Όταν αντιμετωπίζετε μια ερώτηση και σπάτε μια μεγάλη ποσότητα τεκμηρίωσης, προσπαθήστε να συστηματοποιήσετε και να γράψετε όσα μάθατε για να θυμάστε καλύτερα. Και επίσης κάντε οδηγίες για αυτό το θέμα, για να μην ξαναπάω μέχρι το τέλος.
Η τεκμηρίωση της πηγής είναι άφθονη στο
Δήλωση προβλήματος
Ο πελάτης θέλει να συνδυάσει πολλούς νοικιασμένους διακομιστές σε ένα δίκτυο για να απαλλαγεί από την ανάγκη να πληρώσει για πολλά επιπλέον υποδίκτυα, να κρεμάσει ολόκληρο το νοικοκυριό του πίσω από έναν δρομολογητή, να εκχωρήσει τοπικές διευθύνσεις σε αυτούς μέσα και να προστατευτεί με ένα τείχος προστασίας. Έτσι ώστε όλη η κίνηση υπηρεσιών να τρέχει μέσα στο VLAN. Επιπλέον, μεταφέρετε εικονικές μηχανές από έναν παλιό διακομιστή σε νέο και απορρίψτε τον, αναβαθμίστε το χρησιμοποιημένο παλιό υλικό και ταυτόχρονα μεταβείτε στο νέο Proxmox.
Αρχικά, ο πελάτης έχει 5 διακομιστές, ο καθένας με ένα επιπλέον υποδίκτυο, η πρώτη διεύθυνση από το εκχωρημένο υποδίκτυο εκχωρείται σε μια πρόσθετη γέφυρα στο Proxmox
Ταυτόχρονα, τα VM τρέχουν σε Windows και έχουν τη διεύθυνση 85.xx177/29 διαμορφωμένη με μια πύλη 85.xx176
Και με παρόμοιο τρόπο, και οι 5 διακομιστές έχουν ρυθμιστεί με τις εικονικές τους μηχανές.
Είναι αστείο ότι αυτή η διαμόρφωση είναι λάθος κατά τη ρύθμιση του δικτύου κατ' αρχήν, χρησιμοποιήστε τη διεύθυνση δικτύου για τον πρώτο κόμβο και είναι επίσης για την πύλη. Εάν προσπαθήσετε να ξεκινήσετε μια τέτοια διαμόρφωση σε μια εικονική μηχανή στο Ubuntu, το δίκτυο δεν λειτουργεί.
Реализация
- Δημιουργούμε ένα vSwitch στη διεπαφή, του εκχωρούμε ένα VlanID, προσθέτουμε αυτό το vSwitch σε όλους τους διακομιστές που χρειαζόμαστε.
- Κάνουμε έναν δοκιμαστικό διακομιστή για να μπορείτε να ρυθμίσετε και να μετακινηθείτε χωρίς προβλήματα.
Ανεβάζουμε την πρώτη εικονική μηχανή chr by .
Εάν χρησιμοποιείτε την παραπάνω δέσμη ενεργειών, σημειώστε ότι ο κατάλογος -d /root/temp ελέγχεται στην αρχή και εάν δεν είναι εκεί, δημιουργείται ο κατάλογος /home/root/temp, αλλά συνεχίζεται η εργασία με τον κατάλογο /root/temp. Το σενάριο πρέπει να διορθωθεί για να δημιουργηθεί ο κατάλληλος κατάλογος.
- Ρύθμιση δικτύου για το Proxmox.
Προσθέτουμε μια υποδιεπαφή με τον αριθμό VLAN, υποδεικνύοντας ότι οι ρυθμίσεις διεύθυνσης θα πραγματοποιηθούν στις γέφυρες χρησιμοποιώντας το εγχειρίδιο inet. ΣΠΟΥΔΑΙΟΣ. Δεν μπορείτε να ρυθμίσετε τις διευθύνσεις IP σε διεπαφές που θα συμπεριλάβετε στη γέφυρα, πώς θα λειτουργεί και αν κανείς δεν θα γνωρίζει καθόλου.
Στη συνέχεια, δημιουργούμε τη γέφυρα vmbr0 - και κρεμάμε πάνω της την πρώτη διεύθυνση του ίδιου του διακομιστή, που μας δίνεται από τους παρόχους Hetzner, καθορίζουμε τη θύρα γέφυρας - την πρώτη φυσική διασύνδεση χωρίς VLAN και καθορίζουμε επίσης με μια πρόσθετη εντολή να προσθέσουμε μια διαδρομή στο πρόσθετο δίκτυό μας που παραγγέλθηκε από τη Hetzner για αυτόν τον διακομιστή μέσω αυτής της γέφυρας. Η προσθήκη μιας διαδρομής θα λειτουργήσει όταν εμφανιστεί η διεπαφή.
