Т
Вах, не знал, почитаю, спасибо!
Вот понятней и по рьюсскт йезыг
https://habr.com/ru/post/242741/
Size: a a a
2021 January 05
DM
Там логика проста.
Прячем фронт проксмокса в локалку, внешний адрес пробрасываем внутрь сразу vSwitch, а уже в нем все разруливаем.
Прячем фронт проксмокса в локалку, внешний адрес пробрасываем внутрь сразу vSwitch, а уже в нем все разруливаем.
DM
Вообще ставить что то рядом с гипером в хостовую систему, особенно дополнительные сервисы - так себе решение архитектурно. Правильно сервисы в виртуальные машины гипера.
DM
Это как минимум уберегает от неведомой херни в поведении гипера.
PZ
А от темных сил какой софт оберегает?
Т
Вообще ставить что то рядом с гипером в хостовую систему, особенно дополнительные сервисы - так себе решение архитектурно. Правильно сервисы в виртуальные машины гипера.
Так вроде ничего не ставил. Только правила в iptables прописал, чтобы порты прокинуть. Но исполняю подобное с боевым веб-сервером внутри в первый раз, вот и очкую. Попробую с vSvitch с утреца покумекать, но времени в обрез уже.
DM
vSwich это L3 а вам достаточно L7 :)
Можно вместо свича для внешнего интерфейса тот же Nginx или gobetween.io поставить. (он и L3 умеет)
Можно вместо свича для внешнего интерфейса тот же Nginx или gobetween.io поставить. (он и L3 умеет)
DM
Т.е. схема простая:
На гипере 2 интерфейса - LAN и WAN
WAN интерфейс пробрасываем в виртуалку, которая дальше по LAN запросы реверспроксит.
На гипере 2 интерфейса - LAN и WAN
WAN интерфейс пробрасываем в виртуалку, которая дальше по LAN запросы реверспроксит.
DM
А от темных сил какой софт оберегает?
Самые темные силы - это руки из задницы. А так то можно в виртуалке и файервол нагородить внутри, и всякие анализаторы трафика и вообще все что угодно. А лучше систему сделать из 2 разделов, второй настраивается, в него chroot-ится сервис и раздел в RO перемонтируется :) Точно не сломают :)
Т
Я понял. Но мне сейчас больше интересно чем плоха обратная схема, когда гипер на wan бридже, пробрасывает определенный свой порт на бридж виртуалки посредством простой iptables записи.
PZ
Я понял. Но мне сейчас больше интересно чем плоха обратная схема, когда гипер на wan бридже, пробрасывает определенный свой порт на бридж виртуалки посредством простой iptables записи.
Ничем. Файл Readme положи там и все.
PZ
Мне помогает от темных сил
DM
Ну хотя бы тем, что сам проксмокс несколько трепетно относится к IPTABLES правилам, кои и генерит в неуемном маштабе. Вы точно уверены что нигде с его не пересечетесь своими ручными кастомными ?
Вообще бест практис - на гипере файервол подшатывать из WebUI
Вообще бест практис - на гипере файервол подшатывать из WebUI
PZ
А да. Файрволл в проксмоксе конечно включать не следует
DM
ТОгда точно не будет проблем
DM
А да. Файрволл в проксмоксе конечно включать не следует
Конечно, зачем он ? Это от лукавого.. До первого дефейса обычно так и считают.
DS
А да. Файрволл в проксмоксе конечно включать не следует
Работает и фаервол прокса и проброс портов с гипервизора в вм, что я делаю не так? Маны читаю?
PZ
Страшна темная сторона..
DM
Работает и production grade - разные вещи.