背景紹介
私のオフィスのテーブルには、Raspberry Pi で構築された k8s クラスターがあります。
自宅にRaspberry Piで構築したNASサーバーもあります。
オフィスのk8sクラスターと自宅のNASサーバーに、インターネットに接続できる場所ならどこからでもアクセスできることが要件であり、既存のネットワーク構成を変更することはできません。高すぎると、損失が利益を上回ります。
プラン選択
実際、私の要件は本質的にイントラネットへの侵入であり、イントラネットへの侵入には多くのオプション (少なくとも 12 程度) があり、基本的にはポート転送VPNと最も一般的なイントラネット侵入スキーム。
ソフトウェアレベル
パブリック ネットワークに依存しない IP ポート フォワーディング
このソリューションは最も単純で、以前は最も一般的に使用されていました. ルーターを介してポートを転送するには、パブリックネットワーク上に独立した IP アドレスが必要なだけです.
この方法を使用する前提は、会社が特に裕福であるか業界に属していることです. たとえば、私たちの会社は IDC 業界に属しています. 私は以前にパブリックネットワーク上にいくつかの独立した IP を持っています. そのうちの 1 つを選択してルーターに接続します. 、そしてそれを私のクラスターの外の世界に転送します。
SSH トンネル ポート フォワーディング
SSHトンネル ポート フォワーディングは、SSHプロトコル。ローカル ポートをサーバーに転送できるだけでなく、ローカルへのリモート ポート転送もサポートします。
一般的な実装は、クラウドサーバーを使用してローカルポートをSSHトンネル、イントラネットへの侵入を実現することですが、クラウドサーバーの月額レンタル費用もかなりの出費です。
メーカーのイントラネット侵入ソリューション
イントラネット浸透市場でのピーナッツ シェルの人気は非常に高いです. 元のピーナッツ シェル周辺の製品は現在、多くのネットワーク機器とソリューションを展開しています. ピーナッツ シェルのソフトウェアには無料バージョンがあります. トラフィックは非常に小さいですが,または、非常に少ないネットワーク トラフィックで使用するだけで十分です。
ピーナッツの殻に加えて、SD-WAN最良の。これが、この記事で焦点を当てているものです.
メーカーは無料で提供していますが、一定の安定性を確保するためには、エントリーレベルのハードウェアを購入してそれを実現することを選択することをお勧めします。
VPN ネットワーク
もう 1 つの方法はVPNを使用するが、この方法ではパブリック ネットワーク上のサーバーでポート フォワーディングを行う必要もあります (特別な理由により、この方法についてはこれ以上説明しないでください)。
ハードウェア レベル
ハードウェア レベルでそれを実現する方法は他にもありますが、私たちは商用ではなく、数十万または数百万の費用IDCが。
ピーナッツ スティック (ピーナッツの殻)、ヒマワリ、タンポポの 3 つのハードウェア製品をお勧めします。
Peanut Shell は動的ドメイン名解決ソフトウェアであり、Peanut Stick はイントラネットに侵入できる Peanut Shell ソフトウェアが組み込まれたインテリジェント ネットワーク デバイスです。落花生の殻はあまりにも有名なため、一般的には区別されず、総称して落花生の殻と呼ばれています。
偶然にも、これら 3 つの製品はすべて Berry という会社によって製造されており (Berry はお金を稼ぎます! [犬])、それぞれのハードウェア製品は異なる目的のために位置付けられています。
ピーナッツの殻
を介してローカル コンピューターのポートを全世界
URLに。
競合製品: ngrok、frp。
これは基本的に、ポート フォワーディングによって実装されます。ただし、Peanut Stick は内部ネットワークのポートをパブリック ネットワークに公開するため、非常に深刻な問題、つまりネットワーク セキュリティの問題が発生します。また、ポートの数は限られていますが、私の k8s クラスター自体はソフトウェア ラボであり、数百以上のサービスを実行しているため、ピーナッツ シェルは私のニーズを満たしていません。
ひまわり
デスクトップをリモートで共有、リモート コントロール。
競合製品: TeamViewer、ToDesk。
言うまでもなく、これはデスクトップをリモートで操作するためのもので、リモート アクセスも実現できますが、私の既存のニーズには合いません。
タンポポ
タンポポ: SD-WAN、リモート LAN ネットワーキング、クロスリージョン VPN。
競合製品: ZeroTier、OpenVPN。
そんな大伏線を経て、いよいよ本日の主役、タンポポの登場です!
タンポポの箱の中で最も安い製品はタンポポ X1 です.私は、Dandelion X1 を使用して、SD-WAN リモート LAN ネットワーキングを介してオフィスと家庭の間のネットワーク相互通信を実現しています。
計画確定
計画が決まれば、次はそれを実行に移すことです. 実行手順は非常にシンプルでわずか2ステップですが、多くの困難な問題が発生します.
- まずはハードウェアの購入ですが、とあるお宝のダンデライオン公式サイトで2箱購入しました。
- 2 番目のステップは、Dandelion X1 ボックスとルーターを介して
SD-WANリモート。
あまりナンセンスではありませんが、最初に、SD-WANリモート。
このネットワーク トポロジ図が少しわかりにくいように見えても心配しないでください. 次に、このネットワーク内の任意のノードを相互接続する方法を詳しく説明します.
