vSwitch для Windows Server

Основная информация

Благодаря функции vSwitch компания Hetzner Online создала инструмент для ваших выделенных корневых серверов, который позволяет вам соединять ваши серверы в разных местах друг с другом с помощью виртуальных сетей уровня 2. В своей учетной записи в интерфейсе администрирования роботов вы можете создавать и настраивать vSwitches, используя кнопку «vSwitches» в обзоре сервера. Вы можете найти более подробную информацию в этой статье  Vswitch / en .

Конфигурация сервера (Windows)

В хост-системе

Для vSwitch вам необходимо настроить интерфейс с идентификатором VLAN, который вы ввели в Robot. Вы должны ограничить MTU интерфейса до 1400.

NIC teaming

Чтобы отправлять трафик VLAN через тот же интерфейс, что и основной IP-адрес хоста, вам необходимо включить физический адаптер в команду. Вам также необходимо назначить виртуальный интерфейс для каждого идентификатора VLAN группе и соответствующему ее адаптеру.

В диспетчере серверов Windows перейдите в «Локальный сервер», а затем в «Объединение сетевых адаптеров».

Теперь вы увидите новое окно для объединения сетевых адаптеров . Создайте новую команду, перейдя в « Команды» , нажав « Задачи» , а затем — « Новая команда» .

Добавьте новый интерфейс в команду, перейдя в Адаптеры и интерфейсы . Затем нажмите Team Interfaces и выберите правильный адаптер. Затем перейдите в « Задачи» и нажмите « Добавить интерфейс» . Введите идентификатор VLAN, выбранный для вашего vSwitch в Robot.

Конфигурация интерфейса

Теперь вы можете управлять созданным интерфейсом VLAN с помощью объединения сетевых адаптеров. Перейдите в панель управления, а затем в Настройка адаптера .

Обратите внимание, что Windows не поддерживает несколько шлюзов по умолчанию. Поэтому в зависимости от вашей индивидуальной конфигурации вам может потребоваться установить дополнительные статические маршруты в соответствии с вашими требованиями.

Добавить IP

Вы можете настроить IP как обычно, перейдя в свойства интерфейса.

Более одного IP на интерфейсе

Вы можете добавить дополнительные IP — адреса, перейдя в диалоговое окно TCP / IP , а затем нажав на Advanced … кнопку.

MTU

Уменьшите MTU до 1400 для интерфейсов VLAN. Вы можете настроить это через командную строку.

Получите имена и идентификаторы интерфейсов:

\:> netsh interface ip show interface

Установите MTU для отдельных интерфейсов VLAN:

\:> netsh interface ipv4 set subinterface <id> mtu=1400 store=persistent

Сделайте то же самое для IPv6:

\:> netsh interface ipv6 set subinterface <id> mtu=1400 store=persistent

Hyper-V

Это  не  нужно делать конфигурацию с NIC объединившись , так что вы можете использовать виртуальные локальные сети в связи с виртуальными серверами.

Все, что вам нужно сделать, это настроить идентификатор VLAN для каждого сетевого адаптера виртуальной машины, перейдя в Настройки .

Однако  MTU  все равно необходимо изменить для каждого виртуального сервера.

vSwitch

Вступление

Благодаря этой vSwitchфункции Hetzner Online создал инструмент для ваших выделенных корневых серверов, который позволяет вам соединять ваши серверы в нескольких местах друг с другом с помощью виртуальных сетей уровня 2. В своей учетной записи в интерфейсе администрирования роботов вы можете создавать и настраивать vSwitches, используя кнопку «vSwitches» в обзоре сервера.

Как мне настроить vSwitch?

Вы можете создать vSwitch на роботе, выбрав Main functions-> Server-> vSwitches. Затем назначьте вашему vSwitch имя и идентификатор VLAN. Идентификатор VLAN может находиться в диапазоне от 4000 до 4091.

После создания vSwitch вы можете назначить корневые серверы vSwitch с помощью Add serverкнопки. После этого добавленные серверы смогут взаимодействовать друг с другом, используя установленный вами идентификатор VLAN.

Основной IP-адрес сервера и дополнительные IP-адреса + / или подсети все еще могут быть доступны без тегирования VLAN.

К серверу можно назначить до 5 виртуальных коммутаторов.

