Umstellung der Hetzner Rootserver Netzwerkonfiuration von einzel IP auf Subnet im laufenden Betrieb

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
etron770
Beiträge: 197
Registriert: 28.01.2016 16:56:58

Umstellung der Hetzner Rootserver Netzwerkonfiuration von einzel IP auf Subnet im laufenden Betrieb

Beitrag von etron770 » 13.12.2018 16:35:31

Das Ursprungsposting war viewtopic.php?f=30&t=171617
Weil es eventuell für andere ab hier auch interessant ist ein neuer Tread
Hier nochmal die "verhunzte" aber mit Einschränkungen funktionierende Konfiguration :D

Code: Alles auswählen

source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback
iface lo inet6 loopback

auto enp6s0
iface enp6s0 inet static
  address xx.yy.zz.18
  netmask 255.255.255.192
  gateway xx.yy.zz.1
  pointopoint xx.yy.zz.1

iface enp6s0 inet6 static
 address xxxx:yyyy:zzzz:516e::2
 netmask 64
 gateway xxxx::1
 up sysctl -p
# ---------------------------:--- original ende   --------------------



# --------------------- bridged config -------------
auto vmbr0
iface vmbr0 inet static
 address xx.yy.zz.18
 netmask 255.255.255.255
 bridge_ports none
 bridge_stp off
 bridge_fd 0
  up ip route add xx.yy.zz.32/32 dev vmbr0
  up ip route add xx.yy.zz.55/32 dev vmbr0
  up ip route add xx.yy.zz.57/32 dev vmbr0
  up ip route add xx.yy.zz.59/32 dev vmbr0
  up ip route add xx.yy.zz.60/32 dev vmbr0
  up ip route add xx.yy.zz.62/32 dev vmbr0

auto vmbr111
iface vmbr111 inet static
  address 10.8.0.1
  netmask 255.255.255.255
  bridge_ports none
  bridge_stp off
  bridge_fd 0
     up ip route add 10.8.0.110/32 dev vmbr111
     up ip route add 10.8.0.111/32 dev vmbr111
     up ip route add 10.8.0.112/32 dev vmbr111
     up ip route add 10.8.0.113/32 dev vmbr111
     up ip route add 10.8.0.114/32 dev vmbr111
     up ip route add 10.8.0.115/32 dev vmbr111
     up ip route add 10.8.0.116/32 dev vmbr111
Nun habe ich ein neues Subnet uu.ww.238.32 / 29
und das bisher ungenutzte IPv6 XXXX:YYYY:ZZZZ:516e:: / 64
Wenn ich es richtig verstehe füge das Subnet hinzu :

Code: Alles auswählen

auto vmbr1
iface vmbr1 inet static
bridge_fd 0
bridge_stp off
bridge_ports none
address uu.ww.238.32
netmask 255.255.255.255
up /sbin/ip route add uu.ww.238.32 dev $IFACE
up /sbin/ip route add uu.ww. ...
...
und das gleiche mit dem IPv6
danach das Netzwerk neu starten. Ist es sicherer die VMs kurzzeitig herunterzufahren? Wahrscheinlich schon oder, denn wenn man sich vertippt hilf nur ein Reset des ganzen Servers ...
Würde das so funktionieren oder beißt sich da etwas?

Wenn ich danach aber den Vservern einen neue IP verpasse habe ich einen Downtime von mehreren Stunden.
Kann ich die irgendwie umgehen, indem temporär ich die alte IP auf die neue IP route?

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Umstellung der Hetzner Rootserver Netzwerkonfiuration von einzel IP auf Subnet im laufenden Betrieb

Beitrag von bluestar » 13.12.2018 17:21:06

etron770 hat geschrieben: ↑ zum Beitrag ↑
13.12.2018 16:35:31
Wenn ich danach aber den Vservern einen neue IP verpasse habe ich einen Downtime von mehreren Stunden.
Kann ich die irgendwie umgehen, indem temporär ich die alte IP auf die neue IP route?
Woher kommt deine Downtime von mehreren Stunden? DNS TTL für die VServer natürlich 24h vor der Umstellung auf umstellen, am besten auf 10sek oder weniger.

