Ansible を使用して新しい証明書を Proxmox にコピーしたいと考えています。

私のセットアップ

.ssh/config変更されているためssh machine、root でログインします。

scp /Users/dir/key.pem /etc/pve/nodes/machine/pve-ssl.key正常に動作します。

問題

アンシブルは失敗します。これを最新のMacbookで実行しています。ansible --version はansible 2.2.1.0.

machine.yml

許可？

これはうまくいきます：

これはパーミッションの問題ですが、なぜですか。Ansible が root - でマシンに入りansible machine -m shell -a 'who'ます。

おそらくグループ権限と関係があるので、

ansibleでファイルをコピーするにはどうすればよいですか?

Proxmox ホストの再起動後に VM を一時停止する方法を探しています。Hyper-V を使用すると、サスペンドや再起動などの各 VM のアクションを定義できます。これは、ホストの再起動後に VM で実行する必要があります。デフォルトでは、Proxmox はホストと一緒に VM をシャットダウンします。シャットダウン後にProxmoxがVMを自動的に起動できるようにするためだけに、構成オプションが見つかりませんでした。

この記事を見つけました: http://8086.support/content/13/75/en/how-do-i-configure-kvm-to-suspend_restore-virtual-machines-when-the-host-is-rebooted.htmlまさに必要なもののようですが、ファイル/etc/sysconfig/libvirt-guestsが存在しません。このファイルはlibvirt-clientパッケージの一部であり、インストールされていないため、Proxmox の一部ではありません。したがって、Proxmox を libvirt と思われる別の管理ソリューションと一緒に使用するのが良い考えかどうかはわかりません。この Entryによると、それも不可能です。

ホストのシャットダウン後に VM を一時停止する proxmox からのネイティブな方法はありませんか?

毎日のレイド チェック中に約 6 の負荷が発生しています。

容疑者は jdbc2 のようです:

Linux ボックスは、4.4.44-1-pve カーネルを搭載した Debian GNU/Linux 8.7 (jessie) です。

ほぼ瞬時に、襲撃チェックが終了すると、負荷は 1 未満に戻ります。この問題の原因を特定するにはどうすればよいですか?

毎日の RAID チェックをどれくらいの時間実行する必要があるかわかりませんが、今では数時間かかりすぎているようです。

RAID チェックが完了すると、IO レベルが大幅に低下します。

この問題は私には意味がないようです。これをさらにデバッグするためのヘルプは非常に役立ちます。

このセットアップは、proxmox を保護し、ファイアウォール、プライベート LAN、および DHCP/DNS を VM に提供し、すべての VM にアクセスするために LAN への IPsec 接続を提供する Proxmox 自体でホストされる opnsense VM の背後にある proxmox に基づく必要があります。 /NATされていないProxmox。サーバーは典型的な Hetzner サーバーであるため、NIC のみですが、この NIC には複数の IP またはサブネットがあります。

PCIパススルー設定のクラスターブロッカーのため、これが私の代替手段です

1. 1 NIC (eth0) を備えた Proxmox サーバー
2. 3 つのパブリック 1IP、IP2/3 はデータセンターの MAC によって (eth0 に) ルーティングされます
3. KVM ブリッジ設定 (eth0 no ip、ip1 で eth0 にブリッジされた vmbr0)
4. vmbr30、10.1.7.0/24 上のプライベート LAN
5. proxmox サーバーのショアウォール

セットアップの概要をより明確にするために、この図を作成します: (完璧かどうかわからないので、改善点を教えてください)

テキストの説明:

Proxmox のネットワーク インターフェイス

Proxmox のショアウォール

インターフェイス

ポリシー：

OPNセンス

1. WAN は ExternalIP2 で、MAC-XX で vmbr0 に接続されています
2. LAN は 10.1.7.1 で、vmbr30 に接続されています

何が機能していますか:

• 基本的なセットアップは正常に機能し、IP2 で opnsense にアクセスでき、IP1 で proxmox にアクセスでき、ip3 で rancher-VM にアクセスできます。これはルーティングを必要としないものです。
• IPSec モバイル クライアントを使用して OPNsense に接続し、仮想 IP 範囲 172.16.0.0/24 から LAN (10.1.7.0/24) へのアクセスを提供できます
• OpenVPN 接続中に 10.1.7.1 (opnsense) にアクセスできます
• OPNsense(10.1.7.1) (シェル) から 10.1.7.11 / 10.1.7.151 にアクセスできます
• othervm(10.1.7.151) (シェル) から 10.1.7.11 / 10.1.7.1 にアクセスできます

機能していないもの:

a) IPsec クライアントから 10.1.7.11/10.1.7.151 または 10.1.7.2 に接続する

b) [アップデート 1 で解決] 10.1.7.1 から 10.1.7.2 に接続する (opnsense)

c) 非同期ルーティングを使用しているようですが、たとえば 10.1.7.1:8443 にアクセスできますが、if エントリがたくさん表示されます

d) IPSec LAN 共有には、IPSEC チェーンに「from * to LAN ACCEPT」というルールが含まれますが、それはうまくいきませんでした。「from * to * ACCEPT」を追加する必要がありました。

質問:

I) もちろん、a)b)c)d) を修正したいのですが、おそらく c) と d) を理解することから始めます。

II) このセットアップで、2 番目の NIC を追加すると役に立ちますか?

III) proxmox ホストで net.ipv4.ip_forward を有効にしたことが問題である可能性があります (むしろルーティングされるべきではありませんか?)

この問題が解決したら、Proxmox でプライベート ネットワークを備えたアプライアンスとして OPNsense を実行し、HAproxe+LE を使用して一部のサービスを外界に渡し、IPsec を使用してプライベート LAN にアクセスする方法に関する包括的なガイドを掲載したいと思います。

更新1:

proxmox で vmbr0 から削除するup ip route add 10.1.7.0/24 via IP2 dev vmbr0と、proxmox が 10.1.7.0/24 にアクセスできず、LAN ネットワークからアクセスできなかったという問題が修正されました。

更新 2:

pci-passthrough を使用する更新/変更されたセットアップを作成しました。目標は同じです-複雑さが軽減されます-こちらを参照してください