Pve Host vom SDN nicht erreichbar

[fwinkler]

Hi,

ich habe für unseren Proxmox Cluster ein SDN definiert. bond => bridge und das SDN nutzt die bridge. Funktioniert so weit alles.

Aber ich komme aus dem SDN erreiche ich den Proxmox Host selbst und auch die anderen Host nicht mehr.

Jemand eine Idee dazu?

 

[news]

Zeile 42!

 

[Falk R.]

Hi,

ich habe für unseren Proxmox Cluster ein SDN definiert. bond => bridge und das SDN nutzt die bridge. Funktioniert so weit alles.

Aber ich komme aus dem SDN erreiche ich den Proxmox Host selbst und auch die anderen Host nicht mehr.

Jemand eine Idee dazu?

Was hast du beim SDN erstellt?
Was für einen Zonentyp?
Wie sehen die VNets aus?

P.S. @news Deine Glaskugel ist defekt, die Antwort war 23.

 

[fwinkler]

Das SDN ist ein VLAN

# network interface settings; autogenerated
# Please do NOT modify this file directly, unless you know what
# you're doing.
#
# If you want to manage parts of the network configuration manually,
# please utilize the 'source' or 'source-directory' directives to do
# so.
# PVE will preserve these directives, but will NOT read its network
# configuration from sourced files, so do not attempt to move any of
# the PVE managed interfaces into external files!

auto lo
iface lo inet loopback

auto ens1f0np0
iface ens1f0np0 inet static
        address 10.144.188.10/24
        gateway 10.144.188.1
#MGMT

auto eno8303
iface eno8303 inet static
        address 172.16.1.1/28
#Cluster Netz

iface eno8403 inet manual
#frei

iface ens1f1np1 inet manual
#plano

auto ens1f2np2
iface ens1f2np2 inet manual
#VM Netz

auto ens1f3np3
iface ens1f3np3 inet manual
#VM Netz

auto eno12399np0
iface eno12399np0 inet manual
        mtu 9000
#100GB

auto eno12409np1
iface eno12409np1 inet manual
        mtu 9000
#100GB

auto bond0
iface bond0 inet manual
        bond-slaves ens1f2np2 ens1f3np3
        bond-miimon 100
        bond-mode 802.3ad
        bond-xmit-hash-policy layer3+4
#VM Netz

auto bond1
iface bond1 inet manual
        bond-slaves eno12399np0 eno12409np1
        bond-miimon 100
        bond-mode 802.3ad
        bond-xmit-hash-policy layer3+4
        mtu 9000
#Ceph Cluster Netz

auto vmbr1
iface vmbr1 inet static
        address 10.144.189.10/24
        bridge-ports bond0
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2-4094
#SDN

auto vmbr2
iface vmbr2 inet static
        address 192.168.240.2/24
        bridge-ports ens1f1np1.12
        bridge-stp off
        bridge-fd 0
        up ip route add 10.128.0.0/16 via 192.168.240.1
#plano

auto vmbr3
iface vmbr3 inet static
        address 192.168.1.1/24
        bridge-ports bond1.20
        bridge-stp off
        bridge-fd 0
        mtu 9000
#Ceph Client Netz

auto vlan10
iface vlan10 inet static
        address 192.168.0.1/24
        mtu 9000
        vlan-raw-device bond1
#Ceph Cluster Netz

source /etc/network/interfaces.d/*

root@pve1:~# cat /etc/network/interfaces.d/sdn
#version:23

auto vnet102
iface vnet102
        bridge_ports vmbr1.102
        bridge_stp off
        bridge_fd 0
        alias VM Netz

auto vnet103
iface vnet103
        bridge_ports vmbr1.103
        bridge_stp off
        bridge_fd 0
        alias Service Netz

auto vnet104
iface vnet104
        bridge_ports vmbr1.104
        bridge_stp off
        bridge_fd 0
        alias leer

 

[Falk R.]

