コンテンツにスキップ 
どうすればいいか、お見せしよう ヘッツナー・ネットワーク クラウドパネルやルーティングのバリエーションから、フェイルオーバーIP、仮想MAC、IPv6、セキュリティ、障害診断、モニタリングに至るまで、実践的なアプローチで解説します。クラウドパネルやルーティングのバリエーションから、フェイルオーバーIP、仮想MAC、IPv6、セキュリティ、障害診断、モニタリングまで、実践的なアプローチを取ります。
中心点
- アドレス空間 を選択する:RFC1918をきれいに使い、きれいなサブネットを計画する。
- モード 決定する:アプリケーションに応じて、ルーティング、ブリッジ、vSwitchを決定する。
- リナックス-セットアップ:ifupdown、netplan、systemd-networkdは一貫性を保つ。
- フェイルオーバー MAC:バーチャルMACを正しく割り当て、ホストルートを設定する。
- セキュリティ 監視:セグメンテーション、ファイアウォール、ログ、チェックを確立する。
ヘッツナー・ネットワーク構成の基本
適切な計画を立てることで、後々の出費を防ぎ、目に見える利益をもたらす。 パフォーマンス.私は社内システムを別のクラウドネットワークに分離し、機密性の高いコンポーネントを隔離し、公開される攻撃ベクトルを小さく保つことで、攻撃を最小限に抑えています。 セキュリティ が大幅に増加しました。ヘッツナー・クラウドのプライベート・ネットワークは、きめ細かな制御、データ・フローの明確な経路、ブロードキャスト・ノイズの低減を可能にしてくれます。ルーティング、ファイアウォール、IP割り当てが論理的であり続けるように、どのサーバーにパブリックアドレスが必要で、どのサーバーは内部的にしか話さないかを早い段階で定義しています。この明確さは、フェイルオーバー、ロードバランサー、コンテナー・オーケストレーションが登場し、複数のサーバーを管理しなければならなくなったときに、すぐに効果を発揮する。 サブネット 明確に組織化されている。
Hetzner Cloud-Panel: ネットワークの作成とアドレス空間の選択
クラウドパネルで、新しいネットワークを作成し、プロジェクトごとに一意の名前を割り当て、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16などのRFC1918アドレス範囲を選択する。 IPブロック.アプリレイヤー用の/24、管理アクセス用の/28、データベース用の/26など、早い段階でサブネットを計画し、成長をきれいにマッピングしておく。その後、サーバー、ロードバランサー、追加サービスを統合し、通信がすぐに確立できるようにします。このプラットフォームを初めて利用される方には、コンパクトな クラウドサーバーの概要最も重要なオプションをまとめたものだ。ネットワークの準備ができたらすぐに、基本的なアクセシビリティをテストし、不要なポートが開いたままにならないようにセキュリティ・グループをチェックする。 ファイアウォール-ルールが適用される。
サブネット設計とIPプランニングの詳細
私は、後で直感的にサブネットを認識できるように、明確な命名規則と番号付け規則で作業している。各ゾーン(例:app、db、mgmt、edge)には、固定番号の範囲と文書化された標準サイズが与えられている。サブネット間のバッファ領域は、番号を変更せずに拡張できるように意図的に確保している。サービスが水平方向に拡張される場合、私は1つの大きな/22ではなく、いくつかの/25または/26を計画することを好む。管理者アクセス用の/28は別に用意し、一貫してハード化し、VPNやbastionホスト経由でアクセスできるようにしている。外部の拠点に接続するときは、最初から明確で重複しないエリアを定義し、競合が起きないようにスタティック・ルートを特別に設定する。
ルーティング、ブリッジ、vSwitch:適切なモード
私は主に3つのバリエーションに注目している: ルーティング 追加のサブネットとフェイルオーバーアドレスにはvSwitchを、ゲストが自分のサーバーのように動作する場合はブリッジを、柔軟なセットアップとNATにはvSwitchを使用します。ルーティングモデルでは、追加アドレスはホストのメインMACにアタッチされる。IPv4とIPv6のIPフォワーディングを有効にして、ゲートウェイへのホストルートを設定する。vSwitchとマスカレードを組み合わせることで、プライベート・アドレスを持つVMがインターネットにアクセスできる一方、内部サービスはシールドされたままとなる。この選択は後の努力をコントロールする、 透明性 そして私のプラットフォームの耐障害性だ。
