[technique] Changement du routage des VMs, isolation VLAN a venir pour hosting

Laurent GUERBY laurent at guerby.net
Ven 18 Aou 20:08:11 CEST 2023 

Bonjour,

Lors de la migration de libvirt+ceph a proxmox+ceph nous avons choisi
de passer a un VLAN par VM plutot que d'essayer de reproduire notre
infrastructure BGP entre hyperviseurs et routeurs (developpée du temps
d'openstack).

Par exemple pour la VM testlg2 nous assignons le VLAN numéro 1219 et le
routeur de l'association est configuré comme suit :

# testlg2.tetaneutral.net 1219                                        
ip link add link bond0 name bond0.1219 type vlan id 1219
ip link set bond0.1219 up
ip -6 addr add fe80::31/64 dev bond0.1219
ip route add 91.224.148.243 dev bond0.1219
ip -6 route add 2a03:7220:8080:f300::/56 via fe80::80:f3 dev bond0.1219


Note : bond0 est le lien LACP 4x10G entre le routeur et le switch
n3064e.

Sur le cluster proxmox le "net0" reference le VLAN 1219 connectant
ainsi le eth0 de la VM au routeur, en isolation complete des autres VMs
de l'infrastructure :

root at g22:~# qm config 324
boot: order=scsi0;ide2;net0
cores: 1
cpu: EPYC-IBPB
ide2: none,media=cdrom
memory: 2048
meta: creation-qemu=7.2.0,ctime=1691764044
name: testlg2
net0: virtio=BA:78:1E:1A:41:31,bridge=vmbr0,tag=1219
numa: 0
ostype: l26
scsi0: ceph1-ssd:vm-324-disk-0,discard=on,iothread=1,size=8G,ssd=1
scsihw: virtio-scsi-single
serial0: socket
smbios1: uuid=dad062c6-058e-4884-a569-7bdf54a785ab
sockets: 1
vmgenid: 953cac6b-05fd-4466-adc1-f52903192beb


Un developpement est en cours pour pouvoir gerer ces VLANs dans
djadhere.

Actuellement pour le hosting machine physique a TLS00 et topic nous
utilisons un seul VLAN (le 3131) et il y a donc un niveau 2 réseau
partagé entre toutes les machines.

Dans les jours qui viennent nous allons migrer la configuration réseau
hosting a un VLAN séparé par machine adhérent, comme pour les VMs.

A part une micro-coupure réseau de quelques secondes cela se
transparent pour les machines hébergées car le routage ne change pas,
il y aura juste une vraie isolation niveau 2 en place.

Dans cette architecture nous pouvons facilement connecter de manière
isolée des VMs et machines adhérents. 

Par exemple un(e) adhérent(e) qui a une VM et une machine physique peut
nous demander de mettre les deux services dans le même VLAN : elles
pourront alors communiquer directement sans passer par le routeur de
l'association. 

Nous pouvons aussi réserver un VLAN spécifique a un ensemble de VM et
machine physiques (livraison taguée ou sur une deuxieme interface).

Si vous êtes intéressé(e) par ce nouveau service passez nous voir sur
IRC ou matrix.

Sincèrement,

Laurent

Plus d'informations sur la liste de diffusion technique