Die Konfiguration sieht soweit gut aus.
Wenn du eine VM im SDN hast, dann erreicht die ihr Gateway und auch andere Netze?
Wo verebbt der Traffic wenn du ein trace route machst? Hast du eine Firewall zwischen dem Management und VM Netz?

 

[news]

Wenn, das der Ausgangspunkt ist
auto vmbr1
iface vmbr1 inet static
address 10.144.189.10/24
bridge-ports bond0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094

dann kennt doch der Proxmox Host selbst keine Vlan Tags oder kann damit etwas anfangen.
Ist ipv4 oder ipv6 forward aktiv?
"Wer" kümmert sich in deinen Augen um das entfernen der Vlan Tags, so dass eine Kommunikation untereinander ermöglicht wird?

 

[fwinkler]

vom pve selber erreiche ich VM's im 190'er Netz

root@pve1:~# ping 10.144.190.30
PING 10.144.190.30 (10.144.190.30) 56(84) bytes of data.
64 bytes from 10.144.190.30: icmp_seq=1 ttl=63 time=1.80 ms
64 bytes from 10.144.190.30: icmp_seq=2 ttl=63 time=0.321 ms
^C

das 189 erreiche ich nicht vom pve aus

root@pve1:~# ping 10.144.189.50
PING 10.144.189.50 (10.144.189.50) 56(84) bytes of data.
From 10.144.189.10 icmp_seq=10 Destination Host Unreachable
From 10.144.189.10 icmp_seq=11 Destination Host Unreachable
From 10.144.189.10 icmp_seq=12 Destination Host Unreachable


von außen, nicht von einer VM oder dem pve selber erreiche ich alles

 

[Falk R.]

Das klingt nach einer fehlenden route.

 

[fwinkler]

hm,

ist doch aber alles im gleichen Netz?

 

[fwinkler]

Sieht irgendwie so aus als wenn das Sdn den Zugriff auf den host selber isoliert, Kann das sein das das Absicht ist so?

 

[news]

Nun wirklich gleich?

ping 10.144.190.30
ping 10.144.189.50
up ip route add 10.128.0.0/16 via 192.168.240.1

 

[news]

Ich denke es hilft Dir, alle Hosts mit Network Interface auf zu zeichnen, diese NIC zu bennen, d.h. IP Netzwerkmaske, VLAN Tag? und - falls vorhanden - auch ihre Route - Default Route anzugeben.
Dann auf dem Papier die Datenwege nachzustellen.
PING icmp ..

 

[fwinkler]

Das 10.144.190.0/24 Netz geht ja.

Es geht ja nur das wo der pve selber die 10.144.189.10 hat und das sdn auch das vlan mit der 10.144.189.0 nicht.

 

[Falk R.]

hm,

ist doch aber alles im gleichen Netz?

Nein, 10.144.189.10/24 ist ein anderes Netz als 10.144.189.50

 

[Falk R.]

Das 10.144.190.0/24 Netz geht ja.

Es geht ja nur das wo der pve selber die 10.144.189.10 hat und das sdn auch das vlan mit der 10.144.189.0 nicht.

Ist das VLAN untagged auf den Switchports?

 

[news]

Also die IP 10.144.190.30 finde ich nicht in deinem Setup!

 

[Falk R.]

Ja ist es, wie sieht denn das SDN dazu aus?

 

[fwinkler]

Ich brauche den Zugriff auch nur für das Rados Gateway und ich habe noch einen pve-exporter der die Metriken von proxmox über die Restapi abfragt.
Das kann ich dann auch über einen HAProxy machen.

 

[fwinkler]

das ist eine VM

das vlan hier hat die 190

iface vnet103
        bridge_ports vmbr1.103
        bridge_stp off
        bridge_fd 0
        alias Service Netz

 

[news]

JA wie geschrieben Malen mit Zahlen!
Da fehlt eine Route, nicht diskutieren sondern machen.