Возможно ли организовать такую виртуальную сеть?

Question

[Денис Кайназаров]

Здравствуйте!

Мне нужна помощь в построении виртуальной сети.
Есть сервер с 2 статическими ip и одной выделенной ipv6 /64 подсетью. но только с одним сетевым интерфейсом eth0. Также присутствует openvswitch и kvm. и два домена, один из которых имеет еще и startSSL.

На сервере будет либо debian wheezy + proxmox либо ubuntu 14.10 c opennebula

Необходимо чтобы:

1) первый ipv4 был назначен серверу и использовался для административных целей.
2) сеть ipv6 была распределена между сервером и виртуалками
3) второй ipv4 должен быть назначен виртуалке проксирующей все запросы с этого ip на конкретную виртуалку в 10.0.0.0 виртуальной сетке в зависимости от домена. Включая ssh.

Если это вообще возможно то посоветуйте как. Также если есть инфа по теме на русском или английском - скинте ссылки пожалуйста.

Answer 1

[Melkij]

Засуньте eth0 в отдельный бридж, на внутренний порт хоста повесьте первый адрес.
Затем в виртуалке сделайте вторую сетевую карту, её присоедините к этому новому мосту и назначьте ей второй адрес. Первая сетевая пусть так и смотрит в серую подсеть другого моста.

Если охота покопаться, но более красиво - используйте один openvswitch мост с разбивкой на vlan'ы. Тогда у вас будет влан для серой сети, прочие гостевые получают просто accessport этого vlan'а, гостевая с белым адресом получает транк с двумя vlan'ами. Хосту делаете внутренний порт доступа влана с внешними аресами, eth0 включаете в этот же vlan как порт доступа.

PS: "на сервере будет". Раз будет, то почему не debian jessie? Релиз через неделю и потом не париться с обновлением.

Comments

[Дмитрий Павлов]

При установке proxmox выбор не велик. да и не debian это .... ядро openVZ'шное а окружение очень сильно переделанный debian

Answer 2

[Дмитрий Павлов]

Как попробовал openvswitch - с бриджами теперь неприятно работать.
По поводу IP - тут зависит от того как вы получаете их. если сетевой интерфейс один и все IP в одном vlan - то заводите switch, создаете фабрику, загоняете туда интерфейс и туда же добавляете интерфейс с белым IP. в эту же фабрику добавляете интерфейы для ipv6 и mgmt интерфейс. Далее создаете еще одну фабрику и туда добавляете интерфейсы с серыми IP.
По поводу выбора ОС и оркестратора - ОС выбирайте ту которую лучше знаете, а оркестратор - proxmox конечно удобен но я от него держусь подальше. proxmox использует очень сильно перепиленные пакеты, и в случае если вам необходимо будет куда-то мигрировать или сделать что-то отличное от стандартных задач - тогда ОЙ! Небула же использует стандартный libvirt которым имеет рулить не только она.

Answer 3

[Денис Кайназаров]

Решил следующим образом.
1) поднял proxmox на сервере и назначил ему 1 ip v4
2) поднял виртуалку с pf sense и назначил ей 2 ip v4
3) настроил на pfsense openvpn, nat, firewall, dns и политики безопасности
4) поднял виртуалку с nginx как балансировщик и реверс-прокси и прикрутил его 80 порт к порту pfsense через nat.
5) поднял ноду с mariadb
6) поднял несколько нод с сайтами, ноды с owncloud и gitlab, привязал их к nginx.

Вся схема работает так
http/https -> pfsense -> nginx -> нода с сайтом
Для деплоя
домашний комп -> openvpn pfsense -> gitlab -> jenkins -> ноды

Answer 4

[mureevms]

Если я все правильно понял, то
1) Самое простое, назначается IP адрес на внешний интерфейс, как это делается всегда.
2) Нужен второй интерфейс (хоть реальный, хоть виртуальный, но отдельный), на который назначить адрес из подсети IPv6. Он и будет GW для всех остальных хостов этой подсети.
3) Зачем нужна проксирующая виртуалка? Надо "конкретной" машине назначить второй белый адрес. Тут нюанс, не уверен что заработает, надо проверить.

Про SSL надо понимать, что каждому домену (сертификату) нужен отдельный IP, при условии работы обоих на 443 порту.