Tilslutning af flere Vultr-zoner med N2N

N2N er en open source lag 2/3 VPN-applikation. I modsætning til mange andre VPN-programmer kan N2N forbinde computere, som er placeret bag en NAT-router. Dette giver en kæmpe fordel at oprette forbindelse til et cloudmiljø uden at skulle stole på specielle protokoller såsom ESP-protokollen (brugt af ipsec). For at opnå denne forbindelse bruger N2N en supernode, som kan dirigere informationen mellem NAT'ede noder. Denne VPN-forbindelse kan bruges til at forbinde flere Vultr-instanser på tværs af regioner sammen.

Forudsætninger

• Tre Ubuntu 16.04 LTS x64-serverforekomster. (Enhver størrelse vil fungere)
• En sudo- (eller root-konto) bruger .

I dette eksempel vil vi bruge tre noder i flere zoner:

• Paris
• Miami
• Sydney

Installation af softwaren

Følgende kommandoer vil blive udført på hver instans.

Start med at installere build-essentialfra repoen og også libssl-dev, da vi vil bygge fra den nyeste kildekode.

apt-get install -y build-essential libssl-dev

Download derefter kildekoden fra github.

cd /tmp
git clone https://github.com/ntop/n2n.git

Kompiler alle binære filer.

cd n2n 
make
make install

Den make installkommando vil have skabt den supernodeog edgebinære filer i /usr/sbinmappen. Afslut med at rydde op i filerne.

rm -rf /tmp/n2n

Installation - Node Paris

Den første knude vil være vores såkaldte supernode. Denne supernode vil starte supernodetjenesten, der lytter på UDP-porten 1200. Som standard opretter N2N-applikationen ikke en servicefil. Så vi bliver nødt til at sørge for vores egne.

Opret 'n2n_supernode' servicefilen:

nano /etc/systemd/system/n2n_supernode.service

Tilføj følgende indhold:

[Unit]
Description=n2n supernode
Wants=network-online.target
After=network-online.target

[Service]
ExecStart=/usr/sbin/supernode -l 1200

[Install]
WantedBy=multi-user.target

'-l'-direktivet definerer UDP-porten 1200. Dette er den port, som supernoden vil lytte til. For at sikre, at alt fungerer, skal du starte supernode-tjenesten:

systemctl start n2n_supernode

Tjek status for supernoden.

systemctl status n2n_supernode

Dette vil vise en status svarende til følgende.

● n2n_supernode.service - n2n supernode
   Loaded: loaded (/etc/systemd/system/n2n_supernode.service; disabled; vendor prese
   Active: active (running) since Wed 2018-08-15 17:07:46 UTC; 5s ago
 Main PID: 4711 (supernode)
    Tasks: 1
   Memory: 80.0K
      CPU: 1ms
   CGroup: /system.slice/n2n_supernode.service
           └─4711 /usr/sbin/supernode -l 1200

Dernæst vil vi oprette kanttjenesten. Denne edge-tjeneste vil kræve en privat IP til kommunikation mellem de andre kanter i andre Vultr-zoner.

Som med supernode-tjenesten vil denne også have brug for sin egen servicefil.

nano /etc/systemd/system/n2n_edge.service

Tilføj følgende indhold:

[Unit]
Description=n2n edge
Wants=network-online.target
After=network-online.target n2n_supernode.service

[Service]
ExecStart=/usr/sbin/edge -l localhost:1200 -c Vultr -a 192.168.1.1 -k mypassword -f

[Install]
WantedBy=multi-user.target

I denne servicefil definerede vi følgende kommandolinjeindstillinger:

• -l localhost:1200: Dette vil oprette forbindelse til localhost på UDP-porten 1200.
• -c Vultr: Dette er det fællesskab, kanten vil slutte sig til. Alle kanter inden for det samme fællesskab vises på det samme LAN (lag 2 netværkssegment). Kanter, der ikke er i samme fællesskab, vil ikke kommunikere med hinanden.
• -a 192.168.1.1: Den IP, der er tildelt denne grænseflade. Dette er den N2N virtuelle LAN IP-adresse, der gøres krav på.
• -k mypassword: Den adgangskode, der bruges til hver kant. Alle kanter, der kommunikerer, skal bruge samme nøgle og fællesskabsnavn.
• -f: Deaktiverer dæmontilstand og får kanten til at køre i forgrunden. Dette er nødvendigt for servicefilen, ellers systemctlstarter tjenesten ikke.

Start tjenesten for at sikre, at alt fungerer.

systemctl start n2n_edge

Forespørg derefter tjenestestatus.

systemctl status n2n_edge   

Outputtet vil ligne følgende.

● n2n_edge.service - n2n edge
   Loaded: loaded (/etc/systemd/system/n2n_edge.service; disabled; vendor preset: en
   Active: active (running) since Wed 2018-08-15 17:10:46 UTC; 3s ago
 Main PID: 4776 (edge)
    Tasks: 1
   Memory: 396.0K
      CPU: 8ms
   CGroup: /system.slice/n2n_edge.service
           └─4776 /usr/sbin/edge -l localhost:1200 -c Vultr -a 192.168.1.1 -k mypass

Hvis vi markerer 'ifconfig', vil du se den virtuelle N2N-IP, der gøres krav på af edge0grænsefladen.

ifconfig

Outputtet vil ligne følgende.

edge0     Link encap:Ethernet  HWaddr 42:14:55:64:7d:21
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::4014:55ff:fe64:7d21/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1400  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:648 (648.0 B)

Når dette er gjort, skal du aktivere og oprette firewallreglerne. Sørg for at erstatte node_miami_ipog node_sydney_iptekst med den offentlige IP af Sydney og Miami instans. (Vi bruger dem senere).

ufw allow 22/tcp
ufw allow from node_miami_ip to any port 1200
ufw allow from node_sydney_ip to any port 1200
ufw enable

Den sidste ting at gøre med denne node er at aktivere begge tjenester ved opstart.

systemctl enable n2n_supernode.service
systemctl enable n2n_edge.service

Installation - Node Miami

Miami-knuden vil oprette forbindelse til superknuden, som i øjeblikket kører i Paris-zonen. For at opnå dette behøver vi kun at oprette en servicefil til edgeapplikationen.