| モード | 用途 | 前提条件 | メリット | つまずきの危険 |
|---|---|---|---|---|
| ルーティング | 追加サブネット、フェイルオーバーIP | IP転送、ホストルート | 明確なルーティング、良好 スケーリング | ゲートウェイ/ホストのルートをきれいに維持する |
| ブリッジ | "自社サーバー "としてのゲスト | IPごとの仮想MAC | ゲスト1人当たりの実質視認性 | のMAC管理 ロボット 必要 |
| vスイッチ+NAT | インターネット付きプライベートVM | マスカレード、ファイアウォール | 高い内部断熱性 | NATルールを適切に維持する |
ハイブリッド・セットアップ:クラウド、専用機、トランジション
ハイブリッド環境では、私は明示的なルーター・インスタンスを介してクラウド・ネットワークと専用サーバーを接続している。明確に定義されたトランジット・サブネットとスタティック・ルートによって、双方が必要なプレフィックスのみを参照できるようにする。セキュリティ要件によっては、NATやルート・サブネット経由でトラフィックがエッジ・インスタンスを透過的に通過できるようにする。ゲートウェイを高可用性に設計することが重要だ。例えば、2つのルーターVMが互いの状態をチェックし、障害が発生した場合はシームレスに引き継ぐ。クラウドパネル内のルートが正しいこと、フォワーディングが有効であること、ファイアウォールの状態が一定であること、ICMPだけでなく関連ポートもチェックするヘルスチェックを行うこと。
Linuxのセットアップ:ifupdown、netplan、systemd-networkdを正しく使う
Debian/Ubuntuでifupdownを使用している場合、私は/etc/network/interfacesまたは/etc/network/interfaces.dに設定を保存し、/etc/network/interfaces.dに設定を保存したままにしています。 ホストルート 正しい。ホストIPアドレスには/32 (255.255.255.255)を使い、ゲートウェイをポイントポイントに設定することで、カーネルが近隣を認識できるようにしています。netplan(Ubuntu 18.04、20.04、22.04)では、デフォルトルートがすぐに一致するように、アドレス、ルート、オンリンクを定義しています。ハードウェアを交換したら、インターフェイスの指定をチェックして、例えばeth0からenp7s0に変更して、ネットワークカードが再び立ち上がるようにする。systemd-networkdでは、.networkと.netdevファイルを管理し、サービスをリロードして、DNS、ルーティング、on-linkを常にテストします。 コネクティビティ.
ネットワーク・チューニング:MTU、オフロード、ポリシー・ルーティング
特にVPNやオーバーレイ、トンネルが絡んでくる場合は、エンド・ツー・エンドでMTUをチェックしている。値が正しくない場合、フラグメンテーションやドロップが発生します。ゲートウェイでTCP MTUプロービングを有効にし、適切な場所にMSSクランプを設定して、接続を堅牢に保つようにしています。私はオフロード機能(GRO/LRO/TSO)を意図的に使用しています。ハイパーバイザーやパケット記録では部分的に無効にしますが、純粋なデータパスでは測定値に応じてオンのままにしています。複数のアップストリームや差別化されたイグレス・ポリシーがある場合は、独自のルーティング・テーブルとIPルールでポリシー・ベース・ルーティングを使用している。特別なルールはすべて文書化し、後の変更が気づかないうちに副作用を引き起こさないようにしている。
フェイルオーバーIP、仮想MAC、ロードバランサーの実際
追加IPについては ヘッツナーロボット アドレスごとに MAC を作成し、ARPが正しく動作するようにゲストに割り当てます。ルーティングされたセットアップでは、メインのMACはホストに残り、私はサブネットを明示的にゲストにルーティングします。ブリッジシナリオでは、ゲストに独自の可視MACを与え、独立したサーバーとして動作するようにします。フェイルオーバーでは、どのマシンが現在IPをアナウンスしているかを定義します。切り替え時には、ルーティングを調整し、必要であれば、トラフィックがすぐに到着するようにARPを gratuity します。ロードバランサーを使って、フロントエンドのトラフィックとバックエンドのトラフィックを切り離し、均等に分散させる。 空室状況.
