Implementacija IPv6 z odprtokodnimi tehnologijami<br />Ljubljana, 02.06. 2011<br />Najdi, informacijske storitve, d.o.o.<b...
Agenda<br /><ul><li> o podjetju
L2
L4
 programska oprema
VPN</li></li></ul><li>O podjetju<br /><ul><li>nastalo z združitvijo ex Najdi.si, Teledat in Planet9
razvoj digitalnih vsebin, upravljanje medijev in informacijskih točk
doseg več kot 2/3 vseh spletnih uporabnikov v državi
upravljamo 2., 3. in 6. najbolj obiskano strani po meritvi MOSS</li></li></ul><li>O podjetju<br /><ul><li>300+ strežnikov
3 strežniške sobe na dveh lokacijah
3 internetne povezave
2 ISP-ja
Večinoma Linux, Windows 2xxx, nekaj Solaris</li></li></ul><li>Omrežna povezljivost (L2)<br /><ul><li>Načeloma (!!!) omrežn...
Na določenih omrežnih segmentih ni deloval ND
sdm prefer dual-ipv4-and-ipv6 default [Cisco]
Linux bonding + IPv6 => ne deluje! (2.6.35-2.6.38)
Omrežna stikala morajo prepuščati vrrp protokol (št. 112)</li></li></ul><li>Omrežna povezljivost (L4)<br /><ul><li>Tehten ...
Kje uporabiti RA?
DHCPv6?
Dobra priložnost za razmislek o morebitnih spremembah na omrežni arhitekturi</li></li></ul><li>Omrežna povezljivost (L4)<b...
Upcoming SlideShare
Loading in …5
×

5. SLO IPv6 summit - Implementacija IPv6 storitev z odprtokodnimi tehnologijami

670 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
670
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

