Savolga duch kelganingizda va katta hajmdagi hujjatlardan tanaffus qilsangiz, yaxshiroq eslab qolish uchun o'rganganlaringizni tartibga solishga va yozishga harakat qiling. Va yana butun yo'lni bosib o'tmaslik uchun ushbu masala bo'yicha ko'rsatmalar bering.
Manba hujjatlari katta miqdorda mavjud
Muammoni shakllantirish
Mijoz bir nechta qo'shimcha subtarmoqlar uchun to'lash zaruriyatidan xalos bo'lish, butun xonadonini router orqasiga osib qo'yish, ularga mahalliy manzillarni belgilash va xavfsizlik devori bilan himoyalanish uchun bir nechta ijaraga olingan serverlarni bitta tarmoqqa birlashtirmoqchi. Shunday qilib, barcha xizmat trafigi VLAN ichida ishlaydi. Bundan tashqari, virtual mashinalarni bitta eski serverdan yangisiga ko'chiring va undan voz keching, foydalanayotgan eski uskunani yangilang va shu bilan birga yangi Proxmox-ga o'ting.
Dastlab, mijozda 5 ta server mavjud bo'lib, ularning har biri qo'shimcha quyi tarmoqqa ega, ajratilgan pastki tarmoqdan birinchi manzil Proxmox-dagi qo'shimcha ko'prikka tayinlanadi.
Shu bilan birga, VMlar Windows tizimida ishlaydi va 85.xx177 eshigi bilan sozlangan 29.xx85/176 manziliga ega.
Va o'zlarining virtual mashinalariga ega bo'lgan barcha 5 serverlar xuddi shunday tarzda tuzilgan.
Qizig'i shundaki, ushbu konfiguratsiya printsipial jihatdan tarmoqni o'rnatishda noto'g'ri; birinchi tugun uchun tarmoq manzilidan foydalaning va shlyuz uchun xuddi shunday. Agar siz ushbu konfiguratsiyani Ubuntu-dagi virtual mashinada ishga tushirishga harakat qilsangiz, tarmoq ishlamaydi.
Реализация
- Biz interfeysda vSwitch-ni yaratamiz, unga VlanID-ni tayinlaymiz va ushbu vSwitch-ni barcha kerakli serverlarga qo'shamiz.
- Biz o'rnatishimiz va muammosiz harakat qilishimiz uchun test serverini yaratmoqdamiz.
Biz birinchi virtual mashina chr ni ko'taramiz .
Agar siz yuqoridagi skriptdan foydalansangiz, diqqat qiling: u avval -d /root/temp katalogining mavjudligini tekshiradi, agar u mavjud bo'lmasa, /home/root/temp katalogi yaratiladi, ammo keyingi ishlar davom etadi. /root/temp katalogi bilan chiqing. Tegishli katalogni yaratish uchun skriptni tuzatish kerak.
- Proxmox uchun tarmoqni sozlash.
Biz VLAN raqamiga ega subinterfeysni qo'shamiz, bu manzillar inet qo'llanmasidan foydalangan holda ko'priklarda sozlanishini ko'rsatadi. MUHIM. Siz ko'prikga qo'shadigan interfeyslarda IP manzillarni sozlay olmaysiz; bu qanday ishlaydi va u ishlaydimi, hech kimga noma'lum bo'ladi.
Keyinchalik, biz vmbr0 ko'prigini yaratamiz - va unga Hetzner provayderlari tomonidan bizga berilgan serverning birinchi manzilini biriktiramiz, ko'prik portini belgilaymiz - VLANsiz birinchi jismoniy interfeys, shuningdek qo'shimcha buyruq bilan qo'shimchani belgilaymiz. Ushbu ko'prik orqali ushbu server uchun Hetzner tomonidan buyurtma qilingan qo'shimcha tarmog'imizga marshrut. Marshrutni qo'shish interfeys yuqoriga ko'tarilganda ishlaydi.
Ikkinchi ko'prik bizning mahalliy trafik uchun interfeysimiz bo'ladi, biz Internetga ulanmasdan mahalliy tarmoq orqali turli Proxmox serverlari o'rtasida ulanishni olish uchun unga manzil qo'shamiz va portni VlanID uchun ajratilgan eno1.4000 subinterfeysi sifatida belgilaymiz.
Dastlabki sozlash paytida siz Proxmox uchun qo'shimcha ifupdown2 paketini o'rnatishingiz mumkinligi va tarmoq interfeyslarida o'zgarishlar bo'lsa, butun serverni qayta ishga tushirishingiz shart emasligi haqida maslahatga duch kelasiz. Biroq, bu faqat dastlabki sozlash uchun odatiy holdir va ko'priklardan foydalanish va virtual mashinalarni o'rnatishda siz virtual mashinalarda tarmoq ishlamay qolishi bilan bog'liq muammolarga duch kelasiz. Siz, masalan, vmbr2 interfeysini tahrir qilganingizga va konfiguratsiyani qo'llaganingizda, tarmoq barcha ichki interfeyslarga tushib qoladi va server to'liq qayta ishga tushmaguncha tiklanmaydi. ifdown&&ifup yordam bermaydi. Agar kimdir yechim topsa, men minnatdor bo'laman.
Serverdagi birinchi sozlangan interfeys ishlayotgan va foydalanish mumkin bo'lib qoladi.
-
Hovuzdagi manzillarni yo'qotmaslik uchun CHR uchun manzilni ajratish
Hetzner ishlab chiqaradigan manzillar to'plami tarmoqchi uchun juda g'alati ko'rinadi, shunga o'xshash narsa:
Ajablanarlisi shundaki, darvoza jismoniy serverning o'z manzilidan foydalanishni taklif qiladi.
Xetznerning o'zi taklif qilgan klassik variant muammo bayonotida ko'rsatilgan va mijoz tomonidan mustaqil ravishda amalga oshirilgan. Ushbu parametrda mijoz birinchi manzilni tarmoq manziliga, ikkinchi manzilni proxmox ko'prigiga yo'qotadi va u ham shlyuz va translyatsiya uchun oxirgi manzil bo'ladi. IPv4 manzillari hech qachon ortiqcha bo'lmaydi. Agar siz CHRda 136.x.x.177/29 IP manzilini va 0.0.0.0/0 148.x.x.165 uchun shlyuzni roʻyxatdan oʻtkazishga toʻgʻridan-toʻgʻri harakat qilsangiz, buni amalga oshirishingiz mumkin, lekin shlyuz toʻgʻridan-toʻgʻri ulanmaydi va shuning uchun unga kirish imkoni boʻlmaydi. .
Biz har bir manzil uchun tarmoq 32 dan foydalanib, tarmoq nomi sifatida har qanday narsa bo'lishi mumkin bo'lgan kerakli manzilni ko'rsatib, bu vaziyatdan chiqishimiz mumkin. Bu nuqtadan nuqtaga ulanishning analogi bo'lib chiqadi.
Bunday holda, shlyuz, albatta, mavjud bo'ladi va hamma narsa bizga kerak bo'lganda ishlaydi.
Shuni esda tutingki, bunday konfiguratsiyada SRC-NAT maskarad qoidasidan foydalanish tavsiya etilmaydi, chunki chiqish manzili cheksiz farq qiladi va harakatni ko'rsatish to'g'riroq: src-NAT va siz amalga oshiradigan aniq manzil. mijozni qo'yib yuboring.
- Va nihoyat.
Proxmox-ga Internetdan kirishni blokirovka qilish uchun o'rnatilgan vositalardan foydalaning: ajoyib xavfsizlik devori mavjud.
Sozlamalarning joylashuvi haqida chalkashmaslik uchun siz hetzner tomonidan taqdim etilgan xavfsizlik devoridan foydalanmasligingiz kerak. Hetzner shuningdek, barcha tarmoqlarda, shu jumladan CHR-da o'rnatilgan tarmoqlarda ishlaydi va portlarni ochish va yo'naltirish uchun ularni provayderning veb-interfeysida ham ochish kerak bo'ladi.
Manba: www.habr.com