V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
yanerweb
V2EX  ›  Linux

运维菜鸟:如何设计最基础的网站服务器和网络设备拓扑结构? 10 台服务器

  •  
  •   yanerweb · 2015-04-03 15:21:59 +08:00 · 6100 次点击
    这是一个创建于 3529 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我是运维菜鸟一枚,现在手上有10台服务器,
    1个 Nginx服务器、4个WEB应用服务器、5个MySQL服务器,准备运送到 IDC 托管。
    如果购买网络设备,如何规划拓扑结构?

    我暂时想这样处理。

    购买一个 路由器、一个 交换机

    IDC 机柜的网线 连接到 路由器 -> 路由器 链接到 交换机
    所有 10台服务器 和 交换机 链接。

    这样 合理 吗? 可以吗? 哈哈~~

    29 条回复    2015-04-11 12:53:50 +08:00
    jwnlive
        1
    jwnlive  
       2015-04-03 15:36:46 +08:00   ❤️ 1
    前端一个防火墙 一个内网交换机 一个外网交换机
    机房线路--》防火墙--》外网交换机--》外网服务器
    内网交换机--》mysql服务器 web服务器
    机器上的网卡 一个做内网 一个做外网 也可以做聚合 大概是这样
    xenme
        2
    xenme  
       2015-04-03 15:43:01 +08:00   ❤️ 1
    三层交换机就OK了。
    剩下就是策略配置了
    yanerweb
        3
    yanerweb  
    OP
       2015-04-03 15:45:02 +08:00
    @jwnlive 你的这个方案好像可以用一个 交换机搞定,在1个交换机划分2个VLAN后就可以。
    不过,貌似通过交换机的方式感觉不够灵活吧,我感觉 让一个 路由器 在最前端是 最灵活的吧?
    Ghoul2005
        4
    Ghoul2005  
       2015-04-03 15:45:26 +08:00   ❤️ 1
    这规模好像用云服务器比较划算
    yanerweb
        5
    yanerweb  
    OP
       2015-04-03 15:45:26 +08:00
    @xenme 三层交换机?什么概念,能具体说说吗?
    yanerweb
        6
    yanerweb  
    OP
       2015-04-03 15:46:12 +08:00
    @Ghoul2005 是的,通常云可以,但是我们的应用需要自己跑,所以就 主机托管到 IDC 了
    xenme
        7
    xenme  
       2015-04-03 15:49:07 +08:00
    @yanerweb 带路由功能的交换机。
    IDC给力的就是IP而已,所以,不需要拨号啥的,一个设备,这样就可以只占用1U的位置。
    路由,VLAN,聚合啥的就看交换机功能了。
    rrfeng
        8
    rrfeng  
       2015-04-03 15:57:16 +08:00
    IDC 线路 - 防火墙(兼职路由器) - 交换机(2 VLAN)
    一个 vlan 里放 Nginx,也就是直接对外的服务器。
    另一个 vlan 放 webapp 和 mysql。

    策略上限制仅允许 nginx (特定端口)进入 内部 vlan,其他拒绝。
    xenme
        9
    xenme  
       2015-04-03 15:59:34 +08:00
    @rrfeng VLAN是2层的,端口已经是三层以上了。
    rrfeng
        10
    rrfeng  
       2015-04-03 16:06:45 +08:00
    @xenme 高级 acl 支持协议或者端口识别
    chenghj87
        11
    chenghj87  
       2015-04-03 16:12:16 +08:00
    防火墙3个网口:
    1个网口接公网
    1个网口做DMZ区,接nginx服务器,防火墙做静态映射到nginx服务器
    1个网口连交换机,交换机后面连web服务器和Mysql服务器

    另外如果是三层交换机的话,web应用和mysql可以放2个vlan,当中做ACL保护mysql
    或者有内网防火墙的话mysql可以放内网防火墙后面。这样外层防火墙被攻破的话,还有内网防火墙保护mysql服务器。
    yanerweb
        12
    yanerweb  
    OP
       2015-04-03 16:15:40 +08:00
    @xenme 你说的这个有 路由、VLAN、聚合、交换 功能的 “交换机” 大概多少钱那? 能支持 200M 的带宽出口吗? 是 比较贵的 交换机 吗?
    ccseven
        13
    ccseven  
       2015-04-03 16:19:02 +08:00   ❤️ 1
    |
    接口1接IDC
    |
    ____|_____
    |—防火墙— |
    |_________|
    | |
    接口2 接口3
    | |
    | |
    ______vlan1__vlan2_____
    | |
    | 交换机 |
    |_____________________|
    | |
    vlan1 vlan2
    | |
    | |
    | |
    Ngnix和web 数据库服务器
    在同一个vlan 独立一个vlan
    网关在防火墙接口2 网关防火墙接口3



