înregistrare Logare
Puncte:0
rbaleksandar avatar Server

Accesul la VM folosind interfața de rețea cu punte KVM în rețeaua companiei care nu funcționează în afara rețelei LAN a camerei

drapel br
rbaleksandar

Lucrez la un institut, așa cum vă puteți imagina, avem proxy tipic, AD, DNS și așa mai departe. Grupul meu încearcă să facă tranziția la Linux pentru serverele noastre (conținând mai multe GPU-uri pentru diverse scopuri de cercetare) datorită configurării mai ușoare a mediilor noastre (învățare automată, randare) și accesului la instrumentele necesare pentru munca noastră. Dar înainte de a face asta, mi-am luat asupra mea (cu permisiunea administratorului nostru IT și a șeful meu) să creez o configurare simplă care ne va oferi o perspectivă asupra a ceea ce avem nevoie exact.

Folosesc un computer desktop normal cu Ubuntu Server 20.04 LTS setat ca gazdă. Pentru a-l gestiona folosesc SSH (prin Putty) sau interfața web (cockpit). Pe partea de sus a gazdei, rulez KVM cu o grămadă de VM QEMU, toate care partajează aceeași interfață de rețea cu punte (doar un singur VM poate rula la un moment dat datorită trecerii PCI). Gazda, precum și VM-urile au nume de gazdă care urmează schema

<hostname>.<domain>

Din moment ce tipul nostru IT a fost o forță motrice anti-Linux în departamentul nostru, fiecare mașină din departamentul care rulează Linux trebuie să fie administrată de angajat, care o „deține”. Nu ni se oferă niciun ajutor de la administrator dacă avem o problemă cu acele mașini. Mașinile Linux trebuie, de asemenea, să aibă un -L sufix pentru ca el să știe că nu sunt problema lui. În general, numele de gazdă pentru PC-uri și notebook-uri urmează schema

<department>-<machine type><3 digit numeric value>

deci completul va fi

<department>-<machine type><3 digit numeric value>.<domain>

Să presupunem că am următorul cu foo.bar.com fiind <domain>:

  • ABC-DT001-L.foo.bar.com - PC, gazdă care rulează Ubuntu Server 20.04, adresa IP 10.21.5.83
  • ABC-DT001-L-VM0.foo.bar.com - VM, oaspete care rulează Xubuntu 20.04, adresa IP 10.21.5.104
  • ABC-NB001.foo.bar.com - notebook, care rulează Windows 10 cu utilizator AD, adresa IP 10.21.5.104
  • Pod de rețea - a convertit interfața de rețea unică a ABC-DT001-L la un bridge, care în schimb este folosit de fiecare VM pe care intenționez să îl rulez
  • Comutator HP ProCurve 1810g-8 J9449A - comutator gestionat la care mașinile mele sunt conectate în biroul meu (nu am acces la el), adresa IP 10.21.99.10 (sau așa spune eticheta)
  • Gateway implicit - Adresa IP 10.21.5.1
  • Server DHCP - Adresa IP 10.21.1.3
  • server DNS - Adresa IP 10.21.1.3
  • Server WINS primar - Adresa IP 10.21.1.10

De la departamentul nostru IT mi s-a spus că, dacă o mașină are o adresă MAC permanentă, pot întotdeauna, de ex. ABC-DT001-L.foo.bar.com pentru a-mi accesa ABC-DT001-L mașinărie.

La un nivel KVM am puntea implicită (virbr0 sau ceva) care este setat la crearea unui VM pentru a permite sistemului VM-ului să sincronizeze cumva timpul, precum și propria mea punte care leagă VM-ul la singurul port Ethernet pe care îl are gazda mea, permițându-i să acceseze Internetul, precum și rețeaua internă a institutului nostru. Deci, în ceea ce privește adresele MAC de pe PC-ul meu, am

  • ABC-DT001-L.foo.bar.com - Adresa mac 14:b3:1f:07:ee:5a
  • ABC-DT001-L-VM0.foo.bar.com - Adresa mac 52:54:00:2a:b8:4f

referitor la puntea mea.

În cazul în care sunteți interesat de bridge-ul implicit pe care îl am 52:54:00:58:04:50 (partea gazdă) și 52:54:00:1e:cf:8b (partea VM).

Iată ce funcționează:

  • ABC-NB001 - poate ping și SSH ABC-DT001-L
  • ABC-NB001 - se poate conecta la ping, SSH și VNC ABC-DT001-L-VM0 (portul 5900 pentru cockpit, portul 5901 pentru orice alt vizualizator VNC, deoarece rulez și X11VNC în paralel cu ceea ce oferă deja cockpitul pentru a permite accesul în viitor doar la VM și nu la serverul de bază)
  • ABC-DT001-L - poate ping și SSH ABC-DT001-L-VM0, poate face ping ABC-NB001
  • ABC-DT001-L-VM0 - poate ping și SSH ABC-DT001-L, poate face ping ABC-NB001

În plus, pot ping și accesa consola web a ABC-DT001-L de pe serverele noastre Windows (cele pe care le vom converti în Linux în viitor). Colegii mei, care lucrează în biroul de acasă, pot, de asemenea, (prin VPN-ul nostru) să facă ping și să acceseze ABC-DT001-L.

Iată ce nu funcționează:

  • Acces la ABC-DT001-L-VM0 de pe serverele noastre, inclusiv chiar și doar ping
  • Acces la ABC-DT001-L-VM0 de la aparatele colegilor mei prin VPN

Deci, se pare că nimic dincolo de comutator nu poate accesa mașinile virtuale în niciun fel posibil. Un lucru pe care l-am observat, care cred că este de așteptat, este că în spatele comutatorului pot folosi pur și simplu numele de gazdă în loc de numele complet pentru a avea acces la toate mașinile mele.

Se pare că problema este puntea. Înainte de a merge la urs (departamentul nostru IT) aș dori să încerc să rezolv problema (cu ajutorul tău, desigur).

83
0 + 0
pod
drookie avatar
drapel za
drookie
Întrebării dvs. îi lipsește complet schema de proiectare a rețelei IP, - ați omis toate măștile de rețea, așa că este greu de ghicit ce se întâmplă cu adevărat. Ați convertit interfața de rețea gazdă într-un bridge? „Pont” pe care îl menționezi în întrebare se poate referi la orice.
0
Răspunde
rbaleksandar avatar
drapel br
rbaleksandar
Voi oferi măștile. În ceea ce privește bridge-ul - da, am convertit interfața de rețea gazdă (un singur port) într-un bridge.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.