5. SLO IPv6 summit - Implementacija IPv6 storitev z odprtokodnimi tehnologijami

  1. 1. Implementacija IPv6 z odprtokodnimi tehnologijami<br />Ljubljana, 02.06. 2011<br />Najdi, informacijske storitve, d.o.o.<br />
  2. 2. Agenda<br /><ul><li> o podjetju
  3. 3. L2
  4. 4. L4
  5. 5. programska oprema
  6. 6. VPN</li></li></ul><li>O podjetju<br /><ul><li>nastalo z združitvijo ex Najdi.si, Teledat in Planet9
  7. 7. razvoj digitalnih vsebin, upravljanje medijev in informacijskih točk
  8. 8. doseg več kot 2/3 vseh spletnih uporabnikov v državi
  9. 9. upravljamo 2., 3. in 6. najbolj obiskano strani po meritvi MOSS</li></li></ul><li>O podjetju<br /><ul><li>300+ strežnikov
  10. 10. 3 strežniške sobe na dveh lokacijah
  11. 11. 3 internetne povezave
  12. 12. 2 ISP-ja
  13. 13. Večinoma Linux, Windows 2xxx, nekaj Solaris</li></li></ul><li>Omrežna povezljivost (L2)<br /><ul><li>Načeloma (!!!) omrežna stikala brez problema prepuščajo IPv6
  14. 14. Na določenih omrežnih segmentih ni deloval ND
  15. 15. sdm prefer dual-ipv4-and-ipv6 default [Cisco]
  16. 16. Linux bonding + IPv6 => ne deluje! (2.6.35-2.6.38)
  17. 17. Omrežna stikala morajo prepuščati vrrp protokol (št. 112)</li></li></ul><li>Omrežna povezljivost (L4)<br /><ul><li>Tehten premislek glede segmentacije dodeljenega IPv6 subneta je ključen!!!</li></ul>http://www.ripe.net/training/material/IPv6-for-LIRs-Training-Course/IPv6_addr_plan4.pdf<br />http://inetpro.org/wiki/IPv6_Subnetting<br /><ul><li>Razmislek o načinu dodeljevanja statičnih naslovov
  18. 18. Kje uporabiti RA?
  19. 19. DHCPv6?
  20. 20. Dobra priložnost za razmislek o morebitnih spremembah na omrežni arhitekturi</li></li></ul><li>Omrežna povezljivost (L4)<br /><ul><li>Ubuntu 10.04 LTS + custom kernel
  21. 21. Linux routing + iproute2 policy routing (več ISP-jev)
  22. 22. Linux diskless način, zagon z USB ključa</li></ul>https://github.com/bfg/linux-diskless-usb<br />https://github.com/bfg/linux-diskless-init<br /><ul><li>Firewall zasnovan na iptables + p9-firewall </li></ul>https://github.com/bfg/p9-firewall<br /><ul><li>Firewall logiranje: ulogd2 => syslog</li></ul>http://www.netfilter.org/projects/ulogd/<br /><ul><li>HA s pomočjo keepalived (v1.2.2) + skripte</li></ul>http://www.keepalived.org/<br />
  23. 23. Omrežna povezljivost (L4) - HA<br /><ul><li>Keepalived
  24. 24. prenašanje VIP-ov
  25. 25. zagon firewall-a
  26. 26. zagon routing sitema
  27. 27. radvd (IPv6 RA)
  28. 28. Omrežje mora stabilno prenašati VRRP pakete!!!</li></li></ul><li>Programska oprema<br /><ul><li>DNS: bind9
  29. 29. spletni strežniki: apache, nginx, lighttpd
  30. 30. elektronska pošta: postfix
  31. 31. porazdelilniki bremena: HaProxy, LVS, Varnish
  32. 32. kaj pa spletne aplikacije?
  33. 33. procesiranje log datotek??!
  34. 34. monitoring??!</li></li></ul><li>Porazdelilniki bremena<br /><ul><li>Izbira porazdelilnikov bremena je na prvi pogled pestra
  35. 35. Apache, Nginx, Haproxy, Varnish, Apache Traffic Server
  36. 36. HW porazdelilniki bremena (F5, Radware, Crescendo)???</li></ul>vendar...<br /><ul><li>Apache ni dovolj skalabilen
  37. 37. Nginx nima HTTP/1.1 podpore, ne podpira IPv6 upstreamov
  38. 38. Varnish in Apache TS sta primarno predpomnilnik
  39. 39. LVS deluje samo na L4...
  40. 40. Kaj pa SSL/TLS???</li></li></ul><li>Porazdelilniki bremena: HTTP<br /><ul><li>HaProxy!!! + stunnel
  41. 41. Izbira med haproxy 1.4.x (stable) in 1.5-devX (development)
  42. 42. 1.5-devX veja dela izredno stabilno
  43. 43. 1.4.x veja ne podpira IPv6 upstreamov (6 => 6 balansiranje ne deluje)
  44. 44. 1.5.x veji manjkajo ACL-ji na nivoju L4
  45. 45. Persistentna seja samo na nivoju piškotkov pri 6 => 6
  46. 46. SENDPROXY protokol za prenašanje IP naslova klienta</li></li></ul><li>HaProxy izzivi<br /><ul><li>1.4.x in 1.5.x NE podpirata polnega HTTP keep-alive-a v L7 načinu
  47. 47. 1.4.x in 1.5.x NE podpirata SSL/TLS
  48. 48. Izbira med 6 => 4 in 6 => 6 balansiranjem
  49. 49. Vidljivost pravega IP naslova klienta na strani končnega spletnega strežnika ali spletne aplikacije</li></li></ul><li>HaProxy končna rešitev<br />
  50. 50. HaProxy<br /><ul><li>Odlična implementacija preverjanja zdravja backendov
  51. 51. Potrebuje zelo malo CPU resursov
  52. 52. Enoniten, izziv skaliranja na več CPU-jev
  53. 53. Za dobre performance zahteva tuning kernela!!!
  54. 54. Uporaben kot lokalni LB
  55. 55. Lahko balansiramo skoraj karkoli, kar deluje preko TCP (smtp, memcached, mysql, pgsql, ...)</li></li></ul><li>HaProxy<br />
  56. 56. HaProxy<br />
  57. 57. HaProxy<br />
  58. 58. VPN<br /><ul><li>IPSec? ... eh ne, preveč zakomplicirano...
  59. 59. OpenVPN 2.2.0 + pofliki</li></ul>http://www.openvpn.net/index.php/open-source<br />https://github.com/jjo/openvpn-ipv6<br />http://www.greenie.net/ipv6/openvpn.html<br /><ul><li>4 => 6 (tuneli), 6 => 6
  60. 60. X509 + LDAP avtentikacija
  61. 61. Možnost routanja subneta k uporabniku
  62. 62. LDAP za konfiguracijo uporabnikov</li></ul>https://github.com/bfg/openvpn_auth<br />
  63. 63. Monitoring<br /><ul><li>Malo monitoring rešitev podpira IPv6 na ustrezen način
  64. 64. Delovanje: custom rešitev + opensource projekt</li></ul>https://github.com/bfg/aa_monitor<br /><ul><li>Performance: zabbix + custom rešitev</li></ul>http://www.zabbix.com<br />
  65. 65. Hvala!<br />@gracnar<br />https://github.com/bfg/<br />

×