Reprise du message précédent :
Hello la compagnie,
 
Je prévois de remplacer la carte graphique de mon serveur pour passer d’une T400 2Go a 4Go
C’est donc le même modele mais pas la même marque.
 
Actuellement je l’utilise pour un conteneur docker jellyfin hébergé dans un lxc
 
A votre avis y’a -il des manips a faire avant le remplacement physique permettant de derisquer un éventuel plantage au redémarrage ?
 
EDIT:
Echange standard effectué sans souci, tout a redémarré sans faire de manip particulière…

Hello,
 
J'ai une petite question sur mon envir PVE.
 
J'ai deux noeuds dans un cluster - pve et pve2.
 
Quand je coupe pve2, les VM de pve ne fonctionnent plus visiblement.  
 
Or je m'attendais à ce qu'un noeud fonctionne si l'autre est down....
 
C'est normal comme comportement ?

Non pas normal, sauf si le stockage de tes vm est sur pve2.

"continuent de fonctionner" ou "ne démarrent pas" ?

2 noeuds c'est assez pour un cluster ? Quorum ?

La question m'intéresse car j'ai également 2 nœuds sans HA... Il ne me semble pas avoir rencontré de problème suite à la MAJ d'un de mes deux nodes pourtant...

Sinon, avez-vous une technique pour renommer un node ? J'ai essayé plusieurs fois (en éditant le /etc/hostname, /etc/hosts et /etc/pve/corosync.conf) et je perds l'accès à ce dernier à chaque fois (et obligé de rollback)... Edit : J'avais des VM éteinte dessus, et je viens de voir dans la doc que le node doit être vide... Par contre comment ça gère le cas où une des VM a plusieurs interfaces réseau en passthrough (cas de ma VM OPNsense et de ma VM Home Assistant), je suis obligé de delete, de migrer, de renommer et de réassigner les interfaces ? Ça risque pas de poser problème ? Edit : C'était bien ça, en migrant toutes les VM c'est passé crème

D'après mes recherches 2 nœuds ce n'est pas recommandé et il faut un device de plus pour la quorum.

J'ai rajouté un Qdevice du coup.

Je vais voir ce qu'il se passe la prochaine fois

ici pour le cluster avec 2 nodes
 
https://www.apalrd.net/posts/2022/pve_quorum/
 

J'ai rajouté corosync sur un raspberry (qui sert à autre chose) pour faire juste un node pour la gestion du quorum

Bonjour,
 
Je suis sur un projet depuis quelques temps, et au début ça allait dans ma tête mais là je crois que je suis tombé sur une épine.
 
Pour le moment à la maison j'ai un serveur/firewall avec Debian, apache, MySQL, postfix, etc. Une Freebox pop en bridge et raccordé directement sur ce PC en ethernet. Ensuite ce pc à une seconde carte réseau qui part sur un switch pour toute la maison avec des règles iptables.
 
Je trouve la solution de proxmox vraiment très intéressante, surtout pour faire du backup rapide de VM et avoir de la HA.
 
Au début je me suis dit, je peux mettre 3 pc avec proxmox en cluster avec ceph (que je trouve très intéressant à découvrir aussi). Je me suis dit comme ça je peux faire une VM pour remplacer mon serveur/firewall, 1 VM pour jeedom, 1VM pour des tests.
 
 
Mais finalement je me dis que la, oui les VM seront disponibles sur n'importe quel pc en cas de panne d'un disque ou d'un pc, mais par contre proxmox lui n'est pas du tout dupliqué si j'ai bien compris, si je fais une modification des fichiers sur PV1, PV2 et PV3 ne les prennent pas en compte si je bascule une VM de l'un à l'autre. Je pensais à ça principalement pour les règles IPTABLES. En faite en dehors de proxmox je devrais utiliser ça base Debian pour en faire un routeur/firewall
 
 
Mais maintenant en y réfléchissant encore, je me dis qu'il n'est pas possible de faire se montage, je ne peux brancher le modem que à un seul des PC, si une panne arrive et qu'une VM bascule je n'aurais plus internet sur le pc qui prend la relève.
 
 
Le mieux à faire serait donc de conserver un PC Gateway/firewall, et ensuite sur le réseau classique avoir mon cluster proxmox avec les VM. Cette solution ou directement acheter un switch routeur/firewall. Mais pour cette solution, je vais dire d'envoyer le port 80 par exemple sur l’IP de PV1, mais si elle tombe et que tout repart sur PV2, le port 80 ne suivra pas.
 
Alors ou je cherche trop compliqué ou j'ai loupé quelque chose, si vous avez des tuyaux ou pistes que je peux suivre.
 
Merci
 
PS: pour jeedom il y a le problème des périphériques USB branchés physiquement à une machine mais quand il restera que ça ... Surtout que avec un switch usb ça va vite à déplacer.  
 
 
 

Tu fait ton filtrage avec une VM, et tu met un switch entre tes 3 pc et ton modem/routeur. Comme ça, quelque soit l'emplacement de la vm elle aura accès au modem/routeur.
Toute les VMs ont pas l'IP de leur hyperviseur, elles sont derrière un switch virtuel qui est relié à une interface réseau et peuvent avoir leur propre ip.

