Ante unha pregunta e un descanso dunha gran cantidade de documentación, tenta organizar e anotar o que aprendeu para lembrar mellor. E tamén fai instrucións sobre este tema para non volver pasar por todo o camiño.
A documentación de orixe está dispoñible en grandes cantidades en
Declaración de problemas
O cliente quere combinar varios servidores alugados nunha soa rede para desfacerse da necesidade de pagar varias subredes adicionais, colgar toda a súa casa detrás dun enrutador, asignarlles enderezos locais e estar protexido por un firewall. Para que todo o tráfico do servizo corra dentro da VLAN. Ademais, move as máquinas virtuais dun servidor antigo a outro novo e abárnao, actualiza o hardware antigo que estás a usar e, ao mesmo tempo, pasa a Proxmox novo.
Inicialmente, o cliente ten 5 servidores, cada un cunha subrede adicional, o primeiro enderezo da subrede dedicada está asignado á ponte adicional en Proxmox
Ao mesmo tempo, as máquinas virtuales execútanse en Windows e teñen o enderezo 85.xx177/29 configurado cunha porta 85.xx176
E os 5 servidores coas súas propias máquinas virtuais están configurados dun xeito similar.
É curioso que esta configuración sexa incorrecta ao configurar a rede en principio; use o enderezo de rede para o primeiro nodo e o mesmo para a pasarela. Se tentas executar esta configuración nunha máquina virtual en Ubuntu, a rede non funciona.
Implantación
- Creamos un vSwitch na interface, asignámoslle un VlanID e engadimos este vSwitch a todos os servidores que necesitamos.
- Estamos facendo un servidor de probas para poder configurar e movernos sen problemas.
Levantamos a primeira máquina virtual chr por .
Se usa o script anterior, teña en conta que primeiro comproba a presenza do directorio -d /root/temp, e se non está alí, créase o directorio /home/root/temp, pero aínda se está a realizar máis traballo. fóra co directorio /root/temp. O script debe ser corrixido para crear o directorio axeitado.
- Configurando unha rede para Proxmox.
Engadimos unha subinterface cun número de VLAN, indicando que os enderezos se configurarán nas pontes mediante o manual inet. IMPORTANTE. Non podes configurar enderezos IP nas interfaces que incluirás na ponte; ninguén sabe como funcionará e se funcionará.
A continuación, creamos unha ponte vmbr0 - e adxuntamos a ela o primeiro enderezo do propio servidor, que nos proporcionaron os provedores de Hetzner, indicamos o porto ponte - a primeira interface física sen VLAN, e tamén especificamos cun comando adicional a adición. dunha ruta á nosa rede adicional, pedida a Hetzner para este servidor a través desta ponte. Engadir unha ruta funcionará cando a interface suba.
A segunda ponte será a nosa interface para o tráfico local, engadímoslle un enderezo para obter conectividade entre diferentes servidores Proxmox a través dunha rede local sen acceso a Internet e especificamos o porto como subinterfaz eno1.4000, que está asignado para o noso VlanID.
Durante a configuración inicial, atoparás un consello de que podes instalar un paquete ifupdown2 adicional para Proxmox e que non tes que reiniciar todo o servidor se hai cambios nas interfaces de rede. Non obstante, isto é típico só para a configuración inicial e cando se usan pontes e se configuran máquinas virtuais, atópase con problemas coa falla de rede nas máquinas virtuais. A pesar de que editaches, por exemplo, a interface vmbr2 e cando aplicas a configuración, a rede cae en todas as interfaces internas e non se recupera ata que o servidor se reinicia por completo. ifdown&&ifup non axuda. Se alguén ten unha solución, estaríalle agradecido.
A primeira interface configurada no servidor segue funcionando e accesible.
-
Asignación dun enderezo para CHR para non perder enderezos do pool
O conxunto de enderezos que produce Hetzner parécelle moi estraño para un usuario de rede, algo así:
O estraño é que a porta suxire usar o seu propio enderezo do servidor físico.
A opción clásica proposta polo propio Hetzner está indicada na declaración do problema e foi implementada polo cliente de forma independente. Nesta opción, o cliente perde o primeiro enderezo para o enderezo de rede, o segundo enderezo para a ponte proxmox e tamén será a pasarela, e o último enderezo para a transmisión. Os enderezos IPv4 nunca son redundantes. Se tentas rexistrar directamente o enderezo IP 136.x.x.177/29 e a pasarela para 0.0.0.0/0 148.x.x.165 no CHR, podes facelo, pero a pasarela non estará conectada directamente e, polo tanto, non será accesible. .
Podemos saír desta situación empregando a rede 32 para cada enderezo e especificando o enderezo que necesitamos, que pode ser calquera cousa, como nome da rede. Resulta ser un análogo dunha conexión punto a punto.
Neste caso, a pasarela estará dispoñible, por suposto, e todo funcionará como necesitemos.
Teña en conta que nesta configuración non se recomenda empregar a regra de enmascaramento SRC-NAT, porque o enderezo de saída será indefinidamente diferente, e é máis correcto especificar a acción: src-NAT e o enderezo específico desde o que vai liberar o cliente.
- E finalmente.
Para bloquear o acceso ao propio Proxmox desde Internet, use as ferramentas integradas: hai un excelente firewall.
Non debe usar o firewall ofrecido por hetzner, para non confundirse coa localización da configuración. Hetzner tamén traballará en todas as redes, incluídas as establecidas en CHR, e para abrir e reenviar portos tamén será necesario abrilos na interface web do provedor.
Fonte: www.habr.com