IP-адреса

Вы можете бесплатно использовать любые частные IP-адреса внутри VLAN. Кроме того, вы можете заказать дополнительные общедоступные подсети (IPv4 и IPv6), перейдя на IPsвкладку меню. Вы можете использовать эти подсети на всех серверах, которые вы назначаете своему vSwitch.

общедоступная подсеть VLANиспользуемые IP-адресаежемесячная оплата
Подсеть IPv4 / 29515,13 €
Подсеть IPv4 / 281321,85 €
Подсеть IPv4 / 2729€ 35,29
Подсеть IPv6 / 642 ^ 64€ 8,40

Движение

Внутренний трафик (по локациям) бесплатный. Для общедоступных подсетей vSwitches имеют лимит трафика 1 ТБ в месяц. Каждая дополнительная ТБ стоит 1,00 евро в месяц (без НДС). Базой для расчета является только исходящий трафик.

Межсетевой экран

Брандмауэр серверов также применяется к пакетам vSwitches. Обратите внимание, что если вы активировали брандмауэр, вы также должны включить внутренние IP-адреса в брандмауэре.

Конфигурация сервера (Linux)

Для vSwitch вам необходимо настроить интерфейс с идентификатором VLAN, который вы ввели в Robot. Вы должны ограничить MTU интерфейса до 1400.

Пример конфигурации сетевой карты enp0s31f6с VLAN ID 4000

Создать устройство VLAN

ip link add link enp0s31f6 name enp0s31f6.4000 type vlan id 4000
ip link set enp0s31f6.4000 mtu 1400
ip link set dev enp0s31f6.4000 up

Настроить IP-адрес <192.168.100.1>из частной подсети<192.168.100.0/24>

ip addr add 192.168.100.1/24 brd 192.168.100.255 dev enp0s31f6.4000

Общедоступная подсеть Вам необходимо создать дополнительную таблицу маршрутизации для общедоступной подсети, чтобы вы могли настроить другой шлюз по умолчанию.

Пример конфигурации для IP <213.239.252.50>из публичной подсети <213.239.252.48/29>,Interface enp0s31f6.4000

echo "1 vswitch" >> /etc/iproute2/rt_tables
ip addr add 213.239.252.50/29 dev enp0s31f6.4000
ip rule add from 213.239.252.50 lookup vswitch
ip rule add to 213.239.252.50 lookup vswitch
ip route add default via 213.239.252.49 dev enp0s31f6.4000 table vswitch

Пример конфигурации Debian

Интерфейс enp0s31f6, VLAN 4000, частная сеть

# /etc/network/interfaces
auto enp0s31f6.4000
iface enp0s31f6.4000 inet static
  address 192.168.100.1
  netmask 255.255.255.0
  vlan-raw-device enp0s31f6
  mtu 1400

Добавьте IP-адрес <213.239.252.50>из общедоступной подсети <213.239.252.48/29>и IPv6 <2001:db8:61:20e1::2>из общедоступной подсети <2001:db8:61:20e1::/64>в хост-системе .

Создайте дополнительную таблицу маршрутизации.

echo "1 vswitch" >> /etc/iproute2/rt_tables
# /etc/network/interfaces
auto enp0s31f6.4000
iface enp0s31f6.4000 inet static
  address 192.168.100.1
  netmask 255.255.255.0
  vlan-raw-device enp0s31f6
  mtu 1400
  # ipv4 subnet
  up ip addr add 213.239.252.50/29 dev enp0s31f6.4000
  up ip rule add from 213.239.252.50 lookup vswitch
  up ip rule add to 213.239.252.50 lookup vswitch
  up ip route add default via 213.239.252.49 dev enp0s31f6.4000 table vswitch
  down ip addr del 213.239.252.50/29 dev enp0s31f6.4000
  down ip route del default via 213.239.252.49 dev enp0s31f6.4000 table vswitch
  down ip rule del to 213.239.252.50 lookup vswitch
  down ip rule del from 213.239.252.50 lookup vswitch
  # ipv6 subnet
  up ip -6 addr add 2001:db8:61:20e1::2/64 dev enp0s31f6.4000
  up ip -6 rule add from 2001:db8:61:20e1::2 lookup vswitch
  up ip -6 rule add to 2001:db8:61:20e1::2 lookup vswitch
  up ip -6 route add default via 2001:db8:61:20e1::1 dev enp0s31f6.4000 table vswitch
  down ip -6 addr del 2001:db8:61:20e1::2/125 dev enp0s31f6.4000
  down ip -6 route del default via 2001:db8:61:20e1::1 dev enp0s31f6.4000 table vswitch
  down ip -6 rule del to 2001:db8:61:20e1::2 lookup vswitch
  down ip -6 rule del from 2001:db8:61:20e1::2 lookup vswitch

