[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Problema curioso en Proxmox bajo Debian interesante

El día 13 de septiembre de 2013 11:03, C. L. Martinez
<carlopmart@gmail.com> escribió:
> 2013/9/13 Maykel Franco <maykeldebian@gmail.com>:
>> El día 13 de septiembre de 2013 10:52, C. L. Martinez
>> <carlopmart@gmail.com> escribió:
>>> 2013/9/13 Maykel Franco <maykeldebian@gmail.com>:
>>>> El día 13 de septiembre de 2013 10:31, C. L. Martinez
>>>> <carlopmart@gmail.com> escribió:
>>>>> 2013/9/13 Maykel Franco <maykeldebian@gmail.com>:
>>>>>>>>>>> Lo que tienes que hacer es apagar la máquina virtual y volver a
>>>>>>>>>>> encenderla. Aunque la reinicies no se entera de los cambios de hardware
>>>>>>>>>>> mientras no la apagues. El sistema anfitrión no necesitas reiniciarlo.
>>>>>>>
>>>>>>>>>>
>>>>>>>>>> Gracias por contestar. Te ha pasado a ti tambien? Claro yo la reiniciaba en
>>>>>>>>>> vez de apagarla e imagino que no se estaban aplicando los cambios.
>>>>>>>>>>
>>>>>>>>>> Veo ilogico tener que reiniciar lla maquina anfriona, y si tienes 3
>>>>>>>>>> firewalls corriendo en produccion....
>>>>>>>>>>
>>>>>>>>>
>>>>>>>>> Pues si son fws, con más motivo debes reiniciarlos. Yo también tengo
>>>>>>>>> un pool de fws virtualizados en producción pero bajo ESXi, y aunque la
>>>>>>>>> plataforma permite hacerlo "en caliente" te encuentras con que los fws
>>>>>>>>> empiezan a denegar paquetes por spoofing ... Yo no diría que es un bug
>>>>>>>>> del proxmox ...
>>>>>>>>
>>>>>>>> Reiniciarlos o apagarlos, más bien apagarlos no? porque reiniciando se
>>>>>>>> la chuflaba,seguía con la config anterior como han comentado.
>>>>>>>
>>>>>>> En ESXi con reiniciarlos es suficiente ... Igual que con KVM bajo
>>>>>>> RHEL/CentOS ...
>>>>>>>
>>>>>>>>
>>>>>>>> Me habían hablado bien de esxi cuando me dijeron lo de que podrías
>>>>>>>> cambiar las interfaces de las VM en caliente me pareció una opción
>>>>>>>> increíble y potente la verdad...Tienes algún enlace donde corrobore la
>>>>>>>> denegación de paquetes spoofing o es que te ha pasado a tí realmente?
>>>>>>>
>>>>>>> ¿Sabes lo que es spoofing?? Lo digo por lo de corroborar ... Es un
>>>>>>> concepto de fw bastante habitual ... Es más, tus pfsense te habrán
>>>>>>> puesto algunas reglas tal que así:
>>>>>>
>>>>>> Sé lo que es spoofing, desde hace unos cuantos años la verdad. Lo de
>>>>>> corroborar me refiero al esxi que efectivamente se produce la
>>>>>> denegación de paquetes by spoofing si lo cambias en caliente xDD. A lo
>>>>>> mejor me he explicado mal.
>>>>>>
>>>>>
>>>>> No, no te has explicado mal ... Pero no veo que tengas claro lo que
>>>>> son las reglas de anti-spoofing. En ESXi, como en cualquier hypervisor
>>>>> y máquina física,  sea KVM, Xen, etc .. en cuanto hagas un cambio de
>>>>> interfaz "en caliente", un fw por definición va a empezar a denegar
>>>>> paquetes por sus reglas de anti-spoofing, excepto si has cometido la
>>>>> locura de desactivarlas ... Es decir, es lo mismo que si cambias el
>>>>> latiguillo en una máquina física.
>>>>>
>>>>> Saludos.
>>>>
>>>> Muchas gracias. Me queda más claro lo que es.
>>>>
>>>> Ningún paquete de mi red interna puede llegar con una ip de mi red por
>>>> la interfaz conectada a internet.
>>>>
>>>> Corrígeme si me equivoco, estamos para aprender.
>>>>
>>>
>>> Cierto, a medias y dependiendo de la cantidad de interfaces que tengas
>>> asociadas en el fw. Si dispones únicamente de dos, es correcto, pero
>>> si dispones de más, debes tener una regla de antis-poofing para cada
>>> una de ellas. Por ejemplo: si tienes una interfaz adicional de DMZ,
>>> esa interfaz debe tener una regla por la cual los paquetes van y
>>> vienen a las IPs de DMZ deben venir por esa interfaz. Y en la interfaz
>>> pública, debería s tener una regla que denegase todos los
>>> direccionamientos internos, en caso de que dicha interfaz tenga
>>> direccionamiento privado. Si tiene direccionamiento público, debería
>>> denegar cualquier IP de rango privado, todo el espectro.
>>
>> Gracias por la explicacion, se agradece de verdad.
>>
>>>
>>> Por eso, cuando trabajas con entornos de virtualización y fws y hagas
>>> cambios de interfaz en dichos fws, basta con reiniciarlos. Como te he
>>> comentado con KVM (bajo RHEL/CentOS) e ESXi, no hay problema en
>>> realizar esa operación, pero si Proxmox no lo hace, es un bug. Pero
>>> según ellos, lo hace:
>>>
>>> http://pve.proxmox.com/wiki/Manual:_vm.conf
>>
>> Pues te aseguro que no lo hace, no sé si será por ser freebsd...No lo
>> sé, cierto es que si no apagas la VM  y sólo la reinicias, no se
>> aplica el cambio de interfaz vmbr que compartes a la VM desde la
>> anfitriona.
>
> No creo que el problema sea el freebsd (a estas alturas ya es full
> supported por KVM y si no recuerdo mal, Proxmox acaba de sacar una
> actualización no hace mucho, o sea que con más motivo).
>
> Yo de ti miraría el archivo vm.conf y miraría que el parámetro hotplug
> esté habilitado para las vnics. Si está y no te funciona, es un bug a
> todas luces.

Ok, lo reviso.

>
>>
>> En esta lista se aprende un montón, me encanta.
>>
>> Por cierto, personalmente me gusta bastante más proxmox que esxi, pero
>> es una opinión personal.
>>
>
> Para gustos los colores :)). Pero vamos, a dia de hoy ESXi soporta más
> SO que KVM y con un performance muy alto (aparte de otras funciones).
> Eso sí, KVM bajo plataformas CentOS/RHEL va como un tiro ... Pero con
> servidores virtuales Windows 2008 R2/2012, la cosa cambia bastante ...
> Y en debian, pues precisamente lo tengo instalado y corriendo una vm
> con FreeBSD y de momento, perfecto ...

Estoy de acuerdo en tu opinión, pero esxi soporta containerz?? porque
a mí KVM y openvz en el mismo kernel me gusta muchísimo. Tiene una
pérdida de rendimiento del 3% openvz, y puedes tener 200 máquinas si
la maquinilla es potente.

Aparte que para conectarte necesitas un cliente de windows si o sí(o
conectándote por ssh linea de comandos esxi).

Me parece más completo.

En esxi se pueden hacer backups en caliente? Nunca lo probé porque fué
para testing.

Saludos.

>
> Saludos.
Reply to: