KVM sieťová časť

Sekcia: Konfigurácia 11.02 | 10:53
Avatar Robertop   Návštevník

Ahojte, potreboval by som poradiť s nasledovným problémom...

Účelom konfigurácie je zahrnúť samotný prístúpový Router v rámci jedného zariadenia, ktorý bude predstavovať východziu bránu pre ostatné virtuálne stroje a taktiež prístup na fyzický host. Na VM1 pobeží RouterOS_x86, ktorý bude mať priamo pripojené fyzické ethernet porty (eth1 a eth2). Tretí port bude slúžiť pre lokálny prístup server a pre ďalšie vytvorené virtuálne stroje cez KVM. Novovytvorený virtuálny stroj bude mať rozhranie pripojené do spoločného virtuálneho mosta (virbr), ktorý je pripojený do Mikrotiku.

Použitý systém: Ubuntu server 16.04 Počas konfigurácie hypervízora a systému bolo všetko v poriadku. Virtuálne stroje fungujú. Problém: Nedokázal som prísť na riešenie ako nastaviť sieťovú časť. Pokúšal som vytvoriť br1 pre eth1 a br2 pre eth2, ktoré som následne pridelil ako interface pre VM1. V sieťovej konfigurácii som pridelil tymto rozhraniam adresy 0.0.0.0 ako static. Pre lokálnu časť som vytvoril brlocal, pre ktorý som v konfigurácii pridal v bridge_ports „none“ a statickú IP ktorú som si zvolil aj s default gw. Avšak tento návrh mi nefungoval, network manager bol úplne zblbnutý, stále vypisoval chyby že sa nemôže spustiť. Skontroloval som si či náhodou nemám dve default gw a pod. Nerozumiem kde robím chybu. Skúšal som riešenie aj cez OpenvSwitch podľa rovnakej logiky ale tiež som narazil na podobný problém. Potom som sa rozhodol to skusiť spraviť aj na CentOS podľa rovnakej logiky ale nefungovalo to. Vyskúšal som si nainštalovať rozhranie WOK, v ktorom som mal možnosť si aj vytvoriť sieťové rozhrania cez web. Tak isto som dopadol, ak som si zvolil ze chcem bridge-ovať rozhranie. Čiastočne sa mi podarilo to vyriešiť cez macvtap, avšak musel som tam pridať vlan-y, ip prenos nefungoval spolahlivo (ping a pod.) iba L2 vrstva. Vedel som sa dostať len cez mac adresu na mikrotik. Vlan-y tento problém vyriešili, dokonca už sa zdalo že to mám vyriešené, ale stačilo chvílku sa s tým hrať a testovať a prestalo to fungovať, linka vlan1 cez eth1<->vEth1 prestala komunikovať. Po reštarte to zas na chvílku nabehlo ale situácia sa opakovala. Neviem si vysvetliť prečo tam vzniká problém. Konfigurácie sú totožné až na názvy vstupných portov.

Otázky: Je možné zrealizovať navrhnutú sieťovú konfiguráciu, tak aby fungovala stabilne? Ak hej, čo môžem robiť zle, ak mi to nefunguje?

Ďakujem Vám za cenné rady. S pozdravom Robo

    • RE: KVM sieťová časť 11.02 | 13:55
      Avatar WlaSaTy   Návštevník

      Takže ty chceš chrániť hypervízor pomocou routera ktorý je v jeho virtuálke? To je zaujímavý návrh. Vedel by si to rozviesť?

      • RE: KVM sieťová časť 11.02 | 15:41
        Avatar Robertop   Návštevník

        Hej presne tak ako píšeš, druhá vec je, že by som chcel ušetriť ďalšie U-čko v DC, kedže by som to mal ALLinONE. Je možné tento nápad zrealizovať, tak aby to bolo aj stabilné riešenie? Ďakujem Robo

        • RE: KVM sieťová časť 11.02 | 16:01
          Avatar WlaSaTy   Návštevník

          Možné to je, ale musel by si mať na vstupe hypervízora implementovaný silnejší bezpečnostný model ako budeš implementovať vo VM1 s RouterOS. Nechceš predsa aby bol hypervízor napadnuteľný, to by ti kompromitovalo celú farmu.

