DHCP-адресація та статична адресація для серверів

У мене ведуться "жваві" дебати з колегою по роботі про причини "проти" використання DHCP на серверах у мережевому середовищі. Зокрема, мережеве середовище - це порівняно невелика мережа, але, на мій досвід, завжди краще мати сервери на статичних адресах, особливо для таких речей, як віддалене управління тощо.

Я подивився, і міг знайти якісь конкретні причини для або проти динамічних адрес, призначених на серверах, тож я придумав, що я попрошу тут натовпу.

Мій співробітник аргументує DHCP-адреси призначених серверів для зручності управління, і заявляє, що коли-небудь змінити адреси, вам не доведеться змінювати IP-адресу сервера вручну. Я сумніваюсь у цій відповіді.

Для цілей управління, якщо ця мережа невелика, змінювати ІР статичних пристроїв не варто, оскільки їх так мало.

Будь-які пропозиції, ідеї чи коментарі?

Чому не створено комбінацію чогось подібного cfengineабо puppetстатичного IP-адреси? З точки зору пташиного польоту, найкраще і те й інше - централізована конфігурація без втрати послуги критичного шляху, про яку потрібно турбуватися. Чи це центральний спосіб накрутити речі? Так, але так і DHCP.

У більших установках, де я працював, це все було досягнуто за допомогою комбінації керованих стартів і cfengine... і це прекрасно працювало. Крім того, більшість, якщо не всі VPS-провайдери, використовують інструмент забезпечення, який обчислює IP-адреси та встановлює їх статично в створеному екземплярі - ще один приклад управління конфігурацією + статичні IP-адреси.

Для досить великої установки слід використовувати керування конфігурацією та близько до повністю автоматизованого розгортання, не кажучи вже про процедури контролю змін, які мали б прописати ці процедури (в ідеалі).

Найбільшою проблемою, яку я бачу при застосуванні DHCP для серверів, є те, що якщо з якоїсь причини служба DHCP колись знизиться, ваші сервери можуть втратити свої IP адреси. На додаток до цього, існує також ризик для безпеки можливості контролювати сервери Man-In-The-Middle, контролюючи їх оренду DHCP (що контролює шлюз за замовчуванням). І, як говорили інші плакати, для деяких серверів / служб потрібні статичні IP-адреси (контролери домену - це головний приклад).

Хоча є деякі функції сервера, які повинні мати локально визначені IP-адреси, я величезний фанат використання DHCP для адрес сервера.

По-перше, як зазначали інші, ви можете (і повинні) використовувати DHCP для обслуговування статичних адрес. Якщо припустити Linux, ви хочете, щоб це було у вашому dhcpd.conf:

host server {
        option host-name "server.example.com";
        hardware ethernet  xx:xx:xx:xx:xx:xx;
        fixed-address server.example.com;
}

І у вашому DNS-файлі зони призначте IP-адресу server.example.com.

Плюси:

• Файл зони DNS тепер є "єдиним джерелом істини" для всіх IP-призначень. Полегшує пошук помилок (копії IP-адрес, помилок друку) та гарантує, що кожен може знайти IP-адресу сервера без помилок
• Зміни в мережевій інфраструктурі можна легко поширити. Розгортання резервного сервера DNS? Просто додайте його до конфігураційного файлу DHCP, і всі системи підберуть його під час поновлення оренди.
• Зміни в IP-адресі машини та записі DNS машини не можуть, за визначенням, не синхронізуватися. Переміщення машини до нової підмережі? Змініть IP точно в одному місці, і все налаштовано.

Мінуси:

• Ви додали важливу крапку. Пом'якшіть це за допомогою резервного сервера DHCP. Довгі терміни оренди також можуть допомогти.
• Режим навчання, що охоплює дерево, блокує запити DHCP, що може значно подовжити час завантаження машини і навіть спричинити тайм-аути DHCP. Використовуйте portfast, щоб вимкнути "spanning tree" на вибраних портах. Хороша ідея для робочого місця, до речі.

Я не погоджуюся з ідеєю використання DHCP для серверів - хоча у дуже великих мережах я можу уявити, що це може трохи розмитись - але це питання, а не питання важкої та швидкої речі - ви можете резервувати адреси для серверів тощо (хоча якщо ви це зробите, то чому б просто не зробити їх статичними, що повертає мене до того, чому я не згоден з цим ...).

Я думаю, що для декількох серверних програм або потрібні статичні IP-адреси явно, або взагалі не так добре, якщо їх адреса зміниться. Для мене вони, як правило, важко вказують на те, що це погана ідея.

Ви хочете використовувати IP-адреси STATIC із серверами, які потребують публічного приватного перекладу IP. Наприклад, сервер електронної пошти або веб-сайту, що сидить за брандмауером, який повинен бути доступний з Інтернету. Усі, що надають доменні послуги, також повинні використовувати STATIC. Більшість всього іншого може використовувати DHCP, але використовувати з обережністю, оскільки він має свої потенційні підводні камені, як згадували інші.

Вам потрібно використовувати резервацію DHCP, щоб резервувати призначені IP-адреси для серверів і уникати присвоєння їх IP-адресам іншим ПК.

Ви можете отримати найкращі можливості для обох підходів: використовуйте DHCP для всього, що резервує діапазон для робочих станцій та фіксує IP-адресу кожної MAC-адреси сервера.