La Fibre
Datacenter et équipements réseaux => Datacenter => 
Datacenter => Discussion démarrée par: Leon le 09 septembre 2017 à 08:38:01
-
Salut à tous,
Encore une question existentielle de ma part.
Nos 2 leaders des serveurs dédiés, OVH et Online, proposent tous les 2 des serveurs avec 2 connexions réseau physiquement séparées
* une connexion raccordée à Internet, avec IP attribuée par l'hébergeur
* une connexion privée (RPN ou VRack) raccordée uniquement à d'autres serveurs (ou répartiteur de charge), et beaucoup plus souple en terme de config.
Ma question : je comprends bien l'intérêt d'avoir plusieurs connexions logiques. Mais quel est l'intérêt de séparer physiquement les 2 réseaux?
Ca nécessite de doubler tous les switches, tout le câblage réseau, c'est loin d'être négligeable en terme de complexité et de maintenance.
Ne pourrait-on pas faire exactement la même prestation avec du VLAN, et 1 seul réseau physique?
Si les VLANs sont bien configurés côté serveur et côté réseau, avec QoS et si nécessaire trafic shaping sur certains VLANs, on est d'accord que ça fait exactement la même chose, la même prestation?
Sur les rares photos des serveurs Facebook et Google, on ne voit souvent qu'une seule interface réseau (ça arrive qu'il y en ait 2 chez Google).
Surtout que dans le cas des Dedibox XC d'Online à 20€TTC, montrées en photo ci-dessous, seule une minorité des clients prendra le RPN, alors que ce réseau est câblé systématiquement sur tous les serveurs. Ca rajoute une complexité de câblage qui n'est pas d'une utilité folle. OK, je comprends bien l'aspect "configurable en automatique sans intervention physique", c'est ce qui a fait le succès d'OVH il y a 15 ans. Mais ne pourrait-on pas faire la même chose avec 1 seul réseau physique?
Leon.
-
Bonne question Leon.
Pour moi, une interface d'administration séparée physiquement n'est intéressant que pour les grandes sociétés qui ont un réseau d'administration distincts (avec des routeurs distincts et des liens distincts, ce qui fait qu'il est possible de garder le réseau d'admin 100% fonctionnel en retirant le réseau public)
Quand on loue un serveur chez un hébergeur externe, je pense que séparer par des VLAN est suffisant.
-
Pour ne pas saturer l'interface publique en cas de maintenance de ton infrastructure.
-
Tu penses a quel maintenance ?
Quand tu as 1 Gb/s de bande passante sur l'interface publique et un disque dur classique, c'est souvent les E/S disques qui bloquent avant l'interface réseau.
-
Typiquement dans le cas d'un hyperviseur, les communications avec ton Filer et les déplacements de VM.
Dans le cas d'un serveur web, les communications avec ton serveur de base de données.
-
Typiquement dans le cas d'un hyperviseur, les communications avec ton Filer et les déplacements de VM.
Dans le cas d'un serveur web, les communications avec ton serveur de base de données.
Merci Hugues.
Mais est-ce qu'on ne pourrait pas faire exactement la même chose avec de la QoS bien conçue, entre les VLANs? Prioriser les VLANs, voire garantir une bande passante sur tel VLAN, ça se fait assez bien, non?
Leon.
-
Exactement, non, puisque tu n'as pas 2*N Gbit/s, perdre 10% de ton lien, c'est n secondes de coupure en plus de ta VM quand tu migres, pour rester dans le cas de l'hyperviseur.
Dans mon ancien job, on utilisait énormèment de vlans sur le VRack OVH pour faire des LAN dédiés à chaque client, ça offre une flexibilité très appréciable, sans besoin de configurer de la QoS ou autre, tu sais que tu as 10Gbit/s bourrinables à souhait, sans que la prod ne soit impactée.
J'ai retrouvé ça dans mon nouveau job, et même ailleurs en visitant quelques DC, un lien pour se connecter au SAN, un lien pour sortir vers internet.