    所有访问控制策略全部在防火墙上三个区域实施(untrust,trust,data)
    ccseven
        14
    ccseven  
       2015-04-03 16:19:34 +08:00
    (⊙o⊙)… 居然变形了 ~~~~~ /(ㄒoㄒ)/~~
    yanerweb
        15
    yanerweb  
    OP
       2015-04-03 16:27:23 +08:00
    @ccseven 你描述的“防火墙”功能好强大,貌似包括了“路由”的功能,有什么 型号 推荐吗?
    ccseven
        16
    ccseven  
       2015-04-03 16:31:48 +08:00
    @yanerweb 请到马云家 搜索 防火墙, 看中哪个价格合适,功能不用担心,肯定满足。性能你没提你预计的业务量,按我掐指一算也无需担心! O(∩_∩)O~~~~
    dingjssc
        17
    dingjssc  
       2015-04-03 16:34:28 +08:00
    IDC如果提供安全防护的话就直接一台三层交换机搞定
    ccseven
        18
    ccseven  
       2015-04-03 16:40:25 +08:00
    @dingjssc 一个“社区”再安全,我还是想在我的“房子”装个大门!
    何况 你去马云家看看,防火墙是有多贱卖啊~~~楼主这个需求,不考虑业务量我买个100多juniper淘汰防火墙都妥妥的满足功能性,性能上没准还能满足他业务量呢 (⊙o⊙)…
    xenme
        19
    xenme  
       2015-04-03 16:40:48 +08:00
    @yanerweb 三层网管型全千兆交换机,直接某宝搜。
    三层带路由功能,网管型,一般都支持VLAN以及部分ACL功能,全千兆交换机,能满足你的吞吐量。
    企业级的是贵点。
    现在防火墙好多都是带路由功能的。
    scys
        20
    scys  
       2015-04-03 17:27:13 +08:00
    即让是IDC机房,基本不考虑网络拓扑了吧?
    每台主机都可以接到思科75上面,你规划下怎么做负载均衡就可以了。
    jwnlive
        21
    jwnlive  
       2015-04-03 17:30:05 +08:00
    @yanerweb 原来公司要求物理隔离,就内外网交换机分开了,有个防火墙管理端口比较方便
    julyclyde
        22
    julyclyde  
       2015-04-03 18:03:10 +08:00
    三层:路由结构、内外网
    二层:线路汇聚和带宽收敛,考虑内部两台服务器之间的带宽开销和接线方式
    leif
        23
    leif  
       2015-04-03 23:08:28 +08:00   ❤️ 1
    10台服务器,
    1个 Nginx服务器、4个WEB应用服务器、5个MySQL服务器,准备运送到 IDC 托管。
    如果购买网络设备,如何规划拓扑结构?

    10台服务器 现在的服务器一般都是4个网口,还有一个远程控制占用一个网口
    远程控制口能让你免除要往返机房就为重装系统
    交换机至少买二个,一组内网 一组外网
    建议4个WEB应用服务器和数据库服务器就不要连外网 确保安全性
    IDC一条进线到你的外网交换机上,nginx就前端代理到4个WEB应用服务器
    nginx服务器将三网卡做成一组网卡bonding 那外网用掉交换机4个端口 需要一个外网IP即可
    4个WEB应用服务器 5个MySQL服务器 做双网卡bonding 点用18个交换机端口
    如果用24口的交换机的话,远程控制网口的线只能接在外网交换机上 设置私有IP 即可

    1个 Nginx服务器、4个WEB应用服务器、5个MySQL服务器
    你的应用架构不清楚,不知道为什么要这安排,二台nginx 轮询 科学点

    交换机冗余就弄做二组堆叠(需要4台),结合双网卡的bonding的坏掉一个交换机也不用担心

    说明下,我做的项目,真心不会去买个包过滤的防火墙放在IDC机房托管的
    ccseven
        24
    ccseven  
       2015-04-05 00:38:56 +08:00
    @leif 实在忍不住回复,我真心怀疑你是来搞笑的~~(-。-;)
    leif
        25
    leif  
       2015-04-07 07:52:54 +08:00   ❤️ 1
    @ccseven 说说搞笑之处 第一次分享经验之谈被被人说成搞笑,什么又不说只说搞笑,来说明你的蠢
    ccseven
        26
    ccseven  
       2015-04-07 16:33:29 +08:00
    @leif 谢谢你的评价!我面壁思过~
    deyu260
        27
    deyu260  
       2015-04-10 16:34:06 +08:00
    @leif 24口堆叠和48口哪个好点? 2组堆叠的话 电信网通2根外线怎么接 套一句话给@ccseven Talk is cheap. Show me the code
    ccseven
        28
    ccseven  
       2015-04-10 21:31:21 +08:00   ❤️ 1
    @deyu260