Il existe une autre philosophie : sauvegarder que les data et décrire toute ton infra en mode gitops, par ex via du Ansible que tu sauvegardes sur github.

Bon alors attend voyons si j'ai bien compris.

Je vais avoir plusieurs interface réseau sur chaque PC. La première direct sur le switch avec le modem. Les PC sont en dhcp client pour récupérer l'ip que le modem proposera.

La seconde sortie sert à allez sur le réseau local de la maison. Elles auront des IP du même style que tout mon lan 192.168.0.x .

Ensuite dans chaque VM, ou je configure la carte réseau en bridge et la j'ai l'ip direct du lan, ou je fais une carte virtuel pour donner un autre groupe d'ip ?

A moins que je doivent rajouter un switch avant le switch de la maison qui lui permet de configurer des VLAN ? Si je fais ça, les cartes réseaux physique des PV (eth2) auront une ip du VLAN (10.x.x.x), et dans les VM les ip seront celle du réseau local  a travers une interface virtuel (192.168.0.x) ?

Par contre sur mes eth1, c'est proxmox même qui va avoir l'ip directement et la machine sera donc directement sur le net, je dois quand même mettre des règles de iptables directement ici pour le filtrage non ? Sur chaque PV finalement

Merci

 
 
Salut,
 
Merci pour ta réponse mais la c'est allez beaucoup beaucoup trop loin pour moi   J'ai regardé ce que c’était tout ces trucs sous Google mais c'est hard pour moi la

Presque, sauf que tu donnes pas d'IP aux proxmox côté wan, comme ça t'a pas de soucis d'exposition.

J'ai pas compris ce que tu imagines avec des vlans, ça m'a pas l'air cohérent.

 
 
Je dois m'embrouiller sur les vlan.
 
Pour pas mettre d'ip sur le WAN, tu veux dire sur les eth1 ? Je pense pas sinon par d'internet sur les machines.

Bah... si.

Reprenons.
Sur chaque pc, via proxmox, tu crée un "switch virtuel" qui va être relié aux interfaces physiques.
Du coup, t'a deux switch virtuel par pc, un "wan" et un "lan".
Tes proxmox et la pluspart de tes VMs ont une interface sur le switch virtuel LAN. Ta vm pare-feux, elle, en a deux : une sur le wan et une sur le lan. Les connexions réseaux en provenance des proxmox et du reste de ton réseau passent par elle.

 
 
En ayant lu 30 fois je saisis un peu je crois, pas évident quand tu as pas le matériel pour essayer, je voudrais pas l'acheter pour rien.
 
Sur chaque VM il ne faut pas utiliser les cartes réseau directement mais passer par leur virtuel.
 
Je dois faire une VM avec pfense par exemple pour faire gateway/firewall. En faite ça va remplacer mon pc actuel qui fait routeur et firewall avec iptables. Les données entrent par le virtuel de eth1 et ressortent sur le virtuel de eth2. Cette VM est la gateway que l'on rentre dans les paramètres de config réseau des pc ou autre sur le LAN par exemple, tout passe par lui.  
 
Sur les autres VM en revanche j'utilise uniquement le virtuel de eth2. Ca reste des "ordinateurs" classique sur le réseau et protégé par pfense.
 
Donc si je suis ok et que un pc plante, le principe du cluster/ceph est de déplacer la VM pfense sur une autre machine et tout refonctionne directement.  
 
Ça je pense que je l'ai compris ou sinon je vais devoir reprendre à 0.
 
Si j'ai juste j'aurai une autre question mais on verra si c'est deja juste    
 

C'est ça.

Juste par curiosité, tu as réellement besoin de haute dispo ? Je n'en vois pas trop l'intérêt en utilisation perso mais je suis preneur de point de vue opposé.

Assez d'accord, c'est se compliquer la vie vs un boîtier spécifique.
Mais c'est tout a fait possible

 
C'est deja pas mal, j'avance.
 
Par contre la question que je me pose:  
 
Après l'installation de proxmox sur un PC, je vais le relier sur eth1, il va recevoir l'ip du modem et être sur internet. Et c'est la que j'ai du mal aussi, si j'installe une debian toute simple. Une fois fini la première chose que je fais c'est de mettre les règles iptables pour tout bloquer et ensuite ouvrir au cas par cas et gérer le traffic.  
 
Mais quand on installe proxmox, la machine est dans quel état ? Les "virtuel" c'est uniquement pour les VM ? Parce que la si je regarde bien eth1 est sur le net en direct sans rien, sauf si proxmox de base à un firewall ou quelque chose
 
 

 
 
Oui mais j'aime apprendre et bidouiller.
 
Sinon je veux de la haute dispo pour que jeedom qui gère toute la maison soit en ligne en permanence même si un truc plante. Et idem pour le serveur principal avec postfix, que les mails puissent arriver en permanence et ne pas avoir à courir pour réparer une machine ne panne. Et l'auto réparation c'est génial aussi, plus simple et rapide que mon raid je trouve sur le principe
 
Et puis pour les bakcup c'est quand même vachement plus simple de sauvegarder une VM et de la restaurer sans avoir rien d'autre à faire derrière.

