Face à une question et à une rupture avec une grande quantité de documentation, essayez d'organiser et d'écrire ce que vous avez appris pour mieux vous en souvenir. Et donnez également des instructions sur cette question afin de ne pas refaire tout le chemin.
La documentation source est disponible en grande quantité sur
Formulation du problème
Le client souhaite regrouper plusieurs serveurs loués en un seul réseau afin de ne plus avoir à payer pour plusieurs sous-réseaux supplémentaires, de suspendre toute sa maison derrière un routeur, de leur attribuer des adresses locales et d'être protégé par un pare-feu. Pour que tout le trafic de service s'exécute à l'intérieur du VLAN. De plus, déplacez les machines virtuelles d'un ancien serveur vers un nouveau et abandonnez-le, mettez à niveau l'ancien matériel que vous utilisez et en même temps passez à un nouveau Proxmox.
Initialement, le client dispose de 5 serveurs, chacun avec un sous-réseau supplémentaire, la première adresse du sous-réseau dédié est attribuée au pont supplémentaire sur Proxmox
En parallèle, les VM fonctionnent sous Windows et ont l'adresse 85.xx177/29 configurée avec un gate 85.xx176
Et les 5 serveurs dotés de leurs propres machines virtuelles sont configurés de la même manière.
C'est drôle que cette configuration soit erronée dans la configuration du réseau en principe : utilisez l'adresse réseau pour le premier nœud et la même pour la passerelle. Si vous essayez d'exécuter cette configuration sur une machine virtuelle sous Ubuntu, le réseau ne fonctionne pas.
exécution
- Nous créons un vSwitch dans l'interface, lui attribuons un VlanID et ajoutons ce vSwitch à tous les serveurs dont nous avons besoin.
- Nous réalisons un serveur de test afin de pouvoir l'installer et le déplacer sans problème.
Nous élevons la première machine virtuelle chr par .
Si vous utilisez le script ci-dessus, veuillez noter qu'il vérifie d'abord la présence du répertoire -d /root/temp, et s'il n'y est pas, le répertoire /home/root/temp est créé, mais d'autres travaux sont toujours effectués. avec le répertoire /root/temp. Le script doit être corrigé pour créer le répertoire approprié.
- Mise en place d'un réseau pour Proxmox.
Nous ajoutons une sous-interface avec un numéro de VLAN, indiquant que les adresses seront configurées sur les ponts à l'aide du manuel inet. IMPORTANT. Vous ne pouvez pas configurer d'adresses IP sur les interfaces que vous inclurez ensuite dans le pont ; personne ne sait comment cela fonctionnera et si cela fonctionnera.
Ensuite, nous créons un pont vmbr0 - et y attachons la première adresse du serveur lui-même, qui nous a été donnée par les fournisseurs Hetzner, indiquons le port du pont - la première interface physique sans VLAN, et spécifions également avec une commande supplémentaire l'ajout d'un itinéraire vers notre réseau supplémentaire, commandé à Hetzner pour ce serveur via ce pont. L'ajout d'un itinéraire fonctionnera lorsque l'interface montera.
Le deuxième pont sera notre interface pour le trafic local, nous y ajoutons une adresse pour obtenir une connectivité entre différents serveurs Proxmox sur un réseau local sans accès à Internet et spécifions le port comme sous-interface eno1.4000, qui est alloué pour notre VlanID.
Lors de la configuration initiale, vous recevez des conseils selon lesquels vous pouvez installer un package ifupdown2 supplémentaire pour Proxmox et vous n'avez pas besoin de redémarrer l'intégralité du serveur en cas de modifications dans les interfaces réseau. Cependant, cela n'est typique que pour la configuration initiale, et lors de l'utilisation de ponts et de la configuration de machines virtuelles, vous rencontrez des problèmes de panne de réseau dans les machines virtuelles. Malgré le fait que vous ayez modifié, par exemple, l'interface vmbr2, et lorsque vous appliquez la configuration, le réseau tombe sur toutes les interfaces internes et ne se rétablit qu'après le redémarrage complet du serveur. ifdown&&ifup n'aide pas. Si quelqu'un a une solution, je lui en serais reconnaissant.
La toute première interface configurée sur le serveur reste fonctionnelle et accessible.
-
Attribution d'une adresse pour le CHR afin de ne pas perdre d'adresses du pool
Le pool d'adresses produit par Hetzner semble très étrange à un réseauteur, quelque chose comme ceci :
Ce qui est étrange, c'est que le portail propose d'utiliser sa propre adresse de serveur physique.
L'option classique proposée par Hetzner lui-même est indiquée dans l'énoncé du problème et a été mise en œuvre par le client de manière indépendante. Dans cette option, le client perd la première adresse vers l'adresse réseau, la deuxième adresse vers le pont proxmox et ce sera également la passerelle, et la dernière adresse pour la diffusion. Les adresses IPv4 ne sont jamais redondantes. Si vous essayez directement d'enregistrer l'adresse IP 136.x.x.177/29 et la passerelle pour 0.0.0.0/0 148.x.x.165 sur le CHR, vous pouvez le faire, mais la passerelle ne sera pas connectée directement et sera donc inaccessible. .
Nous pouvons sortir de cette situation en utilisant le réseau 32 pour chaque adresse et en spécifiant l'adresse dont nous avons besoin, qui peut être n'importe quoi, comme nom du réseau. Il s'avère qu'il s'agit d'un analogue d'une connexion point à point.
Dans ce cas, la passerelle sera bien sûr disponible, et tout fonctionnera selon nos besoins.
Gardez à l'esprit que dans une telle configuration, il n'est pas recommandé d'utiliser la règle de masquage SRC-NAT, car l'adresse de sortie sera indéfiniment différente, et il est plus correct de spécifier l'action : src-NAT et l'adresse spécifique à partir de laquelle vous allez libérer le client.
- Et enfin.
Pour bloquer l'accès à Proxmox lui-même depuis Internet, utilisez les outils intégrés : il existe un excellent pare-feu.
Vous ne devez pas utiliser le pare-feu proposé par Hetzner, afin de ne pas vous tromper sur l'emplacement des paramètres. Hetzner fonctionnera également sur tous les réseaux, y compris ceux établis sur CHR, et pour ouvrir et transférer des ports, il faudra également les ouvrir dans l'interface web du fournisseur.
Source: habr.com