Proxmox, PfSense, Nginx - Ny server

Om du ska ha HA och annat göttigt skulle jag försöka bygga ett separat nätverk iaf.

Du kan köra vilka IP-ranges du vill, ingen skillnad på 10.x.x.x emot 192.168.x.x förutom att du kan ha fler addresser Det kan vara bra för enkelhetens skull att dela upp i olika ranges dock. Eller bara typ 10.100.x.x och 10.200.x.x

Vad du än gör så lägg inte ut Proxmox maskinen direkt mot nätet. Sätt istället upp en liten VM som du kan komma åt via te.x SSH och sedan kan du använda socks5 proxy genom den tunneln för att nå Proxmox webgui eller sätt upp en VPN på pfSense.

Är kanske inget svar, mera en fråga.

Men varför inte köra Windows server med hyper-v?

Vad ger hyper-v för fördel i förhållande till proxmox?

Personligen kör jag en socks5 proxy över ssh för att nå Proxmox webgui (och allt annat som har webgui för den delen, inkl. pfSense). Tycker det fungerar väldigt smidigt att använda sig utav Console-funktionen i webguit för att göra mindre justeringar. Men ibland kan den kännas lite "trög", speciellt om det ska utföras lite större jobb än att lägga till en rad i en config fil. Ingen höjdare att sitta och växla mellan ett antal screen fönster och i de fallen ssh:ar jag bara vidare till den VM jag behöver in på. Om det däremot är kunder som ska ha access på det här viset så kanske det blir alldeles för krånligt (även om man såklart skulle kunna bundla ihop något med putty och portable firefox eller dylikt). Rent spontant känns det enklare att kunna dela ut access via någon form av VPN, har dock ingen större erfarenhet av att sätta upp VPN lösningar så jag kan ha helt fel där.

tänk på att också ha en bra fencing om du ska köra någon slags High availability. Om en server går ned eller tappar nätverkskontakt så kommer HA-klustret att skjuta ut shutdown till hosten för att se till så att den faktiskt är nedstängd.

Ser ut som att du tänkt bygga en setup likt den jag har hos mig.
Jag sitter med en Proxmox server där jag kört (bytt till egen HW nu för routern) PfSense som VM i flera år helt utan problem.
Jag har provat flera olika "nätverkssetuper" under den tiden.

@mini-ryttge har redan givit dig masor med bra tips hur man kan sätta upp interface och LAGG om du har en vettig switch.

Jag hade rekommenderat att använda något annat än 192.168.x.x då de ofta krockar när man ska använda VPN för att komma åt sina nätverk utifrån.
10.x.x.x är bättre i så fall.
Typ
LAN: 10.5.1.0/24
DMZ: 10.5.2.0/24

På så sätt kan du skapa dig OpenVPN (eller annan VPN) för att ansluta in till nätverken. Roadwarrior (osäker på vad de egentligen heter) är populärt och går ut på att du tunnlar all trafik via DMZ eller LAN beroende på vilken du ansluter till. Så när du är hos polarens nät 192.168.1.x/24 och ansluter till ditt DMZ och därifrån till servern så kommer de bli såhär (enkelt sagt):
PC->Router(hos polaren)->Internet (via tunnel) -> PfSense -> DMZ -> Server

Detta skulle jag säga är en av de enklare och bättre sätten att nå sitt DMZ nät om man verkligen vill ha de isolerat. Annars kan man lägga en VM på DMZ nätet som man öppnar portar till och ansluter till utifrån och sedan jobbar mot DMZ därifrån, också en

Har du en lite mer avancerad switch (HW switch) så kan man använda sig av VLAN för att splita upp DMZ, LAN, WLAN och WAN. Då kan du tagga en port för WAN och sedan skicka all trafik till Proxmox servern. I Proxmox kan du sedan tilldela flera olika maskiner anslutning till internet (i de fall du har flera publika IP addresser) vilket jag gör idag hos Telia. Jag kör ett fysiskt nät (i Proxmox endast en vmbr switch) och använder mig av VLAN taggar istället för att isolera maskiner och VMs mellan varandra. fungerar mycket bra.
VLAN är ett väldigt bra sätt att isolera nätverkstrafik på samma fysiska nätverk. Då behöver du bara ha en kabel (om du inte kör LAGG) mellan servrar och switch.

