9.5 KiB
10. Сегмент управления ТСПУ
← Оглавление · ← Раздел 9: Центральная система управления
10.1. Адресация: 10.<регион>.<площадка>.0/24
Каждая площадка ТСПУ имеет собственный сегмент управления — выделенную подсеть для management-интерфейсов всех устройств. Адресация сегмента управления построена по единой схеме:
10.<регион>.<площадка>.0/24
Где:
| Октет | Значение | Пример |
|---|---|---|
| Первый | Всегда 10 (частная адресация) |
10 |
| Второй | Номер региона (всего ~88 в стране) | 77 (Москва) |
| Третий | Номер площадки в данном регионе | 1, 2, 3... |
| Четвёртый | Адрес устройства в подсети /24 (256 адресов) | 0–254 |
Таким образом, для площадки в Москве management-адрес будет выглядеть как 10.77.<номер_площадки>.0/24.
10.2. Распределение адресов: байпасы, балансировщики, BMC, фильтры, IPMI, SPFS, СПХД
Все 256 адресов подсети /24 распределяются между устройствами площадки по фиксированной схеме:
10.<регион>.<площадка>.0/24
┌────────────────────────────────────────────────────────────┐
│ .1 – .128 │ Управление байпасами (128 шт.) │
├─────────────────┼─────────────────────────────────────────┤
│ .131 – .140 │ Управление балансировщиками (10 шт.) │
├─────────────────┼─────────────────────────────────────────┤
│ .141 – .150 │ BMC балансировщиков (10 шт.) │
├─────────────────┼─────────────────────────────────────────┤
│ .151 – .190 │ Управление фильтрами (40 шт.) │
├─────────────────┼─────────────────────────────────────────┤
│ .191 – .230 │ IPMI фильтров (40 шт.) │
├─────────────────┼─────────────────────────────────────────┤
│ .231 – .235 │ SPFS (management + IPMI) (5 шт.) │
├─────────────────┼─────────────────────────────────────────┤
│ .241 – .245 │ СПХД (management + IPMI) (5 шт.) │
├─────────────────┼─────────────────────────────────────────┤
│ .254 │ Шлюз по умолчанию (криптошлюз) │
└────────────────────────────────────────────────────────────┘
Основные группы устройств:
- Байпасы (.1–.128) — наибольший диапазон, поскольку количество байпасов определяется количеством каналов связи оператора и может быть значительным;
- Балансировщики (.131–.140) — management-интерфейсы балансировщиков (микросервер);
- BMC балансировщиков (.141–.150) — BMC (Baseboard Management Controller) — аналог IPMI у фильтров, позволяет управлять аппаратной частью балансировщика даже при выходе из строя основного управляющего модуля;
- Фильтры (.151–.190) — management-интерфейсы фильтров;
- IPMI фильтров (.191–.230) — интерфейсы IPMI (Intelligent Platform Management Interface) для аппаратного управления серверами фильтров;
- SPFS (.231–.235) — серверы предварительного формирования списков;
- СПХД (.241–.245) — серверы предварительного хранения данных (syslog-серверы), используемые для хранения системных журналов со всех устройств площадки.
10.3. Шлюз по умолчанию — криптошлюз «Континент»
Адрес .254 в подсети управления закреплён за криптошлюзом «Континент», который является шлюзом по умолчанию для всех устройств площадки.
Устройства площадки ТСПУ
┌──────────────────────────┐
│ Байпасы │
│ Балансировщики │──── .254 ────► Криптошлюз ──── VPN ────► ЦСУ
│ Фильтры │ «Континент»
│ SPFS, СПХД │
└──────────────────────────┘
Криптошлюз устанавливает VPN-соединение через публичные интернет-каналы с аналогичным (но более мощным) криптошлюзом на стороне ЦСУ. Через этот VPN осуществляется весь management-трафик: доступ к устройствам, сбор логов, мониторинг, обновление ПО и загрузка списков фильтрации.
Каждая площадка ТСПУ связана с обеими площадками ЦСУ (основной и резервной), что обеспечивает отказоустойчивость управления.
10.4. Подсеть логирования (единая для всех ТСПУ)
Помимо основной подсети управления (/24), в сегменте управления присутствует отдельная подсеть логирования. Эта подсеть используется для лог-интерфейсов фильтров — выделенных высокопроизводительных интерфейсов (DPDK), через которые передаются журналы соединений (connection log).
Ключевая особенность: подсеть логирования единая и одинаковая для всех площадок ТСПУ по всей стране. Это допустимо, поскольку данная подсеть не выходит за пределы конкретной площадки — нет необходимости обращаться извне к лог-интерфейсам устройств. Лог-интерфейсы не имеют полноценного IP-стека и не обрабатывают входящие пакеты (невозможно их «пропинговать»), что сделано для повышения производительности.
Системное логирование (syslog) при этом отправляется через management-интерфейс, а не через лог-интерфейс. Журналы соединений (connection log) — напротив, по умолчанию отправляются через лог-интерфейс (DPDK). Все системные логи с устройств площадки сохраняются на СПХД (серверы предварительного хранения данных), что обеспечивает возможность ретроспективного анализа событий на фильтрах, балансировщиках и байпасах.
← Оглавление · ← Раздел 9: Центральная система управления · Раздел 11: Фильтр: аппаратная платформа →