[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Problema curioso en Proxmox bajo Debian interesante

2013/9/13 Maykel Franco <maykeldebian@gmail.com>:
> El día 13 de septiembre de 2013 11:03, C. L. Martinez
> <carlopmart@gmail.com> escribió:
>> 2013/9/13 Maykel Franco <maykeldebian@gmail.com>:
>>> El día 13 de septiembre de 2013 10:52, C. L. Martinez
>>> <carlopmart@gmail.com> escribió:
>>>> 2013/9/13 Maykel Franco <maykeldebian@gmail.com>:
>>>>> El día 13 de septiembre de 2013 10:31, C. L. Martinez
>>>>> <carlopmart@gmail.com> escribió:
>>>>>> 2013/9/13 Maykel Franco <maykeldebian@gmail.com>:
>>>>>>>>>>>> Lo que tienes que hacer es apagar la máquina virtual y volver a
>>>>>>>>>>>> encenderla. Aunque la reinicies no se entera de los cambios de hardware
>>>>>>>>>>>> mientras no la apagues. El sistema anfitrión no necesitas reiniciarlo.
>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>> Gracias por contestar. Te ha pasado a ti tambien? Claro yo la reiniciaba en
>>>>>>>>>>> vez de apagarla e imagino que no se estaban aplicando los cambios.
>>>>>>>>>>>
>>>>>>>>>>> Veo ilogico tener que reiniciar lla maquina anfriona, y si tienes 3
>>>>>>>>>>> firewalls corriendo en produccion....
>>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> Pues si son fws, con más motivo debes reiniciarlos. Yo también tengo
>>>>>>>>>> un pool de fws virtualizados en producción pero bajo ESXi, y aunque la
>>>>>>>>>> plataforma permite hacerlo "en caliente" te encuentras con que los fws
>>>>>>>>>> empiezan a denegar paquetes por spoofing ... Yo no diría que es un bug
>>>>>>>>>> del proxmox ...
>>>>>>>>>
>>>>>>>>> Reiniciarlos o apagarlos, más bien apagarlos no? porque reiniciando se
>>>>>>>>> la chuflaba,seguía con la config anterior como han comentado.
>>>>>>>>
>>>>>>>> En ESXi con reiniciarlos es suficiente ... Igual que con KVM bajo
>>>>>>>> RHEL/CentOS ...
>>>>>>>>
>>>>>>>>>
>>>>>>>>> Me habían hablado bien de esxi cuando me dijeron lo de que podrías
>>>>>>>>> cambiar las interfaces de las VM en caliente me pareció una opción
>>>>>>>>> increíble y potente la verdad...Tienes algún enlace donde corrobore la
>>>>>>>>> denegación de paquetes spoofing o es que te ha pasado a tí realmente?
>>>>>>>>
>>>>>>>> ¿Sabes lo que es spoofing?? Lo digo por lo de corroborar ... Es un
>>>>>>>> concepto de fw bastante habitual ... Es más, tus pfsense te habrán
>>>>>>>> puesto algunas reglas tal que así:
>>>>>>>
>>>>>>> Sé lo que es spoofing, desde hace unos cuantos años la verdad. Lo de
>>>>>>> corroborar me refiero al esxi que efectivamente se produce la
>>>>>>> denegación de paquetes by spoofing si lo cambias en caliente xDD. A lo
>>>>>>> mejor me he explicado mal.
>>>>>>>
>>>>>>
>>>>>> No, no te has explicado mal ... Pero no veo que tengas claro lo que
>>>>>> son las reglas de anti-spoofing. En ESXi, como en cualquier hypervisor
>>>>>> y máquina física,  sea KVM, Xen, etc .. en cuanto hagas un cambio de
>>>>>> interfaz "en caliente", un fw por definición va a empezar a denegar
>>>>>> paquetes por sus reglas de anti-spoofing, excepto si has cometido la
>>>>>> locura de desactivarlas ... Es decir, es lo mismo que si cambias el
>>>>>> latiguillo en una máquina física.
>>>>>>
>>>>>> Saludos.
>>>>>
>>>>> Muchas gracias. Me queda más claro lo que es.
