ডেটাসেন্টার হোস্টগুলিকে সংযুক্ত করতে হাই থ্রুপুট মেশানো ভিপিএন

আমরা একটি পাবলিক ডেটাসেন্টারে বেশ কয়েকটি হোস্ট ভাড়া নিচ্ছি। ডাটাসেন্টারটি ব্যক্তিগত ভিএলএএন সরবরাহ করে না; সমস্ত হোস্ট একটি (বা আরও) সার্বজনীন IPv4 / IPv6 ঠিকানা পান receive হোস্টগুলি খুব আধুনিক সিপিইউ নিয়ে আসে (হাসওয়েল কোয়াড কোর, ৩.৪ গিগাহার্টজ) এবং গিট আপলিংকগুলি রয়েছে। ডেটাসেন্টারের বিভিন্ন অঞ্চল (ঘর? মেঝে? ভবন?) এর সাথে আন্তঃসংযুক্ত রয়েছে - আমি যা বলতে পারি তা থেকে - জিবিট বা 500 এমবিটের লিঙ্কগুলি। আমাদের হোস্টগুলি ডেবিয়ান হুইজি চালাচ্ছে। বর্তমানে আমরা অদূর ভবিষ্যতে বৃদ্ধির প্রত্যাশা নিয়ে 10 হোস্টের ঠিক উপরে চলেছি।

আমি নিরাপদে এবং গোপনে সমস্ত হোস্টকে একে অপরের সাথে যোগাযোগ করার উপায় খুঁজতে চাই। স্তর 3 ঠিক আছে, স্তর 2 ঠিক আছে (তবে প্রয়োজনীয় নয়)। যেহেতু আমার ভিএলএন-তে অ্যাক্সেস নেই, তাই এটি কোনও প্রকারের ভিপিএন হতে হবে।

আমার কাছে কী গুরুত্বপূর্ণ:

1. হাই থ্রুপুট, আদর্শভাবে ওয়্যারস্পিডের কাছাকাছি
2. বিকেন্দ্রীভূত, মেশানো আর্কিটেকচার - এটি কোনও কেন্দ্রীয় উপাদান (যেমন ভিপিএন কনসেন্টারেটর) দ্বারা থ্রুপুটটি ধীরগতির হয় না তা নিশ্চিত করা হয় this
3. সিপিইউ পদচিহ্ন অতিরিক্ত নয় (এএসএনআই এবং জিসিএম-সিফার স্যুট দেওয়া হয়েছে, আমি আশা করছি এটি হাস্যকর প্রয়োজন নয়)
4. ব্যবহারের অপারেশনাল স্বাচ্ছন্দ্য; সেটআপ করতে খুব জটিল নয়; নেটওয়ার্ক প্রতিষ্ঠিত সংযোগগুলি হারিয়ে না ফেলেই বৃদ্ধি পেতে পারে

আমরা বর্তমানে টিনক ব্যবহার করছি । এটি টিক দেয় [2] এবং [4], তবে আমি কেবল 960 এমবিট / এস ওয়্যারস্পিডের প্রায় 600Mbit / s (সিমপ্লেক্স) এ পৌঁছেছি এবং আমি একটি কোর পুরোপুরি আলগা করি। এছাড়াও, টিঙ্ক ১.১ - বর্তমানে বিকাশে - এখনও মাল্টিথ্রেড হয়নি, তাই আমি সিঙ্গেলিকোর পারফরম্যান্সের সাথে আটকে আছি।

Ditionতিহ্যবাহী আইপিসেক প্রশ্নটির বাইরে, কারণ এটির জন্য কেন্দ্রীয় উপাদান বা কনফিগার করার জন্য একটি শ * টোলড সুড়ঙ্গ প্রয়োজন ([২] অর্জনের জন্য)। সুবিধাবাদী এনক্রিপশন সহ আইপিস্যাক একটি সমাধান হতে পারে তবে আমি নিশ্চিত নই যে এটি এটিকে কখনও স্থিতিশীল উত্পাদন কোড হিসাবে তৈরি করেছে।

আমি আজ tcpcrypt জুড়ে হোঁচট খেয়েছি । অনুপস্থিত প্রমাণীকরণ ব্যতীত এটি দেখতে আমি দেখতে চাই। ইউজারস্পেস বাস্তবায়ন ধীর গন্ধ, তবে অন্যান্য সমস্ত ভিপিএনও তাই। এবং তারা কার্নেল প্রয়োগের কথা বলে। আমি এটি এখনও চেষ্টা করি নি, এবং এটি কীভাবে [1] এবং [3] এর সাথে আচরণ করে তা আগ্রহী।

অন্যান্য অপশন আছে কি? কি মানুষ করছ, কে না ডেস্কটপ AWS উপর?

অতিরিক্ত তথ্য

আমি জিসিএমের প্রতি আগ্রহী, আশা করি এটি সিপিইউর পদক্ষেপ কমবে। বিষয়টিতে ইন্টেলের পেপার দেখুন । টিঙ্ক বিকাশকারীদের সাথে কথা বলার সময়, তিনি ব্যাখ্যা করেছিলেন যে এমনকি এনক্রিপশনের জন্য AESNI ব্যবহার করা, এইচএমএসি (যেমন SHA-1) এখনও গিট গতিতে খুব ব্যয়বহুল।

চূড়ান্ত আপডেট

পরিবহন মোডে আইপিস্ক পুরোপুরি কাজ করে এবং আমি যা চাই ঠিক তা করে। অনেক মূল্যায়নের পরে আমি আইপিস্ক-সরঞ্জামগুলির চেয়ে ওপেনসওয়ানকে বেছে নিয়েছি, কেবল কারণ এটি AES-GCM সমর্থন করে। হাসওয়েল সিপিইউগুলিতে আমি প্রায় 9-10-920 এমবিট / সেকেন্ড সিমপ্লেক্স থ্রুপুটটি প্রায় 8-9% সিপিইউ লোড দিয়ে পরিমাপ করি kworkerd।

আপনি যা চান না তা একটি ভিপিএন N আপনি যা চান তা আসলে আইপিসেক, তবে টানেল মোডে নয়। বরং আপনি পরিবহন মোডে আইপিস্ক চান ।

এই কনফিগারেশনে, প্রতিটি হোস্ট সরাসরি তার পিয়ারের সাথে যোগাযোগ করে এবং কেবল প্যাকেট পেডলোডগুলি এনক্রিপ্ট করা হয়, আইপি শিরোনামগুলি স্থানে রেখে। এইভাবে, জিনিসগুলি কাজ করতে আপনাকে কোনও রাউটিং জিমন্যাস্টিক করার দরকার নেই।

হ্যাঁ, আপনার প্রতিটি হোস্টের জন্য আপনার আইপিসি সংযোগ স্তরের প্রয়োজন (যদি না আপনার হোস্টগুলি সাবনেটে গ্রুপযুক্ত না করা হয় তবে আপনি যদি সিআইডিআর ব্লকের মাধ্যমে এটি করতে পারেন) তবে সেগুলি আপনার কনফিগারেশন ম্যানেজমেন্ট সিস্টেম দ্বারা সহজেই প্রোগ্রামগতভাবে তৈরি করা যায়।

আপনি কনফিগারেশন বিশদ সম্পর্কে জিজ্ঞাসা করেননি, তবে আপনার যদি কিছু পয়েন্টার প্রয়োজন হয় (পরিবহন মোডে এতগুলি শক্ত তথ্য নেই) তবে আপনি সম্প্রতি লিখেছি এই ব্লগ পোস্টটি উল্লেখ করতে পারেন ।