Ahojte, potreboval by som poradiť s nasledovným problémom...
Účelom konfigurácie je zahrnúť samotný prístúpový Router v rámci jedného zariadenia, ktorý bude predstavovať východziu bránu pre ostatné virtuálne stroje a taktiež prístup na fyzický host. Na VM1 pobeží RouterOS_x86, ktorý bude mať priamo pripojené fyzické ethernet porty (eth1 a eth2). Tretí port bude slúžiť pre lokálny prístup server a pre ďalšie vytvorené virtuálne stroje cez KVM. Novovytvorený virtuálny stroj bude mať rozhranie pripojené do spoločného virtuálneho mosta (virbr), ktorý je pripojený do Mikrotiku.
Použitý systém: Ubuntu server 16.04 Počas konfigurácie hypervízora a systému bolo všetko v poriadku. Virtuálne stroje fungujú. Problém: Nedokázal som prísť na riešenie ako nastaviť sieťovú časť. Pokúšal som vytvoriť br1 pre eth1 a br2 pre eth2, ktoré som následne pridelil ako interface pre VM1. V sieťovej konfigurácii som pridelil tymto rozhraniam adresy 0.0.0.0 ako static. Pre lokálnu časť som vytvoril brlocal, pre ktorý som v konfigurácii pridal v bridge_ports „none“ a statickú IP ktorú som si zvolil aj s default gw. Avšak tento návrh mi nefungoval, network manager bol úplne zblbnutý, stále vypisoval chyby že sa nemôže spustiť. Skontroloval som si či náhodou nemám dve default gw a pod. Nerozumiem kde robím chybu. Skúšal som riešenie aj cez OpenvSwitch podľa rovnakej logiky ale tiež som narazil na podobný problém. Potom som sa rozhodol to skusiť spraviť aj na CentOS podľa rovnakej logiky ale nefungovalo to. Vyskúšal som si nainštalovať rozhranie WOK, v ktorom som mal možnosť si aj vytvoriť sieťové rozhrania cez web. Tak isto som dopadol, ak som si zvolil ze chcem bridge-ovať rozhranie. Čiastočne sa mi podarilo to vyriešiť cez macvtap, avšak musel som tam pridať vlan-y, ip prenos nefungoval spolahlivo (ping a pod.) iba L2 vrstva. Vedel som sa dostať len cez mac adresu na mikrotik. Vlan-y tento problém vyriešili, dokonca už sa zdalo že to mám vyriešené, ale stačilo chvílku sa s tým hrať a testovať a prestalo to fungovať, linka vlan1 cez eth1<->vEth1 prestala komunikovať. Po reštarte to zas na chvílku nabehlo ale situácia sa opakovala. Neviem si vysvetliť prečo tam vzniká problém. Konfigurácie sú totožné až na názvy vstupných portov.
Otázky: Je možné zrealizovať navrhnutú sieťovú konfiguráciu, tak aby fungovala stabilne? Ak hej, čo môžem robiť zle, ak mi to nefunguje?
Ďakujem Vám za cenné rady. S pozdravom Robo
Takže ty chceš chrániť hypervízor pomocou routera ktorý je v jeho virtuálke? To je zaujímavý návrh. Vedel by si to rozviesť?
Hej presne tak ako píšeš, druhá vec je, že by som chcel ušetriť ďalšie U-čko v DC, kedže by som to mal ALLinONE. Je možné tento nápad zrealizovať, tak aby to bolo aj stabilné riešenie? Ďakujem Robo
Možné to je, ale musel by si mať na vstupe hypervízora implementovaný silnejší bezpečnostný model ako budeš implementovať vo VM1 s RouterOS. Nechceš predsa aby bol hypervízor napadnuteľný, to by ti kompromitovalo celú farmu.
Áno, samozrejme chápem, bezpečnosť je na prvom mieste:) Nevieš mi poradiť akým spôsobom môžem prepojiť priamo fyzický interface s virtuálnym, tak aby sa dalo dostať len priamo do RouterOS systému, kde chcem aplikovať silný firewall a len odtiaľ bude dostupná lokálna sieť (hypervízor) a pool pre ďaľšie VM?
Najjednoduchšie je použiť PCI Pasthrough, ale na to musíš mať HW aj s remote management interface. Logickejšie bude, keďže píšeš o šetrení za 1U pozíciu v racku, opýtať sa podpory v hosťujúcom DC. Asi nebudeš prvý, a budú tam mať pripravené riešenie za pár šušňov, priamo aj pre virtuálky. Ušetríš si vynachádzanie kolesa, ale na druhú stranu prídeš o možnosť naučiť sa niečo nové.
Idem vyskúšať to Pci pastrough, myslím si, že to je to čo som potreboval pre moje riešenie. Chcem sa naučiť nové veci,prácu s VM a pod. Takto by som si to naklikal na web stránke poskytovateľa ale nič by som sa o tejto problematike nové nedozvedel... Ďakujem zatiaľ za radu
no ty vole ty si riadny tvrdas. sice tomu picu rozumies, ale chces usetrit U-cko v DC. ludom uz nacisto jebe. ziadna sebareflexia, ziadna ucta. deti na zakladnych a strednych skolach by mali kazde rano dostat od ucitelov jednu po papuli...
Vykašli sa už na to a sprav si portál, kde budú chodiť len borci.
Nedostanú, v tejto homoúnií sa budú chlapci učiť vyšívať a dievčatá zvárať aby si potom mohli vybrať čo sú .
Je ti smutno že ťa žiadna nechce? Tak sa nejakej prihovor, a nebudeš sa musieť hrať na binary tender of no gender. Tak ako teraz.
a aky mas problesm s takymto dizajnom ?
s dizajnom nemam ziadny problem. vlastne ja nemam ziadny problem... :D
Asponze tak
vedel by si ten navrh nakreslit. a rozvinut, ako pise aj wlasaty
takto som zmateny a pripada mi to ze chces robit router vo virtualke pre fyzicky pc.
V prilohe som pridal obrazok navrhu, co nan hovorite?