Wenn du ein wirklich flexibeles Setup haben willst, dann vergibst du an deine Vserver ausschließlich private IP-Adressen und machst auf dem Host SNAT und DNAT.

Ich empfehle dir mal wirklich dein gesamtes Hostingkonzept und -probleme mal zu verschriftlichen, dann kann man das Setup einmal komplett von A-Z aufräumen, die Probleme beseitigen und das ideale Setup für dich aufbauen.

etron770
Beiträge: 197
Registriert: 28.01.2016 16:56:58

Re: Umstellung der Hetzner Rootserver Netzwerkonfiuration von einzel IP auf Subnet im laufenden Betrieb

Beitrag von etron770 » 13.12.2018 17:57:02

Woher kommt deine Downtime von mehreren Stunden? DNS TTL für die VServer natürlich 24h vor der Umstellung auf umstellen, am besten auf 10sek oder weniger.
DAU ... jetzt weis sich auch wozu ich das nutzen kann
Wenn du ein wirklich flexibeles Setup haben willst, dann vergibst du an deine Vserver ausschließlich private IP-Adressen und machst auf dem Host SNAT und DNAT.

Ich empfehle dir mal wirklich dein gesamtes Hostingkonzept und -probleme mal zu verschriftlichen, dann kann man das Setup einmal komplett von A-Z aufräumen, die Probleme beseitigen und das ideale Setup für dich aufbauen.
Ich hoffe ich kann es verständlich aufschreiben:
Probleme:
  • falls es ein Problem ist, und nicht normal Pingzeiten ab Hetzner von ca. 20 ms (Ich habe FTTH 100.000/25.000 kbit/s und zum Anbieter < 4 ms)
  • über VPN -> VM - SAMBA bekomme ich nur ca. 30.000 im Download, aber nahezu 100.000 mit SSH Verbindung, also vermute ich dass SAMBA die Bremse ist.
  • und die 6. Ip ....
Setup

auf dem Rootserver sind 6 Vserver mit externer IP (2 *Web/ 1 Mail und 3 LAMP .. und der 6. neu aufgesetzte (der nicht zu erreichen ist) sollte alle Datenbanken vom VM 1-5 erhalten

Weiterhin sind über VPN derzeit 2 Vserver zu erreichen (SAMBA Daten)

2 Vserver laufen als SQL Server mit lokaler IP 10.8.0.xxx, auf denen nur je eine die Datenbank für hochfrequentierte Webseiten liegen, damit ich die den Vserver und die Datenbank dafür optimieren kann, bzw. weil sie vor der Optimierung den ganzen Webserver aufgehängt haben.

Anstatt den VM 6 mit externer IP habe ich mir überlegt die DB auch auf interne zu legen, niemand muss von außen darauf zugreifen, und wenn doch mal kann ich die DB auch auf einen der 1-6 replizieren oder verlegen. Dann habe ich eine IP mehr frei

Ob das nun ein gutes Konzept ist werdet ihr mir sicher sagen, das hat sich so von ursprünglich 2 VM langsam entwickelt

Derzeit läuft alles auf IPv4 Alles was möglich ist könnte auf reines IPv6 umgestellt werden, aber ich habe keinen Durchblick welche User dann nicht mehr drauf zugreifen können, oder ob man das inzwischen nach so langer Zeit seit Ipv6 Einführung vernachlässigen kann. Kann man wohl nicht, ich hab es ja auch nicht implementiert :oops: Es gibt immer welche die es erst ändern wenn es unbedingt sein muss ....

