给公司搭建大数据平台之网络架构
最近中心要自己建一个大数据平台,我也参与了其中。
一、需求
- 为大数据平台创建局域网,该局域网只有部分同事能够访问;
- 将大数据平台的地址不直接暴露给同事;
二、分析
目前公司整个中心的局域网的网段是10.13.23.0/24,目前已经占用了一百多个IP,所以IP地址还不是特别富裕。此外,我们只有两台服务器可以用,而且其中一台还是个台式机,只有一个是真正的服务器(嗯,我们很穷)。所以我们要在服务器上开多个虚拟机。台式机和服务器我弄了两个网段,因为交换机紧缺,我们要把这两台服务器分别插到路由器两个端口,哈哈。
好,上图:
其实我们这个网络要简单的很,因为,我们这个大数据平台的局域网路由器也是直接接到我们中心的交换机上的,也就是说,你可以把右边的中心看成和左边相同等级的局域网。
首先看IP的设置。
- 中心的网段 10.13.23.0/24;
- 服务器一: 192.168.1.0/24;
- 服务器二:192.168.2.0/24;
首先做连通性,将三个网段互通:
Router上在对应端口做配置:
1、ip add 192.168.1.1 24
2、ip add 192.168.2.1 24
上面实现了大数据局域网(左边)两个网段的互通性。现在还要实现和右边网段(10.13.23.0/24) 通信。我们是这么做的:
1、为服务器、路由器分配10.13.23.0/24这个网段的ip地址;
2、通过NAT转换,将192的地址转换为10.13.23.0/24这个网段的ip。
所有操作都是在路由器Router上:
1、在右边端口做: ip add 10.13.23.84 (给路由器添加的IP);
2、给192.168.1.0中的唯一台服务器 做NAT转换 ,用静态的: ip nat inside source static 192.168.1.2 10.13.27.85,连接端口配置ip nat inside;
3、给192.168.2.0 中的多个服务器做NAT转换,用动态的。这样更方便,节省IP:
ip access-list standard neiwang
permit 192.168.2.2
permit 192.168.2.3
ip nat pool waiwang 10.13.23.86 10.13.23.86 prefix-length 24
ip nat inside source list neiwang pool waiwang overload
谁通信就把这个IP分给谁。
此时,我往外ping应该OK了,但到现在应该遇到一个问题,外界应该怎么主动和192.168.2.0/24这个网段通信呢,因为只有一个10.13.23.86这个IP?
针对上面这个问题,我们提供了一种解决方法,因为我们外界主动访问内部大数据服务器的情景只是在远程登录时。所以我们就对端口进行转换:
ip nat inside source static tcp 192.168.2.2 22 10.13.23.86 1111 extendable
ip nat inside source static tcp 192.168.2.3 22 10.13.23.86 2222 extendable
把不同服务器的22端口映射到86这个地址的 不同端口。
好了,目前为止,我大数据平台的这几个服务器能访问外网吗?答案是不能。你还要做一个静态路由。将大数据平台这个局域网的路由的下一跳做到网关10.13.23.1/24上。即:
ip route 0.0.0.0 0.0.0.0 10.13.23.1OK,上面就是我们这个网络的整体架构。
现在还有一个问题,我们想设个白名单,只希望某些ip访问,但我们设了之后,服务器要上网上不了了(因为公网ip不在白名单中啊),对于上网和设置白名单这两个看似矛盾的问题,我们暂时还没想出好的解决方法。
微信分享/微信扫码阅读
