Davant d'una pregunta i trencar una gran quantitat de documentació, intenta sistematitzar i anotar el que has après per recordar-ho millor. I també fes instruccions sobre aquest tema, per no tornar a fer tot el camí.
La documentació d'origen és abundant a
Declaració de problemes
El client vol combinar diversos servidors llogats en una mateixa xarxa per desfer-se de la necessitat de pagar diverses subxarxes addicionals, penjar tota la seva llar darrere d'un encaminador, assignar-los adreces locals a l'interior i protegir-se amb un tallafoc. De manera que tot el trànsit del servei s'executi dins de la VLAN. A més, transferiu màquines virtuals d'un servidor antic a un de nou i rebutgeu-lo, actualitzeu el maquinari antic utilitzat i, al mateix temps, passeu a un Proxmox nou.
Inicialment, el client té 5 servidors, cadascun amb una subxarxa addicional, la primera adreça de la subxarxa assignada s'assigna a un pont addicional a Proxmox
Al mateix temps, les màquines virtuals s'executen a Windows i tenen l'adreça 85.xx177/29 configurada amb una porta 85.xx176
I en una línia semblant, els 5 servidors estan configurats amb les seves màquines virtuals.
És curiós que aquesta configuració sigui incorrecta en configurar la xarxa en principi, utilitzeu l'adreça de xarxa per al primer node i també és per a la passarel·la. Si intenteu iniciar aquesta configuració en una màquina virtual a Ubuntu, la xarxa no funciona.
Implementació
- Creem un vSwitch a la interfície, li assignem un VlanID, afegim aquest vSwitch a tots els servidors que necessitem.
- Estem fent un servidor de proves perquè puguis configurar i moure't sense problemes.
Aixequem la primera màquina virtual chr per .
Si utilitzeu l'script anterior, tingueu en compte que el directori -d /root/temp està comprovat al principi i, si no hi és, es crea el directori /home/root/temp, però encara s'està treballant amb el directori /root/temp. L'script s'ha de corregir per crear el directori adequat.
- Configuració d'una xarxa per a Proxmox.
Afegim una subinterfície amb el número de VLAN, indiquem que la configuració de l'adreça es produirà als ponts mitjançant el manual inet. IMPORTANT. No podeu configurar adreces IP en interfícies que després incloureu al pont, com funcionarà i si ningú ho sabrà.
A continuació, creem un pont vmbr0, i hi pengem la primera adreça del propi servidor, que ens han donat els proveïdors d'Hetzner, especifiquem el port del pont, la primera interfície física sense VLAN, i també especifiquem amb una ordre addicional per afegir una ruta a la nostra xarxa addicional ordenada a Hetzner per a aquest servidor a través d'aquest pont. Afegir una ruta funcionarà quan aparegui la interfície.
El segon pont serà la nostra interfície per al trànsit local, afegiu-hi una adreça per obtenir connectivitat entre diferents servidors Proxmox a través d'una xarxa local sense accés a Internet i especifiqueu la subinterfície eno1.4000, que s'assigna al nostre VlanID, com a port. .
Durant la configuració inicial, hi ha consells que podeu instal·lar un paquet ifupdown2 addicional per a Proxmox i que no podeu reiniciar tot el servidor quan hi hagi canvis a les interfícies de xarxa. Tanmateix, això només és típic per a la configuració inicial, i quan s'utilitzen ponts i es configuren màquines virtuals, es troben problemes de fallada de xarxa a les màquines virtuals. Malgrat que vau governar, per exemple, la interfície vmbr2, i en aplicar la configuració, la xarxa ja cau a totes les interfícies internes i no augmenta fins que el servidor es reinicia completament. ifdown&&ifup no ajuden. Si algú té una solució, li agrairé.
La primera interfície configurada al servidor segueix sent operativa i disponible.
-
Assignació d'adreces per a CHR per no perdre adreces del grup
El conjunt d'adreces que ofereix Hetzner sembla molt estrany per a un treballador de xarxa, una cosa així:
El més estrany és que la porta es proposa utilitzar la seva pròpia adreça del servidor físic.
La versió clàssica proposada pel mateix Hetzner s'indica a la declaració del problema i va ser implementada pel client de manera independent. En aquesta opció, el client perd la primera adreça a l'adreça de xarxa, la segona adreça al pont proxmox i també serà la passarel·la, i l'última adreça per a la difusió. Les adreces IPv4 mai són redundants. Si intenteu registrar directament l'adreça IP CHR 136.х.х.177/29 i la passarel·la per a 0.0.0.0/0 148.х.х.165, podeu fer-ho, però la passarel·la no estarà connectada directament. i per tant serà inabastable.
Podeu sortir de la situació si utilitzeu 32 xarxes per a cada adreça i especifiqueu l'adreça que necessitem com a nom de xarxa, que pot ser qualsevol cosa. Resulta un anàleg d'una connexió punt a punt.
En aquest cas, la passarel·la estarà disponible, per descomptat, i tot funcionarà com necessitem.
Tingueu en compte que en aquesta configuració no es recomana utilitzar la regla de mascarada SRC-NAT, perquè l'adreça de sortida serà indefinidament diferent, però és més correcte especificar l'acció: src-NAT i l'adreça específica des de la qual alliberar el client.
- I finalment.
Per bloquejar l'accés a Proxmox des d'Internet, utilitzeu les eines integrades: hi ha un tallafoc excel·lent.
No hauríeu d'utilitzar el tallafoc que ofereix hetzner, per no confondreu-vos amb la ubicació de la configuració. Hetzner també actuarà a totes les xarxes, incloses les establertes a CHR, i per obrir i reenviar ports també caldrà obrir-lo a la interfície web del proveïdor.
Font: www.habr.com