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Umstellung der Hetzner Rootserver Netzwerkonfiuration von einzel IP auf Subnet im laufenden Betrieb

Beitrag von heisenberg » 13.12.2018 18:00:11

bluestar hat geschrieben:Woher kommt deine Downtime von mehreren Stunden? DNS TTL für die VServer natürlich 24h vor der Umstellung auf umstellen, am besten auf 10sek oder weniger.
Diverse Provider haben da verschiedene Minimalwerte. 10 Sek erlaubt imho niemand. Ich würde mal davon ausgehen, dass das bei einer TTL von 1 Stunde bis 10 Minuten liegt, dann aber in den ersten Minuten schon die meisten der Anfragen bereits auf den neuen Server gehen. Wenn man den Zeitpunkt günstig wählt, sollte das in den meisten Fällen kaum eine Störung bedeuten.

Offizielle Aussage zum Thema DNS und TTL ist von den meisten Providern aber diese hier: Kann im Einzelfall bis zu 72 Stunden dauern.

Siehe:
https://www.google.com/search?q=dns+%C3 ... zu+stunden

Wenn unterbrechungsfreier Betrieb wirklich wichtig ist, könntest Du am alten Server noch DNAT-Regeln für einzelne Zielports setzen, damit Anfragen vom alten Server auf den neuen Server umgeleitet werden. Wenn Du wenig Ahnung hast: Laß es lieber. Is schon kompliziert genug.
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Umstellung der Hetzner Rootserver Netzwerkonfiuration von einzel IP auf Subnet im laufenden Betrieb

Beitrag von bluestar » 13.12.2018 18:24:00

heisenberg hat geschrieben: ↑ zum Beitrag ↑
13.12.2018 18:00:11
Diverse Provider haben da verschiedene Minimalwerte. 10 Sek erlaubt imho niemand
Hetzner beispielsweise erlaubt es.
heisenberg hat geschrieben: ↑ zum Beitrag ↑
13.12.2018 18:00:11
Wenn unterbrechungsfreier Betrieb wirklich wichtig ist, könntest Du am alten Server noch DNAT-Regeln für einzelne Zielports setzen, damit Anfragen vom alten Server auf den neuen Server umgeleitet werden.
Dann würde ich intern direkt nur noch mit privaten IPs arbeiten und grundsätzlich SNAT und DNAT verwenden ;)
heisenberg hat geschrieben: ↑ zum Beitrag ↑
13.12.2018 18:00:11
Wenn Du wenig Ahnung hast: Laß es lieber. Is schon kompliziert genug.
Da muss ich dir zustimmen.

etron770
Beiträge: 197
Registriert: 28.01.2016 16:56:58

Re: Umstellung der Hetzner Rootserver Netzwerkonfiuration von einzel IP auf Subnet im laufenden Betrieb

Beitrag von etron770 » 13.12.2018 18:26:21

heisenberg hat geschrieben: ↑ zum Beitrag ↑
13.12.2018 18:00:11
Wenn unterbrechungsfreier Betrieb wirklich wichtig ist, könntest Du am alten Server ...
Ist keine neuer Server, sind nur neue IPs auf dem selben Server

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Umstellung der Hetzner Rootserver Netzwerkonfiuration von einzel IP auf Subnet im laufenden Betrieb

Beitrag von bluestar » 13.12.2018 18:28:00

etron770 hat geschrieben: ↑ zum Beitrag ↑
13.12.2018 18:26:21
Ist keine neuer Server, sind nur neue IPs auf dem selben Server
Seine Antwort ist dennoch korrekt

etron770
Beiträge: 197
Registriert: 28.01.2016 16:56:58

Re: Umstellung der Hetzner Rootserver Netzwerkonfiuration von einzel IP auf Subnet im laufenden Betrieb

Beitrag von etron770 » 13.12.2018 18:55:01

bluestar hat geschrieben: ↑ zum Beitrag ↑
13.12.2018 18:24:00
Dann würde ich intern direkt nur noch mit privaten IPs arbeiten und grundsätzlich SNAT und DNAT verwenden ;)
heisenberg hat geschrieben: ↑ zum Beitrag ↑
13.12.2018 18:00:11
Wenn Du wenig Ahnung hast: Laß es lieber. Is schon kompliziert genug.
Da muss ich dir zustimmen.
Das wird keine Lösung sein weil es wohl so nicht richtig ist, wie es läuft. Ich könnte auch einen 30 Euro Server (Intel Core i7-2600 (CPU-B 8307) 2x 2 TB 16 GB) mieten, das alte Setup mit einer zusätzlichen IP und dem Subnet aufbauen und dann auf dem Testserver das Umstellen ausprobieren. Danach den Server wieder kündigen.
Da ist meine freie Zeit aber das größere Problem.

