疑問に直面し、大量の文書から離れたときは、よりよく覚えておくために、学んだことを整理して書き留めるようにしてください。 また、この問題についても、同じ道を再び辿らないように指示を出します。
ソースドキュメントは次の場所から大量に入手できます。
問題の定式化
クライアントは、いくつかの追加のサブネットの料金を支払う必要をなくすために、複数のレンタル サーバーを XNUMX つのネットワークに結合し、家族全員をルーターの後ろに縛り付け、サーバーにローカル アドレスを割り当て、ファイアウォールで保護したいと考えています。 そのため、すべてのサービス トラフィックは VLAN 内で実行されます。 さらに、仮想マシンを XNUMX つの古いサーバーから新しいサーバーに移動して放棄し、使用している古いハードウェアをアップグレードすると同時に、新しい Proxmox に移行します。
当初、クライアントには 5 つのサーバーがあり、それぞれに追加のサブネットがあり、専用サブネットの最初のアドレスが Proxmox 上の追加のブリッジに割り当てられます。
同時に、VM は Windows 上で実行され、アドレス 85.xx177/29 がゲート 85.xx176 で構成されます。
また、独自の仮想マシンを持つ 5 つのサーバーすべてが同様の方法で構成されています。
面白いのは、この構成がネットワークのセットアップの原則として間違っていることです。最初のノードにはネットワーク アドレスを使用し、ゲートウェイにも同じネットワーク アドレスを使用します。 この構成を Ubuntu の仮想マシンで実行しようとすると、ネットワークは機能しません。
具現化
- インターフェイスに vSwitch を作成し、それに VlanID を割り当て、この vSwitch を必要なすべてのサーバーに追加します。
- 問題なく構築・動作できるようテストサーバーを作成中です。
最初の仮想マシンの chr を次のように引き上げます。 .
上記のスクリプトを使用する場合は、最初に -d /root/temp ディレクトリの存在を確認し、存在しない場合は /home/root/temp ディレクトリが作成されますが、さらに作業が続くことに注意してください。 /root/temp ディレクトリとともに出力します。 適切なディレクトリを作成するには、スクリプトを修正する必要があります。
- Proxmox のネットワークをセットアップします。
VLAN 番号を持つサブインターフェイスを追加し、inet マニュアルを使用してアドレスがブリッジ上に設定されることを示します。 重要。 ブリッジに含めるインターフェイスに IP アドレスを構成することはできません。これがどのように機能するか、また機能するかどうかは誰にもわかりません。
次に、ブリッジ vmbr0 を作成し、Hetzner プロバイダーから提供されたサーバー自体の最初のアドレスをそれに接続し、ブリッジ ポート (VLAN のない最初の物理インターフェイス) を指定します。また、追加のコマンドで追加を指定します。このブリッジを介してこのサーバー用に Hetzner から注文された追加ネットワークへのルート。 インターフェイスが起動すると、ルートの追加が機能します。
1.4000 番目のブリッジはローカル トラフィック用のインターフェイスになります。インターネットにアクセスせずにローカル ネットワーク経由で異なる Proxmox サーバー間の接続を取得するためにアドレスを追加し、VlanID に割り当てられるサブインターフェイス enoXNUMX としてポートを指定します。
初期セットアップ中に、Proxmox 用の追加の ifupdown2 パッケージをインストールでき、ネットワーク インターフェイスに変更があった場合にサーバー全体を再起動する必要がないというアドバイスに遭遇しました。 ただし、これは初期セットアップの場合にのみ典型的なものであり、ブリッジを使用して仮想マシンをセットアップする場合、仮想マシンのネットワーク障害に関する問題が発生します。 たとえば、vmbr2 インターフェイスを編集したにもかかわらず、構成を適用すると、すべての内部インターフェイスでネットワークが切断され、サーバーが完全に再起動されるまで回復しません。 ifdown&&ifup は役に立ちません。 誰かが解決策を持っていれば、感謝します。
サーバー上で最初に構成されたインターフェイスは引き続き動作し、アクセス可能になります。
-
プールからアドレスが失われないように、CHR にアドレスを割り当てます。
Hetzner が生成するアドレスのプールは、ネットワーカーにとっては非常に奇妙に見えます。次のようなものです。
奇妙なのは、ゲートが物理サーバーの独自のアドレスを使用することを提案していることです。
Hetzner 自身が提案した古典的なオプションは問題文に示されており、クライアントによって独自に実装されました。 このオプションでは、クライアントはネットワーク アドレスに対する最初のアドレス、ゲートウェイとなる proxmox ブリッジに対する 4 番目のアドレス、およびブロードキャストの最後のアドレスを失います。 IPv136 アドレスは決して冗長ではありません。 IP アドレス 177.x.x.29/0.0.0.0 と 0/148 165.x.x.XNUMX のゲートウェイを CHR に直接登録しようとすると、これは可能ですが、ゲートウェイは直接接続されないため、到達できなくなります。 。
各アドレスにネットワーク 32 を使用し、必要なアドレス (任意のアドレス) をネットワーク名として指定することで、この状況を回避できます。 これはポイントツーポイント接続に似ていることがわかります。
この場合、ゲートウェイはもちろん使用可能であり、すべてが必要に応じて機能します。
このような構成では、出力アドレスが無限に異なるため、SRC-NAT マスカレード ルールを使用することはお勧めできません。アクション: src-NAT と送信元の特定のアドレスを指定する方が正しいことに注意してください。クライアントを解放します。
- そして最後に。
インターネットから Proxmox 自体へのアクセスをブロックするには、組み込みツールを使用します。優れたファイアウォールがあります。
設定の場所について混乱しないように、hetzner が提供するファイアウォールは使用しないでください。 Hetzner は、CHR で確立されたネットワークを含むすべてのネットワークでも動作します。ポートを開いて転送するには、プロバイダーの Web インターフェイスでもポートを開く必要があります。
出所: habr.com