Best practises Netzwerk

[sala82]

Hallo zusammen,
nach best practises soll die gui nicht auf der vmbr0 liegen sondern direkt auf den Interface.
Habe dies auf einem Single Node mit 2 NICs nachgebaut, enp5s0 statische Up mit Gateway enp6s0 mit vmbr0 ohne IP config. Wenn ich einer VM nun das vmbr0 zuweise erhält diese keine DHCP Adresse aus dem Netzt und ist auch nicht über eine statische Adresse erreichbar.

Habe ich etwas falsche gemacht oder falsch verstanden?

Danke vorab für eure Hilfe.

 

[fba]

Hallo,

nach best practises soll die gui nicht auf der vmbr0 liegen sondern direkt auf den Interface.

wo hast Du denn diese "best practises" her?
Ich stimme dem jedenfalls nicht zu.
Schau mal hier nach den Basics: https://pve.proxmox.com/wiki/Network_Configuration#_choosing_a_network_configuration

 

[UdoB]

Naja..., ein administratives Netz - mit dem Zugang zu PVE - sollte nicht ebenfalls von "den VMs" genutzt werden.

Sonst könnte ja jede VM direkt auf die PVE-Nodes zugreifen. Ich will aber mindestens einen Paketfilter/Router dazwischen haben.

Wenn man diese generelle Empfehlung verstanden hat und deren Implikationen ahnt, ist klar, dass man für eine gute PVE-Struktur mehrere Netze braucht. Diese sollten idealerweise physisch getrennt sein, aber meist kommt man um Bündelung in einem Kabel und lediglich logischer Trennung per VLAN nicht herum.

Ob die Adresse des PVE nun an einen NIC oder an eine Bridge gebunden ist, hat mit obigem Statement nichts zu tun. Mir ist ein separater NIC "nur für die PVEs" zu schade, denn die meisten Mini-PC im Homelab haben ja nur eine sehr kleine Stückzahl davon. Meine PVE-Adressen liegen daher auf einer Bridge, separiert per VLAN. In diesem VLAN befinden sich auch einige wenige VMs, darum "Bridge", nicht "NIC".

Physisch separiert habe ich hingegen "Storage" und "alles andere". Wenn ein Backup oder Replikate (oder mein mittlerweile deaktiviertes Ceph) Stress auf der Leitung machen, läuft der Rest im Netzwerk unbeeindruckt weiter.

Auch hier gilt wieder: sehr viele Wege führen nach Timbuktu - es gibt nicht die eine Lösung.

 

[sala82]

Muss eine vmbr eine IP haben um Adressen an VMs per DHCP zu verteilen, wenn das Interface in einem Netzt mit DHCP anliegt?

 

[UdoB]

Muss eine vmbr eine IP haben um Adressen an VMs per DHCP zu verteilen, wenn das Interface in einem Netzt mit DHCP anliegt?

Das hängt davon ab, woher die zugewiesenen Adressen kommen sollen.

Wenn da "irgendwo" in dem Netz ein DHCP-Server ist, der Adressen an VMs zuweisen soll, dann braucht der PVE, der diese VMs hostet, keine Adresse in dem Netz zu haben. (Edit: ich würde sogar noch weiter gehen: er soll keine Adresse dort haben - aus Sicherheitsgründen sollte die Angriffsfläche immer minimiert werden.)

Bridges sind in guter Näherung wie Switches: sie verbinden Geräte "per Ethernet". Das hat auf dieser Ebene rein gar nichts mit IP-Adressen zu tun - ein dummer (unmanaged) Hardware-Switch hat schließlich ebenfalls keine solche ;-)

 

[sala82]

Danke für eine Antwort. Werde ich morgen mal testen. Zur aktuellen Konfiguration. Eine Nic enp5s0 hat direkt eine statische IP für die GUI und auf enp6s0 habe ich eine vmbr0 gelegt (beide keine IP) Konfiguration. Wenn ich einer VM die vmbr0 zuweise, sollte diese dann ja eine IP aus dem angeschlossen Netzt an enp6s0 erhalten?

 

[UdoB]

Eine Nic enp5s0 hat direkt eine statische IP für die GUI und auf enp6s0 habe ich eine vmbr0 gelegt (beide keine IP) Konfiguration.

Für solche Erläuterungen ist es immer besser, einfach die aktuelle cat /etc/network/interfaces zu posten; falls man die gerade verändert hat: ifreload -a zum aktiveren und dann ip address show beifügen.

Wenn ich einer VM die vmbr0 zuweise, sollte diese dann ja eine IP aus dem angeschlossen Netzt an enp6s0 erhalten?

Ja. Sofern dort ein DHCP-Server läuft ;-)

 

[sala82]

Für solche Erläuterungen ist es immer besser, einfach die aktuelle cat /etc/network/interfaces zu posten; falls man die gerade verändert hat: ifreload -a zum aktiveren und dann ip address show beifügen.

Ja. Sofern dort ein DHCP-Server läuft ;-)

Hier mal die config:
auto lo
iface lo inet loopback

auto enp5s0
iface enp5s0 inet static
address 192.168.178.74/24
gateway 192.168.178.1

auto enp6s0
iface enp6s0 inet dhcp

auto vmbr0
iface vmbr0 inet manual
bridge-ports enp6s0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094


Eine Windows VM bekommt leider keine IP vom DHCP über die vmbr0. An der enp6s0 liegt ein Netzwerk an mit DHCP.

ip a:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: enp5s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 14:dd:a9:d3:ce:55 brd ff:ff:ff:ff:ff:ff
    inet 192.168.178.74/24 scope global enp5s0
       valid_lft forever preferred_lft forever
    inet6 fd27::16dd:a9ff:fed3:ce55/64 scope global dynamic mngtmpaddr
       valid_lft 6891sec preferred_lft 3291sec
    inet6 2003:d7:5f4e:b200:16dd:a9ff:fed3:ce55/64 scope global dynamic mngtmpaddr
       valid_lft 6891sec preferred_lft 1491sec
    inet6 fe80::16dd:a9ff:fed3:ce55/64 scope link
       valid_lft forever preferred_lft forever
3: enp6s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq master vmbr0 state DOWN group default qlen 1000
    link/ether 14:dd:a9:d3:ce:56 brd ff:ff:ff:ff:ff:ff
4: vmbr0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 14:dd:a9:d3:ce:56 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::16dd:a9ff:fed3:ce56/64 scope link
       valid_lft forever preferred_lft forever
5: tap100i0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master fwbr100i0 state UNKNOWN group default qlen 1000
    link/ether ee:e9:16:47:07:85 brd ff:ff:ff:ff:ff:ff
6: fwbr100i0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 1e:06:03:6b:89:6d brd ff:ff:ff:ff:ff:ff
7: fwpr100p0@fwln100i0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master vmbr0 state UP group default qlen 1000
    link/ether 9a:7c:c6:96:0a:39 brd ff:ff:ff:ff:ff:ff
8: fwln100i0@fwpr100p0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master fwbr100i0 state UP group default qlen 1000
    link/ether 1e:06:03:6b:89:6d brd ff:ff:ff:ff:ff:ff

 

[fba]

enp6s0: <NO-CARRIER,BROADCAST,MULTICAST,UP>

An der Netzwerkschnittstelle ist laut dieser Ausgabe kein (funktionstüchtiges) Kabel dran.

auto enp6s0
iface enp6s0 inet dhcp

Und hier kannst Du dhcp durch manual ersetzen. Oder willst Du unbedingt eine via DHCP zugewiesene Adresse an der Schnittstelle enp6s0 haben?

 

[sala82]

An der Netzwerkschnittstelle ist laut dieser Ausgabe kein (funktionstüchtiges) Kabel dran.

An der Netzwerkschnittstelle ist jedoch ein Kabel angeschlossen

Und hier kannst Du dhcp durch manual ersetzen. Oder willst Du unbedingt eine via DHCP zugewiesene Adresse an der Schnittstelle enp6s0 haben?

Werde ich abändern.

 

[UdoB]

auto enp6s0
iface enp6s0 inet dhcp

auto vmbr0
iface vmbr0 inet manual
bridge-ports enp6s0

Das beißt sich!

Vergleiche: https://pve.proxmox.com/wiki/Network_Configuration#_default_configuration_using_a_bridge