Wenn Ihr meint dass man das auch Life hin bekommt ...
  • letztendlich muss ich ja nur die neue Konfiguration mit Hilfe von hier vorbereiten :D
  • aktuelle Konfiguration sichern
  • die neue Konfiguration aktivieren
  • Wenn es nicht klappt mit Rettungskonsole alles wieder zurück und bei Punkt 1 wieder anfangen
Die Frage ist nur, ob man erst die Konfiguration anpassen kann, dass alles so läuft wie bisher, die neue aber vorbereitet ist.
Dann eine neu VM auf dem Subnetz ausprobiert, und wenn alles läuft, den Rest umlegt. Das wäre einfacher.
Das ganze hat Zeit, ich brauche die 6. Ip nicht dringend. Kurze Ausfälle wie bei Punkt 3/4 sind kein Problem. Das ist abgesprochen, weil niemand einen zweiten Server und Faillover IP monatlich zahlen wollte.

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Umstellung der Hetzner Rootserver Netzwerkonfiuration von einzel IP auf Subnet im laufenden Betrieb

Beitrag von bluestar » 13.12.2018 19:01:08

etron770 hat geschrieben: ↑ zum Beitrag ↑
13.12.2018 18:55:01
Wenn Ihr meint dass man das auch Life hin bekommt ...
Das Ganze kannst du problemlos im LIvebetrieb auf dem Server machen...

1. Bestell dein Subnetz
2. lege dir eine neue Bridge vmbr123 an.

Code: Alles auswählen

auto vmbr123
iface vmbr123 inet static
  address <HAUPT-IP-DEINES-SERVER>
  netmask 255.255.255.255
  bridge_ports none
  bridge_stp off
  bridge_fd 0
     up ip route add <0. IP DEINES NEUEN SUBNETS>/32 dev $IFACE
     up ip route add <1. IP DEINES NEUEN SUBNETS>/32 dev $IFACE
     up ip route add <2. IP DEINES NEUEN SUBNETS>/32 dev $IFACE
     up ip route add <3. IP DEINES NEUEN SUBNETS>/32 dev $IFACE
     up ip route add <4. IP DEINES NEUEN SUBNETS>/32 dev $IFACE
     up ip route add <5. IP DEINES NEUEN SUBNETS>/32 dev $IFACE
     up ip route add <6. IP DEINES NEUEN SUBNETS>/32 dev $IFACE
     up ip route add <7. IP DEINES NEUEN SUBNETS>/32 dev $IFACE
3. Starte die Bridge

Code: Alles auswählen

ifup vmbr123
4. Fahre einen Container runter
5. Ändere die IP-Konfiguration in Proxmox. IP-Adresse: <n.IP DEINES SUBNETS>/32 und als Gateway <HAUPT-IP-DEINES-SERVER> und binde auf vmbr123.
6. Starte deinen Container

Wiederhole Schritt 4 - 6 für jeden Container und fertig.

etron770
Beiträge: 197
Registriert: 28.01.2016 16:56:58

Re: Umstellung der Hetzner Rootserver Netzwerkonfiuration von einzel IP auf Subnet im laufenden Betrieb

Beitrag von etron770 » 13.12.2018 19:08:35

Ok Subnet ist schon da, der Rest dass alles sauber konfiguriert ist kann dann Stück für Stück geändert werden?
Auch die VM auf lokale IP und SNAT und DNAT einrichten? Geht dann danach auch live ohne dass man es nicht wieder schnell richten kann?

