Přidali jsme na naše servery podporu GRE tunelů. Můžete si tak snadno propojit víc VPS.

Pokud potřebujete propojit jednoduše dva různé servery (virtuální nebo fyzické), je nejjednodušší použít GRE. Jedná se o tunelovací protokol původně vyvinutý v Cisco. Do jader na našich nodech jsme přidali moduly ip_gre a vy máte možnost si tvořit vlastní tunely.

Na prvním serveru (185.8.165.156) provedete následující konfiguraci:

[root@185.8.165.156]# ip tunnel add tunnel0 mode gre local 185.8.165.156 remote  37.205.10.152
[root@185.8.165.156]# ip a add 192.168.1.1/24 dev tunnel0
[root@185.8.165.156]# ip link set up dev tunnel0

Na tom druhém (37.205.10.152) pak analogicky:

[root@37.205.10.152]# ip tunnel add tunnel0 mode gre remote 185.8.165.156 local 37.205.10.152
[root@37.205.10.152]# ip a add 192.168.1.2/24 dev tunnel0
[root@37.205.10.152]# ip link set up dev tunnel0

Teď už by vám měl fungovat:

[root@37.205.10.152]# ping 192.168.1.1

Velmi jednoduché schéma toho, jak GRE funguje:

Pravděpodobně si budete chtít udělat statickou konfiguraci. Prostudujte si návody na naší knowledge base, které jsou určeny pro RHEL/CentOS a Debian/Ubuntu.

V rámci našeho datacentra je provoz uzavřen v privátní síti, takže se odposlechu nemusíte bát. Mezi Prahou a Brnem máme provoz z routeru na router kompletně šifrován pomocí IPSec, takže tady nebezpečí také nehrozí. Kdybyste si ale tvořili tunel mimo tento náš prostor (není to nijak omezeno), data si musíte ochránit na vyšší vrstvě sami.

Bohužel nám s OpenVZ nefunguje IPSec, takže není možné provozovat GRE ven bezpečně. Bug je nahlášen v upstreamu, ale zatím bez odezvy. Doufáme, že vám IPSec časem budeme moci nabídnout.

K čemu je to dobré? Pokud provozujete na naší infrastruktuře více VPS, získáte jednoduchou možnost přímého propojení mezi nimi. GRE se také hodí pro spojení dvou KVM virtuálů uvnitř kontejnerů – stačí dát tunelová rozhraní do bridge s těmi vedoucími do KVM.