Angesichts einer Frage und einer Unterbrechung wird in zahlreichen Dokumentationen versucht, das Gelernte zu systematisieren und aufzuschreiben, um sich besser zu erinnern. Und machen Sie auch Anweisungen in dieser Angelegenheit, um nicht den ganzen Weg wieder zu gehen.
Die Quelldokumentation finden Sie in großer Anzahl unter https://forum.proxmox.com https://wiki.hetzner.de
Erklärung des Problems
Der Client möchte mehrere gemietete Server in einem Netzwerk zusammenfassen, um nicht mehr für mehrere zusätzliche Subnetze bezahlen zu müssen, die gesamte Farm für einen Router aufzuhängen, ihnen lokale Adressen zuzuweisen und sich mit einer Firewall zu schützen. Damit der gesamte Serviceverkehr im VLAN abläuft. Verschieben Sie außerdem virtualochki von einem alten Server auf einen neuen und lehnen Sie dies ab, aktualisieren Sie die verwendete alte Hardware und wechseln Sie gleichzeitig zu einem neuen Proxmox.
Anfänglich verfügt der Client über 5 Server mit jeweils einem zusätzlichen Subnetz, wobei die erste Adresse aus dem zugewiesenen Subnetz einer zusätzlichen Bridge auf Proxmox zugewiesen wird
Gleichzeitig arbeiten VMs unter Windows und haben die Adresse 85.xx177 / 29 mit dem Gate 85.xx176 konfiguriert
In ähnlicher Weise werden alle 5 Server mit ihren virtuellen Maschinen konfiguriert.
Es ist lustig, dass diese Konfiguration beim Einrichten des Netzwerks im Prinzip falsch ist, um die Netzwerkadresse für den ersten Knoten und auch für das Gateway zu verwenden. Wenn Sie versuchen, eine solche Konfiguration in einer virtuellen Maschine in Ubuntu zu erhalten, funktioniert das Netzwerk nicht.
Implementierung
- Wir erstellen einen vSwitch in der Benutzeroberfläche, weisen ihm eine VlanID zu und fügen diesen vSwitch allen Servern hinzu, die wir benötigen.
- Wir stellen einen Testserver zur Verfügung, damit Sie problemlos konfigurieren und umziehen können.
Wir erheben den ersten virtuellen chr gemäß der Anleitung für proxmox .
Wenn Sie das obige Skript verwenden, beachten Sie, dass das Vorhandensein des Verzeichnisses -d / root / temp zu Beginn überprüft wird. Ist dies nicht der Fall, wird das Verzeichnis / home / root / temp erstellt. Die weitere Arbeit mit dem Verzeichnis / root / temp wird jedoch fortgesetzt. Das Skript muss repariert werden, um das entsprechende Verzeichnis zu erstellen.
- Richten Sie ein Netzwerk für Proxmox ein.
Fügen Sie das Subinterface mit der VLAN-Nummer hinzu und geben Sie an, dass die Adresseinstellungen auf Bridges mithilfe des inet-Handbuchs vorgenommen werden. WICHTIG Sie können keine IP-Adressen für Schnittstellen konfigurieren, die Sie dann in die Bridge aufnehmen, wie dies funktioniert und ob jemand etwas weiß oder nicht.
Nach der Korrespondenz mit dem Hetzner-Support wurde klar, dass weder für das Subnetz noch für die dedizierte Adresse eine zusätzliche Mohnblume hinzugefügt werden konnte. Das heißt, Sie können die lokale Schnittstelle auf dem Server und die Schnittstelle unserer virtuellen CHR-Maschine nicht in die Bridge aufnehmen. Hetzner sendet eine Benachrichtigung mit der Aufforderung, die zusätzliche Mohnblume zu entfernen. Wir entfernen die vmbr0-Brücke und weisen die Adresse direkt der eno1-Schnittstelle zu.
