عندما تواجه سؤالاً وتكسر قدرًا كبيرًا من الوثائق ، حاول تنظيم وكتابة ما تعلمته من أجل أن تتذكر بشكل أفضل. وقم أيضًا بتقديم إرشادات حول هذه المشكلة ، حتى لا تستمر في العمل مرة أخرى.
وثائق المصدر وفيرة في
صياغة المشكلة
يريد العميل دمج العديد من الخوادم المستأجرة في شبكة واحدة للتخلص من الحاجة إلى الدفع مقابل عدة شبكات فرعية إضافية ، وتعليق أسرته بالكامل خلف جهاز توجيه ، وتخصيص عناوين محلية لهم بالداخل ، وحماية نفسه بجدار ناري. بحيث تعمل كل حركة مرور الخدمة داخل شبكة VLAN. بالإضافة إلى ذلك ، قم بنقل الأجهزة الافتراضية من خادم قديم إلى خادم جديد ورفضه ، وقم بترقية الأجهزة القديمة المستخدمة وفي نفس الوقت انتقل إلى Proxmox الجديد.
مبدئيًا ، يمتلك العميل 5 خوادم ، لكل منها شبكة فرعية إضافية ، يتم تعيين العنوان الأول من الشبكة الفرعية المخصصة إلى جسر إضافي على Proxmox
في الوقت نفسه ، تعمل الأجهزة الافتراضية على نظام التشغيل Windows ولها العنوان 85.xx177 / 29 مهيئًا ببوابة 85.xx176
وعلى نفس المنوال ، تم تكوين جميع الخوادم الخمسة بأجهزتهم الافتراضية.
من المضحك أن هذا التكوين خاطئ في إعداد الشبكة من حيث المبدأ ، واستخدم عنوان الشبكة للعقدة الأولى وهو أيضًا للبوابة. إذا حاولت بدء مثل هذا التكوين على جهاز افتراضي في Ubuntu ، فلن تعمل الشبكة.
تطبيق
- نقوم بإنشاء vSwitch في الواجهة ، وتعيين VlanID لها ، وإضافة vSwitch هذا إلى جميع الخوادم التي نحتاجها.
- نحن نقوم بعمل خادم اختبار حتى تتمكن من الإعداد والتحرك دون مشاكل.
نرفع أول آلة افتراضية chr بها .
إذا كنت تستخدم البرنامج النصي أعلاه ، فيرجى ملاحظة أنه تم التحقق من الدليل -d / root / temp في البداية ، وإذا لم يكن موجودًا ، فسيتم إنشاء الدليل / home / root / temp ، ولكن لا يزال يتم تنفيذ المزيد من العمل باستخدام الدليل / root / temp. يحتاج البرنامج النصي إلى التصحيح لإنشاء الدليل المناسب.
- إنشاء شبكة لـ Proxmox.
نضيف واجهة فرعية برقم VLAN ، ونشير إلى أن إعدادات العنوان ستحدث على الجسور باستخدام دليل inet. مهم. لا يمكنك تكوين عناوين IP على الواجهات التي ستقوم بعد ذلك بتضمينها في الجسر ، وكيف سيعمل وما إذا كان لا أحد يعرف على الإطلاق.
بعد ذلك ، نقوم بإنشاء جسر vmbr0 - ونعلق عليه العنوان الأول للخادم نفسه ، الذي قدمه لنا موفرو Hetzner ، وحدد منفذ الجسر - أول واجهة فعلية بدون VLAN ، ونحدد أيضًا بأمر إضافي لإضافة الطريق إلى شبكتنا الإضافية المطلوبة من Hetzner لهذا الخادم عبر هذا الجسر. ستعمل إضافة مسار عند ظهور الواجهة.
سيكون الجسر الثاني هو واجهتنا لحركة المرور المحلية ، أضف عنوانًا إليه للحصول على اتصال بين خوادم Proxmox المختلفة عبر شبكة محلية دون الوصول إلى الإنترنت وتحديد الواجهة الفرعية eno1.4000 ، المخصصة لـ VlanID الخاص بنا ، كمنفذ .
أثناء الإعداد الأولي ، هناك تلميحات يمكنك من خلالها تثبيت حزمة ifupdown2 إضافية لبرنامج Proxmox ولا يمكنك إعادة تشغيل الخادم بالكامل عند إجراء تغييرات في واجهات الشبكة. ومع ذلك ، يعد هذا نموذجيًا فقط للإعداد الأولي ، وعند استخدام الجسور وإعداد الأجهزة الافتراضية ، تواجه مشكلات فشل الشبكة في الأجهزة الافتراضية. على الرغم من حقيقة أنك حكمت ، على سبيل المثال ، واجهة vmbr2 ، وعندما تقوم بتطبيق التكوين ، فإن الشبكة تسقط بالفعل على جميع الواجهات الداخلية ولا ترتفع حتى يتم إعادة تشغيل الخادم بالكامل. ifdown && ifup لا يساعدان. إذا كان لدى شخص ما حل ، سأكون ممتنًا.
تظل الواجهة الأولى المكونة على الخادم نفسه عاملة ومتاحة.
-
تخصيص العنوان لـ CHR حتى لا تفقد العناوين من التجمع
يبدو تجمع العناوين الذي قدمه Hetzner غريبًا جدًا بالنسبة لمسؤول الشبكة ، شيء من هذا القبيل:
الغريب في الأمر أن البوابة مقترحة لاستخدام عنوان الخادم الفعلي الخاص بها.
تمت الإشارة إلى الإصدار الكلاسيكي الذي اقترحه Hetzner بنفسه في بيان المشكلة وتم تنفيذه بواسطة العميل بشكل مستقل. في هذا الخيار ، يفقد العميل العنوان الأول لعنوان الشبكة ، والعنوان الثاني لجسر proxmox وسيكون أيضًا البوابة والعنوان الأخير للبث. عناوين IPv4 ليست زائدة عن الحاجة أبدًا. إذا حاولت تسجيل عنوان IP الخاص بـ CHR 136.х.х.177 / 29 والبوابة لـ 0.0.0.0/0 148.х.х.165 ، فيمكنك القيام بذلك ، لكن البوابة لن تكون متصلة مباشرة وبالتالي لن يكون من الممكن الوصول إليها.
يمكنك الخروج من الموقف إذا كنت تستخدم 32 شبكة لكل عنوان وتشير إلى العنوان الذي نحتاجه كاسم الشبكة ، والذي يمكن أن يكون أي شيء. اتضح التناظرية لوصلة من نقطة إلى نقطة.
في هذه الحالة ، ستكون البوابة متاحة بالطبع ، وسيعمل كل شيء كما نحتاج.
ضع في اعتبارك أنه في مثل هذا التكوين ، لا يوصى باستخدام قاعدة التنكر SRC-NAT ، لأن عنوان الإخراج سيكون مختلفًا إلى أجل غير مسمى ، ولكن من الأصح تحديد الإجراء: src-NAT والعنوان المحدد الذي ستنطلق منه الافراج عن العميل.
- وأخيرا.
لمنع الوصول إلى Proxmox نفسه من الإنترنت ، استخدم الأدوات المدمجة: يوجد جدار حماية ممتاز.
يجب ألا تستخدم جدار الحماية الذي يقدمه hetzner ، حتى لا يتم الخلط بشأن موقع الإعدادات. ستعمل Hetzner أيضًا على جميع الشبكات ، بما في ذلك تلك المنشأة على CHR ، ومن أجل فتح المنافذ وإعادة توجيهها ، سيكون من الضروري أيضًا فتحها في واجهة الويب الخاصة بالمزود.
المصدر: www.habr.com