          • RE: KVM sieťová časť 11.02 | 16:14
            Avatar Robertop   Návštevník

            Áno, samozrejme chápem, bezpečnosť je na prvom mieste:) Nevieš mi poradiť akým spôsobom môžem prepojiť priamo fyzický interface s virtuálnym, tak aby sa dalo dostať len priamo do RouterOS systému, kde chcem aplikovať silný firewall a len odtiaľ bude dostupná lokálna sieť (hypervízor) a pool pre ďaľšie VM?

            • RE: KVM sieťová časť 11.02 | 16:29
              Avatar WlaSaTy   Návštevník

              Najjednoduchšie je použiť PCI Pasthrough, ale na to musíš mať HW aj s remote management interface. Logickejšie bude, keďže píšeš o šetrení za 1U pozíciu v racku, opýtať sa podpory v hosťujúcom DC. Asi nebudeš prvý, a budú tam mať pripravené riešenie za pár šušňov, priamo aj pre virtuálky. Ušetríš si vynachádzanie kolesa, ale na druhú stranu prídeš o možnosť naučiť sa niečo nové.

              • RE: KVM sieťová časť 11.02 | 17:03
                Avatar robertop   Návštevník

                Idem vyskúšať to Pci pastrough, myslím si, že to je to čo som potreboval pre moje riešenie. Chcem sa naučiť nové veci,prácu s VM a pod. Takto by som si to naklikal na web stránke poskytovateľa ale nič by som sa o tejto problematike nové nedozvedel... Ďakujem zatiaľ za radu

        • RE: KVM sieťová časť 12.02 | 17:28
          Avatar samalama.   Návštevník

          no ty vole ty si riadny tvrdas. sice tomu picu rozumies, ale chces usetrit U-cko v DC. ludom uz nacisto jebe. ziadna sebareflexia, ziadna ucta. deti na zakladnych a strednych skolach by mali kazde rano dostat od ucitelov jednu po papuli...

          • RE: KVM sieťová časť 12.02 | 18:26
            Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

            Vykašli sa už na to a sprav si portál, kde budú chodiť len borci.

            Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
          • RE: KVM sieťová časť 13.02 | 02:30
            Avatar huhu   Návštevník

            Nedostanú, v tejto homoúnií sa budú chlapci učiť vyšívať a dievčatá zvárať aby si potom mohli vybrať čo sú .

            • RE: KVM sieťová časť 13.02 | 18:10
              Avatar WlaSaTy   Návštevník

              Je ti smutno že ťa žiadna nechce? Tak sa nejakej prihovor, a nebudeš sa musieť hrať na binary tender of no gender. Tak ako teraz.

          • RE: KVM sieťová časť 14.02 | 13:23
            Avatar okl   Návštevník

            a aky mas problesm s takymto dizajnom ?

            • RE: KVM sieťová časť 14.02 | 23:06
              Avatar samalama.   Návštevník

              s dizajnom nemam ziadny problem. vlastne ja nemam ziadny problem... :D

              • RE: KVM sieťová časť 14.02 | 23:22
                Avatar Okl   Návštevník

                Asponze tak

    • RE: KVM sieťová časť 11.02 | 15:03
      Avatar redhawk75 arch, debian, mx17  Používateľ

      vedel by si ten navrh nakreslit. a rozvinut, ako pise aj wlasaty

      takto som zmateny a pripada mi to ze  chces robit router vo virtualke pre fyzicky pc.

    • RE: KVM sieťová časť 11.02 | 15:32
      Avatar robertop   Návštevník

      V prilohe som pridal obrazok navrhu, co nan hovorite?