2 Kommentare Netzwerk, Server und Dienste

Hetzner Rootserver mit Proxmox – Netzwerkkonfiguration

Veröffentlicht von

Mit Rootservern bei Hetzner habe ich bisher, was den Support und die Reaktionsgeschwindigkeit  im Fehlerfall angeht, die besten Erfahrungen sammeln können. Außerdem lässt sich in der sog. Serverbörse oft das ein oder andere Schnäppchen ohne Einrichtungsgebühr finden.

Um die Leistung der Rootserver möglichst optimal nutzen zu können, virtualisiere ich verschiedene Hosts mit Proxmox. Nachdem ich verschiedene Rootserver auf die neueste Version von Debian 9 Stretch migriert habe, musste ich die Netzwerkkonfiguration des Proxmox-Hosts, also des Rootservers, anpassen, damit bridged-Networking korrekt funktioniert.

IP- und MAC-Adressen bei Hetzner

Für den Aufbau eines Netzwerks mit virtuellen Proxmox-Hosts beauftrage ich bei Hetzner jeweils eine Zusatz-IP-Adresse pro geplanter virtueller Maschine. Diese IP-Adressen werden dann mit der Haupt-IP-Adresse des Rootservers gebrückt.

Darüber hinaus ist für die Konfiguration in Proxmox eine eigene MAC-Adresse pro IP-Adresse in der Hetzner-Serververwaltung anzufordern.

hetzner_proxmox_1
Hetzner-Serververwaltung – IP-Adressen

Somit gibt es im gezeigten Beispiel eine Haupt-IP-Adresse, nämlich die des Rootservers, und die zusätzlich angeforderte IP-Adresse für den virtuellen Proxmox-Host mit zusätzlicher MAC-Adresse.

Proxmox-Netzwerkkonfiguation – Rootserver-Host mit Debian 9 Stretch

Die Netzwerkkonfiguration des Proxmox-Hosts erfolgt wahlweise direkt im Proxmox-Webinterface oder in den entsprechenden Konfigurationsdatei des Betriebssystems Debian 9 Stretch /etc/network/interfaces.

Da ich Schwierigkeiten hatte, die Netzwerkinterfaces über das Proxmox-Webinterface vorzunehmen, habe ich direkt die o. g. Datei bearbeitet. Die Einstellung im Webinterface erzeugt aber eine identische Konfiguration.

hetzner_proxmox_2
Proxmox-Netzwerkeinstellungen

Wie zu erkennen ist, wird die Einstellung des physischen Interfaces (hier eno1) gelöscht und auf die einzurichtende Bridge vmbr0 übertragen. Als IP-Adresse wird die zugeteilte Adresse des Rootservers verwendet, die Subnetzmaske und das zugehörige Gateway lassen sich ebenfalls in der oben gezeigten Hetzner-IP-Verwaltung ablesen.

Wichtig ist, dass in den Einstellungen der vmbr0-Bridge auch das Bridging mit dem Interface eno1 angegeben wird. (Bridge ports)

hetzner_proxmox_3
Konfiguration der Bridge vmbr0

Aus den Einstellungen im Webinterface von Proxmox resultiert nun folgender Inhalt der Datei /etc/network/interfaces:

# network interface settings; autogenerated
# Please do NOT modify this file directly, unless you know what
# you're doing.
#
# If you want to manage part of the network configuration manually,
# please utilize the 'source' or 'source-directory' directives to do
# so.
# PVE will preserve these directives, but will NOT its network
# configuration from sourced files, so do not attempt to move any of
# the PVE managed interfaces into external files!

source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback

iface lo inet6 loopback

iface eno1 inet manual
        up route add -net <Netzadresse der Haupt-I> netmask 255.255.255.224 gw <Gateway der Haupt-IP> eno1

auto vmbr0
iface vmbr0 inet static
        address  <Haupt-IP>
        netmask  255.255.255.224
        gateway  <Gateway der Haupt-IP>
        bridge_ports eno1
        bridge_stp off
        bridge_fd 0

Damit verfügt der Promox-Host über die nötige Netzwerkkonfiguration, um virtuelle Hosts über deren zusätzliche (eigene) IP-Adresse erreichen zu können.

Proxmox-Netzwerkkonfiguation – virtueller Server

Wird jetzt ein virtueller Server auf dem Proxmox-Host eingerichtet, muss die MAC-Adresse zu einer gesondert bestellten IP-Adresse in der Hetzner-Serververwaltung angefordert und in den Netzwerkeinstellungen des neuen virtuellen Servers eingetragen werden.

hetzner_proxmox_4
Netzwerkeinstellungen des virtuellen Servers in Proxmox

Innerhalb dieses virtuellen Servers, mit welchem Betriebssystem auch immer dieser installiert ist, müssen keine speziellen Netzwerkeinstellungen mehr vorgenommen werden.

Wird hier eine statische IP-Konfiguration bevorzugt, kann einfach die zusätzliche Hetzner-IP-Adresse genutzt werden, die dem virtuellen Netzwerkinterface per statischem DHCP ohnehin zugewiesen wird.

Ab sofort ist der virtuelle Server unter seiner eigenen öffentlichen IP-Adresse über das Internet erreichbar.

Hinweis: Der virtuelle Server steht ohne weitere Absicherung direkt am öffentlichen Netz. Das heißt, dass theoretisch alle Ports, sofern sie denn genutzt werden, nach außen geöffnet werden. Einer Firewall auf dem virtuellen System ist also dringend zu empfehlen.

2 Kommentare

    1. Hi Matthias,

      Das kommt auf das gesamte Szenario an. In diesem Fall laufen auf dem physischen Host nur 3 VMs. Das kleinste IPv4-Subnetz (/29) kostet bei Hetzner 8 Euro / Monat. Damit sind einzelne IPv4-Adressen für den rootserver günstiger. MAC-Adressen kosten nicht extra und können einfach per Klick „beauftragt“ werden.
      Die Firewalls habe ich in diesem Fall auch gern VM-lokal, weil sie je nach Dienstangebot der VMs sowieso sehr individuell sind.
      In größeren Umgebungen mit mehr VMs ergibt es selbstverständlich Sinn, auf eine routed-Konfiguration mit eigenem Subnetz zu setzen und über die IP des rootservers zu brücken.

      Antworten

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.