Probleme mit Linux Bond

F

Frank579

New Member
Jul 17, 2022
3
0
1
Hallo zusammen, heiße Frank und bin der neue :)

Nutze Proxmox jetzt schon etwas länger, und die Maschinen vermehren sich irgendwie :cool:

Daher hat der Server jetzt eine weitere Netzwerkkarte bekommen er hat jetzt 3x1000 mein Plan war jetzt 1 für den Host selber und 2 im Bond für die Maschinen (ua. Nextcloud) und Container zu nutzen, soweit der Plan.
Wenn nun nur ein Bond erstelle über die Obefläche,siehe config. (noch kein Kabel angeschlossen Server liegt noch auf dem Schreibtich wegen Monitor und so) und der Server neu Starte komme ich nicht mehr auf die GUI von Proxmox Maschinen laufen alle. Kommentiere ich den bond wieder Raus gehts.
Code: 
auto lo
iface lo inet loopback

iface enp6s0 inet manual

auto enp4s0f0
iface enp4s0f0 inet manual

auto enp4s0f1
iface enp4s0f1 inet manual

#auto bond0
#iface bond0 inet static
#       address 192.168.2.51/24
#       bond-slaves enp4s0f0 enp4s0f1
#       bond-miimon 100
#       bond-mode 802.3ad
#       bond-xmit-hash-policy layer2+3

auto vmbr0
iface vmbr0 inet static
        address 192.168.2.50/24
        gateway 192.168.2.1
        bridge-ports enp6s0
        bridge-stp off
        bridge-fd 0


Nun meine Frage was mache ich falsch oder gibt es eine andere/bessere Lösung ?

Vielen Dank
 
Also als erstes mal sollte man einem Host keine zwei IPs im selben Subnetz verpassen, weil der sonst mit dem Router durcheinander kommen kann. Da solltest du dich dann entscheiden ob du eine IP im 192.168.2.0/24 Subnetz auf vmbr0 oder bond0 haben willst. Aber nicht beides.

Dann brauchst du auch einen Managed Switch der LACP unterstützt und du musst auch den Switch entsprechend konfigurieren, dass der da die richitgen Ports am Switch bündelt und ebenfalls layer2+3 als Hashing-Algorithmus nutzt.

Und dann hängt dein bond0 an keiner Bridge, kann also von keinem Gast benutzt werden.

Was du z.B. machen könntest wäre etwas wie...
Code: 
auto lo
iface lo inet loopback

iface enp6s0 inet static
        address 192.168.3.2/24

auto enp4s0f0
iface enp4s0f0 inet manual

auto enp4s0f1
iface enp4s0f1 inet manual

auto bond0
iface bond0 inet manual
       bond-slaves enp4s0f0 enp4s0f1
       bond-miimon 100
       bond-mode 802.3ad
       bond-xmit-hash-policy layer2+3

auto vmbr0
iface vmbr0 inet static
        address 192.168.2.50/24
        gateway 192.168.2.1
        bridge-ports bond0
        bridge-stp off
        bridge-fd 0
...damit würde dann dein PVE host über den Bond online gehen, Gäste würden den Bond nutzen und das WebUI würde auch über den Bond erreichbar sein. Zusätzlich wäre das WebUI noch über die NIC enp6s0 in einem anderen Subnetz erreichbar. Würde man das 192.168.3.0/24 Subnetz rein als Management-Subnetz haben wollen, könnte man noch eine Firewall-Regel auf Datacenter-/Node-Ebene in PVE anlegen, dass da Port 22 und 8006 auf der IP 192.168.2.50 gedroppt werden. Dann würde das WebUI und SSH nicht mehr über den Bond erreichbar.
 
Last edited:
  • Like
Reactions: Frank579
Oder wenn ausschließlich Gäste den Bond benutzen sollen und der Host ausschließlich die einzelne NIC, dann wäre noch eine Option:
Code: 
auto lo
iface lo inet loopback

iface enp6s0 inet static
        address 192.168.2.50/24
        gateway 192.168.2.1


auto enp4s0f0
iface enp4s0f0 inet manual

auto enp4s0f1
iface enp4s0f1 inet manual

auto bond0
iface bond0 inet manual
        bond-slaves enp4s0f0 enp4s0f1
        bond-miimon 100
        bond-mode 802.3ad
        bond-xmit-hash-policy layer2+3

auto vmbr0
iface vmbr0 inet manual
        bridge-ports bond0
        bridge-stp off
        bridge-fd 0
Damit könnten dann die Gäste über den Bond das 192.168.2.0/24 Subnetz benutzen und der PVE Host ebenfalls das 192.168.2.0/24 Subnetz über die einzelne NIC. Kommunikation zwischen Host und Gästen ist dann aber auf 1 Gbit gedrosselt, da alles über den Switch laufen muss und nicht mehr intern über die Bridge gehen kann, wo dann sowas wie 20Gbit zwischen PVE Host und Gästen möglich wäre.
 
Last edited:
Super danke werde ich dann morgen mal versuchen, die 2er Ist mein Management Netz dann würde ich für die Bridge das 10er nehmen da hängen auch die meisten Maschinen drin. Switch ist klar, und auch schon konfiguriert.
Das mit der Bridge hatte ich mir schon gedacht das da noch was gemacht werden muss. Danke für deine Tips Firewall wird dann auf jeden Fall ein Thema sein. Daher wollte ich die anderen auch ins 2er packe , kommt keiner rein außer meine Geräte, aber andererseits auch eigendlich klar das es nicht geht
 
Wenn du die Sicherheit noch erhöhen willst könntest du auch zusätzlich über ein DMZ-Subnetz für alle Gäste nachdenken, welche über Port-Forwarding über das Internet erreichbar sind.
 
Dunuin said:
Wenn du die Sicherheit noch erhöhen willst könntest du auch zusätzlich über ein DMZ-Subnetz für alle Gäste nachdenken, welche über Port-Forwarding über das Internet erreichbar sind.
Click to expand...

Habe ich auch schon Mal dran gedacht, sollte auch mit der Hardware (Unifi) gut machbar sein, wäre aber nur der Reverse Proxy direkt erreichbar. Kommt aber evtl auch noch. Das meiste mache ich eh über VPN. Aber je mehr man hat um so mehr kommt nach
Eins nach dem anderen, gab heute schon wieder böse Blicke
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom