Dihadapkan dengan pertanyaan dan jeda, sejumlah besar dokumentasi mencoba mensistematisasikan dan menuliskan apa yang Anda pelajari agar dapat mengingat dengan lebih baik. Dan juga membuat instruksi tentang masalah ini agar tidak berjalan jauh-jauh lagi.
Dokumentasi sumber dalam jumlah besar di https://forum.proxmox.com https://wiki.hetzner.de
Pernyataan masalah
Klien ingin menggabungkan beberapa server yang disewa ke dalam satu jaringan untuk menghilangkan kebutuhan untuk membayar beberapa subnet tambahan, menggantung semua peternakannya untuk router, menetapkan alamat lokal di dalamnya, dan melindungi dirinya dengan firewall. Sehingga semua lalu lintas layanan berjalan di dalam VLAN. Plus, pindahkan virtualochki dari satu server lama ke yang baru dan menolaknya, tingkatkan perangkat keras lama yang digunakan dan pada saat yang sama pindah ke Proxmox yang baru.
Awalnya, klien memiliki 5 server, masing-masing dengan subnet tambahan, alamat pertama dari subnet yang dialokasikan ditugaskan ke jembatan tambahan di Proxmox
Pada saat yang sama, VM bekerja pada Windows dan mereka telah mengkonfigurasi alamat 85.xx177 / 29 dengan gate 85.xx176
Dan dalam nada yang sama, semua 5 server dengan mesin virtual mereka dikonfigurasi.
Sangat lucu bahwa konfigurasi ini salah dalam mengatur jaringan, pada prinsipnya, untuk menggunakan alamat jaringan untuk node pertama dan juga untuk gateway. Jika Anda mencoba mendapatkan konfigurasi seperti itu di mesin virtual di Ubuntu, jaringan tidak berfungsi.
Implementasi
- Kami membuat vSwitch di antarmuka, menetapkan VlanID ke dalamnya, menambahkan vSwitch ini ke semua server yang kami butuhkan.
- Kami membuat server uji sehingga Anda dapat mengonfigurasi dan bergerak tanpa masalah.
Kami menaikkan chr virtual pertama sesuai dengan instruksi untuk proxmox .
Jika Anda menggunakan skrip di atas, perhatikan bahwa keberadaan direktori -d / root / temp diperiksa di awal, dan jika tidak, direktori / home / root / temp dibuat, namun, pekerjaan lebih lanjut dilanjutkan dengan direktori / root / temp. Skrip perlu diperbaiki untuk membuat direktori yang sesuai.
- Siapkan jaringan untuk Proxmox.
Tambahkan subinterface dengan nomor VLAN, menunjukkan bahwa pengaturan alamat akan terjadi pada jembatan menggunakan manual inet. PENTING Anda tidak dapat mengonfigurasi alamat IP pada antarmuka yang kemudian akan Anda sertakan di jembatan, bagaimana ini akan bekerja, dan apakah ada yang tahu atau tidak sama sekali.
Setelah korespondensi dengan dukungan Hetzner, menjadi jelas bahwa mereka tidak dapat menambahkan poppy tambahan untuk subnet serta untuk alamat khusus. Artinya, Anda tidak dapat menyertakan antarmuka lokal di server dan antarmuka mesin virtual CHR kami di jembatan. Hetzner mengirimkan pemberitahuan yang meminta agar poppy tambahan dihapus. Kami menghapus jembatan vmbr0 dan menetapkan alamat langsung ke antarmuka eno1.
Selanjutnya, kita membuat jembatan vmbr1 - dan menggantungkannya pada alamat sewenang-wenang, yang akan menjadi titik akhir rute kita dari CHR, dan juga menunjukkan dengan perintah tambahan rute ke jaringan tambahan kami, yang dipesan di Hetzner untuk server ini melalui jembatan ini. Menambahkan rute akan berfungsi saat antarmuka naik.
Jembatan kedua akan menjadi antarmuka kami untuk lalu lintas lokal, menambahkan alamat untuk mendapatkan konektivitas antara server Proxmox yang berbeda di jaringan lokal tanpa akses ke Internet dan menentukan sinterinterface eno1.4000, yang dialokasikan untuk VlanID kami, sebagai port.
Selama penyetelan awal, Anda menemukan tip yang dapat Anda instal paket ifupdown2 untuk Proxmox tambahan, dan Anda tidak dapat sepenuhnya me-restart server ketika mengubah antarmuka jaringan. Namun, ini hanya khas untuk pengaturan awal, dan saat menggunakan jembatan dan menyiapkan mesin yang sudah virtual, Anda mengalami masalah kegagalan jaringan pada mesin virtual. Terlepas dari kenyataan bahwa Anda memperbaiki, misalnya, antarmuka vmbr2, dan ketika menerapkan konfigurasi, jaringan sudah jatuh pada semua antarmuka internal dan tidak naik sampai server benar-benar dimulai kembali. ifdown && ifup tidak membantu. Jika ada yang punya solusi, saya akan berterima kasih.
Antarmuka terkonfigurasi pertama pada server tetap operasional dan dapat diakses.
Yang aneh adalah bahwa gerbang menyarankan menggunakan alamat server fisik Anda sendiri.
Versi klasik yang ditawarkan oleh Hetzner sendiri ditunjukkan dalam pernyataan masalah dan diimplementasikan oleh klien secara mandiri. Dalam opsi ini, klien kehilangan alamat pertama ke alamat jaringan, alamat kedua di jembatan proxmox dan itu juga akan menjadi gateway, dan alamat terakhir untuk siaran. Alamat IPv4 tidak mubazir. Jika Anda secara langsung mencoba mendaftarkan alamat IP 136.x.x.177 / 29 dan gateway untuk 0.0.0.0/0 148.x.x.165 pada CHR, Anda dapat melakukan ini, namun, gateway tidak akan terhubung langsung dan karenanya tidak dapat dijangkau.
Anda dapat keluar dari situasi ini jika Anda menggunakan 32 jaringan untuk setiap alamat dan menentukan alamat yang kami butuhkan, yang bisa berupa apa saja, sebagai nama jaringan. Ternyata analog dari koneksi point-to-point.
Dalam hal ini, gateway tentu saja akan tersedia, dan semuanya akan berfungsi sesuai kebutuhan.
Perlu diingat bahwa dalam konfigurasi seperti itu tidak disarankan untuk menggunakan aturan masquerade SRC-NAT, karena alamat keluaran akan sedikit berbeda, tetapi lebih tepat untuk menentukan tindakan: src-NAT dan alamat spesifik dari mana Anda akan melepaskan klien.
- Dan akhirnya.
Untuk memblokir akses ke Proxmox sendiri dari Internet, gunakan alat bawaan: ada firewall yang sangat baik.
Anda tidak boleh menggunakan firewall yang ditawarkan oleh hetzner agar tidak bingung di lokasi pengaturan. Selain itu, hetzner akan bertindak pada semua jaringan, termasuk yang terhubung ke CHR dan untuk membuka dan meneruskan port, akan perlu untuk membukanya di antarmuka web penyedia juga.