Après, pour des serveurs à 10 ou 20€ par mois, je n'ai jamais compris l'utilité de mettre un lien privé, surtout chez Online où :
1/ Le lien est souvent bridé à 100Mbit/s, donc je mets tout en public pour ne pas perdre 900Mbit/s
2/ Le RPN n'a aucun intéret pour moi vu que c'est un réseau L3 et pas L2
3/ La proportion de gens qui ont besoin d'un réseau privé sur des serveurs à 20€ me semble faible.
-
Exactement, non, puisque tu n'as pas 2*N Gbit/s, perdre 10% de ton lien, c'est n secondes de coupure en plus de ta VM quand tu migres, pour rester dans le cas de l'hyperviseur.
Sauf qu'on commence à voir apparaitre des serveurs avec du "réseau privé" à 10Gbps chez les 2 concurrents. 10Gbps, ça couvre largement tous les besoins : trafic Internet, accès aux filers, migration de VM, etc...
Les Dedibox XC montrées dans l'exemple ont un RPN 10Gbps. Et puis, pour les serveurs petits/moyens (moins de 50€), 1Gbps, ça semble suffire amplement pour les 2 utilisations.
Dans mon ancien job, on utilisait énormèment de vlans sur le VRack OVH pour faire des LAN dédiés à chaque client, ça offre une flexibilité très appréciable, sans besoin de configurer de la QoS ou autre, tu sais que tu as 10Gbit/s bourrinables à souhait, sans que la prod ne soit impactée.
OK, c'est plus pratique pour le client. Mais dans le cas des 2 concurrents (OVH et Online) qui se battent sur les prix, ça permettrait de réduire encore les couts, non? On pourrait faire des VLANs pour chaque "client de revendeur" sans aucun problème, même avec un seul réseau physique. OK, il faut rajouter la config VLAN et QoS nécessaire dans le serveur. Mais avec de bons tuto, des fichiers de config et des scripts tout fait, ça se fait bien, je pense.
Quelques lignes de commande pour économiser beaucoup d'argent, j'y vois un intérêt.
J'ai retrouvé ça dans mon nouveau job, et même ailleurs en visitant quelques DC, un lien pour se connecter au SAN, un lien pour sortir vers internet.
Oui, c'est clairement très fréquent dans les infrastructures 100% privées, dans les gros systèmes. Mais dans ce cas, ça n'est plus du low cost, donc très éloigné des infrastructures types OVH et Online...
Et puis encore une fois, Google et Facebook arrivent à vivre avec 1 seul réseau physique.
2/ Le RPN n'a aucun intéret pour moi vu que c'est un réseau L3 et pas L2
Ca n'a pas changé récemment, avec le RPNv2? Je crois que le RPN v2 est du L2, non? Pour le RPNv1 en L3, avec IP imposées par Online, ça n'a effectivement pas beaucoup d'intérêt, on est bien d'accord. Je n'ai jamais compris pourquoi ils ont fait ce RPNv1 chez Online. Impossible d'insérer ça dans un réseau d'entreprise pré-existant par exemple. Je me rappelle d'Arnaud, à l'époque du lancement du RPNv1, qui nous disait que ça n'avait pas de sens de faire du L2 inter-datacenter, que c'était complexe et dangereux (sous entendu qu'OVH allait se planter).
Leon.
-
Sauf qu'on commence à voir apparaitre des serveurs avec du "réseau privé" à 10Gbps chez les 2 concurrents. 10Gbps, ça couvre largement tous les besoins : trafic Internet, accès aux filers, migration de VM, etc...
Les Dedibox XC montrées dans l'exemple ont un RPN 10Gbps. Et puis, pour les serveurs petits/moyens (moins de 50€), 1Gbps, ça semble suffire amplement pour les 2 utilisations.
C'est vrai, dans ce cas, c'est juste par commodité et par habitude, d'ailleurs, OVH permet de router des IP publiques dans le VRack, sur le VLAN par défaut, tu as ton réseau public, et tu peux avoir autant de VLANs que tu veux.
OK, c'est plus pratique pour le client. Mais dans le cas des 2 concurrents (OVH et Online) qui se battent sur les prix, ça permettrait de réduire encore les couts, non?
