|
最近經(jīng)常需要搭建實驗環(huán)境做測試����,重復的系統(tǒng)部署工作無疑是枯燥的體力活。DarkRay大師先前也分享過基于ESXi虛擬化的Homelab方案�����,詳見窮人的虛擬化實驗室方案。這里記錄一下我用Proxmox VE搭建實驗環(huán)境的過程�����。
安裝Proxmox VE官網(wǎng)下載iso后燒到u盤后引導安裝�����,一般情況下使用默認參數(shù)即可���,沒有特殊需要配置的地方����。簡單說明一下我的機器:
- 主板:ASRock J3455-ITX
- CPU:板載 Intel? Quad-Core Processor J3455 (up to 2.3 GHz)
- 內(nèi)存:8g ddr3 1600
- 硬盤:三星 850 evo 120g
這是今年春節(jié)后配的NAS方案��,最近將nas遷移到HPE MicroServer Gen10后便空閑了出來�。
配置宿主網(wǎng)絡Proxmox支持Linux Bridge和OVS Bridge����,安裝完成后默認建立了一個Linux Bridge:vmbr0,并將宿主網(wǎng)卡加入該Bridge��。我們創(chuàng)建vm時網(wǎng)絡選擇vmbr0�,就會將虛擬機橋接進宿主網(wǎng)絡�����,而選擇NAT模式則會通過宿主機NAT聯(lián)網(wǎng)�,這兩種模式和vmware的橋接模式和NAT模式是一致的��。但是我們搭建實驗環(huán)境時可能會需要模擬復雜的網(wǎng)絡環(huán)境�,如不同VLAN、ACL等����。因此我們還是和DarkRay大師的方案一樣,使用pfSense來處理虛擬機的網(wǎng)絡�����。
安裝OVS由于我這個主板的原因��,網(wǎng)卡在OVS Bridge下性能會稍微好點����,因此我選擇使用OVS Bridege。OVS可以通過ssh或者在控制面板pve -> System -> Shell中執(zhí)行命令apt install openvswitch-switch安裝�����。
創(chuàng)建宿主網(wǎng)絡Bridge進入網(wǎng)絡設置界面pve -> System -> Network中,記錄默認的vmbr0中的參數(shù)���,然后將vmbr0刪除����。創(chuàng)建OVS Bridge��,填入原參數(shù)�,保存為vmbr0。
創(chuàng)建VLAN Bridge創(chuàng)建OVS Bridge��,僅勾選Autostart���,保存為vmbr1����。重啟proxmox使網(wǎng)絡設置生效����,正確配置后如圖所示��。
安裝pfSense上傳pfSense的iso到proxmox后新建虛擬機掛載安裝即可�。一般情況下沒有特殊需求����,配置給1物理cpu����,1核心,512M內(nèi)存就夠了���。創(chuàng)建完成后再添加一塊虛擬網(wǎng)卡�,使用vmbr1�����,然后開機按照向?qū)О惭b��。
配置pfSense安裝完成后啟動pfSense�����,wan/lan口均自動識別并配置完成���,wan口從宿主網(wǎng)絡(vmbr0)通過DHCP獲取IP�����,lan口為192.168.1.0/24的網(wǎng)段����,提供DHCP服務(vmbr1)。如果wan/lan口沒有正確識別或有特殊需求�����,請自行設置�����。
默認配置配置下�����,pfSense禁止從wan口管理�。選擇菜單8進入shell,使用命令pfctl -d關(guān)閉防火墻��。然后訪問pfSense的wan口ip進入管理頁面�,使用admin/pfsense登錄�����,根據(jù)向?qū)瓿膳渲谩W⒁庠赟tep 4 of 9時取消勾選Block private networks from entering via WAN和Block non-Internet routed networks from entering via WAN以便能從wan口訪問pfSense����。完成Step 8 of 9后,會重載配置��,此時再從shell使用pfctl -d關(guān)閉防火墻�����。從Firewall -> Rules -> WAN中添加規(guī)則��,允許ICMP和TCP 443從wan口通過����,點Apply Changes后生效。
配置VLAN完成了以上配置后���,新建虛擬機并使用vmbr1網(wǎng)絡且不進行VLAN配置時��,已經(jīng)可以接入pfSense的LAN區(qū)域并正常上網(wǎng)����。
接下來通過pfSense來創(chuàng)建VLAN并將虛擬機接入VLAN中。
在pfSense菜單Interfaces -> Assignments -> VLANs中創(chuàng)建VLAN���,Parent Interface選擇LAN接口����,VLAN Tag按需配置�����,VLAN Priority默認�����。這里創(chuàng)建10和20兩個VLAN���。
回到菜單Interfaces -> Assignments���,會出現(xiàn)Available network ports,依次添加兩個VLAN接口�。
依次配置OPT1、OPT2��。更改接口名稱方便管理�,啟用接口�����,并分配IP。這里VLAN10使用10.0.10.1/24的網(wǎng)絡�����,VLAN20使用10.0.20.1/24的網(wǎng)絡����。
為VLAN配置DHCP服務。菜單Services -> DHCP Server中編輯VLAN10接口和VLAN20接口���,啟用DHCP服務并設置DHCP地址池��。
配置完成后新建虛擬機��,網(wǎng)絡使用vmbr1����,VLAN設置為對應VLAN號�。
開機后成功獲取VLAN10網(wǎng)絡內(nèi)的地址,但無法ping通VLAN10網(wǎng)關(guān)10.0.10.1����。
防火墻在pfSense菜單Firewall -> Rules中配置防火墻規(guī)則��。
添加簡單規(guī)則使VLAN10內(nèi)的虛擬機能ping通網(wǎng)關(guān)10.0.10.1���。
pfSense默認Outbound NAT模式為Automatic outbound NAT rule generation,即不需要額外配置VLAN就能正常訪問外網(wǎng)����。因此需要通過防火墻規(guī)則來限制VM的網(wǎng)絡行為,如僅能訪問外網(wǎng)�,不能訪問宿主網(wǎng)絡;或者完全隔離外網(wǎng)等�,這里不做詳細說明。
虛擬機模板使用在Proxmox中安裝完虛擬機后�,可以將其轉(zhuǎn)換成模板,以便從模板創(chuàng)建新虛擬機�����。操作方法是將安裝完成后的虛擬機關(guān)機���,然后從pve中右擊該虛擬機���,Convert to template����。
從模板創(chuàng)建虛擬機:右擊模板��,Clone���,選擇克隆類型與參數(shù)即可。
克隆完成后根據(jù)需要修改虛擬機配置����,然后啟動。
最后大體架構(gòu)上使用Proxmox VE和ESXi都大同小異��,只是在不使用vCenter的情況下ESXi無法使用克隆功能�����,也就無法通過模板機快速部署測試環(huán)境��,這一點上Proxmox VE有一定優(yōu)勢����。另外虛擬化環(huán)境下IO性能尤其重要,使用SSD做虛擬化環(huán)境的存儲能很大程度地提升使用體驗����。
|