Als nächstes erstellen wir die vmbr1-Brücke - und hängen eine beliebige Adresse daran, die der Endpunkt unserer Routen von CHR ist, und geben mit einem zusätzlichen Befehl die Route zu unserem zusätzlichen Netzwerk an, die in Hetzner für diesen Server über diese Brücke bestellt wurde. Das Hinzufügen einer Route funktioniert, wenn die Benutzeroberfläche ansteigt.
Die zweite Brücke ist unsere Schnittstelle für den lokalen Datenverkehr. Fügen Sie eine Adresse hinzu, um die Konnektivität zwischen verschiedenen Proxmox-Servern in einem lokalen Netzwerk ohne Internetzugang herzustellen, und geben Sie als Port die Sinterschnittstelle eno1.4000 an, die unserer VlanID zugewiesen ist.
Während der Ersteinrichtung erhalten Sie Tipps, wie Sie das ifupdown2-Paket für Proxmox zusätzlich installieren und den Server beim Ändern der Netzwerkschnittstellen nicht vollständig neu starten können. Dies ist jedoch nur für die Erstkonfiguration typisch. Wenn Sie Bridges verwenden und bereits virtuelle Maschinen einrichten, treten bei virtuellen Maschinen Probleme mit Netzwerkfehlern auf. Obwohl Sie beispielsweise die vmbr2-Schnittstelle korrigiert haben und die Konfiguration angewendet wurde, fällt das Netzwerk bereits auf allen internen Schnittstellen aus und steigt erst nach einem vollständigen Neustart des Servers an. ifdown && ifup helfen nicht. Wenn jemand eine Lösung hat, bin ich dankbar.
Die allererste konfigurierte Schnittstelle auf dem Server bleibt betriebsbereit und zugänglich.
Adresszuweisung für CHR, um Adressen aus dem Pool nicht zu verlieren
Der Adresspool, den Hetzner ausgibt, sieht für einen Netzwerker sehr seltsam aus:
Das Seltsame ist, dass das Gate die Verwendung Ihrer eigenen physischen Serveradresse vorschlägt.
Die von Hetzner selbst angebotene klassische Version ist in der Problemstellung angegeben und wurde vom Auftraggeber eigenständig umgesetzt. Bei dieser Option verliert der Client die erste Adresse an die Netzwerkadresse, die zweite Adresse an die Proxmox-Bridge und es wird auch das Gateway und die letzte Adresse für die Übertragung. IPv4-Adressen sind nicht redundant. Wenn Sie direkt versuchen, die IP-Adresse 136.x.x.177 / 29 und das Gateway für 0.0.0.0/0 148.x.x.165 auf dem CHR zu registrieren, können Sie dies tun. Das Gateway ist jedoch nicht direkt verbunden und daher nicht erreichbar.
Sie können aus der Situation herauskommen, wenn Sie für jede Adresse 32 Netzwerke verwenden und die von uns benötigte Adresse, die eine beliebige sein kann, als Netzwerkname angeben. Es stellt sich das Analogon der Punkt-zu-Punkt-Verbindung heraus.
In diesem Fall wird das Gateway natürlich verfügbar sein und alles wird so funktionieren, wie wir es brauchen.
Beachten Sie, dass in einer solchen Konfiguration die Verwendung der SRC-NAT-Maskeraderegel nicht empfohlen wird, da die Ausgabeadresse vage anders ist, es jedoch korrekter ist, die Aktion src-NAT und die spezifische Adresse anzugeben, von der Sie den Client freigeben.
- Und zum Schluss.
Um den Zugriff auf Proxmox selbst aus dem Internet zu blockieren, verwenden Sie die integrierten Tools: Es gibt eine hervorragende Firewall.
Sie sollten die von hetzner angebotene Firewall nicht verwenden, um sich nicht am Ort der Einstellungen zu verwechseln. Hetzner wird auch in allen netzwerken aktiv sein, auch in jenen, die mit dem chr verbunden sind, und um ports zu öffnen und weiterzuleiten, muss es auch in der weboberfläche des anbieters geöffnet werden.