Diante de uma pergunta e uma quebra, uma grande quantidade de documentação tenta sistematizar e anotar o que aprendeu para se lembrar melhor. E também faça instruções sobre este assunto, para não avançar novamente.
A documentação de origem está em grande número em https://forum.proxmox.com https://wiki.hetzner.de
Declaração do problema
O cliente quer combinar vários servidores alugados em uma rede para se livrar da necessidade de pagar por várias sub-redes adicionais, desligar todo o seu farm por um roteador, atribuir endereços locais a eles dentro e proteger-se com um firewall. Para que todo o tráfego de serviço seja executado dentro da VLAN. Além disso, mova o virtualochki de um servidor antigo para outro e recuse-o, atualize o hardware antigo usado e, ao mesmo tempo, mude para um novo Proxmox.
Inicialmente, o cliente possui 5 servidores, cada um com uma sub-rede adicional, o primeiro endereço da sub-rede alocada é atribuído a uma ponte adicional no Proxmox
Ao mesmo tempo, as VMs funcionam no Windows e configuraram o endereço 85.xx177 / 29 com o portão 85.xx176
E de maneira semelhante, todos os 5 servidores com suas máquinas virtuais estão configurados.
É engraçado que essa configuração esteja errada na configuração da rede, em princípio, para usar o endereço de rede para o primeiro nó e também para o gateway. Se você tentar obter essa configuração em uma máquina virtual no Ubuntu, a rede não funcionará.
Implementação
- Criamos o vSwitch na interface, atribuímos o VlanID a ele, adicionamos esse vSwitch a todos os servidores que precisamos.
- Criamos um servidor de teste para que você possa configurar e mover-se sem problemas.
Aumentamos o primeiro chr virtual de acordo com as instruções para proxmox .
Se você usar o script acima, observe que a presença do diretório -d / root / temp é verificada no início e, se não for, o diretório / home / root / temp é criado; no entanto, mais trabalho continua com o diretório / root / temp. O script precisa ser corrigido para criar o diretório apropriado.
- Configure uma rede para o Proxmox.
Adicione a subinterface com o número da VLAN, indique que as configurações de endereço ocorrerão nas pontes usando o manual inet. IMPORTANTE Você não pode configurar endereços IP nas interfaces que você incluirá na ponte, como isso funcionará e se alguém sabe ou não.
Após a correspondência com o suporte da Hetzner, ficou claro que eles não podiam adicionar uma papoula adicional para a sub-rede nem para o endereço dedicado. Ou seja, você não pode incluir a interface local no servidor e a interface da nossa máquina virtual CHR na ponte. Hetzner envia uma notificação solicitando que a papoila extra seja removida. Removemos a ponte vmbr0 e atribuímos o endereço diretamente à interface eno1.
Em seguida, criamos a ponte vmbr1 - e penduramos nele um endereço arbitrário que será o ponto final de nossas rotas a partir do CHR, e também indicamos com um comando adicional a adição de uma rota à nossa rede adicional, ordenada pela Hetzner para este servidor através dessa ponte. Adicionar uma rota funcionará quando a interface aumentar.
A segunda ponte será nossa interface para o tráfego local, adicione um endereço para obter conectividade entre diferentes servidores Proxmox em uma rede local sem acesso à Internet e especifique a sinterinterface eno1.4000, que é alocada para o nosso VlanID, como a porta.
Durante a configuração inicial, você encontra dicas de que pode instalar o pacote ifupdown2 para Proxmox adicionalmente e não pode reiniciar completamente o servidor ao alterar as interfaces de rede. No entanto, isso é típico apenas para a configuração inicial e, ao usar pontes e configurar máquinas virtuais, você enfrenta problemas de falha de rede em máquinas virtuais. Apesar de você ter corrigido, por exemplo, a interface vmbr2 e, ao aplicar a configuração, a rede já cai em todas as interfaces internas e não aumenta até que o servidor seja completamente reiniciado. ifdown && ifup não ajuda. Se alguém tiver uma solução, ficarei grato.
A primeira interface configurada no servidor permanece operacional e acessível.
O estranho é que o portão sugere o uso do seu próprio endereço físico do servidor.
A versão clássica oferecida pelo próprio Hetzner é indicada na declaração do problema e foi implementada pelo cliente de forma independente. Nesta opção, o cliente perde o primeiro endereço para o endereço de rede, o segundo endereço na ponte proxmox e também será o gateway e o último endereço para a transmissão. Endereços IPv4 não são redundantes. Se você tentar registrar diretamente o endereço IP 136.x.x.177 / 29 e o gateway para 0.0.0.0/0 148.x.x.165 no CHR, poderá fazer isso, no entanto, o gateway não será conectado diretamente e, portanto, estará inacessível.
Você pode sair da situação se usar 32 redes para cada endereço e especificar o endereço que precisamos, que pode ser qualquer, como o nome da rede. Acontece o análogo da conexão ponto a ponto.
Nesse caso, é claro que o gateway estará disponível e tudo funcionará conforme a necessidade.
Lembre-se de que, nessa configuração, não é recomendável usar a regra de mascarada SRC-NAT, porque o endereço de saída será vagamente diferente, mas é mais correto especificar a ação: src-NAT e o endereço específico a partir do qual você liberará o cliente.
- E finalmente
Para bloquear o acesso ao Proxmox a partir da Internet, use as ferramentas integradas: existe um excelente firewall.
Você não deve usar o firewall oferecido pela hetzner para não ficar confuso no local das configurações. Além disso, o hetzner atuará em todas as redes, incluindo aquelas que estão conectadas ao CHR e para abrir e encaminhar portas, será necessário abri-lo também na interface da web do provedor.