Wenn Sie mit einer Frage konfrontiert werden und eine große Menge an Dokumentation zerbrechen, versuchen Sie, das Gelernte zu systematisieren und aufzuschreiben, damit Sie es sich besser merken können. Und machen Sie auch Anweisungen zu diesem Thema, um nicht noch einmal den ganzen Weg zu gehen.
Die Quellendokumentation ist reichlich vorhanden
Formulierung des Problems
Der Kunde möchte mehrere gemietete Server zu einem Netzwerk zusammenfassen, um sich die Kosten für mehrere zusätzliche Subnetze zu ersparen, seinen gesamten Haushalt hinter einen Router zu hängen, ihnen im Inneren lokale Adressen zuzuweisen und sich mit einer Firewall zu schützen. Damit der gesamte Dienstverkehr innerhalb des VLAN läuft. Außerdem können Sie virtuelle Maschinen von einem alten Server auf einen neuen übertragen und ablehnen, die gebrauchte alte Hardware aufrüsten und gleichzeitig auf neues Proxmox umsteigen.
Der Client verfügt zunächst über 5 Server mit jeweils einem zusätzlichen Subnetz, die erste Adresse aus dem zugewiesenen Subnetz wird einer zusätzlichen Bridge auf Proxmox zugewiesen
Gleichzeitig laufen VMs unter Windows und haben die Adresse 85.xx177/29 mit einem Gate 85.xx176 konfiguriert
Und in ähnlicher Weise werden alle 5 Server mit ihren virtuellen Maschinen konfiguriert.
Es ist lustig, dass diese Konfiguration beim Einrichten des Netzwerks grundsätzlich falsch ist. Verwenden Sie die Netzwerkadresse für den ersten Knoten und sie gilt auch für das Gateway. Wenn Sie versuchen, eine solche Konfiguration auf einer virtuellen Maschine in Ubuntu zu starten, funktioniert das Netzwerk nicht.
Implementierung
- Wir erstellen einen vSwitch in der Schnittstelle, weisen ihm eine VlanID zu und fügen diesen vSwitch allen Servern hinzu, die wir benötigen.
- Wir erstellen einen Testserver, damit Sie ihn problemlos einrichten und umziehen können.
Wir erhöhen den Chr. der ersten virtuellen Maschine .
Wenn Sie das obige Skript verwenden, beachten Sie bitte, dass zu Beginn das Verzeichnis -d /root/temp überprüft wird. Wenn es nicht vorhanden ist, wird das Verzeichnis /home/root/temp erstellt, mit dem jedoch weiterhin gearbeitet wird das /root/temp-Verzeichnis. Das Skript muss korrigiert werden, um das entsprechende Verzeichnis zu erstellen.
- Ein Netzwerk für Proxmox einrichten.
Wir fügen eine Subschnittstelle mit der VLAN-Nummer hinzu und geben an, dass die Adresseinstellungen auf den Bridges mithilfe des Inet-Handbuchs erfolgen. WICHTIG. Sie können keine IP-Adressen auf Schnittstellen konfigurieren, die Sie dann in die Bridge einbinden, wie das funktioniert und ob es überhaupt niemand weiß.
Als nächstes erstellen wir eine vmbr0-Brücke – und hängen daran die erste Adresse des Servers selbst, die uns von den Hetzner-Anbietern gegeben wurde, geben den Bridge-Port an – die erste physische Schnittstelle ohne VLAN – und geben außerdem mit einem zusätzlichen Befehl an, a hinzuzufügen Route zu unserem zusätzlichen Netzwerk, das bei Hetzner für diesen Server bestellt wurde, über diese Brücke. Das Hinzufügen einer Route funktioniert, sobald die Schnittstelle geöffnet wird.
Die zweite Bridge wird unsere Schnittstelle für den lokalen Verkehr sein. Fügen Sie ihr eine Adresse hinzu, um Konnektivität zwischen verschiedenen Proxmox-Servern über ein lokales Netzwerk ohne Zugang zum Internet herzustellen, und geben Sie als Port die Subschnittstelle eno1.4000 an, die unserer VlanID zugewiesen ist .
Bei der Ersteinrichtung gibt es Tipps, dass man ein zusätzliches ifupdown2-Paket für Proxmox installieren kann und man bei Änderungen an Netzwerkschnittstellen nicht den gesamten Server neu starten kann. Dies ist jedoch nur bei der Ersteinrichtung typisch, und bei der Verwendung von Bridges und der Einrichtung virtueller Maschinen treten Netzwerkfehlerprobleme in virtuellen Maschinen auf. Trotz der Tatsache, dass Sie beispielsweise die VMBR2-Schnittstelle beherrscht haben und beim Anwenden der Konfiguration das Netzwerk bereits auf allen internen Schnittstellen abfällt und erst dann ansteigt, wenn der Server vollständig neu gestartet wird. ifdown&&ifup helfen nicht. Wenn jemand eine Lösung hat, wäre ich dankbar.
Die erste konfigurierte Schnittstelle auf dem Server selbst bleibt betriebsbereit und verfügbar.
-
Adressvergabe für CHR, um keine Adressen aus dem Pool zu verlieren
Der Adresspool, den Hetzner ausgibt, sieht für einen Netzwerker sehr seltsam aus, etwa so:
Das Seltsame ist, dass das Gate vorgeschlagen wird, seine eigene Adresse des physischen Servers zu verwenden.
Die von Hetzner selbst vorgeschlagene klassische Variante ist in der Problemstellung angegeben und wurde vom Auftraggeber eigenständig umgesetzt. Bei dieser Option verliert der Client die erste Adresse an die Netzwerkadresse, die zweite Adresse an die Proxmox-Bridge, die auch als Gateway fungiert, und die letzte Adresse für das Broadcasting. IPv4-Adressen sind niemals redundant. Wenn Sie direkt versuchen, die CHR-IP-Adresse 136.х.х.177/29 und das Gateway für 0.0.0.0/0 148.х.х.165 zu registrieren, können Sie dies tun, aber das Gateway ist nicht direkt verbunden und daher unerreichbar sein.
Sie können der Situation entkommen, wenn Sie für jede Adresse 32 Netzwerke verwenden und als Netzwerknamen die von uns benötigte Adresse angeben, die beliebig sein kann. Es stellt sich als Analogon einer Punkt-zu-Punkt-Verbindung heraus.
In diesem Fall ist das Gateway natürlich verfügbar und alles funktioniert wie gewünscht.
Beachten Sie, dass es in einer solchen Konfiguration nicht empfohlen wird, die SRC-NAT-Maskeraderegel zu verwenden, da die Ausgabeadresse auf unbestimmte Zeit unterschiedlich sein wird. Es ist jedoch korrekter, action: src-NAT und die spezifische Adresse anzugeben, von der aus Sie möchten den Client freigeben.
- Und zum Schluss.
Um den Zugriff auf Proxmox selbst aus dem Internet zu blockieren, verwenden Sie die integrierten Tools: Es gibt eine hervorragende Firewall.
Die von hetzner angebotene Firewall sollten Sie nicht nutzen, um nicht durch den Speicherort der Einstellungen verwirrt zu werden. Hetzner wird auch in allen Netzwerken tätig sein, einschließlich der auf CHR eingerichteten. Um Ports zu öffnen und weiterzuleiten, ist es auch erforderlich, diese im Webinterface des Anbieters zu öffnen.
Source: habr.com