Däremot när du ska sätta upp din PfSense maskin så rekommenderar jag att använda E1000 drivern för NIC. ett för varje tänkt interface. De gör de enklare i PfSense. De ska fungera med VLAN där också men sist jag grejade med de så fick jag massor med underliga fel så gick tillbaka till "keep it simple stupid".

Sen när de kommer till PfSense så är de lite meck innan man fattar hur man ska sätta upp reglerna för att trafik ska tillåtas (eller inte tillåtas) gå från DMZ->LAN eller LAN->DMZ. Tänk att du ansluter till servern (säg port 80 http) på DMZ så vill du kanske inte att den trafiken ska gå. LAN -> PfSense -> WAN (internet) -> PfSense -> DMZ. När man experimenterar med detta så är de bra att köra "tracert" kommandot för att se var paketen skickas.

Liten notis: Gick från virtuell PfSense till riktig HW då jag experimenterar en del med servern vilket ibland kan kräva omstarter (tester av UPS osv osv osv). Detta ledde till att hemmanätverket dog varje gång och de är lite irriterande i längden. Men om du tänkt ha din server uppe så är de absolut inget problem att köra PfSense Virtuellt. fungear kanon!

Finns ingen som helst mening med att koppla allt på olika fysiska switchar för DMZ,LAN osv
Jag blir förvånad av att ingen har nämt VLAN i en den här tråden. Vilket är det man använde sig av när man håller på med en sådan här lösning.

Aldrig jobbat med proxmox men av det jag skummat igenom så bör det vara väldigt enkelt att sätta upp. Kör något som påminner lite om ditt tänk fast helt i vmware miljö samt HA-kluster osv.

Något som även hade underlättat är om du nämer vad för utrustning du tänker köra på då det är där begränsningarna kommer spela in. Om du har allt "godis" så kan man göra på många olika sätt.

Men någon form av hosting utan att köra "riktiga" prylar tycker inte jag låter som en bra lösning, Men allt handlar om hur långt man vill dra det.

Var lite otydlig men syftade på serverklassad hådvara ifrån ex, HP,Dell,IBM.
Jag är alltid suspekt med att drifta något på hemmabyggen, känns inte som om man kan garantera något då.

Lite nyfiken på varför du kommer köra proxmox os på en egen ssd-disk, Det räcker med att du kör det ifrån ett usb-minne väl?
lite som med vmware.

din RAID10 säger inte så mycket. Vad är det för typ av diskar? Kör du med WriteBack?
Singel disken på 4TB är inget jag hade nyttjat i driften, Kanske för backup eller något mindre viktigt.
RAID-kortet hade jag bytt direkt innan man driftsätter något annars blir det aldrig av att detta årgärdas, samt kan blir jobbigare då du eventuell måste skapa om dina RAID-volymer. Är inte H310 dessutom software based? Så fall hade jag skrotet det direkt.

Någon plan för hur din backup kommer att se ut?

[quote postid="16128799" userid="65766" name="mini-ryttge"]
Ett HA kluster brukar bestå av minst 2 noder och ett SAN https://en.wikipedia.org/wiki/Storage_area_network

Ett SAN går på ett par hundratusen nytt.

Alla diskar sitter då i SANet och noderna brukar ha usbminne/minneskort att köra OS från.

Dom låter som ett jetplan och drar snarlika mängder kraft.

Det är förmodligen inte intressant förän du har ett helt gäng VPSer

En DMZ brukar konfigureras för att vara helt låst. Den droppar alla paket som det inte finns regler för. Brandvägg i din hemmarouter eller i ditt virusskydd släpper ut all trafik men släpper inte in någon som du inte specifikt tillåter (typ öppna port 80 för en webbserver på http)

Man brukar ställa in en DMZ på samma sätt fast även internt. Så utan att öppna port 80 från tex plex server till WAN och port 53 (DNS) till WAN så kan inte maskinen surfa ut på internet. Detta för att interna servrar inte ska kunna nå varandra om de blir hackade. Enbart de servrar som behöver nå varandra kan då nå varandra.

