹 서버는 Gitlab 서버와 LDAP 서버를 요청할 수 있습니다
내 테스트:
게이트웨이는 유지하고 다음 라우팅을 변경하면서 eno1의 서브넷 마스크를 192.168.0.0/22로 변경해 보았습니다.
192.168.0.0/24 dev eno1 proto kernel scope link src 192.168.0.4 metric 100
통과
192.168.0.0/22 dev eno1 proto kernel scope link src 192.168.0.4 metric 100
하지만 문제는 여기에 남아있습니다.
또한 인터페이스 메트릭을 사용해 보고, 192.168.0.0/24 기본 게이트웨이를 제거하고, 사용자 정의 라우팅 지시문을 사용하여 네트워크 스크립트 폴더에 규칙과 라우팅 파일을 추가해 보았지만 아무런 결론도 얻지 못했습니다.
미리 감사드립니다!
답변1
내 생각엔 당신이 필요 이상으로 일을 더 복잡하게 만들고 있는 것 같아요.
내가 하고 싶은 것은 기본 경로 1개를 추가하고 이를 인터넷/업스트림 라우터로 라우팅하는 것입니다. 다른 기본 경로가 필요하지 않습니다.
VLAN2의 장치에 대한 추가 경로 추가
ip add route -n net 192.168.2.0/24 via 192.168.2.254 dev eno1
이는 북쪽 스위치가 VLAN을 라우팅할 수 있다고 가정하며 실제로는 스위치와 해당 구성에 따라 다릅니다.
북쪽에 있는 스위치나 서버는 192.168.0.0/24 네트워크에 연결하는 방법을 알아야 하는데 이미 알고 있는 것 같습니다.
나는 그것에 더 이상 아무것도 없다고 생각합니다.
VLAN2로 전환하는 것이 문제인 경우 서버 북쪽에 다른 IP를 추가하고 서버가 해당 패킷에 VLAN2 태그를 지정하여 해당 네트워크에 허용하도록 할 수 있습니다.