Kiedy masz pytanie i przerwę od dużej ilości dokumentacji, spróbuj uporządkować i zapisać to, czego nauczyłeś się lepiej zapamiętywać. A także wykonaj instrukcje w tej sprawie, aby nie przechodzić ponownie przez całą ścieżkę.
Dokumentacja źródłowa dostępna jest w dużych ilościach pod adresem
Stwierdzenie problemu
Klient chce połączyć kilka wynajmowanych serwerów w jedną sieć, aby pozbyć się konieczności płacenia za kilka dodatkowych podsieci, zawiesić całe gospodarstwo domowe za routerem, przypisać im adresy lokalne i zabezpieczyć się firewallem. Aby cały ruch usługowy odbywał się wewnątrz sieci VLAN. Dodatkowo przenieś maszyny wirtualne z jednego starego serwera na nowy i porzuć go, zmodernizuj stary sprzęt, którego używasz, a jednocześnie przenieś się na świeży Proxmox.
Początkowo klient posiada 5 serwerów, każdy z dodatkową podsiecią, pierwszy adres z dedykowanej podsieci przydzielany jest do dodatkowego mostu na Proxmox
Jednocześnie maszyny wirtualne działają w systemie Windows i mają adres 85.xx177/29 skonfigurowany z bramką 85.xx176
I wszystkie 5 serwerów z własnymi maszynami wirtualnymi jest skonfigurowanych w podobny sposób.
Zabawne, że ta konfiguracja jest w zasadzie błędna przy konfigurowaniu sieci; użyj adresu sieciowego dla pierwszego węzła i tego samego dla bramy. Jeśli spróbujesz uruchomić tę konfigurację na maszynie wirtualnej w Ubuntu, sieć nie będzie działać.
realizacja
- Tworzymy vSwitch w interfejsie, przypisujemy mu VlanID i dodajemy tego vSwitcha do wszystkich potrzebnych nam serwerów.
- Tworzymy serwer testowy, abyśmy mogli bez problemów skonfigurować i przenieść.
Podnosimy pierwszą maszynę wirtualną chr .
Jeśli korzystasz z powyższego skryptu pamiętaj, że najpierw sprawdza on obecność katalogu -d /root/temp, a jeśli go tam nie ma, tworzony jest katalog /home/root/temp, ale dalsze prace są nadal wykonywane z katalogu /root/temp. Należy poprawić skrypt, aby utworzyć odpowiedni katalog.
- Konfigurowanie sieci dla Proxmox.
Dodajemy podinterfejs z numerem VLAN wskazujący, że adresy zostaną skonfigurowane na mostach zgodnie z instrukcją inet. WAŻNY. Nie możesz konfigurować adresów IP na interfejsach, które następnie umieścisz w moście; jak to będzie działać i czy będzie działać, nikt nie będzie wiedział.
Następnie tworzymy most vmbr0 - i dołączamy do niego pierwszy adres samego serwera, podany nam przez dostawców Hetzner, wskazujemy port mostu - pierwszy fizyczny interfejs bez VLAN, a także określamy dodatkowym poleceniem dodatek trasy do naszej dodatkowej sieci, zamówionej u Hetznera dla tego serwera przez ten most. Dodanie trasy będzie działać, gdy interfejs zostanie uruchomiony.
Drugi most będzie naszym interfejsem dla ruchu lokalnego, dodajemy do niego adres, aby uzyskać łączność pomiędzy różnymi serwerami Proxmox po sieci lokalnej bez dostępu do Internetu i określamy port jako podinterfejs eno1.4000, który jest przydzielony dla naszego VlanID.
Podczas wstępnej konfiguracji spotykasz się z radą, że możesz zainstalować dodatkowy pakiet ifupdown2 dla Proxmox i nie musisz ponownie uruchamiać całego serwera, jeśli nastąpią zmiany w interfejsach sieciowych. Jest to jednak typowe tylko w przypadku początkowej konfiguracji i podczas korzystania z mostów i konfigurowania maszyn wirtualnych można napotkać problemy z awarią sieci na maszynach wirtualnych. Pomimo tego, że edytowałeś np. interfejs vmbr2 i po zastosowaniu konfiguracji, sieć wypada na wszystkich interfejsach wewnętrznych i nie odzyskuje się aż do całkowitego restartu serwera. ifdown&&ifup nie pomaga. Jeśli ktoś ma rozwiązanie, byłbym wdzięczny.
Pierwszy skonfigurowany interfejs na serwerze nadal działa i jest dostępny.
-
Przydzielenie adresu dla CHR tak, aby nie stracić adresów z puli
Pula adresów tworzona przez Hetznera wygląda bardzo dziwnie dla sieciowca, mniej więcej tak:
Dziwne jest to, że bramka sugeruje użycie własnego adresu serwera fizycznego.
Klasyczna opcja zaproponowana przez samego Hetznera jest wskazana w opisie problemu i została wdrożona samodzielnie przez klienta. W tej opcji klient traci pierwszy adres na rzecz adresu sieciowego, drugi adres na rzecz mostu proxmox i będzie to jednocześnie brama oraz ostatni adres dla rozgłoszenia. Adresy IPv4 nigdy nie są zbędne. Jeśli bezpośrednio spróbujesz zarejestrować adres IP 136.x.x.177/29 i bramę dla 0.0.0.0/0 148.x.x.165 na CHR, możesz to zrobić, ale brama nie będzie połączona bezpośrednio i dlatego będzie nieosiągalna .
Możemy wyjść z tej sytuacji, używając sieci 32 dla każdego adresu i podając jako nazwę sieci potrzebny nam adres (może to być dowolny adres). Okazuje się, że jest to analogia połączenia punkt-punkt.
W takim przypadku bramka będzie oczywiście dostępna i wszystko będzie działać tak jak potrzebujemy.
Należy pamiętać, że w takiej konfiguracji nie zaleca się stosowania reguły maskarady SRC-NAT, ponieważ adres wyjściowy będzie nieskończenie inny, a bardziej poprawne jest określenie akcji: src-NAT i konkretnego adresu, z którego będziesz zwolnij klienta.
- I w końcu.
Aby zablokować dostęp do samego Proxmox z Internetu, skorzystaj z wbudowanych narzędzi: istnieje doskonała zapora sieciowa.
Nie powinieneś używać zapory ogniowej oferowanej przez hetzner, aby nie pomylić się co do lokalizacji ustawień. Hetzner będzie działał także na wszystkich sieciach, także tych założonych na CHR, a do otwierania i przekazywania portów konieczne będzie także otwarcie ich w interfejsie WWW dostawcy.
Źródło: www.habr.com