Afin de sécuriser les flux intra-cluster dans un environnement où la segmentation réseau est inexistante, il est parfois nécessaire de configurer le backplane network pour les isoler des flux de production.
Présentation du backplane network
Le backplane network crée une interface dédiée dans un VLAN distinct sur tous les hôtes CVM et AHV du cluster pour l’échange de trafic de réplication de stockage. Le backplane network partage les mêmes adaptateurs physiques sur le pont br0 par défaut, mais utilise un VLAN non routable différent. Cela permet d’isoler les flux du cluster de ceux des machines de production de façon logique et/ou physique.
Cas d’usage
Dans notre cas, le réseau client ne dispose d’aucune segmentation du réseau et tous ses équipements sont dans le même sous-réseau (serveurs, pc, imprimantes, téléphones…).
L’objectif était donc de mettre en place le backplane network pour isoler et sécuriser les flux intra-cluster sur un VLAN dédié et indépendant du reste du réseau (flux en rouge sur le schéma) :
La première étape consiste à modifier la configuration des switchs Top-of-Rack pour ajouter le nouveau VLAN.
Configuration des switchs top-of-rack
Avant de procéder à l’activation du backplane network, il est nécessaire de préparer les ports des switchs top-of-rack pour cette opération. Dans notre cas, nous sommes sur des switchs Mellanox avec une configuration des ports en actif-backup avec un VLAN d’administration en 100 et un VLAN non routé dédié au backplane network en 3000 :
interface ethernet 1/1
switchport mode hybrid
switchport hybrid allowed-vlan add 3000
switchport access vlan 100
exit
interface ethernet 1/2
switchport mode hybrid
switchport hybrid allowed-vlan add 3000
switchport access vlan 100
exit
interface ethernet 1/3
switchport mode hybrid
switchport hybrid allowed-vlan add 3000
switchport access vlan 100
exit
interface ethernet 1/4
switchport mode hybrid
switchport hybrid allowed-vlan add 3000
switchport access vlan 100
exitIl faut bien entendu adapter les commandes à votre modèle de switch et reproduire cette configuration sur le 2e switch Top of Rack.
ATTENTION à ne pas faire d’erreur lors de la modification de votre configuration réseau au risque de compromettre l’accès à votre cluster.
Une fois la configuration terminée, il est maintenant possible de mettre en place le backplane network sur le cluster.
Configuration du backplane network
Avant de pouvoir démarrer, il est impératif de passer l’ensemble des hôtes en mode maintenance. Pour ce faire, il faut se connecter sur une CVM et taper la commande suivante :
acli host.enter_maintenance_mode HOST_IPIl faut répéter la commande avec l’adresse ip de chacun des hôtes de votre cluster.
Une fois l’ensemble des hôtes en mode maintenance, il faut se connecter à Prism Element, se rendre dans le menu « Setting > Network Configuration > Internal Interfaces » :
En face de « Backplane LAN » cliquer sur « Configure » :
Sur la fenêtre qui s’affiche, saisissez :
- l’adresse ip du réseau que vous souhaitez utiliser pour le backplane network
- le masque de sous réseau associé à ce subnet
- l’ID du VLAN que vous avez choisi
- le virtual switch qui va devoir le porter
Conseils et bonnes pratiques pour le choix de votre backplane network :
- le réseau ne doit pas être routé
- il ne doit pas exister sur le réseau
- il faut le choisir suffisamment étendu pour intégrer les noeuds existants et éventuellement un cluster expand
- l’ID du VLAN doit être unique sur le réseau
Une fois l’opération de configuration terminée sur le cluster, il faut sortir l’ensemble des hotes de maintenance avec la commande suivante :
acli host.exit_maintenance_mode HOST_IPIl faut saisir la commande sur une CVM et la répéter avec l’adresse IP de chacun des hôtes du cluster.
Dans network configuration, vous pourrez constater que le réseau backplane network est désormais configuré et actif :
Votre trafic intra cluster est désormais isolé du reste du réseau.