IP切り替えのクリーン設計
アクティブなインスタンスがARP/NDP経由でIPをアナウンスし、パッシブなインスタンスは沈黙を守るか、新しいアクティブなマシンへのデフォルトルートを特別に引き出します。VRRPの実装のようなツールも役立ちますが、私は常にファイアウォール、近隣キャッシュ、可能なARPタイムフレームを含む相互作用全体をテストしています。重要:切り替え後、私は内部ネットワークと外部のテストポイントの両方からアクセス可能性をチェックします。多くのTCP接続を持つサービスについては、開いているセッションがきれいに切れるか、すぐに再確立されるように、短い猶予期間を設定しています。
IPv6の設定デュアルスタックをきれいに実装する
私はIPv4と並行してIPv6をアクティブ化し、クライアントが最新のIPv6を使用できるようにしている。 コネクティビティ とファイアウォールは重複している。各インターフェイスについて、割り当てられたプレフィックス、ゲートウェイルートを設定し、近隣探索とSLAACまたは静的割り当てをチェックする。サービスが::と0.0.0.0をリッスンすべきかどうか、あるいは別々のバインディングが理にかなっているかどうかをチェックする。AAAAレコード経由でping6、tracepath6、curlでテストすると、DNSとルーティングが正しいかどうかがわかる。ファイアウォールでは、IPv4用のルールをIPv6用にミラーリングすることで、隙間ができないようにしている。 セキュリティレベル に達する。
セキュリティ:セグメンテーション、ルール、ハードニング
私は、アプリ、データ、管理、セキュアな移行など、機能に応じてネットワークをセグメント化し、明確にしている。 ACL.各部署は必要なアクセスだけを取得し、管理者アクセスはVPNかバスティオンホスト経由で行う。ファイアウォールはデフォルトですべての着信トラフィックをブロックし、サービスのために特定のポートを許可している。SSHは、鍵、ポートコントロール、レート制限、スキャンを無効にするためのオプションのポートノックを使ってセキュアにしています。管理された方法で変更をテストし、すぐに文書化し、問題が発生した場合は迅速にロールバックします。 操業上の安全性 は高止まりしている。
クラウドとホストのファイアウォールのオーケストレーション
私はクラウド・ファイアウォールとホストベースのルールを組み合わせている。前者は基本的なアクセスを確実に制限する中央レイヤーを提供し、後者はワークロードをきめ細かく保護し、テンプレート化できる。一貫性を保つことが重要です。標準ポートと管理アクセスは、すべてのゾーンで同一のルールが適用されます。私はイグレス・ポリシーを制限的に保ち、定義されたターゲットにしか到達できないようにしている。機密性の高い環境では、短期間のアクセスや多要素保護が可能なジャンプホストも使用している。ブロッキングを迅速に把握し、誤報を減らすために、ログを一元的に相関させています。
トラブルシューティング:典型的なエラーを素早く認識する
スワップ後にサーバーにネットワークがない場合、私はまずインターフェイス名をチェックし、それを調整する。 構成 にある。ルーティングに失敗したら、IPフォワーディングを再開し、ホストルートとデフォルトゲートウェイをチェックする。アドレス、ネットマスク、オンリンクの入力ミスが到達不能につながることが多いので、コンフィグと実際のカーネルルートを比較する。ブリッジに問題がある場合は、仮想MACとARPテーブルをチェックして、マッピングが正しいことを確認する。var/log/syslog、journalctl、dmesgの下のログは、ドライバ、DHCPエラー、ブロックされたネットワークに関する情報を提供してくれる。 パッケージ.
体系的なトラブルシューティングとパッケージ診断
- レイヤチェック:リンクアップ、スピード/デュプレックス、VLAN/ブリッジステータス、IP/ルート、サービスの順。
- 実際と目標との比較:IPアドレス/ルート/ルールと設定ファイルとの比較。
- パケット記録:インターフェースとホストを対象とし、オフロードを観察し、TLS-SNI/ALPNをチェックする。
- クロスチェック:複数のソース(内部/外部)からテストを行い、非対称な問題を検出する。
- ロールバック機能:各変更の前に、定義されたリターンパスを計画する。
対象を絞ったモニタリング、文書化、スケーリング
私はICMPチェック、ポートチェック、フロー分析によってレイテンシー、パケットロス、ジッターを監視し、異常を早期に発見できるようにしている。 トレンド 認識しています。私は設定ステータスのバージョンをバックアップし、変更をピンポイントで正確に記述し、プレイブックを手元に置いておく。DNSレコードときれいな命名規則については、コンパクトな DNSガイドサービスが一貫して解決可能であり続けるように。プラットフォームが成長するにつれて、私はサブネットを拡張し、ロードバランサーを追加し、セキュリティ・グループを標準化します。これにより、安全に拡張し、停止を最小限に抑え、明確なセキュリティ標準を維持することができます。 構造.
