[SOLVED] Netzwerk nachträglich separieren

virshling

Well-Known Member
Sep 1, 2018
47
3
48
63
Servus,

jetzt hab ich wieder eine Frage ...

Notgedrungen habe ich bisher mein kleines Drei-Node-Cluster plus pbs mit VMs, Storage und Corosync in ein und demselben Netzwerk betrieben. Die Latenz für Corosync ist ~1ms, also kein Problem, die Netzwerkauslastung hält sich in Grenzen.
Dank einiger Änderungen könnte ich das Netzwerk aber nun auftrennen und mein Guru sagt, ich soll das aus Sicherheitsgründen unbedingt tun.
Ich bin mir zwar nicht im Klaren darüber, ob der Sicherheitsgewinn dadurch so eklatant ist – alles ist Büro-intern, von außen nur per vpn erreichbar – aber der Aufwand hält sich ja in Grenzen (das Risiko hoffentlich auch...). Immerhin würde theoretisch ein Trojaner, der sich im Netz der VMs und Clients breit macht, den pbs dann nicht mehr sehen.

Es ist kein HA-Cluster, aber die VMs/Container werden mehrmals täglich auf einen zweiten Node repliziert, um längeren Ausfällen zu vorzubeugen.
Auf Node 3 läuft ein virtualisiertes NAS, das per rsnapshot Backups auf Dateiebene zieht. Pve-Version ist 7.4.

Wie man Corosync nachträglich in ein eigenes Netzwerk verlegt, ist im Wiki wirklich schön beschrieben aber ich frage mich noch, wie das mit dem Storage und dem pbs funktioniert:
Ist es ausreichend, den pbs in das neue separate Netz zu verlegen und in der storage.cfg die IPs des neuen Netzwerks einzutragen, damit sowohl die Replikation als auch die Sicherung auf dem pbs darüber laufen?

Die zweite Frage ist, wie ich die GUIs der pve, die dann ja auch nicht mehr über dasselbe Netz wie die VMs erreichbar sein sollen, davon abhalten kann, in diesem Netz weiter zu lauschen.
Geht das nur mit IPTables oder lässt sich das andernorts konfigurieren?

Besten Dank einstweilen

Grüße


Bernhard
 
AFAIU gibt es ein weiteres Netzwerk?
Stellt sicher, das ein anderes IP Subnet verwendet wird.
Ein vmbrX Interface ist nur nötig, wenn die Gäste auch in das Netz sollen. Ansonsten kann man die IP direkt im Interface (Autostart aktivieren) oder direkt am Bond konfigurieren.

Man kann für Corosync einen zweiten Link konfigurieren, damit es Ausweichmöglichkeiten gibt.
https://pve.proxmox.com/pve-docs/pve-admin-guide.html#pvecm_redundancy

Wenn ein Storage auch im anderen Netz verfügbar ist, sollte es reichen, die IP in der /etc/pve/storage.cfg zu ändern. Evtl. wird noch ein Neustart nötig sein, damit ein Netzwerkshare mit der neuen IP gemountet wird.

Grundsätzlich lauscht der pveproxy auf jedem Interface. Wenn ihr das MGMT Netz ändern wollt, würde es sich durchaus auch anbieten, die "eigene" IP in der /etc/hosts anzupassen.
Wenn für den Proxmox VE Server dann aber alles im neuen Netz ist das er braucht um auf die Storages und ins Internet zu kommen, könnte man die IP im vmbr Interface auch einfach entfernen. Dann können die Gäste noch dorthin, aber der PVE Server ist nicht mehr erreichbar.

Ansonsten müsstet ihr mit Firewallregeln arbeiten um die API (port 8006) und diverse andere zu blockieren. Der Admin Guide hat eine liste der Default Port: https://pve.proxmox.com/pve-docs/pve-admin-guide.html#pve_firewall_default_rules
 
Hallo Aaron,

die IP einfach aus der vmbr nehmen, klar! Ist mir einfach nicht eingfallen ... :)
Damit wäre eigentlich alles geklärt und ich versuche das dann mal.
Danke für die schnellen Antworten

Schönes Wochenende!

Bernhard
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!