Disons que chez OVH, tu as quand même toute une gamme (HG,Infra) qui n'est pas orientée Low Cost
Et puis encore une fois, Google et Facebook arrivent à vivre avec 1 seul réseau physique.
Quand c'est ton réseau à toi de A à Z, tu peux faire ce que tu veux, quand tu n'as pas de maitrise de la partie réseau, c'est plus compliqué (je rève d'une offre chez OVH ou tu puisse avoir un switch administrable pour tes serveurs :p
Ca n'a pas changé récemment, avec le RPNv2? Je crois que le RPN v2 est du L2, non? Pour le RPNv1 en L3, avec IP imposées par Online, ça n'a effectivement pas beaucoup d'intérêt, on est bien d'accord. Je n'ai jamais compris pourquoi ils ont fait ce RPNv1 chez Online. Impossible d'insérer ça dans un réseau d'entreprise pré-existant par exemple. Je me rappelle d'Arnaud, à l'époque du lancement du RPNv1, qui nous disait que ça n'avait pas de sens de faire du L2 inter-datacenter, que c'était complexe et dangereux (sous entendu qu'OVH allait se planter).
Le RPNv2 n'est disponible qu'avec les derniers serveurs, c'est prometteur, mais ce n'est pas encore bien déployé.
-
Quand c'est ton réseau à toi de A à Z, tu peux faire ce que tu veux, quand tu n'as pas de maitrise de la partie réseau, c'est plus compliqué (je rève d'une offre chez OVH ou tu puisse avoir un switch administrable pour tes serveurs :p
Tiens, tu m'intéresses, là.
Quel type de fonctions/prestations/config spécialisée tu souhaiterais dans tes switches dédiés, que tu ne retrouves pas dans les offres d'OVH?
On est d'accord que tu n'aurais jamais de switches dédiés chez OVH, à part à commander une infrastructure dédiée de plusieurs baies dédiées, comme le font certains gros clients.
Du coup, pour les clients lambda qui auraient ce genre de besoin, il faudrait "virtualiser" ces fonctions avancées dans un réseau hautement configurable.
Leon.
-
Effectivement, il y a deux types de liens privés :
- Ceux pour connecter un filer (débit minimum de 10 Gb/s)
- Ceux pour faire de l'administration du serveur (SSH) : débit généralement de 100 Mb/s
Je pense qu'on est tous en phase sur l'utilité du premier lien, surtout si le serveur n'a pas de connexion 10 Gb/s en public.
Là on parle du second type de lien que l'on trouve inutile. Chez online, le réseau privé est à 100 Mb/s, c'est donc pour de l'administration et là je ne comprends pas pourquoi ne pas le mettre sous forme de VLAN sur l'interface principale.
-
Effectivement, il y a deux types de liens privés :
- Ceux pour connecter un filer (débit minimum de 10 Gb/s)
- Ceux [...]
Je pense qu'on est tous en phase sur l'utilité du premier lien, surtout si le serveur n'a pas de connexion 10 Gb/s en public.
C'est là où je ne comprends pas... Si tu proposes des serveurs avec au moins un lien à 10Gbps, avant tout dédié aux échanges internes (lien vers filer, et transfert de VM), pourquoi ne pas y faire transiter également l'Internet en le bridant à 1Gbps, et en isolant cette partie Internet par VLAN?
Leon.
-
Vous traînez un peu sur le site de travaux d'OVH ? Il ne se passe pas une semaine sans qu'un switch doit être remplacé.
Je serais bien content que mon serveur soit joinable au moins sur une autre interface, quoi qu'il arrive.
Voilà voilà ;)
-
Vous traînez un peu sur le site de travaux d'OVH ? Il ne se passe pas une semaine sans qu'un switch doit être remplacé.
Je serais bien content que mon serveur soit joinable au moins sur une autre interface, quoi qu'il arrive.
Voilà voilà ;)
Sauf que les réseaux RPN et V-Rack ne sont pas conçus pour être des réseaux de secours. Par défaut, si tu perds le réseau Internet, ton serveur restera injoignable depuis Internet.
