当遇到问题和大量文档的中断时,尝试组织并写下您学到的内容以便更好地记住。 并对这个问题也做出指示,以免再次走完全程。
大量源文档可在以下位置获取:
制定问题
客户希望将多台租用的服务器合并到一个网络中,以便无需支付多个额外子网的费用,将整个家庭挂在路由器后面,为它们分配本地地址,并受到防火墙的保护。 使所有业务流量都在VLAN内运行。 另外,将虚拟机从一台旧服务器移动到一台新服务器并放弃它,升级您正在使用的旧硬件,同时迁移到新的 Proxmox。
最初,客户端有 5 台服务器,每台服务器都有一个附加子网,专用子网中的第一个地址被分配给 Proxmox 上的附加网桥
同时,虚拟机在 Windows 上运行,地址为 85.xx177/29,配置了网关 85.xx176
所有 5 台拥有自己虚拟机的服务器都以类似的方式配置。
有趣的是,这种配置原则上在设置网络时是错误的;对第一个节点使用网络地址,对网关使用相同的网络地址。 如果您尝试在 Ubuntu 中的虚拟机上运行此配置,网络将无法工作。
履行
- 我们在接口中创建一个vSwitch,为其分配一个VlanID,并将这个vSwitch添加到我们需要的所有服务器中。
- 我们正在制作一个测试服务器,以便我们可以毫无问题地设置和移动。
我们通过以下方式筹集第一个虚拟机 chr .
如果您使用上面的脚本,请注意,它首先检查 -d /root/temp 目录是否存在,如果不存在,则创建 /home/root/temp 目录,但仍进行进一步的工作退出 /root/temp 目录。 需要更正脚本以创建适当的目录。
- 为 Proxmox 设置网络。
我们添加一个带有 VLAN 号的子接口,表明将使用 inet 手册在网桥上配置地址。 重要的。 您无法在随后将包含在网桥中的接口上配置 IP 地址;任何人都不知道它如何工作以及是否有效。
接下来,我们创建一个网桥 vmbr0 - 并将 Hetzner 提供商提供给我们的服务器本身的第一个地址附加到它,指示网桥端口 - 第一个没有 VLAN 的物理接口,并使用附加命令指定添加到我们的附加网络的路由,通过此网桥从 Hetzner 为该服务器订购。 当接口up时,添加路由即可生效。
第二个网桥将是我们用于本地流量的接口,我们向其添加一个地址,以通过本地网络获得不同 Proxmox 服务器之间的连接,而无需访问互联网,并将端口指定为子接口 eno1.4000,该子接口是为我们的 VlanID 分配的。
在初始设置过程中,您遇到建议,您可以为 Proxmox 安装额外的 ifupdown2 软件包,并且如果网络接口发生变化,您不必重新启动整个服务器。 但是,这通常仅适用于初始设置,在使用桥接和设置虚拟机时,您会遇到虚拟机中的网络故障问题。 例如,尽管您编辑了 vmbr2 接口,但当您应用配置时,所有内部接口上的网络都会断开,并且直到服务器完全重新启动后才会恢复。 ifdown&&ifup 没有帮助。 如果有人有解决方案,我将不胜感激。
服务器上第一个配置的界面仍然有效且可访问。
-
为 CHR 分配地址,以免丢失池中的地址
Hetzner 生成的地址池对于网络人员来说看起来很奇怪,如下所示:
奇怪的是,gate建议使用自己的物理服务器地址。
Hetzner本人提出的经典方案已在问题陈述中指出,并由客户独立实施。 在此选项中,客户端丢失第一个地址为网络地址,第二个地址为 proxmox 桥接器(它也将是网关),以及最后一个广播地址。 IPv4 地址从来都不是冗余的。 如果您直接尝试在CHR上注册IP地址136.x.x.177/29和0.0.0.0/0 148.x.x.165的网关,可以这样做,但网关不会是直连的,因此将无法访问。
我们可以通过为每个地址使用网络 32 并指定我们需要的地址(可以是任何地址)作为网络名称来摆脱这种情况。 事实证明,它是点对点连接的模拟。
在这种情况下,网关当然可用,并且一切都会按照我们的需要进行。
请记住,在这种配置中,不建议使用 SRC-NAT 伪装规则,因为输出地址将无限不同,并且更正确的是指定操作:src-NAT 和您将从中的特定地址释放客户端。
- 最后。
要阻止从互联网访问 Proxmox 本身,请使用内置工具:有一个出色的防火墙。
您不应该使用 hetzner 提供的防火墙,以免对设置的位置感到困惑。 Hetzner 还将在所有网络上工作,包括在 CHR 上建立的网络,并且要打开和转发端口,还需要在提供商的 Web 界面中打开它们。
来源: habr.com