Ok, én is így képzeltem a hálózatot.
> Ide az eth0-ra jó lenne egy VLAN, amit ha jó fej a szerver hosting cég, akkor megold? Vagy mi lenne ide a jó? [...] Mennyi a biztonsági kockázata, hogy a szerver teremben valaki megpróbálja elérni ezeket a szervereket az eth0-n a privát címeken, és hogyan? Bár ez a kérdés részben offtopic, viszont érdekes... :)
Igen, jó lenne, de nem fogja megoldani, mindegy, nem is fontos. Minimális az esélye szerintem, hogy bárki privát IP című gépekre vadászna a LAN-ban, de készülj úgy, hogy igen.
> Szóval ott a felrakott OpenVPN, majd bemegyek a publikus IP címek közül az egyikre VPN-en és el tudom érni a gépeket a kedvenc 10.99.99.x -es címekkel.
Pontosan.
> Az openvpn konfigjában melyik ip címek legyenek megadva? Ezt hogy érted, a fenti példás címeket értve? az eth0 fix privát címei? Vagy melyikek?
Az openvpn füleljen a publikus címeken (de akár a 0.0.0.0/0-n is fülelhet, azaz minden IP-n, így egyszerűbb a konfig) és a szerverek route-oljanak (és masq-oljanak) a privát címek felé a tunnelből. Ez utóbbi iptables feladat. Az openvpn bármilyen tartományból oszhat a VPN-ben IP címet, az nem számít, úgyis el kell masq-olni ha kommunikálsz a szerverek felé.
> Azt mondták a nálam okosabbak, hogy legyen a DRBD-nél is 3. node [...]
Ez nem váltja ki a STONITH-t. Pl képzeld el azt, hogy az aktív node-ban meghal a rendszerdiszk. A cluster megpróbálja majd leléptetni az aktív szerepből, de nem fog neki menni, mert egyetlen scriptje se tud lefutni, így a publikus IP címet se tudja ledobni magáról. A rossz rendszerdiszk viszont nem akadályozza meg a kernelt abban, hogy továbbra is fogja az IP címet. Ha bárhol máshol felhúzod, akkor ütközés lesz, nem tud kommunikálni rajta egyik gép se. Ugyan a rendszerdiszk lehet raid1, de számtalan példa lehet még arra, hogy az aktív node zombi állapotba kerül (OOM, kernel panic, stb).
A STONTIH-t nem minden esetben váltja ki a quorum, pl a fenti szkenárióban sem. (2 gépes redundánsan kommunikáló DRBD mellé szerintem fölösleges a quorum.)
> Természetesen lesz, nem kell izgulnod: bármikor oda tudok menni és bele tudok rúgni a gépbe
Tehát a STONITH: meatware (nem vicc, levelet küld, hogy "lőjj agyon"). Ezzel ne vállalj túl nagy rendelkezésre állást, mert van pár nagyon is reális szkenárió, amikor szükség lesz arra, hogy odamenj és belerúgj. Egy olcsó IPMI-t beszélő szerver lap alapkövetelmény egy ilyen felállásban ha nem csak játékra kell. :(