Η δεύτερη γέφυρα θα είναι η διεπαφή μας για την τοπική κυκλοφορία, θα προσθέσετε μια διεύθυνση σε αυτήν για να αποκτήσετε σύνδεση μεταξύ διαφορετικών διακομιστών Proxmox μέσω ενός τοπικού δικτύου χωρίς πρόσβαση στο Διαδίκτυο και θα καθορίσετε την υποδιεπαφή eno1.4000, η οποία έχει εκχωρηθεί για το VlanID μας, ως θύρα.
Κατά την αρχική εγκατάσταση, υπάρχουν συμβουλές ότι μπορείτε να εγκαταστήσετε ένα πρόσθετο πακέτο ifupdown2 για το Proxmox και δεν μπορείτε να κάνετε επανεκκίνηση ολόκληρου του διακομιστή όταν αλλάζετε τις διεπαφές δικτύου. Ωστόσο, αυτό είναι τυπικό μόνο για την αρχική εγκατάσταση και όταν χρησιμοποιείτε γέφυρες και ρυθμίζετε εικονικές μηχανές, αντιμετωπίζετε προβλήματα αποτυχίας δικτύου σε εικονικές μηχανές. Παρά το γεγονός ότι κυβερνήσατε, για παράδειγμα, τη διεπαφή vmbr2 και κατά την εφαρμογή της ρύθμισης παραμέτρων, το δίκτυο πέφτει ήδη σε όλες τις εσωτερικές διεπαφές και δεν ανεβαίνει έως ότου γίνει πλήρης επανεκκίνηση του διακομιστή. Το ifdown&&ifup δεν βοηθάει. Αν κάποιος έχει μια λύση, θα είμαι ευγνώμων.
Η πρώτη διαμορφωμένη διεπαφή στον ίδιο τον διακομιστή παραμένει λειτουργική και διαθέσιμη.
-
Κατανομή διευθύνσεων για CHR για να μην χαθούν διευθύνσεις από την πισίνα
Η ομάδα διευθύνσεων που δίνει ο Hetzner φαίνεται πολύ περίεργη για έναν δικτυωτή, κάπως έτσι:
Το περίεργο είναι ότι η πύλη προτείνεται να χρησιμοποιεί τη δική της διεύθυνση του φυσικού διακομιστή.
Η κλασική έκδοση που προτάθηκε από τον ίδιο τον Hetzner υποδεικνύεται στη δήλωση προβλήματος και εφαρμόστηκε από τον πελάτη ανεξάρτητα. Σε αυτήν την επιλογή, ο πελάτης χάνει την πρώτη διεύθυνση στη διεύθυνση δικτύου, τη δεύτερη διεύθυνση στη γέφυρα proxmox και θα είναι επίσης η πύλη και η τελευταία διεύθυνση για μετάδοση. Οι διευθύνσεις IPv4 δεν είναι ποτέ περιττές. Εάν προσπαθήσετε απευθείας να καταχωρίσετε τη διεύθυνση IP CHR 136.х.х.177/29 και την πύλη για 0.0.0.0/0 148.х.х.165, τότε μπορείτε να το κάνετε, αλλά η πύλη δεν θα είναι απευθείας συνδεδεμένη και επομένως δεν θα είναι προσβάσιμη.
Μπορείτε να βγείτε από την κατάσταση εάν χρησιμοποιήσετε 32 δίκτυα για κάθε διεύθυνση και υποδείξετε τη διεύθυνση που χρειαζόμαστε ως όνομα δικτύου, που μπορεί να είναι οτιδήποτε. Αποδεικνύεται ένα ανάλογο μιας σύνδεσης από σημείο σε σημείο.
Σε αυτή την περίπτωση, η πύλη θα είναι φυσικά διαθέσιμη και όλα θα λειτουργούν όπως χρειαζόμαστε.
Λάβετε υπόψη ότι σε μια τέτοια διαμόρφωση δεν συνιστάται η χρήση του κανόνα μεταμφίεσης SRC-NAT, επειδή η διεύθυνση εξόδου θα είναι απεριόριστα διαφορετική, αλλά είναι πιο σωστό να καθορίσετε την ενέργεια: src-NAT και τη συγκεκριμένη διεύθυνση από την οποία θα απελευθερώσετε τον πελάτη.
- Και τελικά.
Για να αποκλείσετε την πρόσβαση στο ίδιο το Proxmox από το Διαδίκτυο, χρησιμοποιήστε τα ενσωματωμένα εργαλεία: υπάρχει ένα εξαιρετικό τείχος προστασίας.
Δεν πρέπει να χρησιμοποιείτε το τείχος προστασίας που προσφέρει η hetzner, για να μην μπερδευτείτε σχετικά με τη θέση των ρυθμίσεων. Το Hetzner θα ενεργεί επίσης σε όλα τα δίκτυα, συμπεριλαμβανομένων αυτών που είναι εγκατεστημένα στο CHR, και για να ανοίξει και να προωθήσει θύρες, θα είναι επίσης απαραίτητο να το ανοίξει στη διεπαφή ιστού του παρόχου.
Πηγή: www.habr.com