Eventuell komme ich da morgen nicht mehr dazu weil ich etliche DNS TTL Einträge erst ändern muss. Das schaffe ich heute nicht mehr
Dann melde ich mich nächste Woche

etron770
Beiträge: 197
Registriert: 28.01.2016 16:56:58

Re: Umstellung der Hetzner Rootserver Netzwerkonfiuration von einzel IP auf Subnet im laufenden Betrieb

Beitrag von etron770 » 13.12.2018 21:06:09

yep Subnet läuft mit einem neuen Container.
Vielen Dank

Wenn ich das richtig verstanden habe könnt man die VMs mit lokaler IP laufen lassen
und mit mit SNAT und DNAT zur Außenwelt verbinden - Wovon ich derzeit keine Ahnung habe.

Welche Vorteile hätte das und weiss jemand wo ich das verständlich nachlesen kann?

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Umstellung der Hetzner Rootserver Netzwerkonfiuration von einzel IP auf Subnet im laufenden Betrieb

Beitrag von bluestar » 14.12.2018 12:00:20

etron770 hat geschrieben: ↑ zum Beitrag ↑
13.12.2018 21:06:09
Wenn ich das richtig verstanden habe könnt man die VMs mit lokaler IP laufen lassen
und mit mit SNAT und DNAT zur Außenwelt verbinden - Wovon ich derzeit keine Ahnung habe.
Das macht Sinn, wenn du z.B. ohnehin private Adressen zur Kommunikation der VMs untereinander nutzen willst bzw. wenn deine IP-Zuordnung sich oft ändert.
etron770 hat geschrieben: ↑ zum Beitrag ↑
13.12.2018 21:06:09
Welche Vorteile hätte das und weiss jemand wo ich das verständlich nachlesen kann?
Vorteile:
  • Deine Server haben alle feste "interen" IPs und die ändern sich auch nicht, wenn du beispielsweise den Hoster wechselst.
  • Du schaffst ein Abstraktionslayer, d.h. du kannst z.B. einen zweiten Container aufsetzen für ne neue Webseite und wenn alles fertig ist, dann schwenkst du nur noch SNAT/DNAT vom alten Container auf den neuen und deine Webseite läuft.
  • Du kannst in den SNAT/DNAT Regeln eine öffentliche IP auch für mehrere Container verwenden, z.B. 80 und 443 auf Container Web, 587 und 993 auf Container Mail.
Nachteile:
  • Du hast natürlich ein wenig mehr Konfig-Aufwand SNAT/DNAT -> ggfs. Fehlerquelle
  • bitte nicht persönlich nehmen: So ein Setup ist eher etwas für erfahrene Admins
Die iptables-Befehle findest du u.a. hier http://linux-ip.net/html/nat-dnat.html, Beispiel 5.7

etron770
Beiträge: 197
Registriert: 28.01.2016 16:56:58

Re: Umstellung der Hetzner Rootserver Netzwerkonfiuration von einzel IP auf Subnet im laufenden Betrieb

Beitrag von etron770 » 14.12.2018 15:23:37

bluestar hat geschrieben: ↑ zum Beitrag ↑
14.12.2018 12:00:20
bitte nicht persönlich nehmen: So ein Setup ist eher etwas für erfahrene Admins
ooch nöö persönlich nehme ich das nicht.
Ich bin seit Mitte der 80er mit IT beschäftigt, musste Anfang 2012 im Hauruckverfahren einen Server aufsetzten weil unser Provider so günstig war dass er Pleite gemacht habe und alles andere dann fast das dreifache gekostet hat. Bisher hatte ich Glück , dass alles einigermaßen gut ging.
Aber nach über 30 Jahren in der IT Branche weiß ich hoffentlich dass nichts weiß.

Trotzdem interessiert mich das und eventuell probiere ich das erst mal auf einem alten PC hier bei uns aus. Da stehen noch ein paar herum ;-)
Und wenn ich mal den Server wechsle dann kann ich es versuchen.

Antworten