As jo mei in fraach komme en in grut oantal dokumintaasje brekke, besykje dan te systematisearjen en op te skriuwen wat jo leard hawwe om better te ûnthâlden. En meitsje ek ynstruksjes oer dizze kwestje, om net wer hielendal te gean.
Boarne dokumintaasje is folop by
Probleemintwurding
De kliïnt wol ferskate ferhierde servers kombinearje yn ien netwurk om de needsaak om te beteljen foar ferskate ekstra subnets kwyt te reitsjen, syn hiele húshâlding efter in router op te hingjen, lokale adressen deryn ta te jaan en himsels te beskermjen mei in firewall. Sadat alle tsjinstferkear binnen it VLAN rint. Plus, oerdrage firtuele masines fan ien âlde server nei in nije en wegerje it, upgrade de brûkte âlde hardware en ferpleatse tagelyk nei frisse Proxmox.
Yn earste ynstânsje hat de kliïnt 5 tsjinners, elk mei in ekstra subnet, it earste adres fan it tawiisde subnet wurdt tawiisd oan in ekstra brêge op Proxmox
Tagelyk rinne VM's op Windows en hawwe it adres 85.xx177/29 konfigureare mei in poarte 85.xx176
En op in fergelykbere manier binne alle 5-tsjinners konfigureare mei har firtuele masines.
It is grappich dat dizze konfiguraasje ferkeard is by it ynstellen fan it netwurk yn prinsipe, brûk it netwurkadres foar it earste knooppunt en it is ek foar de poarte. As jo besykje sa'n konfiguraasje te begjinnen op in firtuele masine yn Ubuntu, wurket it netwurk net.
Ymplemintaasje
- Wy meitsje in vSwitch yn de ynterface, tawize in VlanID oan it, heakje dizze vSwitch oan alle tsjinners wy nedich.
- Wy meitsje in testtsjinner sadat jo sûnder problemen kinne ynstelle en ferpleatse.
Wy ferheegje de earste firtuele masine chr troch .
As jo it boppesteande skript brûke, tink derom dat de map -d /root/temp oan it begjin kontrolearre is, en as it der net is, wurdt de map /home/root/temp oanmakke, mar fierder wurk wurdt noch útfierd mei de map /root/temp. It skript moat korrizjearre wurde om de passende map te meitsjen.
- In netwurk ynstelle foar Proxmox.
Wy foegje in subinterface mei it VLAN-nûmer ta, jouwe oan dat de adresynstellingen sille foarkomme op 'e brêgen mei it inet-hantlieding. BELANGRYK. Jo kinne IP-adressen net ynstelle op ynterfaces dy't jo dan sille opnimme yn 'e brêge, hoe't it sil wurkje en oft nimmen sil witte.
Dêrnei meitsje wy in vmbr0-brêge - en wy hingje derop it earste adres fan 'e tsjinner sels, jûn oan ús troch Hetzner-providers, spesifisearje de brêgepoarte - de earste fysike ynterface sûnder VLAN, en spesifisearje ek mei in ekstra kommando om in ta te foegjen rûte nei ús ekstra netwurk besteld fan Hetzner foar dizze tsjinner fia dizze brêge. It tafoegjen fan in rûte sil wurkje as de ynterface opkomt.
De twadde brêge sil ús ynterface wêze foar lokaal ferkear, foegje in adres ta om ferbining te krijen tusken ferskate Proxmox-tsjinners oer in lokaal netwurk sûnder tagong ta it ynternet en spesifisearje de eno1.4000 subinterface, dy't tawiisd is foar ús VlanID, as de poarte .
Tidens de earste opset binne d'r tips dy't jo in ekstra ifupdown2-pakket kinne ynstallearje foar Proxmox en jo kinne de heule server net opnij starte by feroaringen yn netwurkynterfaces. Dit is lykwols typysk allinich foar de earste opset, en as jo brêgen brûke en firtuele masines ynstelle, komme jo problemen mei netwurkfout yn firtuele masines. Nettsjinsteande it feit dat jo, bygelyks, de vmbr2-ynterface regearre, en by it tapassen fan de konfiguraasje, falt it netwurk al op alle ynterne ynterfaces en komt net op as de tsjinner folslein opnij starte. ifdown&&ifup helpt net. As immen in oplossing hat, sil ik tankber wêze.
De earste ynstelde ynterface op 'e tsjinner sels bliuwt operasjoneel en beskikber.
-
Adres tawizing foar CHR om net te ferliezen adressen út it swimbad
De adrespool dy't Hetzner jout, sjocht der heul nuver út foar in netwurker, sa'n ding:
It frjemde is dat de poarte wurdt foarsteld om syn eigen adres fan 'e fysike tsjinner te brûken.
De klassike ferzje foarsteld troch Hetzner sels is oanjûn yn 'e probleemstelling en waard troch de kliïnt selsstannich útfierd. Yn dizze opsje ferliest de kliïnt it earste adres nei it netwurkadres, it twadde adres nei de proxmox-brêge en it sil ek de poarte wêze, en it lêste adres foar útstjoering. IPv4-adressen binne nea oerstallich. As jo direkt besykje it CHR IP-adres 136.х.х.177/29 te registrearjen en de poarte foar 0.0.0.0/0 148.х.х.165, dan kinne jo it dwaan, mar de gateway sil net direkt ferbûn wêze en dêrom sil wêze ûnberikber.
Jo kinne út 'e situaasje komme as jo 32 netwurken brûke foar elk adres en it adres oanjaan dat wy nedich binne as de netwurknamme, wat alles kin wêze. It docht bliken in analoog fan in punt-to-punt ferbining.
Yn dit gefal sil de poarte fansels beskikber wêze, en alles sil wurkje as wy nedich binne.
Hâld der rekken mei dat yn sa'n konfiguraasje it net oan te rieden is om de SRC-NAT-masquerade-regel te brûken, om't it útfieradres ûnbepaald oars sil wêze, mar it is krekter om aksje op te jaan: src-NAT en it spesifike adres wêrfan jo sille loslitte de klant.
- En ta beslút.
Om tagong ta Proxmox sels fan it ynternet te blokkearjen, brûk de ynboude ark: d'r is in poerbêste firewall.
Jo moatte de firewall net brûke oanbean troch hetzner, om net betize te wurden oer de lokaasje fan 'e ynstellings. Hetzner sil ek hannelje op alle netwurken, ynklusyf dy fêststeld op CHR, en om havens te iepenjen en troch te stjoeren, sil it ek nedich wêze om it te iepenjen yn 'e webynterface fan' e provider.
Boarne: www.habr.com