Poslední příspěvky1
Sítě / Re:DMZ na Proxmoxe
« Poslední příspěvek od František Ryšánek kdy Dnes v 12:04:38 »Rád slyším, že těm technologiím podle všeho rozumíte. Takže si uděláte vlastní úsudek, s ohledem na Váš "scénář nasazení". Zbytek je totiž do značné míry věc osobního vkusu a zdravého rozumu. Subjektivní faktory.
Mně třeba nepřijde jako moc dobrý nápad, schovávat guesty za společnou MAC adresu, jenom protože jsou pohromadě v jednom fyzickém šasi. Když je pak stejně máte na společném subnetu či VLAN napříč místností, budovou apod. Otázkou je, zda se na ně chcete jednotlivě obracet příchozími spojeními zvenčí. Jako v nějaké velmi povrchní rovině tu motivaci třeba chápu, "udělat si pořádek" - ale v rovině vrstevnatosti sítě, elegantní transparence, třeba taky migrace VM guestů mezi fyzickými boxy... mi to nepřipadá nutně jako dobrý nápad. Ale jak říkám - je to věc Vašeho vkusu, úsudku, scénáře použití atd.
Ohledně dotazu "a kde to teda routovat skrz NAT" - ano v kontextu hostitele je jedna možnost, pomocí iptables to ani není moc práce, a souhlas, nevypadá to moc hezky. Zmínil jste LXC - ano souhlas, to je možnost realizovatelná z větší části prostředky PVE GUI. "lehčí" variantou by bylo, zavřít ten virtualizovaný routující uzel do dedikovaného "network namespace" v rámci hostitele. Podle mého LXC také používá network namespace pro virtualizaci/opouzdření svého síťování (možná kecám, nezkoumal jsem).
Abyste si vyvedl spoj ze základního vmbr0 do odděleného network namespace, k tomu bych použil již zmíněný VETH - vyrobíte pár rozhraní, jedno přiřadíte do vmbr0 v defaultním namespace, druhé v páru vystrčíte do nově vytvořeného network namespace. Následně je mi otázkou, zda je možné, zapíchnout TAP rozhraní konkrétního VM guesta zvenčí v hostiteli právě do toho oploceného dedicated namespace. Ale ono by zřejmě stačilo, nasázet guesty do zcela virtuálního soft-bridge (nemusíte jim ani nutit VLANu) v defaultním namespace, a z něj si vytáhnout opět "VETH pár" do výše připraveného odděleného network namespace. Možná by ten VETH ani nebyl potřeba, možná by stačilo přiřadit do namespace "muj_izolovany_vmbr1" - tady nevím, zda může "vlastní referenční rozhraní instance soft-bridge" patřit do jiného namespace, než členské porty soft-bridge :-)
Doufám, že jsem to zašmodrchal dostatečně a jdu dělat něco užitečného.
Mně třeba nepřijde jako moc dobrý nápad, schovávat guesty za společnou MAC adresu, jenom protože jsou pohromadě v jednom fyzickém šasi. Když je pak stejně máte na společném subnetu či VLAN napříč místností, budovou apod. Otázkou je, zda se na ně chcete jednotlivě obracet příchozími spojeními zvenčí. Jako v nějaké velmi povrchní rovině tu motivaci třeba chápu, "udělat si pořádek" - ale v rovině vrstevnatosti sítě, elegantní transparence, třeba taky migrace VM guestů mezi fyzickými boxy... mi to nepřipadá nutně jako dobrý nápad. Ale jak říkám - je to věc Vašeho vkusu, úsudku, scénáře použití atd.
Ohledně dotazu "a kde to teda routovat skrz NAT" - ano v kontextu hostitele je jedna možnost, pomocí iptables to ani není moc práce, a souhlas, nevypadá to moc hezky. Zmínil jste LXC - ano souhlas, to je možnost realizovatelná z větší části prostředky PVE GUI. "lehčí" variantou by bylo, zavřít ten virtualizovaný routující uzel do dedikovaného "network namespace" v rámci hostitele. Podle mého LXC také používá network namespace pro virtualizaci/opouzdření svého síťování (možná kecám, nezkoumal jsem).
Abyste si vyvedl spoj ze základního vmbr0 do odděleného network namespace, k tomu bych použil již zmíněný VETH - vyrobíte pár rozhraní, jedno přiřadíte do vmbr0 v defaultním namespace, druhé v páru vystrčíte do nově vytvořeného network namespace. Následně je mi otázkou, zda je možné, zapíchnout TAP rozhraní konkrétního VM guesta zvenčí v hostiteli právě do toho oploceného dedicated namespace. Ale ono by zřejmě stačilo, nasázet guesty do zcela virtuálního soft-bridge (nemusíte jim ani nutit VLANu) v defaultním namespace, a z něj si vytáhnout opět "VETH pár" do výše připraveného odděleného network namespace. Možná by ten VETH ani nebyl potřeba, možná by stačilo přiřadit do namespace "muj_izolovany_vmbr1" - tady nevím, zda může "vlastní referenční rozhraní instance soft-bridge" patřit do jiného namespace, než členské porty soft-bridge :-)
Doufám, že jsem to zašmodrchal dostatečně a jdu dělat něco užitečného.
