面对一个问题和一个中断,大量文档试图系统化并写下您学到的东西,以便更好地记住。 并就此事做出指示,以免再次陷入困境。
源文档在https://forum.proxmox.com https://wiki.hetzner.de上有大量
问题陈述
客户希望将几台租用的服务器组合到一个网络中,从而不必为几个额外的子网付费,不必为路由器挂断所有家庭的地址,在内部为其分配本地地址,并受到防火墙的保护。 这样所有服务流量都在VLAN内运行。 另外,将virtualochki从一台旧服务器移至一台新服务器,然后拒绝,升级旧的硬件,同时移至新的Proxmox。
最初,客户端有5台服务器,每台服务器都有一个额外的子网,分配的子网中的第一个地址被分配给Proxmox上的另一个网桥
同时,VM在Windows上运行,并且已使用门85.xx176配置地址85.xx177 / 29。
同样,所有5台服务器及其虚拟机均已配置。
有趣的是,这种配置在建立网络上是错误的,从原则上讲,将网络地址用于第一个节点以及网关。 如果您尝试在Ubuntu的虚拟机中获得这样的配置,则网络将无法正常工作。
实作
- 我们在接口中创建vSwitch,为其分配VlanID,然后将此vSwitch添加到我们需要的所有服务器中。
- 我们制造了一个测试服务器,以便您可以毫无问题地进行配置和移动。
我们根据proxmox的说明提高了第一个虚拟chr。
如果使用上述脚本,请注意-d / root / temp目录是在开始时检查的,如果不存在-d,则创建/ home / root / temp目录,但是/ root / temp目录将继续进行进一步的工作。 需要修复脚本才能创建适当的目录。
使用VLAN编号添加子接口,并使用inet手册指示地址设置将在网桥上进行。 重要事项 您无法在随后要包含在网桥中的接口上配置IP地址,其工作方式以及是否有人都知道。
在获得Hetzner支持的信件之后,很明显,他们无法为子网以及专用地址添加额外的罂粟花。 也就是说,您不能在服务器中包括本地接口,也不能在桥中包括我们的CHR虚拟机的接口。 Hetzner发送通知,要求删除多余的罂粟。 我们删除了vmbr0网桥,并将地址直接分配给eno1接口。
接下来,我们创建vmbr1桥-并在其上悬挂一个任意地址,该地址将是我们从CHR路由的终点,并还通过一条附加命令指示到我们的附加网络的路由,该地址通过此桥在Hetzner中为此服务器订购。 接口上升时,添加路由将起作用。
第二个网桥将是我们用于本地通信的接口,向其添加地址以在不访问Internet的情况下获得本地网络上不同Proxmox服务器之间的连接,并指定为我们的VlanID分配的sinterinterface eno1.4000作为端口。
在初始设置过程中,您会遇到一些提示,提示您可以另外为Proxmox安装ifupdown2软件包,并且在更改网络接口时不能完全重新启动服务器。 但是,这仅是典型的初始设置,并且在使用网桥并设置已经存在的虚拟机时,会遇到虚拟机网络故障的问题。 尽管您已纠正了例如vmbr2接口的事实,并且在应用配置时,网络在所有内部接口上已经断开连接,并且直到服务器完全重新启动后才上升。 ifdown && ifup没有帮助。 如果有人能解决,我将不胜感激。
服务器上最先配置的界面仍然可操作且可访问。
奇怪的是,闸门建议使用您自己的物理服务器地址。
问题陈述中指出了Hetzner自己提供的经典版本,并且由客户独立实施。 在此选项中,客户端将第一个地址丢失到网络地址,在Proxmox桥上丢失第二个地址,它也将成为网关,以及广播的最后一个地址。 IPv4地址不是冗余的。 如果您直接尝试在CHR上注册IP地址136.x.x.177 / 29和0.0.0.0/0 148.x.x.165的网关,则可以执行此操作,但是,该网关将无法直接连接,因此将无法访问。
如果为每个地址使用32个网络并指定我们需要的地址作为网络名称,则可以避免这种情况。 事实证明点对点连接的模拟。
在这种情况下,网关当然是可用的,并且一切都会按需工作。
请记住,在这样的配置中,不建议使用SRC-NAT伪装规则,因为输出地址可能会有所不同,但是指定操作更为正确:src-NAT和从中释放客户端的特定地址。
- 最后。
要阻止从Internet访问Proxmox本身,请使用内置工具:有出色的防火墙。
请勿使用hetzner提供的防火墙,以免混淆设置的位置。 而且,hetzner将作用于所有网络,包括连接到CHR的网络,并且对于打开和转发端口,也必须在提供商的Web界面中将其打开。