А так, из практики применения openvz в духе "сервер-шлюз-еще немного прокси" можно сказать, что затеяно всё не зря. В общем получается даже лучше, чем обычно. Вот решил вынести "на обругать".
Дано: есть несколько офисов, разнесенных территориально ну очень сильно. Скажем, Москва, Питер, Англия и Америка. Есть обычные юзвери и есть мобильные. И есть сервисы класса "почта"
Сетка офиса делается по типовой схеме (адреса для примера, х - номер офиса)
0.0.0.0/0 - интеренет. злой и нехороший
10.х.1.0/24 - обычные юзвери, со стандартными компами, принтерами и прочими штуками. Они все хотят почту и прочее. Сюда же прибегают мобильные. Сеть считается достаточно секурной.
10.0.2.0/24 - адреса для VPS сервисов. Тут обитают всякие postfix, amavis, dovecot и прочие. Каждый сервис в своей VPS.
10.0.3.0/24 - адресное пространство для VPN между офисами. Адресное пространство едино
10.х.4.0/24 - адресное пространство для VPN клиентов из интернета.
на всех серверах поднят банальный RIP для зон .2.0 и .3.0. Сами VPN сервера работают одновременно и как клиенты к другим, так и собственно серверами. Одновременно поднимается 2 клиента на разные сервера, что бы избежать ситуации "кольцо из сервера1 и сервера2"
На каждом сервере крутятся свои сервисы, на которые с помощью фаирволлов выведены дырки с 1 и 4й подсетки. Если клиенту расположение сервиса некритично (к примеру, прокси или исходящий сервер почты), то везде указывается одно имя. А если критично - то полный адрес.
В итоге, приехав в офис1, клиент юзает proxy(.ofis1.tld), а в другом proxy(ofis2.tld). А почта и там и там mail.ofic1.tld (10.0.2.5 к примеру). ДНС и прочие пошлости типа учетных записей на почтовом сервере для авторизации на отправку, засинхронизированы между всеми офисами
Клиент приучен, что если "не офис, то поднимай VPN".
Вопрос - где я чего забыл, из-за чего можно поиметь траблов?