Des réseaux redondants, où tout était doublé, ça se voyait pas mal il y a 10 ans, mais j'avoue que j'en vois de moins en moins.
Comme l'a très bien expliqué Hugues, Le RPN et le Vrack c'est conçu pour relier les serveurs entre eux, pour relier des frontaux à des serveurs de base de donnée, à des filers, pour migrer des VM, etc...
Leon.
-
Sauf que les réseaux RPN et V-Rack ne sont pas conçus pour être des réseaux de secours. Par défaut, si tu perds le réseau Internet, ton serveur restera injoignable depuis Internet.
Et ? Ce n'est pas parce que ta bécane n'a plus Internet qu'elle devient incapable de traiter des requêtes.
-
Ne pourrait-on pas faire exactement la même prestation avec du VLAN, et 1 seul réseau physique?
Si les VLANs sont bien configurés côté serveur et côté réseau, avec QoS et si nécessaire trafic shaping sur certains VLANs, on est d'accord que ça fait exactement la même chose, la même prestation?
Je ne me baserai clairement pas sur la qos (quelque soit sa forme) pour avoir un service robuste
Je pense qu'au niveau opérationnel, c'est également bien plus pratique
De plus, utiliser les vlan requiert le support des vlan au niveau de l'hôte, ce qui est une contrainte supplèmentaire (je pense aux gens qui utilisent ces produits mais qui n'ont qu'un faible bagage en réseau), sans compter que faire configurer la qos par les clients .... me parait douloureux comme méthode
-
Des réseaux redondants, où tout était doublé, ça se voyait pas mal il y a 10 ans, mais j'avoue que j'en vois de moins en moins.
Pour les applications nécessitant de la très haute disponibilité, on préfère maintenant avoir un second serveur qui prenne le relais : cela couvre plus de cas de panne (surtout quand le second serveur est sur un second site).
-
En opex c'est plus cher & complexe de gerer QoS et VLAN coté hosts que d'avoir 2 x cartes réseaux/cables/ports de switch en capex.
-
C'est clair tout dépend de l'usage des serveurs, si tu hoste des site web, c'est totalement différent que des serveurs en tres haute disponibilité, comme p.ex des serveurs d'opérateurs télécom ou le moindre downtime sur un serveur de facturation prepayd ce chiffre en millier d'€ perdu.
Tu as aussi le cas des clients qui ont des données tres sensibles, les administations, la pharma, les banques, ou la tu peux meme pas envisager d'avoir autre chose que une connecton physique différente pour l'admin des serveurs, et ou meme la les platformes d'admin sont différentes et totalement isolée entre les groupes de machines, des vlan ne sont pas acceptés ou envisageable.
J'ai meme vu un client qui a refusé que ses bays de discs qui sont normalement monitorée par le constructeur sur l'interface admin, exigeait que ce LAN soit déconnecté en permanance, et c'est le client qui branche la connection temporairement sur demande...
-
p.ex des serveurs d'opérateurs télécom ou le moindre downtime sur un serveur de facturation prepayd ce chiffre en millier d'€ perdu.
Je connais des serveurs qui ont un besoin bien plus important de très très haute disponibilité : les HLR, l'équipement qui sais où sont les téléphones mobiles.
La panne du HLR, c'est une coupure complète du réseau. Au niveau hardware, c'est redondé un maximum, avec systèmes complets, triplés sur 3 sites distincts, prêt a prendre le relais. En cas de besoin de récupérer une sauvegarde de la base de donnée, c'est plusieurs heures pour la restauration...
-
La raison est principalement financière.
Si tu as un switch 10G sur lequel tout passe, il sera très coûteux de te brider, spécialement quand les switch’s sont maintenants de 10G. La tu as une limite à 1G qui coûte moins cher que de faire de la QOS.
Pour le reste, sur les offres premiers prix, les switch’s coûtent beaucoup plus cher (L3-VPN, ...) donc tous les serveurs ne l’ont pas et ne l’auront pas.
Après il y a aussi l’impossibilité de mettre ton serveur en mode secours, au moins ton réseau est vraiment privé ...