Пример конфигурации для systemd

Интерфейс enp0s31f6(обычно называемый eth0, enp6s0 или enp0s31f6), VLAN 4000, частная сеть

Создайте два новых файла для systemd-networkd:

#/etc/systemd/network/10-enp0s31f6.4000.netdev
[NetDev]
Name=enp0s31f6.4000
Kind=vlan
MTUBytes=1400
[VLAN]
Id=4000
#/etc/systemd/network/10-enp0s31f6.4000.network
[Match]
Name=enp0s31f6.4000
[Network]
Description="VLAN 4000"
Address=192.168.100.2/24

Добавьте в файл следующую строку:

#/etc/systemd/network/10-enp0s31f6.network
....
[Network]
...
VLAN=enp0s31f6.4000

Перезапустить службу:

sudo systemctl restart systemd-networkd

Пример конфигурации systemd и netplan (например, Ubuntu 18.04)

Новые экземпляры installimage создают сетевые конфигурации на основе netplan в Ubuntu 18.04. /etc/systemd/network/Каталог будет пустым. Чтобы настроить VLAN, вам нужно изменить файл netplan:

#/etc/netplan/01-netcfg.yaml
### Hetzner Online GmbH installimage
network:
  version: 2
  renderer: networkd
  ethernets:
    enp0s31f6:
      addresses:
...
  vlans:
    enp0s31f6.4000:
      id: 4000
      link: enp0s31f6
      mtu: 1400
      addresses:
        - 192.168.100.2/24

После этого вам необходимо выполнить следующие команды, и сеть должна быть доступна:

sudo /lib/netplan/generate
sudo systemctl restart systemd-networkd

Конфигурация сервера (Windows)

см. VSwitch для Windows Server

API

Вы также можете настроить vSwitches через API .

Пингплоттер

Вступление

Pingplotter— это программа Windows, похожая на команду traceroute, которая показывает путь между клиентом и сервером, но делает это гораздо более четко. В этой статье содержится информация об использовании этого инструмента, а также о некоторых типичных ошибках.

Скачать

Бесплатную версию можно скачать с официального сайта .

Диагностика сети с помощью пингплоттера

На этом рисунке показан почти идеальный путь от клиента к серверу. Во втором столбце перечислены потери пакетов, то есть тестовые пакеты, которые были потеряны. Поскольку в этом примере не было потери пакетов, этот столбец пуст.

В столбцах IP и DNSName можно проследить путь, по которому проходят тестовые пакеты. Путь начинается с мюнхенского провайдера M-Net, на шагах 6 и 7 (на пиринговом узле INXS), переданных Noris, а затем, наконец, на шаге 9 (на пиринговом узле NIX), переданном сети Hetzner.

Столбцы Avg и Cur показывают время, необходимое пакету (в мс), чтобы добраться до перехода: Avg — среднее время, Cur — значение последнего тестового пакета.

В конце время передачи пакетов отображается графически. «Выбросы» можно быстро определить по ходу красной линии. Однако вы можете сделать лишь ограниченные выводы из положения линии: черные линии показывают разницу между самым быстрым и самым медленным ответом для конкретного перехода. Однако, если прыжок реагирует особенно медленно, красная линия перемещается влево (так как справа требуется больше места).

mtr

Если у вас нет Pingplotter, вы можете получить те же базовые функции с программой mtrWinMTRдля Windows). Здесь описано, как работает mtr .

Типичные ошибки

Это «отстает»!

Время отклика увеличивается, терминальные сеансы прерывистые, а игры становятся неиграбельными. Сервер не всегда является виновником, хотя использование пингов в качестве диагностического инструмента не очень помогает:

Pingplotter предлагает гораздо лучшую информацию:

Сразу видно, что ошибка (в данной симуляции) находится в сети M-Netz. Начиная с шага 4, наблюдаются значительные задержки, пакеты с шага 5 частично отбрасываются (что, в свою очередь, может быть причиной ошибки на шаге 4), а шаг 6 вызывает чрезмерные задержки. Подобные шаблоны отказов могут быть вызваны серьезной нехваткой, например, вызванной DDoS-атаками.