Passthrough rimmar halvdant med HA, pfSense är ingen fara, däremot om du har 3 noder med pfSense med passthrough på node1 och node1 dör så dör även nätet, skulle gå att konfigurera ett HA kluster med 3 virtuella pfSense en på varje node och exkludera dessa från att flyttas.

Det går med hjälp av proxmox att dirigera trafik efter regler
https://pve.proxmox.com/wiki/Open_vSwitch

https://pve.proxmox.com/wiki/Network_Model

VirtIO kan användas istället för att emulera ett nätverkskort och ger högre prestanda.

Har inte riktigt tiden idag, kanske till helgen. Annars kommer här ett par /etc/network/interfaces exempel om detta hjälper dig att förstå (de är riktade till din setup)

auto lo
iface lo inet loopback

iface eth0 inet manual

iface eth1 inet manual

iface eth2 inet manual

iface eth3 inet manual

iface eth4 inet manual

iface eth5 inet manual


#MGMT
auto vmbr0
iface vmbr0 inet static
	address  192.168.1.x
	netmask  255.255.255.0
	gateway  192.168.1.1
	bridge_ports eth0
	bridge_stp off
	bridge_fd 0

#WAN pfSense
auto vmbr1
iface vmbr1 inet manual
	bridge_ports eth1
	bridge_stp off
	bridge_fd 0

#LAN pfSense
auto vmbr2
	iface vmbr2 inet manual
	bridge_ports eth2
	bridge_stp off
	bridge_fd 0

#DMZ pfSense
auto vmbr3
	iface vmbr2 inet manual
	bridge_ports eth3
	bridge_stp off
	bridge_fd 0

Detta borde fungera när jag tänker efter du behöver dock en kabel in i MGMT porten från switchen om du vill ha en sådan. eth1 går med kabel från ISP, eth2 till LAN switchen eth3 bör inte behöva någon kabel.

Sätt alla servrar som ska ha DMZ på vmbr3 och alla som ska ha LAN på vmbr2 och kör in en kabel i eth2 till LAN switch och om du ska ha fler maskiner i DMZ en kabel i eth3 till DMZ switch. Är dock inte helt 100 på om denna konfiguration fungerar.

#LAN Proxmox
auto vmbr0
iface vmbr0 inet static
	address  192.168.1.x
	netmask  255.255.255.0
	gateway  192.168.1.1
	bridge_ports eth0
	bridge_stp off
	bridge_fd 0

#DMZ proxmox
auto vmbr1
iface vmbr1 inet static
	address  10.10.10.x
	netmask  255.0.0.0
	gateway  10.10.10.1
	bridge_ports eth1
	bridge_stp off
	bridge_fd 0

#WAN pfSense
auto vmbr2
iface vmbr2 inet manual
	bridge_ports eth2
	bridge_stp off
	bridge_fd 0

#LAN pfSense
auto vmbr3
	iface vmbr3 inet manual
	bridge_ports eth3
	bridge_stp off
	bridge_fd 0

#DMZ pfSense
auto vmbr4
	iface vmbr4 inet manual
	bridge_ports eth4
	bridge_stp off
	bridge_fd 0

Detta borde definitivt fungera men kräver en kabel mellan eth 1 och eth 4 och kommer kräva att eth3 går in i en switch och att en kabel går tillbaka från switchen till servern in i eth0.

Har du en vettig switch kan du också göra en bond (link aggregation på 2 portar) Dessa ska då helst vara på samma nätverkskort och leder till att DMZ Proxmox kommer hamna på ditt pci kort.

auto bond0
iface bond0 inet manual
	slaves eth0 eth1
	bond_miimon 100
	bond_mode 802.3ad

#LAN Proxmox
auto vmbr0
iface vmbr0 inet static
	address  192.168.1.x
	netmask  255.255.255.0
	gateway  192.168.1.1
	bridge_ports bond0
	bridge_stp off
	bridge_fd 0

I pfSense är det inga problem att göra regler för de interna näten du kan routa (och köra Allow eller NAT) så plex server på 10.0.10.20 kan nå NAS på 192.168.1.30 via tex port 445 tcp och vice versa. (445 är en del av SMB/CIFS)

