Wenn Sie mit einer Frage konfrontiert werden und eine groĂe Menge an Dokumentation zerbrechen, versuchen Sie, das Gelernte zu systematisieren und aufzuschreiben, damit Sie es sich besser merken können. Und machen Sie auch Anweisungen zu diesem Thema, um nicht noch einmal den ganzen Weg zu gehen.
Die Quellendokumentation ist reichlich vorhanden
Formulierung des Problems
Der Kunde möchte mehrere gemietete Server zu einem Netzwerk zusammenfassen, um sich die Kosten fĂŒr mehrere zusĂ€tzliche Subnetze zu ersparen, seinen gesamten Haushalt hinter einen Router zu hĂ€ngen, ihnen im Inneren lokale Adressen zuzuweisen und sich mit einer Firewall zu schĂŒtzen. Damit der gesamte Dienstverkehr innerhalb des VLAN lĂ€uft. AuĂerdem können Sie virtuelle Maschinen von einem alten Server auf einen neuen ĂŒbertragen und ablehnen, die gebrauchte alte Hardware aufrĂŒsten und gleichzeitig auf neues Proxmox umsteigen.
Der Client verfĂŒgt zunĂ€chst ĂŒber 5 Server mit jeweils einem zusĂ€tzlichen Subnetz, die erste Adresse aus dem zugewiesenen Subnetz wird einer zusĂ€tzlichen Bridge auf Proxmox zugewiesen
In diesem Fall arbeiten VMs an Windows und sie haben die Adresse 85.xx177/29, die mit dem Gate 85.xx176 konfiguriert ist.
Und in Àhnlicher Weise werden alle 5 Server mit ihren virtuellen Maschinen konfiguriert.
Es ist kurios, dass diese Konfiguration grundlegend falsch ist, was die Netzwerkstruktur angeht: Sie verwendet dieselbe Netzwerkadresse fĂŒr den ersten Knoten und dieselbe Adresse fĂŒr das Gateway. Wenn Sie versuchen, diese Konfiguration auf einer virtuellen Maschine einzurichten, ⊠Ubuntu â Das Netzwerk funktioniert nicht.
â
Implementierung
- Wir erstellen einen vSwitch in der Schnittstelle, weisen ihm eine VlanID zu und fĂŒgen diesen vSwitch allen Servern hinzu, die wir benötigen.
- Wir erstellen einen Testserver, damit Sie ihn problemlos einrichten und umziehen können.
Wir erhöhen den Chr. der ersten virtuellen Maschine .
Wenn Sie das obige Skript verwenden, beachten Sie bitte, dass zu Beginn das Verzeichnis -d /root/temp ĂŒberprĂŒft wird. Wenn es nicht vorhanden ist, wird das Verzeichnis /home/root/temp erstellt, mit dem jedoch weiterhin gearbeitet wird das /root/temp-Verzeichnis. Das Skript muss korrigiert werden, um das entsprechende Verzeichnis zu erstellen.
- Ein Netzwerk fĂŒr Proxmox einrichten.
Wir fĂŒgen eine Subschnittstelle mit der VLAN-Nummer hinzu und geben an, dass die Adresseinstellungen auf den Bridges mithilfe des Inet-Handbuchs erfolgen. WICHTIG. Sie können keine IP-Adressen auf Schnittstellen konfigurieren, die Sie dann in die Bridge einbinden, wie das funktioniert und ob es ĂŒberhaupt niemand weiĂ.
Als nĂ€chstes erstellen wir eine vmbr0-BrĂŒcke â und hĂ€ngen daran die erste Adresse des Servers selbst, die uns von den Hetzner-Anbietern gegeben wurde, geben den Bridge-Port an â die erste physische Schnittstelle ohne VLAN â und geben auĂerdem mit einem zusĂ€tzlichen Befehl an, a hinzuzufĂŒgen Route zu unserem zusĂ€tzlichen Netzwerk, das bei Hetzner fĂŒr diesen Server bestellt wurde, ĂŒber diese BrĂŒcke. Das HinzufĂŒgen einer Route funktioniert, sobald die Schnittstelle geöffnet wird.
