三面隔离概念
为了提升兼容性和管理的便利性,一些产品在运维架构设计上的控制平面、用户平面和管理平面在缺省情况下没有隔离。
用户可以通过业务接口登录并管理设备,客观上使被攻击的可能性增大,攻击者可以较容易的通过业务接口尝试攻击管理平面。
因此,产品在运维架构设计上,要支持用户安装时,配置三面隔离:隔离控制平面、用户平面和管理平面,以保护管理平面不受外部攻击。
Huawei FusionInsight 所说的单平面,双平面三平面是什么?
ws、om和bussiness不同的组网方式是为了保证业务量大的时候,维护操作和业务操作互不影响。
(1) ws ip:即web service ip,这个是供外部浏览器访问的ip地址,一般需要配置成外网可以ping通的ip地址,这个网段会部署接收外部访问的代理进程接口客户端请求。
(2) om ip:即management ip,这个是提供操作维护的网段ip地址,也就是说你通过界面进行操作(重启服务,安装服务等),首先收到请求的是ws ip网段请求代理进程,而我们的实际操作维护进程(controller,agent进程)都部署在om ip网段,这个网段的controller进程接收请求,再下发给agent,controller和agent之间是通过这个om网段进行的。
(3) business ip:即业务ip,这个是组件内部及组件之间通信都是通过这个网段,例如namenode和datanode,resourcemanager和nodemanager等。
如果ws,om,business三个分别在不同的网段就是所谓的三平面。
如果ws,om在一个网段,business在另一个网段,就是所谓的双平面。
如果ws、om和business在同一个网段,就是所谓的单平面。
所谓二三层组网是对同一平面内而言的,如果同一平面内的主机都在同一个子网内,则称为二层组网(平面内主机之间通信不需要跨越路由器),反之则称为三层组网。这里的术语二三层,源于OSI网络通信七层模型。
Manage swarm service networks
https://octowhale.gitbooks.io/docker-doc-cn/engine/swarm/networking