Потеря пакетов

В этом примере дело обстоит иначе: несмотря на то, что имеется много отброшенных пакетов, начинающихся с 10-го скачка, время проверки связи 37 мс находится в нормальном диапазоне. Это могло быть вызвано неисправным маршрутизатором или неисправным кабелем.

Все идет медленно

При подключении по DSL часто появляется следующий экран с ошибкой:

Эта трассировка на самом деле не показывает проблему. Пингплоттер снова более полезен:

Высокая нагрузка уже на втором переходе указывает на перегрузку частного интернет-соединения, которая может быть вызвана, например, отправкой больших объемов данных по электронной почте, засорением восходящего ADSL-соединения. Инструменты для обмена файлами, которые в фоновом режиме поглощают трафик и о которых давно забыли, также могут быть проблемой. Четкую картину проблемы можно найти, выполнив трассировку в обратном направлении:

Все выглядит как находка (зеленый) до тех пор, пока маршрутизатор клиента не отвечает слишком поздно. Возможными проблемами могут быть нарушение подключения к Интернету или перегрузка маршрутизатора.

Потери пакетов, которые нереальны

На самом деле это не проблема / ошибка, так как отсутствие ответа на тестовые пакеты — это нормально для маршрутизаторов. В зависимости от конфигурации маршрутизатора он будет маршрутизировать пакеты, но отвечать на тестовые пакеты только при наличии достаточной свободной вычислительной мощности. Пока следующие переходы не показывают потерю пакетов, нет причин для беспокойства.

Асимметричная маршрутизация

Диагностика сбоев относительно проста, если круговой обход между клиентом и сервером следует по одному и тому же пути. Однако часто пакеты будут иметь другой обратный маршрут (это вызвано разными требованиями провайдера клиента и местоположения сервера).

Следующая анимация (требуется плагин Flash) иллюстрирует проблему:

Пример ошибки

В следующем примере сеть Hetzner кажется причиной задержек. Начиная с первого маршрутизатора Hetzner, время пинга значительно увеличивается, и пакеты отбрасываются:

Client ---> Server
1 	67 ms 	65 ms 	66 ms 	62.26.xx.xx
2 	63 ms 	63 ms 	65 ms 	62.26.251.97
3 	80 ms 	74 ms 	76 ms 	so-6-0-0.core3.f.tiscali.de (62.27.95.2)
4 	74 ms 	75 ms 	73 ms 	so-3-0-0.fra30.ip.tiscali.net (213.200.64.25)
5 	73 ms 	74 ms 	75 ms 	ffm-s2-rou-1071.DE.eurorings.net (80.81.192.22)
6 	75 ms 	74 ms 	75 ms 	ffm-s1-rou-1001.DE.eurorings.net (134.222.227.65)
7 	78 ms 	79 ms 	78 ms 	nbg-s1-rou-1071.DE.eurorings.net (134.222.227.30)
8 	84 ms 	78 ms 	79 ms 	gi-0-1-286-nbg5.noris.net (134.222.107.26)
9 	392 ms 	393 ms 	* 	ne.gi-2-1.RS8000.RZ2.hetzner.de (213.133.96.65)
10 	393 ms 	* 	392 ms 	et-2-16.RS3000.RZ2.hetzner.de (213.133.96.38)
11 	393 ms 	392 ms 	* 	(...)

Erst bei Traceroute в umgekehrter Richtung erkannte man die eigentliche Fehlerquelle:

Server ---> Client
1 	213.133.xx.xx (213.133.xx.xx) 	0.233 ms 	0.205 ms 	0.281 ms
2 	et-1-11.RS8000.RZ2.hetzner.de (213.133.96.37) 	0.653 ms 	0.660 ms 	0.650 ms
3 	nefkom-gw.hetzner.de (213.133.96.66) 	1.119 ms 	0.423 ms 	0.415 ms
4 	GW-SF-BBR-06-S2-3.nefkom.de (212.114.147.23) 	0.635 ms 	0.807 ms 	0.457 ms
5 	hsa2.mun1.pos6-0.eu.level3.net (212.162.44.25) 	6.811 ms 	6.347 ms 	6.143 ms
6 	ae0-19.mp1.Munich1.Level3.net (195.122.176.193) 	315.587 ms 	314.949 ms 	315.164 ms
7 	so-0-0-0.mp1.Frankfurt1.Level3.net (212.187.128.90) 	301.324 ms 	300.789 ms 	300.742 ms
8 	gige1-2.core1.Frankfurt1.Level3.net (195.122.136.101) 	301.673 ms 	300.853 ms 	301.087 ms
9 	de-cix.fra30.ip.tiscali.net (80.81.192.30) 	- 	317.844 ms 	317.634 ms
10 	so-4-0-0.core3f.tiscali.de (213.200.64.26) 	318.453 ms 	- 	318.021 ms
11 	so-1-0-0.core1.hh.tiscali.de (62.27.95.38) 	307.780 ms 	307.230 ms 	307.252 ms
12 	ge-2-0-0.7.core0.hh.tiscali.de (62.27.93.83) 	307.431 ms 	307.298 ms 	307.084 ms
13 	62.26.251.101 (62.26.251.101) 	- 	307.753 ms 	308.933 ms
14 	(...) 	390.856 ms 	399.355 ms 	-

В этом случае произошла ошибка между двумя маршрутизаторами Level3 в Мюнхене. Проблема, похоже, заключалась в Hetzner, поскольку пакеты до Надежды 8 (Noris) были успешно возвращены. Однако тестовые пакеты в сеть Hetzner и обратно пошли другим маршрутом, что привело к задержке в Мюнхене.

Конфигурация сети с помощью systemd-networkd

пожалуйста, обратите внимание

В   версии systemd  было введено 238  схем именования сетей . Это означает, что при использовании  предсказуемых имен сетевых интерфейсов , в зависимости от загруженной версии systemd, сетевые интерфейсы могут называться по-разному.

К счастью, с помощью systemd-networkd можно использовать MAC-адреса для идентификации сетевых карт вместо того, чтобы полагаться на имена сетевых интерфейсов.

С нашим  Installimage  и нашими автоматическими установками мы обычно стараемся придерживаться метода настройки сети по умолчанию, используемого в дистрибутивах, но поскольку реализации, такие как  ifupdown  или  сетевые скрипты  , требуют указания имен интерфейсов, в настоящее время мы также используем systemd-networkd для установки систем CentOS и Debian. использование предсказуемых имен сетевых интерфейсов.

Синтаксис файла конфигурации .network

Вы можете найти информацию о файлах .network, используемых systemd-networkd здесь:  https://www.freedesktop.org/software/systemd/man/systemd.network.html .

Основные IP-адреса

Специальные серверы

Основной IP-адрес выделенного сервера обычно берется из более крупной подсети, но для предотвращения подделки IP-адреса системам разрешено разговаривать только со своим шлюзом.

Это означает, что при настройке фактической маски подсети IPv4, например / 27, другие системы в той же подсети будут недоступны.

Чтобы иметь доступ к системам в вашей подсети, вам необходимо настроить свой основной IPv4-адрес как адрес / 32. Поскольку в этом случае шлюз будет находиться за пределами сети IP-адресов, вам необходимо сообщить системе, как достичь шлюза.

IPv4

В следующем примере конфигурации настраиваются основной IP-адрес 1.2.3.4и шлюз 4.3.2.1для сетевого интерфейса с MAC-адресом 12:34:56:78:9a:bc.

Основной IP-адрес настраивается как адрес / 32 с использованием отдельного раздела [Address], где  Peer=<Gateway> сообщает системе, что она может достичь шлюза через интерфейс, для которого настроен адрес. См. Раздел  Выделенные серверы  для получения информации о том, почему вам следует использовать эту настройку для выделенных серверов.

# Config file /etc/systemd/network/10-mainif.network
[Match]
MACAddress=12:34:56:78:9a:bc # Main network interface MAC

[Network]
Gateway=4.3.2.1

[Address]
Address=1.2.3.4 # Main IP, /32 suffix is optional
Peer=4.3.2.1/32 # Gateway

IPv6

IPv6 можно настроить, указав IP-адрес  и  шлюз .