Die zweite Bridge wird unsere Schnittstelle fĂŒr den lokalen Verkehr sein. FĂŒgen Sie ihr eine Adresse hinzu, um KonnektivitĂ€t zwischen verschiedenen Proxmox-Servern ĂŒber ein lokales Netzwerk ohne Zugang zum Internet herzustellen, und geben Sie als Port die Subschnittstelle eno1.4000 an, die unserer VlanID zugewiesen ist .
Bei der Ersteinrichtung gibt es Tipps, dass man ein zusĂ€tzliches ifupdown2-Paket fĂŒr Proxmox installieren kann und man bei Ănderungen an Netzwerkschnittstellen nicht den gesamten Server neu starten kann. Dies ist jedoch nur bei der Ersteinrichtung typisch, und bei der Verwendung von Bridges und der Einrichtung virtueller Maschinen treten Netzwerkfehlerprobleme in virtuellen Maschinen auf. Trotz der Tatsache, dass Sie beispielsweise die VMBR2-Schnittstelle beherrscht haben und beim Anwenden der Konfiguration das Netzwerk bereits auf allen internen Schnittstellen abfĂ€llt und erst dann ansteigt, wenn der Server vollstĂ€ndig neu gestartet wird. ifdown&&ifup helfen nicht. Wenn jemand eine Lösung hat, wĂ€re ich dankbar.
Die erste konfigurierte Schnittstelle auf dem Server selbst bleibt betriebsbereit und verfĂŒgbar.
Adressvergabe fĂŒr CHR, um keine Adressen aus dem Pool zu verlieren
Der Adresspool, den Hetzner ausgibt, sieht fĂŒr einen Netzwerker sehr seltsam aus, etwa so:
Das Seltsame ist, dass das Gate vorgeschlagen wird, seine eigene Adresse des physischen Servers zu verwenden.
Die von Hetzner selbst vorgeschlagene klassische Variante ist in der Problemstellung angegeben und wurde vom Auftraggeber eigenstĂ€ndig umgesetzt. Bei dieser Option verliert der Client die erste Adresse an die Netzwerkadresse, die zweite Adresse an die Proxmox-Bridge, die auch als Gateway fungiert, und die letzte Adresse fĂŒr das Broadcasting. IPv4-Adressen sind niemals redundant. Wenn Sie direkt versuchen, die CHR-IP-Adresse 136.Ń .Ń .177/29 und das Gateway fĂŒr 0.0.0.0/0 148.Ń .Ń .165 zu registrieren, können Sie dies tun, aber das Gateway ist nicht direkt verbunden und daher unerreichbar sein.
Sie können der Situation entkommen, wenn Sie fĂŒr jede Adresse 32 Netzwerke verwenden und als Netzwerknamen die von uns benötigte Adresse angeben, die beliebig sein kann. Es stellt sich als Analogon einer Punkt-zu-Punkt-Verbindung heraus.
In diesem Fall ist das Gateway natĂŒrlich verfĂŒgbar und alles funktioniert wie gewĂŒnscht.
Beachten Sie, dass es in einer solchen Konfiguration nicht empfohlen wird, die SRC-NAT-Maskeraderegel zu verwenden, da die Ausgabeadresse auf unbestimmte Zeit unterschiedlich sein wird. Es ist jedoch korrekter, action: src-NAT und die spezifische Adresse anzugeben, von der aus Sie möchten den Client freigeben.
- Und zum Schluss.
Um den Zugriff auf Proxmox selbst aus dem Internet zu blockieren, verwenden Sie die integrierten Tools: Es gibt eine hervorragende Firewall.
Die von hetzner angebotene Firewall sollten Sie nicht nutzen, um nicht durch den Speicherort der Einstellungen verwirrt zu werden. Hetzner wird auch in allen Netzwerken tĂ€tig sein, einschlieĂlich der auf CHR eingerichteten. Um Ports zu öffnen und weiterzuleiten, ist es auch erforderlich, diese im Webinterface des Anbieters zu öffnen.
Source: habr.com