自動化:Terraform、Ansible、一貫したロールアウト
私は再現可能なネットワークを構築する:ネーミング、サブネット、ルート、ファイアウォール、サーバーの割り当てをコードとしてマッピングします。これにより、同一のステージング・トポロジーとプロダクション・トポロジーを作成し、事前に変更をテストし、タイプミスを減らすことができます。ホストレベルでは、テンプレートから設定ファイルを生成し、ロールごとにIP、ゲートウェイ、ルート、MTUなどのパラメータを注入する。サーバーのプロビジョニング時には、Cloud-initを使ってネットワークとSSHの基本を直接設定します。変更を加えるときは、まずステージングで検証し、それから小バッチで本稼働させ、テレメトリーを注視します。
変更とキャパシティ・マネジメント
私はメンテナンス・ウィンドウを計画し、フォールバック・レベルを定義する。各ネットワークの変更には、変更前/変更後の測定ポイントを設定した小規模なテスト計画を立てます。キャパシティについては、ゾーンごとのスループット、ゲートウェイでの接続負荷、接続数/分の開発状況を調べます。ボトルネックが発生する前に、早い段階でゲートウェイを追加したり、トラフィック・ルートを分けたり(東西対南北)します。ドキュメントは常に最新のものにしています:IPプラン、ルーティングのスケッチ、ファイアウォールのポリシーと責任は最新で、チームが見つけやすいようにしています。
ネットワーク集約型プロジェクトのプロバイダー比較
プロバイダーは、接続性、機能範囲、使いやすさ、そして、そのサービスによって評価する。 柔軟性.ネットワーク要件の高いプロジェクトでは、専用ネットワークと多彩なカスタマイズが可能なwebhoster.deを筆頭に挙げます。Hetznerは強力なクラウドと専用サーバーを提供し、多くのシナリオに非常に適しており、高い評価を得ている。Stratoは標準的なユースケースをカバーし、IONOSはいくつかのケースで良いオプションを提供するが、特殊なセットアップにはあまり余裕がない。この分類は、適切な基盤を選択し、後の決断を下すのに役立つ。 ボトルネック を避けなければならない。
| 場所 | プロバイダ | ネットワークの特徴 | パフォーマンス |
|---|---|---|---|
| 1 | webhoster.de | 専用ネットワーク、高速接続、高いカスタマイズ性 | 傑出している |
| 2 | ヘッツナー | 強力なクラウドサーバーと専用サーバー | 非常に良い |
| 3 | ストラト | 標準ネットワーク機能 | グッド |
| 4 | イオノス | 高級オプション、カスタムセットアップの範囲は限定的 | グッド |
Kubernetesとコンテナ・ネットワークの実際
コンテナのオーケストレーションのために、私はネットワークに基礎を築く。ワーカーにはプライベートネットワークのインターフェイスが与えられ、コントロールプレーンは明確にセグメント化され、イグレスの多いポッドには定義されたNATパスが与えられる。私はセットアップに適したCNIを選択する:ルーティングベースのバリアントはトラブルシューティングを容易にし、オーバーレイのオーバーヘッドを節約する。ロードバランサーはIngressをバックエンドから切り離す。ヘルスチェックは単純なTCPチェックだけでなく、アプリと同じものを行う。また、クラスタ内でデュアル・スタックを実行することで、AAAAレコード経由でサービスに到達できるようにしている。ステートフル・サービスについては、明確なネットワーク・ポリシー(東/西)を定義して、ポッド間で必要なポートだけが開かれるようにしている。CNIとKubeコンポーネントのアップデートは、スループット、レイテンシー、障害シナリオを含め、常にステージングクラスタでテストしています。
負荷時の性能:測定可能な最適化
私は、ゾーン内のベースライン遅延、パブリックエンドポイントまでの遅延、ポート間のスループット、重要なサービスのRTO/RPO要件などを定期的に測定しています。ボトルネックは多くの場合、いくつかのポイントで発生します:NATゲートウェイ、過負荷のステートフル・ファイアウォール、小さすぎる接続追跡テーブル、あるいは単にルーターのCPUが少なすぎるなどだ。私は計画的に容量を増やし、フローを分散させ、NICでマルチキューを有効にし、必要に応じてピニング/IRQバランシングに注意を払う。純粋な東西バックボーンでは、不必要なステートフルインスペクションを避け、代わりにクリアACLを設定することが重要だ。TLS オフロードでは、L7 ワークロードが管理接続と競合しないように、データトラフィックを制御トラフィックから分離する。私はこれらすべてを初期値と目標値とともに文書化します。最適化は、測定可能なメリットをもたらして初めて「完了」となります。
要約:ヘッツナー・ネットワークの効果的な設定方法
私は明確なプランから始め、アドレススペースを定義し、適切なものを選択する。 モード そしてすべてのステップを文書化する。その後、Linuxネットワークを一貫してセットアップし、必要に応じてIPフォワーディングを有効にし、ルーティングとDNSを徹底的にテストします。フェイルオーバーIPと仮想MACを構造的に統合し、切り替えがスムーズに行えるようにする。セグメンテーション、強力なファイアウォール、一貫したパッチ適用により、セキュリティは高いレベルを維持し、モニタリングにより早期に異常を発見します。こうして私は ヘッツナー ネットワーク・セットアップは、プラットフォームの成長に柔軟に対応しながら、確実にパフォーマンスを提供する。