詳細なネットワーク トポロジ
ネットワーク トポロジ ダイアグラムを説明する前に、重要な概念であるバイパス ルートを理解する必要があります。
バイパス ルーティングは、バイパス ネットワーク、バイパス ルーティング、およびバイパス ルーターの3 つの概念に細分化できます。
簡単に言えば、バイパスネットワークは、元のネットワーク構造を変更せず、新しいデバイスを追加して再ネットワーク化を実現するネットワーク技術です。この場合、Dandelion X1 はバイパス ルータであり、バイパス ルーティングの機能を実現し、バイパスネットワークを通じてSD-WANリモートLAN ネットワークを実現します。
ネットワーク セグメントの計画
まず、ネットワーキングの前に、ネットワーク セグメントを計画する必要があります。
私の要件は、オフィス ネットワークとホーム ネットワークを接続することなので、2 つのルーター、2 つのタンポポ ボックス(タンポポ ボックスは本質的にはルーターですが、特別なルーター、つまりバイパス ルーターです) と 4 つのネットワーク セグメント(合計 4 つのネットワーク)が必要です。デバイスの場合、各ネットワーク デバイスにはネットワーク セグメントが必要です)。
特定のネットワーク セグメントは、次のように分割されます。
- 会社のルーターのネットワーク セグメントは次のとおりです
192.168.1.0/24。 - ホーム ルーターのネットワーク セグメントは次のとおりです
192.168.2.0/24。 - カンパニー ボックスのネットワーク セグメントは次のとおりです
10.168.1.0/24。 - ホーム ボックスのネットワーク セグメントは次のとおりです
10.168.2.0/24。
詳細については、上記のネットワーク トポロジを参照してください。
バイパス ネットワーキング
通常、オフィス ネットワークとホーム ネットワークは、接続されていない 2 つの独立した LAN セグメントです。次に、Dandelion X1 を介してバイパス ネットワークを実行し、2 つのネットワーク セグメント間の接続を確立する必要があります。
Dandelion X1 の構成は非常にシンプルで、ホーム ルーターと同じように、ネットワーク ケーブルを接続してセットアップするだけです。主なことは、WANポートをxxx.xxx.xxx.2、LANポートを独自のネットワーク セグメントのゲートウェイとして設定することです。
2 つのボックスを構成した後、相互接続を実現できます。非常に簡単ですよね!
Dandelion には 3 つの無料ノードがあるため、オフィスに 1 つのノード、自宅に 1 つのノードを配置し、もう 1 つはモバイル クライアント ノードです。
このようにして、Dandelion クライアントと、Dandelion ボックスの下のすべてのデバイスを介してネットワークにアクセスできます。
上のネットワーク トポロジ図では、モバイル端末、PC-02、および PC-04 はすべてネットワーク内の任意のノードにアクセスできますが、PC-01、PC-03 は自分のネットワーク セグメントにしかアクセスできません。PC-01 と PC-03 がネットワーク内の任意のノードにアクセスするには、ルーターのスタティック ルーティング機能を使用する必要があります。
静的ルーティングを構成する
タンポポ ボックスを使用してリモート LAN ネットワーキングを実現できますが、リモート LAN 内の任意の 2 つのノードがタンポポ ボックスだけで相互に通信できることを理解するだけでは十分ではなく、ルーターの静的ルーティング機能も強化する必要があります。ネットワークの可用性。
ルーターの静的ルーティングテーブルを作成することで実現できますが、市場に出回っているほとんどすべてのホームルーターはこの機能をサポートしていません (一部の ASUS または Merlin ファームウェアはそれをサポートしていますが、それらのほとんどは約 400 または 500 です)。
したがって、さらにコストを削減するには、ルータをリフレッシュして、スタティック ルーティング機能をルータにサポートさせる必要があります。
ここでは、キビルーター4Aギガビットバージョンを直接使用してマシンをフラッシュします.ここで選択されたソフトルーティングシステムは、PadavanよりOpenWRT安定してです.
特定のルーターのフラッシュ プロセスに関する参照用の一連の記事
を書きました
。5Gチップとハードウェアレイアウトの問題をフラッシュで交換した後、
公式ファームウェアMi Router 4Aギガビットバージョンにフラッシュバックします
構成済みの 2 台の Dandelion ボックスと、サードパーティ製ファームウェア (Padavan) を搭載した 2 台のルーターを構成して、静的ルーティングを構成することにより、リモート LAN ネットワーク内の任意の 2 つのノードの相互接続を実現できます。
要約する
Dandelion ボックス配下のデバイス (PC-02、PC-04) と Dandelion クライアント配下のデバイス (モバイル端末) 間のアクセスは、Dandelion アカウントの仮想 IP と、Dandelion ボックス配下のデバイス (PC-02) を介して行われます。 )は上位装置(PC-01)にアクセスするNATモード、上位ルーティング装置(PC-01)は配下の装置(PC-02)にアクセスします。スタティック ルーティング モードを使用するタンポポ ボックス。
最も重要な概念の 1 つは、バイパス ルーティングです。バイパス ルーターの技術については、一連の記事で取り上げますが、コンテンツのこの部分では、最初にここに穴を掘り、後でゆっくりと埋めます(笑)。