Ну и при чем тут гость vs хост ?

вклинюсь в обсуждение.
т,е. у вас vmbr0 это внутренняя локальная сеть?
а vmbr1 это мост для выделения вирт машинам белых адресов?

Vmbr0 это связка из 4 сетевых карт воткнутых физически в локальный свитч, а vmbr1 это связка только из 1 сетевой карты физически соединённой со шлюзом провайдера.

некропост =)

Я извиняюсь, но новых тем плодить не хочется.

А можно ли сделать так: смиксовать bridge+nat?

Поясню.

Одну виртуалку бриджуем с дефолтным мостом (vmbr0) Proxmox.

Добавляем еще один мост (vmbr1), на хосте прописываем NAT, второй виртуалке добавляем второй бридж шлюзом.

Запросы ко второй виртуалке (веб-сервисы) проксируем nginx’ом с гипервизора.

И сходу второй вопрос: чтобы проксировать запросы к VM2 с VM1 нужно создать второй сетевой интерфейс на VM1 и добавить его в бридж vmbr1 ?

Или я фигню написал?

Хочется странного)

Чего-то я сегодня не в состоянии строить схемы в уме. Но для поддержания разговора спрошу - а какая цель преследуется ?

Цель - одна виртуалка (vm1) в бридже доступна по publiс ip гипервизора.

Вторая - vm2 доступна по внутреннему серому ip и снаружи, проксированием запросов с гипервизора.

Проксирование с виртуалки не лучшая идея)

Просто не хочу грузить софт на гипервизоре проксированием на 2 серых адреса.

Знаешь как сделать по-уму, поделись)

Вроде как bestpractice считается использование одной виртуалки в качестве шлюза,реверспрокси и всего прочего. В интернете немало инструкций как это сделать.

Ну те, что мне нагугливались в основом «очерки Капитана Очевидности».

Я пока делю шкуру неубитого медведя, но знания за плечами не носить, тем паче, не все можно обнаружить в Сети в работоспособном виде.

constin, anc.

Накидал диаграмму для наглядости.

Мой первый сегодняшний пост не в счет :-)

В теории, достаточно будет 2 сетевых карт на виртуалке шлюзе + форвардинг и маскарадинг на ней же.

Может херню сморозил, но выглядит привлекательно, не знаю насколько эффективно и практично)

Первый совет на этот счет:

поднять на гипервизоре NAT к виртуалкам, поставить nginx и проксировать запросы извне.

Но, повторюсь, хочется странного.

Вы нарисовали логику, но не забывайте что физикой один фиг через хост ходить будет. Поэтому тут виртуалки надо рисовать в один ряд, если это только не nested virt

Поэтому тут виртуалки надо рисовать в один ряд

Да, мой косяк)

Просто я сегодня в ударе, быстренько накидал прямо из головы на diagrams.net и был таков. Вопрос в том, насколько в ударе.

Я вообще думаю поставить gns3 и прокачать скиллы, как грится, не подскажите хорошего материала по сабжу, кроме «Сети для самых маленьких»?

Хотя, с другой стороны получается, что порты нужно пробрасывать и на гипервизоре и на прокси-виртуалке, что как бы не сильно красиво…

https://habr.com/ru/post/242741/
Но, я сам про него только знаю и тыкал палочкой в качестве тестов, мне пока и по старинке хватает.

https://alex-tesla.livejournal.com/22799.html

А вот это интересно, буду курить.

Спасибо.

В целом если вы строите с нуля, ovs самое то. Это старое перестраивать, работает не трогай, что верно :)

Вроде как bestpractice считается использование одной виртуалки в качестве шлюза

Ну как минимум anc, constin и еще один человек с форума Proxmox рекомендуют этого не делать)

Но то лирика)

Скажи,ты pfSense в качестве шлюза для Прокса для виртуалок не настраивал?

Не, pfsense совсем не пользую.

Нашел)

Вот чего я хотел добиться в первом приближении, только без vmbr3

Т.е. как по ссылке

vmbr1 - веб-сервисы (прокси). Маскарадинг + проброс портов.

vmbr2 - обычный бридж, прямое соединение к хосту.

Только одно НО как получать SSL-сертикаты гипервизору?

P.S. Это всего лишь мысленный эксперимент, у Hetzner IP4 копеечные, но для разминки иногда полезно :-)

сертификаты получать там где nginx стоит через certbot, например.

Продолжая мысленный эксперимент.

Что если при таком раскладе добавить VM1 бридж vmbr2, обойтись без проброса портов с хоста и проксировать запросы на VM2 с VM1 nginx'ом?

Ну вот есть, что проверить на virtualbox в домашних условиях)

Хотя тормозить оно будет, наверное...

Вот еще есть к Вам вопрос, какой вариант лучше в плане производительности/надёжности (если применимо):

№1 — у бриджа vbmr0 IP гипервизора, на этом же бридже прописаны маршруты до виртуалок с белыми IP4;

№2 — дефолтная схема из документации, когда на бридж вешается белый IP из подсети виртуалок.

Очевидно, что №2 проще настраивать :-)

Какие преимущества/недостатки у №1, кроме экономии одного IP4 адреса?

P.S. у всех виртуалок есть белые адреса IP4

Какие преимущества/недостатки у №1

Пожалуй вы вами и ответили

кроме экономии одного IP4 адреса?

/

Очевидно, что №2 проще настраивать

:)