Sualla qarşılaşdıqda və çoxlu sənədləri pozduqda, daha yaxşı yadda saxlamaq üçün öyrəndiklərinizi sistemləşdirməyə və yazmağa çalışın. Həm də bu məsələ ilə bağlı göstərişlər verin ki, yenidən bütün yola getməsin.
Mənbə sənədləri çoxdur
Problem problemi
Müştəri bir neçə əlavə alt şəbəkə üçün ödəniş etmək, bütün ev təsərrüfatını marşrutlaşdırıcının arxasına asmaq, içəridə onlara yerli ünvanlar təyin etmək və özünü firewall ilə qorumaq ehtiyacından xilas olmaq üçün bir neçə icarəyə götürülmüş serveri bir şəbəkədə birləşdirmək istəyir. Beləliklə, bütün xidmət trafiki VLAN daxilində işləyir. Üstəlik, virtual maşınları bir köhnə serverdən yenisinə köçürün və ondan imtina edin, istifadə edilmiş köhnə avadanlıqları təkmilləşdirin və eyni zamanda təzə Proxmox-a keçin.
Əvvəlcə müştərinin hər birində əlavə alt şəbəkə olan 5 server var, ayrılmış alt şəbəkədən ilk ünvan Proxmox-da əlavə körpüyə təyin olunur.
Eyni zamanda, VM-lər Windows-da işləyir və 85.xx177/29 ünvanına 85.xx176 qapısı ilə konfiqurasiya edilir.
Bənzər bir şəkildə, bütün 5 server öz virtual maşınları ilə konfiqurasiya edilmişdir.
Bu konfiqurasiyanın prinsipcə şəbəkənin qurulmasında səhv olması gülməlidir, ilk qovşaq üçün şəbəkə ünvanını istifadə edin və bu da şlüz üçün. Ubuntu-da virtual maşında belə bir konfiqurasiyaya başlamağa cəhd etsəniz, şəbəkə işləmir.
Tətbiq
- Biz interfeysdə vSwitch yaradırıq, ona VlanID təyin edirik, bu vSwitch-i bizə lazım olan bütün serverlərə əlavə edirik.
- Problemsiz qura və hərəkət edə bilməniz üçün test serveri hazırlayırıq.
İlk virtual maşının chr-ni qaldırırıq .
Yuxarıdakı skriptdən istifadə edirsinizsə, lütfən, qeyd edin ki, -d /root/temp qovluğu əvvəlində yoxlanılır və orada deyilsə, /home/root/temp kataloqu yaradılır, lakin sonrakı iş hələ də onunla aparılır. /root/temp qovluğu. Müvafiq qovluğu yaratmaq üçün skript düzəldilməlidir.
- Proxmox üçün şəbəkənin qurulması.
VLAN nömrəsi ilə bir alt interfeys əlavə edirik, ünvan parametrlərinin inet təlimatından istifadə edərək körpülərdə baş verəcəyini göstəririk. ƏHƏMİYYƏTLİ. Daha sonra körpüyə daxil edəcəyiniz interfeyslərdə IP ünvanlarını konfiqurasiya edə bilməzsiniz, onun necə işləyəcəyi və heç kimin ümumiyyətlə bilməyəcəyi.
Sonra, bir vmbr0 körpüsü yaradırıq - və biz Hetzner provayderləri tərəfindən bizə verilən serverin özünün ilk ünvanını asırıq, körpü portunu təyin edirik - VLAN olmayan ilk fiziki interfeys, həmçinin əlavə etmək üçün əlavə əmrlə təyin edirik. Bu körpü vasitəsilə bu server üçün Hetznerdən sifariş edilmiş əlavə şəbəkəmizə marşrut. Marşrut əlavə etmək interfeys gələndə işləyəcək.