>>>>>
>>>>> Ningún paquete de mi red interna puede llegar con una ip de mi red por
>>>>> la interfaz conectada a internet.
>>>>>
>>>>> Corrígeme si me equivoco, estamos para aprender.
>>>>>
>>>>
>>>> Cierto, a medias y dependiendo de la cantidad de interfaces que tengas
>>>> asociadas en el fw. Si dispones únicamente de dos, es correcto, pero
>>>> si dispones de más, debes tener una regla de antis-poofing para cada
>>>> una de ellas. Por ejemplo: si tienes una interfaz adicional de DMZ,
>>>> esa interfaz debe tener una regla por la cual los paquetes van y
>>>> vienen a las IPs de DMZ deben venir por esa interfaz. Y en la interfaz
>>>> pública, debería s tener una regla que denegase todos los
>>>> direccionamientos internos, en caso de que dicha interfaz tenga
>>>> direccionamiento privado. Si tiene direccionamiento público, debería
>>>> denegar cualquier IP de rango privado, todo el espectro.
>>>
>>> Gracias por la explicacion, se agradece de verdad.
>>>
>>>>
>>>> Por eso, cuando trabajas con entornos de virtualización y fws y hagas
>>>> cambios de interfaz en dichos fws, basta con reiniciarlos. Como te he
>>>> comentado con KVM (bajo RHEL/CentOS) e ESXi, no hay problema en
>>>> realizar esa operación, pero si Proxmox no lo hace, es un bug. Pero
>>>> según ellos, lo hace:
>>>>
>>>> http://pve.proxmox.com/wiki/Manual:_vm.conf
>>>
>>> Pues te aseguro que no lo hace, no sé si será por ser freebsd...No lo
>>> sé, cierto es que si no apagas la VM  y sólo la reinicias, no se
>>> aplica el cambio de interfaz vmbr que compartes a la VM desde la
>>> anfitriona.
>>
>> No creo que el problema sea el freebsd (a estas alturas ya es full
>> supported por KVM y si no recuerdo mal, Proxmox acaba de sacar una
>> actualización no hace mucho, o sea que con más motivo).
>>
>> Yo de ti miraría el archivo vm.conf y miraría que el parámetro hotplug
>> esté habilitado para las vnics. Si está y no te funciona, es un bug a
>> todas luces.
>
> Ok, lo reviso.
>
>>
>>>
>>> En esta lista se aprende un montón, me encanta.
>>>
>>> Por cierto, personalmente me gusta bastante más proxmox que esxi, pero
>>> es una opinión personal.
>>>
>>
>> Para gustos los colores :)). Pero vamos, a dia de hoy ESXi soporta más
>> SO que KVM y con un performance muy alto (aparte de otras funciones).
>> Eso sí, KVM bajo plataformas CentOS/RHEL va como un tiro ... Pero con
>> servidores virtuales Windows 2008 R2/2012, la cosa cambia bastante ...
>> Y en debian, pues precisamente lo tengo instalado y corriendo una vm
>> con FreeBSD y de momento, perfecto ...
>
> Estoy de acuerdo en tu opinión, pero esxi soporta containerz?? porque
> a mí KVM y openvz en el mismo kernel me gusta muchísimo. Tiene una
> pérdida de rendimiento del 3% openvz, y puedes tener 200 máquinas si
> la maquinilla es potente.

No, ESXi no sporta containers ya que es un hypervisor de nivel 2. Pero
en linux el tema containers todavía anda verde con lxc, no sé como
estará con openvz ya que nunca lo he utilizado.

>
> Aparte que para conectarte necesitas un cliente de windows si o sí(o
> conectándote por ssh linea de comandos esxi).
>
> Me parece más completo.
>
> En esxi se pueden hacer backups en caliente? Nunca lo probé porque fué
> para testing.

Por supuesto ...

Saludos.
Reply to: