Open SychevIgor opened 3 months ago
mtrhnv
commented
3 months ago EIP не может быть привязан к сервису напрямую, он привязан к сущности виртуальной машины или какого-то PaaS сервиса, который в свою очередь должен быть привязан к прикладному сервису. Связь должна подтягиваться таким образом. Вообще над этим списком нужно хорошо подумать.
SychevIgor
commented
3 months ago "должна подтягиваться", но есть нюанс. пример - мы реализовали hub&spok топологию, где весь трафик приходит в сеть безопасности (dmz можно назвать или как угодно). сеть безопасности - это одна система, но public ip - он хоть и находится в этой сети- по факту принадлежит другой системе. но мы разрешили создавать eip только команде сетевеков и только в тенанте безопасности. по деньгам - такая схема не сильно меняет цену, зато во всех остальных тенантах можно просто запретить создание eip и быть уверенным- что не создадут.
и вот в этой схеме- eip будет всегда привязан к системе иб, а не к системе- ради которой создан.
mtrhnv
commented
3 months ago "должна подтягиваться", но есть нюанс. пример - мы реализовали hub&spok топологию, где весь трафик приходит в сеть безопасности (dmz можно назвать или как угодно). сеть безопасности - это одна система, но public ip - он хоть и находится в этой сети- по факту принадлежит другой системе. но мы разрешили создавать eip только команде сетевеков и только в тенанте безопасности. по деньгам - такая схема не сильно меняет цену, зато во всех остальных тенантах можно просто запретить создание eip и быть уверенным- что не создадут.
и вот в этой схеме- eip будет всегда привязан к системе иб, а не к системе- ради которой создан.
А ты хочешь иметь способ все равно привязать IP к конечной системе, даже если EIP привязан к системе ИБ? Возможно это все равно должна быть другая привязка, например через DNS name или SNAT или DNAT правило на этом самом устройстве безопасности? Мы говорим о цифровой модели инфры, а ручные линки АС на IP это уже какая-то ресурсно-сервисная модель из CMDB, оно вам зачем в архитектурной туле?
SychevIgor
commented
3 months ago для нас- нахождение EIP в тенанте ИБ - это исключительно способ отобрать у всех возможность рулить EIPами прямо на уровне тенантов (упрощённая ролевка) и даже видеть их.
А вот привязать к другой ас- это в рамках учета ресурсов и архитектуры АС. Мы этот EIP хотим указывать в различных секвенсах (по подключению stormwall и т.п.) по АСке.
Одним из самых важных для наших коллег - это ответ на вопрос- чем EIP. если бы в seaf можно было в seaf.ta.reverse.general.links добавить EIP - это прямо сильно бы упростило жизнь.