Cuando te enfrentes a una duda y rompas una gran cantidad de documentación, trata de sistematizar y anotar lo aprendido para poder recordarlo mejor. Y también haga instrucciones sobre este tema, para no volver a recorrer todo el camino.
La documentación fuente es abundante en
Formulación del problema
El cliente quiere combinar varios servidores alquilados en una red para deshacerse de la necesidad de pagar por varias subredes adicionales, colgar toda su casa detrás de un enrutador, asignarles direcciones locales internas y protegerse con un firewall. Para que todo el tráfico de servicios se ejecute dentro de la VLAN. Además, transfiera máquinas virtuales de un servidor antiguo a uno nuevo y rechace, actualice el hardware antiguo usado y, al mismo tiempo, cambie a Proxmox nuevo.
Inicialmente, el cliente tiene 5 servidores, cada uno con una subred adicional, la primera dirección de la subred asignada se asigna a un puente adicional en Proxmox
Al mismo tiempo, las máquinas virtuales se ejecutan en Windows y tienen la dirección 85.xx177/29 configurada con una puerta 85.xx176
Y de manera similar, los 5 servidores están configurados con sus máquinas virtuales.
Es curioso que esta configuración sea incorrecta al configurar la red en principio, use la dirección de red para el primer nodo y también lo es para la puerta de enlace. Si intenta iniciar dicha configuración en una máquina virtual en Ubuntu, la red no funciona.
implementación
- Creamos un vSwitch en la interfaz, le asignamos un VlanID, agregamos este vSwitch a todos los servidores que necesitamos.
- Estamos haciendo un servidor de prueba para que puedas configurarlo y moverlo sin problemas.
Levantamos la primera máquina virtual chr por .
Si utiliza la secuencia de comandos anterior, tenga en cuenta que el directorio -d /root/temp se comprueba al principio y, si no está allí, se crea el directorio /home/root/temp, pero se sigue trabajando con el directorio /raíz/temp. La secuencia de comandos debe corregirse para crear el directorio adecuado.
- Configuración de una red para Proxmox.
Agregamos una subinterfaz con el número de VLAN, indicamos que la configuración de la dirección ocurrirá en los puentes usando el manual de inet. IMPORTANTE. No puede configurar direcciones IP en interfaces que luego incluirá en el puente, cómo funcionará y si nadie lo sabrá en absoluto.
A continuación, creamos un puente vmbr0, y colgamos de él la primera dirección del servidor, que nos dieron los proveedores de Hetzner, especificamos el puerto del puente, la primera interfaz física sin VLAN, y también especificamos con un comando adicional para agregar un ruta a nuestra red adicional ordenada a Hetzner para este servidor a través de este puente. Agregar una ruta funcionará cuando aparezca la interfaz.
El segundo puente será nuestra interfaz para el tráfico local, agregue una dirección para obtener conectividad entre diferentes servidores Proxmox sobre una red local sin acceso a Internet y especifique la subinterfaz eno1.4000, que se asigna para nuestro VlanID, como el puerto .
Durante la configuración inicial, hay sugerencias de que puede instalar un paquete ifupdown2 adicional para Proxmox y no puede reiniciar todo el servidor cuando cambia en las interfaces de red. Sin embargo, esto es típico solo para la configuración inicial, y al usar puentes y configurar máquinas virtuales, se encuentran con problemas de fallas de red en las máquinas virtuales. A pesar de que descartó, por ejemplo, la interfaz vmbr2, y al aplicar la configuración, la red ya se cae en todas las interfaces internas y no se levanta hasta que el servidor se reinicia por completo. ifdown&&ifup no ayuda. Si alguien tiene una solución, se lo agradeceré.
La primera interfaz configurada en el propio servidor permanece operativa y disponible.
-
Asignación de direcciones para CHR para no perder direcciones del pool
El conjunto de direcciones que da Hetzner se ve muy extraño para un usuario de redes, algo como esto:
Lo extraño es que se propone que la puerta use su propia dirección del servidor físico.
La versión clásica propuesta por el propio Hetzner se indica en el enunciado del problema y fue implementada por el cliente de forma independiente. En esta opción, el cliente pierde la primera dirección para la dirección de red, la segunda dirección para el puente proxmox y también será la puerta de enlace, y la última dirección para la transmisión. Las direcciones IPv4 nunca son redundantes. Si intenta registrar directamente la dirección IP de CHR 136.х.х.177/29 y la puerta de enlace para 0.0.0.0/0 148.х.х.165, puede hacerlo, pero la puerta de enlace no estará conectada directamente y por lo tanto será inalcanzable.
Puede salir de la situación si usa 32 redes para cada dirección e indica la dirección que necesitamos como el nombre de la red, que puede ser cualquier cosa. Resulta un análogo de una conexión punto a punto.
En este caso, la puerta de enlace, por supuesto, estará disponible y todo funcionará como lo necesitamos.
Tenga en cuenta que en una configuración de este tipo no se recomienda utilizar la regla de enmascaramiento SRC-NAT, porque la dirección de salida será indefinidamente diferente, pero es más correcto especificar la acción: src-NAT y la dirección específica desde la que se liberar al cliente.
- Y por fin
Para bloquear el acceso a Proxmox desde Internet, use las herramientas integradas: hay un excelente firewall.
No debe usar el firewall que ofrece hetzner, para no confundirse con la ubicación de la configuración. Hetzner también actuará en todas las redes, incluidas las establecidas en CHR, y para abrir y reenviar puertos, también será necesario abrirlo en la interfaz web del proveedor.
Fuente: habr.com