私は、Linux CentOS 6を実行している〜600台のリモートサーバー(および600台のプライベートLAN)間にVPNネットワークを構築する契約の予備調査を行っています。ネットワークはスターベースであることが想定されているため、各リモートサーバーは中央サーバーに接続してVPNに入ります(私はそれがSPOFであることを知っていますが、このVPNが構築されているメインアプリケーションがとにかく中央サーバー)。
OpenVPNを使用したいのですが(本当に柔軟で、必要な構成に調整できます)、そのような大規模ネットワークで実行するためのベストプラクティスは何なのかと思っていました。たとえば、tunモードで使用すると、中央サーバーに600のtunインターフェースが作成されます。サポートされているかどうか、または問題が発生するかどうかはわかりません。
私はそのような大規模なネットワークでの経験はありませんので、私はあらゆる種類の提案と指針に心を開いています。ありがとう!
回答:
ティンクをチェックしてください。ルートを自動ネゴシエートするそのより単純なデーモン。したがって、最初は接続が星のように見えますが、2つのサーバーが直接接続する方が近い場合は、接続を行います。また、各ボックスはマスターノードに1回接続するように構成するだけでよいため、新しいサーバーを追加すると、既存のすべてのサーバーの構成を更新する必要がなくなります。すぐに苦痛になる600台までのサーバー。
OpenVPN AFAIKを使用すると、中央サーバーに1つのtunインターフェースを作成するだけで、すべての接続ノードがこのインターフェースのサブネットに配置されます。したがって、この面での制限に遭遇することはありません。
あなたが言及している規模ではありませんが、私は同様のVPNをセットアップしています。80台のサーバーと80台の/ 24LANが背後にあります。私たちはOpenVPNを使用しており、うまく動作します。私たちが抱えていた主な問題は、監督の不備と計画の悪さによる帯域幅の過負荷でした。多くのサーバーは100Mbit / sに簡単に到達できるため、慎重に計画する必要があります。本当の使い方に依存しますが、それが私たちが抱えていた主な問題です。
構成的には、VPN証明書を特定のルートに結び付けるクライアント固有の構成を使用する必要があります。これは、ccdディレクトリで実行できます。多数のサーバーがあるとすぐに混乱する可能性があるため、構成をクリーンに保ちます。非常に多くのキーを使用すると時間がかかるため、キーをすばやく生成するための小さなスクリプトを自分で作成します。OpenVPN utilsを変更して、サイレントで実行することができます。セキュリティにそれほど問題がない場合は、証明書の有効期限を長く設定し、600の証明書を再発行するのは面倒です。