Då får du sätta upp en VNC med GUI på varje maskin vilket blir jobbigt, här är iaf en config fil för TigerVNC på Ubuntu

#!/bin/sh -e
### BEGIN INIT INFO
# Provides:          vncserver
# Required-Start:    networking
# Default-Start:     3 4 5
# Default-Stop:      0 6
### END INIT INFO
PATH="$PATH:/usr/X11R6/bin/"

# The Username:Group that will run VNC
export USER="user"
#${RUNAS}

# The display that VNC will use
DISPLAY="1"

# Color depth (between 8 and 32)
DEPTH="16"

# The Desktop geometry to use.
#GEOMETRY="<WIDTH>x<HEIGHT>"
#GEOMETRY="800x600"
#GEOMETRY="1024x768"
GEOMETRY="1280x1024"

# The name that the VNC Desktop will have.
NAME="DINSERVER"

OPTIONS="-name ${NAME} -depth ${DEPTH} -geometry ${GEOMETRY} :${DISPLAY}"

. /lib/lsb/init-functions

case "$1" in
start)
log_action_begin_msg "Starting vncserver for user '${USER}' on localhost:${DISPLAY}"
su ${USER} -c "/usr/bin/vncserver ${OPTIONS}"
;;

stop)
log_action_begin_msg "Stoping vncserver for user '${USER}' on localhost:${DISPLAY}"
su ${USER} -c "/usr/bin/vncserver -kill :${DISPLAY}"
;;

restart)
$0 stop
$0 start
;;
esac

exit 0

Helt sonika stulen från någon

På Ubuntu 14.04 behöver du köra
sudo chmod +x /etc/init.d/vncserver

Om jag bara får flika in ang HA och behovet av SAN. Ja, ska en hypervisor tar över körande VMar från en annan utan nertid krävs det ju någon form av gemensam lagring. Det behöver ju dock inte nödvändigtvis vara ett Hitachi SAN för 2 mille I princip alla nyare NAS burkar klarar ju av att dela ut iSCSI disk via ethernet till 2 burkar.

Bir ju då såklart NASen som blir single point of failure, men... Duger ju kanske för en hemmalösning?

Skippa Proxmox och kör VMWare vSphere istället, betydligt enklare att sätta upp för din del, och på det sättet du tänk ha det uppsatt.

Där har du ju dock fel, det går att köpa nya SAN för inte så många 10 000 lappar om man så vill, lika så kan man bygga egna av "vanliga" rackservrar/blade/tower servrar om man så vill.
Och "låter som jetplan och drar snarlika mängder kraft." är en kvarleva sedan de lät mycket och drog el, i dagens läge så har både rackservrar, och SAN enheter blivit betydligt tystare, ex HP Proliant GEN 8 modellerna (Rackservrarna) är knappt hörbara i ett vanligt kontorsrum, utan kan om man så skulle vilja låta dem ligga på skrivbordet och de låter inte mer än en vanlig dator (men vem kör en rackserver på skrivbordet för den skull?).

Det är ju inget fel att bygga upp systemet rätt direkt, än att i efterhand installera annan lagring, med eventuell nertid på din server.

Mycket prat om SAN här, varför skulle det behövas ett SAN i den här uppsättningen? Vill man fläska på ordentligt så kan man köpa en NAS ur Synologys proffssortiment för 10 000 kr, då får man dubbla 10 GbE och 8 diskplatser. Det borde räcka och bli över. Vill man vara säker så köper man två och kopplar ihop i HA, det är fortfarande ganska långt från en halv miljon.

Vi pratar ju inte direkt om att snurra 10 000 VMar på den här lösningen.

Där har du helt fel.
Det finns bra backuplösningar till vSphere med, oavsett version.

Och nej, ett SAN för under 100k är inte ett glorifierad NAS.
Och jo, nu för tiden så har både rackservrar och SAN enheter blivit tysta mot tidigare, så det är inte att "bara att glömma".

Ett SAN är i princip bara en typ av nätverk, så man får bygga det redundant precis som man gör med andra nätverk. Dubbla SAN-switchar, dubbla HBA (eller NIC om man kör iSCSI) etc.