    以下长文,带有强烈各人主观色彩,纠结于此的人士可以考虑飘过~~~(●ˇ∀ˇ●)



    上面@是因为我太浮躁,修行不够,所以没忍住吐槽。没细回原因,是基于两个“主观”的考虑:
    1,不想嘴仗,不愿试着去改变对方想法,何况对方也不一定真心探讨呢,只是路过分享下而已
    2,若他真心关注,他也许会追根究底ask why。结果你看到了,所以我感谢他对我蠢的评价,同时我为我的浮躁面壁。( ▼-▼ )


    回你是因为,show the code and给你多一个参考,同时我再次“主观”的不想一些人受以上方式误导
    (不是说他方式用不了,只是“我”主观认为他也许是在搞笑)

    ~~~~~~~~~~~~~我的吐槽分割线~~~~~~~~~~~~~~~~~~~~~~

    idc线直接接 一个外网交换机,nginx三网卡绑定

    ------专门搞个外网交换机,这个算ok吧,我认可各人思维方式差异性,但nginx三网卡绑定,这不是多次一举么(2个足矣),目测题主这点服务器,千万别扯我要加强3倍带宽,再然后4个端口要占掉一个外网交换机·····我更呵呵呵呵呵,我就不说ip管理事情了

    -----要冗余。就2组堆叠 还要上4台交换机------

    有钱我也不这么干!题主才10台服务器,为了你心中的冗余效果,上到4台交换机!!真是好经验!!

    ----最后,这么诚恳的真心说,我才不会选择防火墙呢---------

    不选就不选呗,尊重你,可我终究还是太嫩太浮躁,听他最后强调这句还这么诚恳的话总是想笑笑

    以上吐槽我没@他,是这些吐槽本身就是笑笑背后的,没想与人分享的。



    ~~~~~~~~~~~~~准备让各位来吐槽的分割线~~~~~~~~~~~~~~~~~~~~~~


    至少一台防火墙,一台交换机(担心这两个设备挂掉考虑冗余,请自行+1)

    防火墙负责安全区域隔离(我以juniper防火墙为例)

    untrust区域接idc给的线路,idc如果直接分公网ip,那么最少1个,两个最佳, 1个用来配接口ip,一个专门负责做vip映射,这样我可以通过(映射+策略)控制方式随便“直接”远程管理我的里面10台服务器和发布服务,

    trust选择放数据库,

    dmz区域选择放nginx和web。

    三个区域默认全隔离,根据需求开最小化权限!当然你也可以按你自己需求规划区域和起名。


    对比下用外网交换机方案,优势不言而喻吧

    (几个服务器对公网,就要几个公网ip,想管理服务器,你要么全部配个公网ip,要么某个服务器公网ip,然后内部跳登。 关于公网ip的安全问题,= = 我知道你也许会说,我还有linux防火墙呢,怕啥? 对对!不怕,可你都不怕,我还多了个硬件防火墙,我更不怕,我还更灵活,配置,维护更方便呢,而且我还带附加属性的!!再说我一个ip足矣,哦 忘了你也可以iptable 实现 呵呵! (¬︿̫̿¬☆)
    什么···你说专门防火墙价格好贵啊,浪费。你都四个交换机了啊,何况作为码农的们一个月动不动20k 30k,而在马云家搜索防火墙,那价格 吓屎了(-。-;))



    24口交换机*2 只用二层功能即可 ( 10*2业务口+10*1管理口+3*2上行防火墙+2*2口互联=40口)

    nginx,web服务器划一个vlan,服务器网关是防火墙
    数据库单独一个vlan,服务器网关是防火墙
    服务器2个网卡绑定,分别接A,B交换机。


    最后,若考虑所有设备的带外管理,可再划分一个vlan,防火墙再启用一个接口。



    双线路接入问题的话,也是很常见吧,比如,默认电信,明细走联通,分别配vip映射


    最后,避免处女座人纠结文字太多。。
    附简图
    http://pan.baidu.com/s/1c0dFWRI
    leif
        29
    leif  
       2015-04-11 12:53:50 +08:00
    较真是件好事,4台交换机钱能买到一台吞吐中型web应用的防火墙,你的经验?

    @deyu260 线的要机房多给你接一条就行 用24口或者48口取决你的需求
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2451 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 04:51 · PVG 12:51 · LAX 20:51 · JFK 23:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.