Keď stojíte pred otázkou a oddýchnete si od veľkého množstva dokumentácie, skúste si zorganizovať a napísať, čo ste sa naučili lepšie zapamätať. A tiež urobte pokyny k tejto problematike, aby ste neprešli celú cestu znova.
Zdrojová dokumentácia je k dispozícii vo veľkom množstve na
Vyhlásenie o probléme
Klient chce spojiť viacero prenajatých serverov do jednej siete, aby sa zbavil nutnosti platiť za niekoľko ďalších podsietí, zavesiť celú domácnosť za router, prideľovať im lokálne adresy a byť chránený firewallom. Aby všetka prevádzka služieb prebiehala vo vnútri VLAN. Navyše presuňte virtuálne stroje z jedného starého servera na nový a opustite ho, upgradujte starý hardvér, ktorý používate, a zároveň prejdite na nový Proxmox.
Na začiatku má klient 5 serverov, každý má ďalšiu podsieť, prvá adresa z vyhradenej podsiete je priradená ďalšiemu mostu na Proxmox
Zároveň VM bežia na Windowse a majú nakonfigurovanú adresu 85.xx177/29 s bránou 85.xx176
A všetkých 5 serverov s vlastnými virtuálnymi strojmi je nakonfigurovaných podobným spôsobom.
Je smiešne, že táto konfigurácia je v princípe chybná v nastavení siete, použite sieťovú adresu pre prvý uzol a rovnakú pre bránu. Ak sa pokúsite spustiť túto konfiguráciu na virtuálnom počítači v Ubuntu, sieť nefunguje.
Реализация
- V rozhraní vytvoríme vSwitch, priradíme mu VlanID a pridáme tento vSwitch na všetky servery, ktoré potrebujeme.
- Robíme testovací server, aby sme ho mohli bez problémov nastaviť a premiestniť.
Zdvíhame prvý virtuálny stroj chr o .
Ak použijete vyššie uvedený skript, vezmite prosím na vedomie, že najprv skontroluje prítomnosť adresára -d /root/temp, a ak tam nie je, vytvorí sa adresár /home/root/temp, ale stále sa vykonáva ďalšia práca von s adresárom /root/temp. Skript je potrebné opraviť, aby sa vytvoril príslušný adresár.
- Nastavenie siete pre Proxmox.
Pridávame podrozhranie s číslom VLAN, čo naznačuje, že adresy budú nakonfigurované na mostoch pomocou príručky inet. DÔLEŽITÉ. Nemôžete konfigurovať adresy IP na rozhraniach, ktoré potom zahrniete do mosta; ako to bude fungovať a či to bude fungovať, nikto nepozná.
Ďalej vytvoríme most vmbr0 - a pripojíme k nemu prvú adresu samotného servera, ktorú nám poskytli poskytovatelia Hetzner, špecifikujeme port mosta - prvé fyzické rozhranie bez VLAN a tiež určíme pomocou dodatočného príkazu pridanie trasy do našej ďalšej siete objednanej od Hetznera pre tento server cez tento most. Pridanie trasy bude fungovať, keď sa rozhranie rozšíri.
Druhým mostom bude naše rozhranie pre lokálnu komunikáciu, pridáme k nemu adresu, aby sme získali konektivitu medzi rôznymi Proxmox servermi cez lokálnu sieť bez prístupu na internet a špecifikujeme port ako podrozhranie eno1.4000, ktoré je pridelené nášmu VlanID.
Počas počiatočného nastavenia narazíte na radu, že si môžete nainštalovať ďalší balík ifupdown2 pre Proxmox a nemusíte reštartovať celý server, ak dôjde k zmenám v sieťových rozhraniach. Toto je však typické len pre prvotné nastavenie a pri používaní mostov a nastavovaní virtuálnych strojov narážate na problémy so zlyhaním siete vo virtuálnych strojoch. Napriek tomu, že ste upravili napríklad rozhranie vmbr2 a keď použijete konfiguráciu, sieť spadne na všetkých interných rozhraniach a neobnoví sa, kým sa server úplne nereštartuje. ifdown&&ifup nepomáha. Ak má niekto riešenie, bol by som vďačný.
Úplne prvé nakonfigurované rozhranie na serveri zostáva funkčné a prístupné.
-
Pridelenie adresy pre CHR tak, aby sa nestratili adresy z fondu
Súbor adries, ktoré vytvára Hetzner, vyzerá pre sieťového operátora veľmi zvláštne, asi takto:
Zvláštne je, že brána navrhuje použiť vlastnú adresu fyzického servera.
Klasická možnosť, ktorú navrhol sám Hetzner, je uvedená vo vyhlásení o probléme a klient ju implementoval samostatne. Pri tejto možnosti klient stratí prvú adresu na sieťovú adresu, druhú adresu na proxmox bridge a bude to aj brána a posledná adresa pre broadcast. Adresy IPv4 nie sú nikdy nadbytočné. Ak sa priamo pokúsite zaregistrovať IP adresu 136.x.x.177/29 a bránu pre 0.0.0.0/0 148.x.x.165 na CHR, môžete to urobiť, ale brána nebude priamo pripojená, a preto bude nedostupná .
Z tejto situácie sa môžeme dostať tak, že pre každú adresu použijeme sieť 32 a ako názov siete zadáme adresu, ktorú potrebujeme, čo môže byť čokoľvek. Ukázalo sa, že ide o analógové spojenie bod-bod.
V tomto prípade bude brána samozrejme dostupná a všetko bude fungovať tak, ako potrebujeme.
Majte na pamäti, že v takejto konfigurácii sa neodporúča používať maškarné pravidlo SRC-NAT, pretože výstupná adresa bude neurčito odlišná a je správnejšie zadať akciu: src-NAT a konkrétnu adresu, z ktorej budete prepustiť klienta.
- A nakoniec.
Ak chcete zablokovať prístup k samotnému Proxmoxu z internetu, použite vstavané nástroje: existuje vynikajúci firewall.
Nemali by ste používať bránu firewall ponúkanú spoločnosťou hetzner, aby ste sa nemýlili o umiestnení nastavení. Hetzner bude fungovať aj na všetkých sieťach vrátane tých zriadených na CHR a na otváranie a preposielanie portov ich bude potrebné otvárať aj vo webovom rozhraní poskytovateľa.
Zdroj: hab.com