Start med at oprette en edge service-fil.

nano /etc/systemd/system/n2n_edge.service

Tilføj følgende indhold.

[Unit]
Description=n2n edge
Wants=network-online.target
After=network-online.target

[Service]
ExecStart=/usr/sbin/edge -l node_paris_ip:1200 -c Vultr -a 192.168.1.2 -k mypassword -f

[Install]
WantedBy=multi-user.target

Bemærk : Erstat node_paris_ipmed den offentlige IP for den instans, der kører i Paris

Dette vil oprette forbindelse til noden i Paris på UDP-porten 1200, slutte sig til fællesskabet ' Vultr', gøre krav på IP 192.168.1.2og godkende med ' mypassword'.

Start derefter tjenesten.

systemctl start n2n_edge

Kontroller status for en indikation af, at tjenesten er startet korrekt og kører.

systemctl status n2n_edge   

Dernæst skal du sikre dig, at edge0IP'en bliver gjort krav på.

ifconfig

Det vil vise 192.168.1.2IP-adressen.

edge0     Link encap:Ethernet  HWaddr 42:14:55:64:7d:21
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::4014:55ff:fe64:7d21/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1400  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:648 (648.0 B)

Den næste ting at gøre er at aktivere tjenesten ved opstart.

systemctl enable n2n_edge.service

Aktiver eventuelt firewallen og tilføj SSH-reglerne.

ufw allow 22/tcp
ufw enable

Vi vil nu være i stand til at pinge begge kanter, der kører i vores tilfælde.

I Paris, ping Vultr-forekomsten i Miami

ping 192.168.1.2

I Miami, ping kanten i Paris

ping 192.168.1.1

Installation - Node Sydney

Til sidst vil vi tilføje vores sidste kontinent til blandingen: Australien. Start igen ved at oprette en edge-tjeneste, denne edge-tjeneste vil også oprette forbindelse til den tidligere konfigurerede supernode i Paris.

nano /etc/systemd/system/n2n_edge.service

Tilføj følgende indhold.

[Unit]
Description=n2n edge
Wants=network-online.target
After=network-online.target

[Service]
ExecStart=/usr/sbin/edge -l node_paris_ip:1200 -c Vultr -a 192.168.1.3 -k mypassword -f

[Install]
WantedBy=multi-user.target

Bemærk : Erstat node_paris_ipmed den offentlige IP for den instans, der kører i Paris.

Dette vil oprette forbindelse til noden i Paris på UDP-porten 1200, slutte sig til fællesskabet ' Vultr', gøre krav på IP 192.168.1.3og godkende med ' mypassword'.

systemctl start n2n_edge

Tjek status for at sikre, at tjenesten er startet.

systemctl status n2n_edge   

Sørg for, at edge0IP'en bliver gjort krav på.

edge0     Link encap:Ethernet  HWaddr 46:56:b0:e9:8f:8a
          inet addr:192.168.1.3  Bcast:192.168.1.255  Mask:255.255.255.0
        inet6 addr: fe80::4456:b0ff:fee9:8f8a/64 Scope:Link
        UP BROADCAST RUNNING MULTICAST  MTU:1400  Metric:1
        RX packets:0 errors:0 dropped:0 overruns:0 frame:0
        TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
        collisions:0 txqueuelen:1000
        RX bytes:0 (0.0 B)  TX bytes:648 (648.0 B)

Igen, aktiver denne tjeneste ved opstart.

systemctl enable n2n_edge.service

Aktiver eventuelt firewallen og tilføj SSH-reglerne.

ufw allow 22/tcp
ufw enable

Vi vil nu være i stand til at pinge hver Vultr-instans fra hver node.

ping 192.168.1.1
ping 192.168.1.2
ping 192.168.1.3

Hvis du vil teste forbindelsen mellem hver nodekant, skal du aktivere firewallreglerne på forekomsterne af Miami og Paris. Dette vil tillade kommunikation mellem kanter.

Tilføj følgende regler i Miami. (Sørg for at erstatte node_paris_ipog node_sydney_iptekst med de offentlige IP'er i Sydney og Paris tilfælde.)

ufw allow from node_paris_ip to any port 1200
ufw allow from node_sydney_ip to any port 1200

I Sydney skal du tilføje følgende regler.

ufw allow from node_paris_ip to any port 1200
ufw allow from node_miami_ip to any port 1200

Nu kan du lukke eller genstarte supernoden. Netværksforbindelser vil fortsat eksistere. Kun nye kanter vil lide af forbindelsesproblemer, mens supernode-tjenesten er nede.

Konklusion

Vi har konfigureret en VPN-forbindelse mellem flere zoner. Dette skulle give en hel del nye muligheder for scenarier med høj tilgængelighed til vores nyligt konfigurerede miljø.