Ao se deparar com uma dúvida e uma pausa diante de uma grande quantidade de documentação, procure organizar e anotar o que aprendeu para lembrar melhor. E também dê instruções sobre esse assunto para não repetir todo o caminho.
A documentação fonte está disponível em grandes quantidades em
Formulação do problema
O cliente deseja combinar vários servidores alugados em uma rede para se livrar da necessidade de pagar por várias sub-redes adicionais, pendurar toda a sua casa atrás de um roteador, atribuir endereços locais a eles e ser protegido por um firewall. Para que todo o tráfego do serviço seja executado dentro da VLAN. Além disso, mova as máquinas virtuais de um servidor antigo para um novo e abandone-o, atualize o hardware antigo que você está usando e, ao mesmo tempo, mude para o Proxmox novo.
Inicialmente, o cliente possui 5 servidores, cada um com uma sub-rede adicional, o primeiro endereço da sub-rede dedicada é atribuído à ponte adicional no Proxmox
Ao mesmo tempo, as VMs rodam em Windows e possuem o endereço 85.x.x.177/29 configurado com uma porta 85.x.x.176
E todos os 5 servidores com suas próprias máquinas virtuais são configurados de maneira semelhante.
É engraçado que esta configuração esteja errada na configuração da rede em princípio; use o endereço de rede para o primeiro nó e o mesmo para o gateway. Se você tentar executar esta configuração em uma máquina virtual no Ubuntu, a rede não funciona.
Implementação
- Criamos um vSwitch na interface, atribuímos um VlanID a ele e adicionamos esse vSwitch a todos os servidores que precisamos.
- Estamos fazendo um servidor de testes para que possamos configurar e movimentar sem problemas.
Aumentamos o primeiro chr da máquina virtual por
Se você usar o script acima, observe que primeiro ele verifica a presença do diretório -d /root/temp e, se não estiver lá, o diretório /home/root/temp é criado, mas o trabalho adicional ainda é realizado com o diretório /root/temp. O script precisa ser corrigido para criar o diretório apropriado.
- Configurando uma rede para Proxmox.
Adicionamos uma subinterface com um número de VLAN, indicando que os endereços serão configurados nas bridges utilizando o manual do inet. IMPORTANTE. Você não pode configurar endereços IP nas interfaces que você incluirá na ponte; como isso funcionará e se funcionará será desconhecido para ninguém.
A seguir, criamos uma ponte vmbr0 - e anexamos a ela o primeiro endereço do próprio servidor, fornecido pelos provedores Hetzner, indicamos a porta da ponte - a primeira interface física sem VLAN, e também especificamos com um comando adicional a adição de uma rota para nossa rede adicional, encomendada à Hetzner para este servidor através desta ponte. Adicionar uma rota funcionará quando a interface for ativada.
A segunda ponte será nossa interface para tráfego local, adicionamos a ela um endereço para obter conectividade entre diferentes servidores Proxmox em uma rede local sem acesso à Internet e especificamos a porta como subinterface eno1.4000, que é alocada para nosso VlanID.
Durante a configuração inicial, você se depara com o conselho de que pode instalar um pacote ifupdown2 adicional para Proxmox e não precisa reinicializar o servidor inteiro se houver alterações nas interfaces de rede. No entanto, isso é típico apenas para a configuração inicial e, ao usar pontes e configurar máquinas virtuais, você encontra problemas com falhas de rede em máquinas virtuais. Apesar de você ter editado, por exemplo, a interface vmbr2, e ao aplicar a configuração, a rede cai em todas as interfaces internas e não se recupera até que o servidor seja completamente reiniciado. ifdown&&ifup não ajuda. Se alguém tiver uma solução, ficarei grato.
A primeira interface configurada no servidor permanece funcionando e acessível.
-
Alocação de endereço para CHR para não perder endereços do pool
O conjunto de endereços que Hetzner produz parece muito estranho para um networker, mais ou menos assim:
O estranho é que o portão sugere usar o próprio endereço do servidor físico.
A opção clássica proposta pelo próprio Hetzner está indicada na definição do problema e foi implementada pelo cliente de forma independente. Nesta opção o cliente perde o primeiro endereço para o endereço de rede, o segundo endereço para a ponte proxmox e este também será o gateway, e o último endereço para o broadcast. Os endereços IPv4 nunca são redundantes. Se você tentar registrar diretamente o endereço IP 136.x.x.177/29 e o gateway para 0.0.0.0/0 148.x.x.165 no CHR, você poderá fazer isso, mas o gateway não será conectado diretamente e, portanto, ficará inacessível .
Podemos sair dessa situação usando a rede 32 para cada endereço e especificando o endereço que precisamos, que pode ser qualquer coisa, como o nome da rede. Acontece que é um análogo de uma conexão ponto a ponto.
Neste caso, é claro que o gateway estará disponível e tudo funcionará como precisamos.
Tenha em mente que em tal configuração não é recomendado usar a regra de mascaramento SRC-NAT, pois o endereço de saída será indefinidamente diferente, e é mais correto especificar a ação: src-NAT e o endereço específico a partir do qual você irá liberar o cliente.
- E finalmente
Para bloquear o acesso ao próprio Proxmox pela Internet, use as ferramentas integradas: existe um excelente firewall.
Você não deve usar o firewall oferecido pela hetzner, para não se confundir quanto à localização das configurações. A Hetzner também funcionará em todas as redes, inclusive aquelas estabelecidas em CHR, e para abrir e encaminhar portas também será necessário abri-las na interface web do provedor.
Fonte: habr.com