Mit Rootservern bei Hetzner habe ich bisher, was den Support und die Reaktionsgeschwindigkeit im Fehlerfall angeht, die besten Erfahrungen sammeln können. Außerdem lässt sich in der sog. Serverbörse oft das ein oder andere Schnäppchen ohne Einrichtungsgebühr finden.
Um die Leistung der Rootserver möglichst optimal nutzen zu können, virtualisiere ich verschiedene Hosts mit Proxmox. Nachdem ich verschiedene Rootserver auf die neueste Version von Debian 9 Stretch migriert habe, musste ich die Netzwerkkonfiguration des Proxmox-Hosts, also des Rootservers, anpassen, damit bridged-Networking korrekt funktioniert.
IP- und MAC-Adressen bei Hetzner
Für den Aufbau eines Netzwerks mit virtuellen Proxmox-Hosts beauftrage ich bei Hetzner jeweils eine Zusatz-IP-Adresse pro geplanter virtueller Maschine. Diese IP-Adressen werden dann mit der Haupt-IP-Adresse des Rootservers gebrückt.
Darüber hinaus ist für die Konfiguration in Proxmox eine eigene MAC-Adresse pro IP-Adresse in der Hetzner-Serververwaltung anzufordern.

Somit gibt es im gezeigten Beispiel eine Haupt-IP-Adresse, nämlich die des Rootservers, und die zusätzlich angeforderte IP-Adresse für den virtuellen Proxmox-Host mit zusätzlicher MAC-Adresse.
Proxmox-Netzwerkkonfiguation – Rootserver-Host mit Debian 9 Stretch
Die Netzwerkkonfiguration des Proxmox-Hosts erfolgt wahlweise direkt im Proxmox-Webinterface oder in den entsprechenden Konfigurationsdatei des Betriebssystems Debian 9 Stretch /etc/network/interfaces.
Da ich Schwierigkeiten hatte, die Netzwerkinterfaces über das Proxmox-Webinterface vorzunehmen, habe ich direkt die o. g. Datei bearbeitet. Die Einstellung im Webinterface erzeugt aber eine identische Konfiguration.

Wie zu erkennen ist, wird die Einstellung des physischen Interfaces (hier eno1) gelöscht und auf die einzurichtende Bridge vmbr0 übertragen. Als IP-Adresse wird die zugeteilte Adresse des Rootservers verwendet, die Subnetzmaske und das zugehörige Gateway lassen sich ebenfalls in der oben gezeigten Hetzner-IP-Verwaltung ablesen.
Wichtig ist, dass in den Einstellungen der vmbr0-Bridge auch das Bridging mit dem Interface eno1 angegeben wird. (Bridge ports)

Aus den Einstellungen im Webinterface von Proxmox resultiert nun folgender Inhalt der Datei /etc/network/interfaces:
# network interface settings; autogenerated # Please do NOT modify this file directly, unless you know what # you're doing. # # If you want to manage part of the network configuration manually, # please utilize the 'source' or 'source-directory' directives to do # so. # PVE will preserve these directives, but will NOT its network # configuration from sourced files, so do not attempt to move any of # the PVE managed interfaces into external files! source /etc/network/interfaces.d/* auto lo iface lo inet loopback iface lo inet6 loopback iface eno1 inet manual up route add -net <Netzadresse der Haupt-I> netmask 255.255.255.224 gw <Gateway der Haupt-IP> eno1 auto vmbr0 iface vmbr0 inet static address <Haupt-IP> netmask 255.255.255.224 gateway <Gateway der Haupt-IP> bridge_ports eno1 bridge_stp off bridge_fd 0
Damit verfügt der Promox-Host über die nötige Netzwerkkonfiguration, um virtuelle Hosts über deren zusätzliche (eigene) IP-Adresse erreichen zu können.
Proxmox-Netzwerkkonfiguation – virtueller Server
Wird jetzt ein virtueller Server auf dem Proxmox-Host eingerichtet, muss die MAC-Adresse zu einer gesondert bestellten IP-Adresse in der Hetzner-Serververwaltung angefordert und in den Netzwerkeinstellungen des neuen virtuellen Servers eingetragen werden.

Innerhalb dieses virtuellen Servers, mit welchem Betriebssystem auch immer dieser installiert ist, müssen keine speziellen Netzwerkeinstellungen mehr vorgenommen werden.
Wird hier eine statische IP-Konfiguration bevorzugt, kann einfach die zusätzliche Hetzner-IP-Adresse genutzt werden, die dem virtuellen Netzwerkinterface per statischem DHCP ohnehin zugewiesen wird.
Ab sofort ist der virtuelle Server unter seiner eigenen öffentlichen IP-Adresse über das Internet erreichbar.
Hinweis: Der virtuelle Server steht ohne weitere Absicherung direkt am öffentlichen Netz. Das heißt, dass theoretisch alle Ports, sofern sie denn genutzt werden, nach außen geöffnet werden. Einer Firewall auf dem virtuellen System ist also dringend zu empfehlen.
Hallo,
warum nutzt Du kein routed ? Damit sparst Du Dir die MAC-Adressen und vor allem die Firewall in jeder einzelnen VM.
Gruß
Matthias
Hi Matthias,
Das kommt auf das gesamte Szenario an. In diesem Fall laufen auf dem physischen Host nur 3 VMs. Das kleinste IPv4-Subnetz (/29) kostet bei Hetzner 8 Euro / Monat. Damit sind einzelne IPv4-Adressen für den rootserver günstiger. MAC-Adressen kosten nicht extra und können einfach per Klick „beauftragt“ werden.
Die Firewalls habe ich in diesem Fall auch gern VM-lokal, weil sie je nach Dienstangebot der VMs sowieso sehr individuell sind.
In größeren Umgebungen mit mehr VMs ergibt es selbstverständlich Sinn, auf eine routed-Konfiguration mit eigenem Subnetz zu setzen und über die IP des rootservers zu brücken.