Bah t'installe avec eth1 branché à ton lan, derrière ton pare-feu actuel, et après tu bouge tes confs ? Voir eth1 en l'air et juste eth0 sur le lan actuel ?  

Mais sinon, je pense que tu te méprend sur la HA. C'est pas "en cas de panne c'est totalement invisible" c'est "en cas de panne, les VMs de l'hôte touché sont démarrées sur un autre hôte".

 
Le but est de sortir ma gateway firewall actuel justement. Et d'avoir proxmox en première ligne de suite derrière le modem.
 
Oui j'ai bien compris la HA, si ça plante je demande de démarrer ailleurs. C'est pas automatique. Et dans mon cas si je ne suis pas à la maison de la semaine , mme saura le faire et aura tout de fonctionnel directement.
 
Après oui le plus simple je garde ma gateway et je met le cluster proxmox derrière sur le lan en classique. Mais où est le côté marrant ? Lol
 
 
Je viens de tomber sur ça qui semble bien me corresponde. Je post ici si ça peut aider d'autre  
 
Mise a jour du lien
 
https://blog.zwindler.fr/2020/03/02 [...] die/#archi

Non mais oui mais tu peux faire ça en deux étapes non ?
Étape 1 : install des noeuds, install de la vm pfsense/opnsense/utm/..., tests...
Étape 2 : debrancher ta gw et brancher les eth1 des proxmox à la place

 
 
Ha oui ça marche oui.
 
Bon je pense que je vais commander mes 3 pc d occasion pour essayer ça en vrais. Y a une bonne promo sur un site la. (Je le site m'as je sais pas si je peux le faire)
 
HP Elitedesk 800 G4 USFF - Core i5-8500@3.00GHz - 16Go RAM - 512Go SSD -
 
Merci pour tes retours qui sont très instructifs

1 seule carte réseau là dedans.
J'ai vu le deal,c'est une super petite machine, mais pour faire un firewall, bof, une carte reseau usb (meme 3.x en usb-c) j'aurai pas super confiance pour du h24.
Mais peut être que je me trompe.
Avis ?

 
Après ça reste du matos pro ça devrait le faire je pense. Et oui je vais rajouter une carte réseau usb de toute façon. Mais pour 250 euros on va pas pouvoir avoir mieux pour ce prix la ou du moins j'ai jamais vue.  
 
La je fais gateway avec un simple Intel Dual Core Pentium G6400. Et avant j'avais une carte itx avec processeur soudé qui date ...
 
Mais idem si il y a des avis je suis preneur aussi.

Des possibilités : https://www.reddit.com/r/PFSENSE/co [...] which_nic/

J'ai mon trafic vsan de mon cluster vmware sur des adaptateurs usb-C ethernet 5Gb/s

 
Je savais même pas que des adaptateurs USB dépassaient le 1gb/s !!!  

L'usb3.2 gen2x2, c'est 20Gb/s max. Donc on pourrais avoir beaucoup plus.

Ok. Et ca tient bien, jamais de mauvaise surprise genre occupation cpu ou drop de connexion ou de paquets ?

En tout cas vsan fonctionne correctement. La seule surprise, c'est qu'avec l'overhead j'ai ~3Gb/s utiles sur les 5.

Après plusieurs lecture, je viens de voir que proxmox intègre un menu firewall qui est désactivé par défaut.
 
Je peux alors tout simplement utiliser iptables en console pour mettre les règles de filtrages sur les 3 machines du cluster comme je fais actuellement non? Comme ça pas besoin de pfense.

Non mais le fw de proxmox c'est pas pour firewaller ton chez toi. C'est pour le proxmox lui même.

Sinon tu te sors les doigts et tu fait 2/3 vms dont une proxmox sur ton pc et tu fait des tests.

Son firewall ca ok.
 
Mais en dessous il y a debian, qui elle a bien iptables de base non ?
 
Si je pose ces questions c'est pas une question de doigt mais de pas avoir de matos pour monter un proxmox et des VM pour le moment.  
 
Autrement je l'aurais deja fais pour voir par moi même les résultats. Et avant de dépenser 750 euros de matos j'aimerais bien être sur que je vais pouvoir faire ce que je veux par la suite.

Tu peux pas monter 3 vm sur ton pc ? Genre virtualbox ?
Mais oui tu peux bricoler l'iptables du debian en dessous. Est-ce que c'est une bonne idée, ça par contre, à  voir.

 
En dégageant un peu de pr0n je dois pouvoir faire de la place pour un virtualbox oui, j'avais pas pensé à faire du VM dans du VM.
 
Je vais pouvoir voir le niveau de iptables comme ca.  
 
Pour simplifier on peut dire que proxmox c'est en faite une debian ou on install une surcouche proxmox par dessus ? Un simple logiciel quoi comme virtualbox, apache, postfix. Je peux même installer directement proxmox sur ma debian existante alors pour le coup.  
 
Et je pense que c'est la que je me suis perdu des le début, j'ai pris proxmox pour une distribution linux à part entière.