Když budete postaveni před otázku a rozbijete velké množství dokumentace, pokuste se systematizovat a zapsat, co jste se naučili, abyste si to lépe zapamatovali. A také udělejte pokyny k této problematice, abyste nešli znovu celou cestu.
Zdrojová dokumentace je bohatá na
Formulace problému
Klient chce spojit několik pronajatých serverů do jedné sítě, aby se zbavil nutnosti platit za několik dalších podsítí, pověsit celou domácnost za router, uvnitř jim přidělovat lokální adresy a chránit se firewallem. Aby veškerý servisní provoz probíhal uvnitř VLAN. Navíc převeďte virtuální stroje z jednoho starého serveru na nový a odmítněte jej, upgradujte použitý starý hardware a zároveň přejděte na nový Proxmox.
Zpočátku má klient 5 serverů, každý s další podsítí, první adresa z přidělené podsítě je přiřazena dalšímu mostu na Proxmox
Zároveň virtuální počítače běží na Windows a mají adresu 85.xx177/29 nakonfigurovanou s bránou 85.xx176
A v podobném duchu je všech 5 serverů nakonfigurováno se svými virtuálními stroji.
Je sranda, že tato konfigurace je v principu špatně nastavená v nastavení sítě, použijte síťovou adresu pro první uzel a je to i pro bránu. Pokud se pokusíte spustit takovou konfiguraci na virtuálním počítači v Ubuntu, síť nefunguje.
uskutečnění
- V rozhraní vytvoříme vSwitch, přiřadíme mu VlanID, přidáme tento vSwitch na všechny servery, které potřebujeme.
- Vyrábíme testovací server, abyste jej mohli bez problémů nastavit a přesunout.
Zvedneme první virtuální stroj chr o .
Pokud použijete výše uvedený skript, mějte na paměti, že na začátku je zkontrolován adresář -d /root/temp, a pokud tam není, vytvoří se adresář /home/root/temp, ale další práce se stále provádějí s adresář /root/temp. Pro vytvoření příslušného adresáře je potřeba skript opravit.
- Nastavení sítě pro Proxmox.
Přidáme podrozhraní s číslem VLAN, uvedeme, že nastavení adresy proběhne na mostech pomocí příručky inet. DŮLEŽITÉ. Nemůžete konfigurovat IP adresy na rozhraních, která pak zahrnete do bridge, jak to bude fungovat a jestli to vůbec nikdo nebude vědět.
Dále vytvoříme most vmbr0 - a zavěsíme na něj první adresu samotného serveru, kterou nám poskytli poskytovatelé Hetzner, určíme port mostu - první fyzické rozhraní bez VLAN a také určíme pomocí dalšího příkazu pro přidání směrovat do naší další sítě objednané od Hetznera pro tento server přes tento most. Přidání trasy bude fungovat, když se objeví rozhraní.
Druhý most bude naše rozhraní pro místní provoz, přidejte k němu adresu, abyste získali konektivitu mezi různými servery Proxmox přes místní síť bez přístupu k internetu, a jako port zadejte podrozhraní eno1.4000, které je přiděleno našemu VlanID. .
Během počátečního nastavení existují tipy, že můžete nainstalovat další balíček ifupdown2 pro Proxmox a nemůžete restartovat celý server, když se změní síťová rozhraní. To je však typické pouze pro počáteční nastavení a při používání mostů a nastavování virtuálních počítačů narazíte na problémy se selháním sítě ve virtuálních počítačích. Nehledě na to, že jste vládli např. rozhraní vmbr2 a při aplikaci konfigurace síť spadne již na všech interních rozhraních a nezvedne se až do úplného restartu serveru. ifdown&&ifup nepomáhají. Pokud má někdo řešení, budu vděčný.
První nakonfigurované rozhraní na samotném serveru zůstává funkční a dostupné.
-
Přidělení adres pro CHR, aby nedošlo ke ztrátě adres z fondu
Fond adres, který Hetzner rozdává, vypadá pro networkera velmi zvláštně, asi takto:
Zvláštní je, že brána je navržena tak, aby používala vlastní adresu fyzického serveru.
Klasická verze navržená samotným Hetznerem je uvedena v prohlášení o problému a byla implementována klientem samostatně. V této volbě klient ztratí první adresu na síťovou adresu, druhou adresu na proxmox bridge a bude to také brána a poslední adresu pro vysílání. IPv4 adresy nejsou nikdy nadbytečné. Pokud se přímo pokusíte zaregistrovat CHR IP adresu 136.х.х.177/29 a bránu pro 0.0.0.0/0 148.х.х.165, můžete to udělat, ale brána nebude přímo připojena a proto bude nedosažitelný.
Ze situace se můžete dostat, pokud pro každou adresu použijete 32 sítí a jako název sítě uvedete adresu, kterou potřebujeme, což může být cokoliv. Ukazuje se analogie spojení bod-bod.
V tomto případě bude brána samozřejmě k dispozici a vše bude fungovat, jak potřebujeme.
Mějte na paměti, že v takové konfiguraci se nedoporučuje používat maškarní pravidlo SRC-NAT, protože výstupní adresa se bude nekonečně lišit, ale správnější je zadat akci: src-NAT a konkrétní adresu, ze které budete propustit klienta.
- A nakonec.
Chcete-li zablokovat přístup k samotnému Proxmoxu z internetu, použijte vestavěné nástroje: existuje vynikající firewall.
Neměli byste používat firewall nabízený společností hetzner, abyste nebyli zmateni umístěním nastavení. Hetzner bude dále působit na všech sítích včetně těch zřízených na CHR a pro otevření a forwardování portů bude nutné jej otevřít i ve webovém rozhraní poskytovatele.
Zdroj: www.habr.com