Сутыкнуўшыся з пытаннем і перапынак вялікая колькасць дакументацыі пастарайся сістэматызаваць і запісаць тое, што ты даведаўся, каб запомніць лепш. А таксама зрабі інструкцыю па гэтым пытанні, каб не праходзіць увесь шлях паўторна.
Зыходная дакументацыя знаходзіцца ў вялікай колькасці на
Пастаноўка задачы
Кліент жадае аб'яднаць некалькі якія арандуюцца сервераў у адну сетку, каб пазбавіцца ад неабходнасці плаціць за некалькі дадатковых падсетак, павесіць усю сваю гаспадарку за роўтэр, прызначыць ім усярэдзіне лакальных адрасоў, і абараніцца файрвалам. Каб увесь службовы трафік бегаў усярэдзіне VLAN. Плюс перавезці віртуалачкі з аднаго старога сервера на новы і ад таго адмовіцца, праапгрэйдзіць выкарыстоўванае старое жалеза і заадно пераехаць на свежы Proxmox.
Першапачаткова ў кліента 5 сервераў, на кожным па дадатковай падсетцы, першы адрас з выдзеленай падсеткі прызначаны на дадатковы брыдж на Proxmox.
Пры гэтым VM працуюць на Windows і ў іх наладжаны адрас 85.xx177/29 з гейтам 85.xx176
І ў падобным ключы настроены ўсе 5 сервераў са сваімі віртуальнымі машынамі.
Пацешна, што дадзеная канфігурацыя памылковая ў наладзе сеткі ў прынцыпе, выкарыстоўваць адрас сеткі для першага вузла і ён жа для шлюза. Калі такую канфігурацыю паспрабаваць завесці на віртуальнай машыне ў Ubuntu - сетка не працуе.
Рэалізацыя
- Ствараем vSwitch у інтэрфейсе, прызначаем на яго VlanID, дадаем гэты vSwitch да ўсіх патрэбным нам серверам.
- Які робіцца тэставы сервер, каб можна было наладжваць і пераязджаць без праблем.
Падымаем першай віртуалкай chr па .
Калі карыстаецеся прыведзеным скрыптам, звернеце ўвагу, што правяраецца ў пачатку наяўнасць каталога -d /root/temp, а калі яго няма, ствараецца каталог /home/root/temp, аднак праца далей вядзецца ўсё роўна з каталогам /root/temp. Скрыпт неабходна выправіць для стварэння адпаведнага каталога.
- Наладжваем сетку для Proxmox.
Дадаем сабітэрфейс з нумарам VLAN, паказваем, што настройка адрасоў будзе адбывацца на брыджах выкарыстоўваючы inet manual. ВАЖНА. Нельга наладжваць IP-адрасы на інтэрфейсах, якія вы затым будзеце ўключаць у брыдж, як гэта будзе працаваць і ці будзе ўвогуле нікому невядома.
Далей ствараем брыдж vmbr0 - і вешаем на яго першы адрас самога сервера, выдадзены нам правайдэраў Hetzner, паказваем порт брыджа - першы фізічны інтэрфейс без VLAN, а гэтак жа паказваем дадатковай камандай даданне маршруту на нашу дадатковую сетку, замовленую ў Hetzner для гэтага сервера праз гэты брыдж. Даданне маршруту спрацуе, калі інтэрфейс паднімаецца.
Другім брыджам будзе ў нас інтэрфейс для лакальнага трафіку, дадаем на яго адрас для атрымання складнасці паміж рознымі серверамі Proxmox па лакальнай сетцы без выхаду ў інтэрнэт і паказваем портам сабітэрфейс eno1.4000, які выдзелены для нашага VlanID.
Пры пачатковай наладзе трапляюцца рады, што можна паставіць для Proxmox дадаткова пакет ifupdown2 і можна пры зменах у сеткавых інтэрфейсах сервер цалкам не перазагружаць. Аднак гэта характэрна толькі для першаснай наладкі, і пры выкарыстанні брыджаў і наладзе ўжо віртуальных машын сутыкаешся з праблемамі паліцы сеткі ў віртуалках. Пры тым, што вы кіравалі, напрыклад, інтэрфейс vmbr2, а пры ўжыванні канфігурацыі сетка адвальваецца ўжо на ўсіх унутраных інтэрфейсах і не паднімаецца да поўнага перазапуску сервера. ifdown&&ifup не дапамагаюць. Калі ў кагосьці ёсць рашэнне - буду ўдзячны.
Сам першы наладжаны інтэрфейс на серверы застаецца працоўным і даступным.
-
Вылучэнне адрасы для CHR каб не страціць адрасы з пула
Пул адрасоў, які выдае Hetzner выглядае для сецявіка вельмі дзіўна, прыкладна так:
Дзівацтва ў тым, што гейтам прапануецца выкарыстоўваць уласны адрас фізічнага сервера.
Класічны варыянт, прапанаваны самім Hetzner пазначаны ў пастаноўцы задачы і быў рэалізаваны кліентам самастойна. У гэтым варыянце кліент губляе першы адрас на адрас сеткі, другі адрас на брыджы proxmox і ён жа будзе шлюзам, і апошні адрас для бродкасту. Адрасы IPv4 лішнімі не бываюць. Калі ж вы напроста паспрабуеце прапісаць на CHR IP адрас 136.х.х.177/29 і шлюз для 0.0.0.0/0 148.х.х.165 тое зрабіць гэта зможаце, аднак шлюз не будзе Direct Connected і таму будзе unreachable.
Выйсці са становішча можна, калі выкарыстоўваць 32 сетку на кожны адрас і ў якасці імя сеткі паказаўшы патрэбны нам адрас, які можа быць любым. Атрымліваецца аналаг point-to-point злучэння.
У гэтым выпадку шлюз зразумела будзе даступны, і ўсё будзе працаваць так, як нам трэба.
Улічвайце, што ў падобнай канфігурацыі не рэкамендуецца выкарыстоўваць правіла SRC-NAT masquerade, таму што выходны адрас будзе нявызначана розным, а правільней указаць action: src-NAT і пэўны адрас, з якога вы будзеце выпускаць кліента.
- Ну і напрыканцы.
Для блакавання доступу да самога Proxmox з інтэрнэту выкарыстоўвайце убудаваныя сродкі: ёсць выдатны firewall.
Не варта выкарыстоўваць firewall, прапанаваны hetzner, каб не заблытацца ў месцазнаходжання налад. Гэтак жа hetzner будзе дзейнічаць на ўсе сеткі, у тым ліку на тыя, якія заведзены на CHR і для адкрыцця і пракіду партоў будзе неабходна адчыняць яшчэ і ў вэб-інтэрфейсе правайдэра.
Крыніца: habr.com