İkinci körpü yerli trafik üçün interfeysimiz olacaq, İnternetə çıxışı olmayan yerli şəbəkə üzərindən müxtəlif Proxmox serverləri arasında əlaqə əldə etmək üçün ona ünvan əlavə edin və VlanID-imiz üçün ayrılmış eno1.4000 alt interfeysini port kimi təyin edin. .
İlkin quraşdırma zamanı Proxmox üçün əlavə ifupdown2 paketi quraşdıra biləcəyiniz və şəbəkə interfeyslərində dəyişikliklər edildikdə bütün serveri yenidən işə sala bilməyəcəyiniz barədə məsləhətlər var. Bununla belə, bu, yalnız ilkin quraşdırma üçün xarakterikdir və körpülərdən istifadə edərkən və virtual maşınları quraşdırarkən virtual maşınlarda şəbəkə çatışmazlığı problemi ilə qarşılaşırsınız. Məsələn, vmbr2 interfeysini idarə etdiyinizə və konfiqurasiyanı tətbiq edərkən şəbəkə artıq bütün daxili interfeyslərdə yıxılır və server tamamilə yenidən işə salınana qədər yüksəlmir. ifdown&&ifup kömək etmir. Kiminsə bir həll yolu varsa, minnətdar olaram.
Serverdə ilk konfiqurasiya edilmiş interfeys işlək və əlçatan qalır.
-
Hovuzdan ünvanları itirməmək üçün CHR üçün ünvan ayrılması
Hetznerin verdiyi ünvan hovuzu bir şəbəkəçi üçün çox qəribə görünür, buna bənzər bir şey:
Qəribəsi odur ki, darvaza fiziki serverin öz ünvanından istifadə etməyi təklif edir.
Hetznerin özü tərəfindən təklif olunan klassik versiya problem bəyanatında göstərilmişdir və müştəri tərəfindən müstəqil şəkildə həyata keçirilmişdir. Bu seçimdə müştəri ilk ünvanı şəbəkə ünvanına, ikinci ünvanı proxmox körpüsünə itirir və o, həm də şlüz və yayım üçün son ünvan olacaq. IPv4 ünvanları heç vaxt lazımsız deyil. Əgər siz birbaşa CHR IP ünvanını 136.х.х.177/29 və şlüzü 0.0.0.0/0 148.х.х.165 üçün qeydiyyatdan keçirməyə cəhd etsəniz, o zaman bunu edə bilərsiniz, lakin şlüz birbaşa qoşulmayacaq. və buna görə də əlçatmaz olacaq.
Hər bir ünvan üçün 32 şəbəkədən istifadə edib şəbəkə adı olaraq bizə lazım olan ünvanı göstərsəniz vəziyyətdən çıxa bilərsiniz ki, bu da hər hansı bir şey ola bilər. Nöqtədən nöqtəyə əlaqənin analoqu çıxır.
Bu halda, şlüz əlbəttə ki, mövcud olacaq və hər şey lazım olduğu kimi işləyəcək.
Nəzərə alın ki, belə bir konfiqurasiyada SRC-NAT maskarad qaydasından istifadə etmək tövsiyə edilmir, çünki çıxış ünvanı qeyri-müəyyən dərəcədə fərqli olacaq, lakin hərəkəti təyin etmək daha düzgündür: src-NAT və hansı ünvandan istifadə edəcəyiniz konkret ünvan. müştərini buraxın.
- Və nəhayət.
İnternetdən Proxmox-a girişi bloklamaq üçün daxili alətlərdən istifadə edin: əla bir firewall var.
Parametrlərin yeri ilə bağlı çaşqınlıq yaratmamaq üçün hetzner tərəfindən təklif olunan firewalldan istifadə etməməlisiniz. Hetzner həmçinin CHR-də qurulanlar da daxil olmaqla bütün şəbəkələrdə fəaliyyət göstərəcək və portları açmaq və yönləndirmək üçün onu provayderin veb interfeysində də açmaq lazım gələcək.
Mənbə: www.habr.com