As jo ââââmei in fraach komme en in grut oantal dokumintaasje brekke, besykje dan te systematisearjen en op te skriuwen wat jo leard hawwe om better te Ă»nthĂąlden. En meitsje ek ynstruksjes oer dizze kwestje, om net wer hielendal te gean.
Boarne dokumintaasje is folop by
Probleemintwurding
De kliĂŻnt wol ferskate ferhierde servers kombinearje yn ien netwurk om de needsaak om te beteljen foar ferskate ekstra subnets kwyt te reitsjen, syn hiele hĂșshĂąlding efter in router op te hingjen, lokale adressen deryn ta te jaan en himsels te beskermjen mei in firewall. Sadat alle tsjinstferkear binnen it VLAN rint. Plus, oerdrage firtuele masines fan ien Ăąlde server nei in nije en wegerje it, upgrade de brĂ»kte Ăąlde hardware en ferpleatse tagelyk nei frisse Proxmox.
Yn earste ynstĂąnsje hat de kliĂŻnt 5 tsjinners, elk mei in ekstra subnet, it earste adres fan it tawiisde subnet wurdt tawiisd oan in ekstra brĂȘge op Proxmox
Yn dit gefal wurkje VM's oan Windows en se hawwe adres 85.xx177/29 konfigurearre mei poarte 85.xx176
En op in fergelykbere manier binne alle 5-tsjinners konfigureare mei har firtuele masines.
It is grappich dat dizze konfiguraasje fundamenteel ferkeard is yn hoe't it netwurk is konfigurearre: it brĂ»kt it netwurkadres foar it earste knooppunt en itselde adres foar de gateway. As jo ââbesykje dizze konfiguraasje yn te stellen op in firtuele masine yn Ubuntu - it netwurk wurket net.
â
Ymplemintaasje
- Wy meitsje in vSwitch yn de ynterface, tawize in VlanID oan it, heakje dizze vSwitch oan alle tsjinners wy nedich.
- Wy meitsje in testtsjinner sadat jo sûnder problemen kinne ynstelle en ferpleatse.
Wy ferheegje de earste firtuele masine chr troch .
As jo ââââit boppesteande skript brĂ»ke, tink derom dat de map -d /root/temp oan it begjin kontrolearre is, en as it der net is, wurdt de map /home/root/temp oanmakke, mar fierder wurk wurdt noch Ăștfierd mei de map /root/temp. It skript moat korrizjearre wurde om de passende map te meitsjen.
- In netwurk ynstelle foar Proxmox.
Wy foegje in subinterface mei it VLAN-nĂ»mer ta, jouwe oan dat de adresynstellingen sille foarkomme op 'e brĂȘgen mei it inet-hantlieding. BELANGRYK. Jo kinne IP-adressen net ynstelle op ynterfaces dy't jo dan sille opnimme yn 'e brĂȘge, hoe't it sil wurkje en oft nimmen sil witte.
DĂȘrnei meitsje wy in vmbr0-brĂȘge - en wy hingje derop it earste adres fan 'e tsjinner sels, jĂ»n oan Ășs troch Hetzner-providers, spesifisearje de brĂȘgepoarte - de earste fysike ynterface sĂ»nder VLAN, en spesifisearje ek mei in ekstra kommando om in ta te foegjen rĂ»te nei Ășs ekstra netwurk besteld fan Hetzner foar dizze tsjinner fia dizze brĂȘge. It tafoegjen fan in rĂ»te sil wurkje as de ynterface opkomt.
De twadde brĂȘge sil Ășs ynterface wĂȘze foar lokaal ferkear, foegje in adres ta om ferbining te krijen tusken ferskate Proxmox-tsjinners oer in lokaal netwurk sĂ»nder tagong ta it ynternet en spesifisearje de eno1.4000 subinterface, dy't tawiisd is foar Ășs VlanID, as de poarte .
Tidens de earste opset binne d'r tips dy't jo in ekstra ifupdown2-pakket kinne ynstallearje foar Proxmox en jo kinne de heule server net opnij starte by feroaringen yn netwurkynterfaces. Dit is lykwols typysk allinich foar de earste opset, en as jo brĂȘgen brĂ»ke en firtuele masines ynstelle, komme jo problemen mei netwurkfout yn firtuele masines. Nettsjinsteande it feit dat jo, bygelyks, de vmbr2-ynterface regearre, en by it tapassen fan de konfiguraasje, falt it netwurk al op alle ynterne ynterfaces en komt net op as de tsjinner folslein opnij starte. ifdown&&ifup helpt net. As immen in oplossing hat, sil ik tankber wĂȘze.
De earste ynstelde ynterface op 'e tsjinner sels bliuwt operasjoneel en beskikber.
Adres tawizing foar CHR om net te ferliezen adressen Ășt it swimbad
De adrespool dy't Hetzner jout, sjocht der heul nuver Ășt foar in netwurker, sa'n ding:
It frjemde is dat de poarte wurdt foarsteld om syn eigen adres fan 'e fysike tsjinner te brûken.
De klassike ferzje foarsteld troch Hetzner sels is oanjĂ»n yn 'e probleemstelling en waard troch de kliĂŻnt selsstannich Ăștfierd. Yn dizze opsje ferliest de kliĂŻnt it earste adres nei it netwurkadres, it twadde adres nei de proxmox-brĂȘge en it sil ek de poarte wĂȘze, en it lĂȘste adres foar Ăștstjoering. IPv4-adressen binne nea oerstallich. As jo ââdirekt besykje it CHR IP-adres 136.Ń .Ń .177/29 te registrearjen en de poarte foar 0.0.0.0/0 148.Ń .Ń .165, dan kinne jo it dwaan, mar de gateway sil net direkt ferbĂ»n wĂȘze en dĂȘrom sil wĂȘze Ă»nberikber.
Jo kinne Ășt 'e situaasje komme as jo 32 netwurken brĂ»ke foar elk adres en it adres oanjaan dat wy nedich binne as de netwurknamme, wat alles kin wĂȘze. It docht bliken in analoog fan in punt-to-punt ferbining.
Yn dit gefal sil de poarte fansels beskikber wĂȘze, en alles sil wurkje as wy nedich binne.
HĂąld der rekken mei dat yn sa'n konfiguraasje it net oan te rieden is om de SRC-NAT-masquerade-regel te brĂ»ken, om't it Ăștfieradres Ă»nbepaald oars sil wĂȘze, mar it is krekter om aksje op te jaan: src-NAT en it spesifike adres wĂȘrfan jo sille loslitte de klant.
- En ta beslĂșt.
Om tagong ta Proxmox sels fan it ynternet te blokkearjen, brĂ»k de ynboude ark: d'r is in poerbĂȘste firewall.
Jo moatte de firewall net brĂ»ke oanbean troch hetzner, om net betize te wurden oer de lokaasje fan 'e ynstellings. Hetzner sil ek hannelje op alle netwurken, ynklusyf dy fĂȘststeld op CHR, en om havens te iepenjen en troch te stjoeren, sil it ek nedich wĂȘze om it te iepenjen yn 'e webynterface fan' e provider.
Boarne: www.habr.com
