Face à une question et une pause, une grande quantité de documentation essaie de systématiser et d'écrire ce que vous avez appris afin de mieux vous en souvenir. Et donnez également des instructions à ce sujet afin de ne pas recommencer.
La documentation source est en grand nombre sur https://forum.proxmox.com https://wiki.hetzner.de
Énoncé du problème
Le client souhaite combiner plusieurs serveurs loués en un seul réseau afin de se débarrasser de la nécessité de payer pour plusieurs sous-réseaux supplémentaires, de raccrocher toute sa ferme pour un routeur, de leur attribuer des adresses locales à l'intérieur et de se protéger avec un pare-feu. Pour que tout le trafic de service s'exécute à l'intérieur du VLAN. De plus, déplacez virtualochki d'un ancien serveur vers un nouveau et refusez de cela, mettez à niveau l'ancien matériel utilisé et passez en même temps à un nouveau Proxmox.
Initialement, le client dispose de 5 serveurs, chacun avec un sous-réseau supplémentaire, la première adresse du sous-réseau alloué est affectée à un pont supplémentaire sur Proxmox
Dans le même temps, les machines virtuelles fonctionnent sous Windows et elles ont configuré l'adresse 85.xx177 / 29 avec la porte 85.xx176
Et dans la même veine, les 5 serveurs avec leurs machines virtuelles sont configurés.
Il est amusant que cette configuration soit erronée lors de la configuration du réseau, en principe, pour utiliser l'adresse réseau pour le premier nœud et également pour la passerelle. Si vous essayez d'obtenir une telle configuration dans une machine virtuelle dans Ubuntu, le réseau ne fonctionne pas.
Implémentation
- Nous créons vSwitch dans l'interface, lui attribuons VlanID, ajoutons ce vSwitch à tous les serveurs dont nous avons besoin.
- Nous faisons un serveur de test pour que vous puissiez configurer et déplacer sans problème.
Nous Ă©levons le premier chr virtuel selon les instructions de proxmox .
Si vous utilisez le script ci-dessus, notez que la présence du répertoire -d / root / temp est vérifiée au début, et si ce n'est pas le cas, le répertoire / home / root / temp est créé, cependant, le travail se poursuit avec le répertoire / root / temp. Le script doit être corrigé pour créer le répertoire approprié.
- Configurez un réseau pour Proxmox.
Ajoutez la sous-interface avec le numéro de VLAN, indiquez que les paramètres d'adresse se produiront sur les ponts à l'aide du manuel inet. IMPORTANT! Vous ne pouvez pas configurer d’adresses IP sur des interfaces que vous allez ensuite inclure dans le pont, comment cela fonctionnera et si personne ne le sait.
Après une correspondance avec le support de Hetzner, il est devenu clair qu'ils ne pouvaient pas ajouter un coquelicot supplémentaire pour le sous-réseau ainsi que pour l'adresse dédiée. Autrement dit, vous ne pouvez pas inclure l'interface locale sur le serveur et l'interface de notre machine virtuelle CHR dans le pont. Hetzner envoie une notification demandant la suppression du pavot supplémentaire. Nous supprimons le pont vmbr0 et attribuons l'adresse directement à l'interface eno1.
Ensuite, nous créons le pont vmbr1 - et y accrochons une adresse arbitraire, qui sera le point de terminaison de nos itinéraires depuis CHR, et indiquons également avec une commande supplémentaire l'itinéraire vers notre réseau supplémentaire, commandé à Hetzner pour ce serveur via ce pont. L'ajout d'un itinéraire fonctionnera lorsque l'interface se lève.
Le deuxième pont sera notre interface pour le trafic local, ajoutez-y une adresse pour obtenir la connectivité entre différents serveurs Proxmox sur un réseau local sans accès à Internet et spécifiez la sinterinterface eno1.4000, qui est allouée pour notre VlanID, comme port.
Au cours de la configuration initiale, vous rencontrez des conseils qui vous permettent d'installer le package ifupdown2 pour Proxmox en plus, et vous ne pouvez pas redémarrer complètement le serveur lors du changement des interfaces réseau. Cependant, cela n'est typique que pour la configuration initiale et lorsque vous utilisez des ponts et configurez des machines déjà virtuelles, vous rencontrez des problèmes de défaillance du réseau dans les machines virtuelles. Malgré le fait que vous ayez corrigé, par exemple, l'interface vmbr2, et lors de l'application de la configuration, le réseau tombe déjà sur toutes les interfaces internes et ne monte pas tant que le serveur n'est pas complètement redémarré. ifdown && ifup n'aident pas. Si quelqu'un a une solution, je vous en serai reconnaissant.
La toute première interface configurée sur le serveur reste opérationnelle et accessible.
La chose étrange est que la porte suggère d'utiliser votre propre adresse de serveur physique.
La version classique proposée par Hetzner lui-même est indiquée dans l'énoncé du problème et a été mise en œuvre par le client de manière indépendante. Dans cette option, le client perd la première adresse à l'adresse réseau, la deuxième adresse sur le pont proxmox et ce sera également la passerelle, et la dernière adresse pour la diffusion. Les adresses IPv4 ne sont pas redondantes. Si vous essayez directement d'enregistrer l'adresse IP 136.x.x.177 / 29 et la passerelle pour 0.0.0.0/0 148.x.x.165 sur le CHR, vous pouvez le faire, cependant, la passerelle ne sera pas connectée directement et ne sera donc pas accessible.
Vous pouvez sortir de la situation si vous utilisez 32 réseaux pour chaque adresse et spécifiez l'adresse dont nous avons besoin, qui peut être n'importe laquelle, comme nom de réseau. Il s'avère que l'analogique de la connexion point à point.
Dans ce cas, la passerelle sera bien sûr disponible et tout fonctionnera selon nos besoins.
Gardez à l'esprit que dans une telle configuration, il n'est pas recommandé d'utiliser la règle de mascarade SRC-NAT, car l'adresse de sortie sera vaguement différente, mais il est plus correct de spécifier l'action: src-NAT et l'adresse spécifique à partir de laquelle vous libérerez le client.
- Et enfin.
Pour bloquer l'accès à Proxmox lui-même depuis Internet, utilisez les outils intégrés: il existe un excellent pare-feu.
Vous ne devez pas utiliser le pare-feu proposé par hetzner afin de ne pas vous tromper dans l'emplacement des paramètres. De plus, hetzner agira sur tous les réseaux, y compris ceux qui sont connectés au CHR et pour ouvrir et transférer des ports, il sera également nécessaire de l'ouvrir dans l'interface Web du fournisseur.