# Config file /etc/systemd/network/10-mainif.network
[Match]
MACAddress=12:34:56:78:9a:bc # Main network interface MAC

[Network]
Address=1:2:3:4::5/64
Gateway=fe80::1

IPv4 и IPv6

Следующая конфигурация двойного стека в основном представляет собой слияние   конфигураций IPv4  и  IPv6, указанных выше.

Пожалуйста, проверьте  выделенные серверы  и   раздел IPv4 для получения информации о том, почему основной IPv4 выделенных серверов должен быть настроен как адрес / 32 и почему  требуется настройка однорангового узла  для связи с соседями подсети.

# Config file /etc/systemd/network/10-mainif.network
[Match]
MACAddress=12:34:56:78:9a:bc # Main network interface MAC

[Network]
Address=1:2:3:4::5/64
Gateway=4.3.2.1
Gateway=fe80::1

[Address]
Address=1.2.3.4 # Main IP, /32 suffix is optional
Peer=4.3.2.1/32 # Gateway

CX серверы

IPv4

Чтобы иметь возможность использовать будущие функции без изменения конфигурации, вам следует использовать  DHCP  для IPv4.

# Config file /etc/systemd/network/10-mainif.network
[Match]
MACAddress=12:34:56:78:9a:bc # Main network interface MAC

[Network]
DHCP=ipv4

IPv6

IPv6 можно настроить так же, как и для  выделенных серверов . Вам просто нужно указать IP-адрес  и  шлюз .

# Config file /etc/systemd/network/10-mainif.network
[Match]
MACAddress=12:34:56:78:9a:bc # Main network interface MAC

[Network]
Address=1:2:3:4::5/64
Gateway=fe80::1

IPv4 и IPv6

IPv4 и IPv6 можно настроить, объединив DHCP для IPv4 и статическую конфигурацию IPv6.

# Config file /etc/systemd/network/10-mainif.network
[Match]
MACAddress=12:34:56:78:9a:bc # Main network interface MAC

[Network]
DHCP=ipv4
Address=1:2:3:4::5/64
Gateway=fe80::1

Серверы CX, использующие сеть NAT

При использовании DHCP-серверов CX с использованием сети NAT не требуется специальной настройки.

Дополнительные IP / подсети

Дополнительные IP-адреса / подсети могут быть настроены путем добавления  ключевых слов Address = в раздел .network files [Network].

# Config file /etc/systemd/network/10-mainif.network
[Match]
MACAddress=12:34:56:78:9a:bc # Main network interface MAC

[Network]
Address=1:2:3:4::5/64
Gateway=4.3.2.1
Gateway=fe80::1
Address=5.6.7.8 # Additional single IP
Address=9.10.11.12/29 # Additional /29 subnet IP
Address=6:7:8:9::10/64 # Additional IPv6
[Address]
Address=1.2.3.4 # Main IP, /32 suffix is optional
Peer=4.3.2.1/32 # Gateway

Конфигурация сети Debian

Основной IP-адрес

IPv4

Специальные серверы

Основной IP-адрес выделенного сервера обычно находится в подсети / 26 или / 27. Чтобы предотвратить случайное использование чужого IP-адреса, наша инфраструктура отклоняет любые пакеты Ethernet, которые не адресованы на адрес шлюза. Для доступа к серверу в той же подсети у наших стандартных образов уже есть статический маршрут в их сетевой конфигурации. Статический маршрут направляет весь трафик в подсеть через шлюз.

Это не лучшее решение, так как в таблице маршрутизации появляется повторяющаяся и противоречивая информация. Лучший способ связаться с сервером в вашей подсети — установить сетевую маску на 255.255.255.255 (/32). Сервер предполагает, что он один в этой подсети, и не будет отправлять пакеты напрямую. Однако теперь необходим явный маршрут хоста к шлюзу. Это очень легко сделать с Debian, добавив опцию pointopoint 192.168.0.1в конфигурацию. Пожалуйста, измените 192.168.0.1действующий IP-адрес вашего шлюза.

## /etc/network/interfaces example Hetzner root server
# Loopback-Adapter
auto lo
iface lo inet loopback
#
# LAN interface
auto eth0
iface eth0 inet static
  # Main IP address of the server
  address 192.168.0.250
  # Netmask 255.255.255.255 (/32) independent from the
  # real subnet size (e.g. /27)
  netmask 255.255.255.255
  # explicit host route to the gateway
  gateway 192.168.0.1
  pointopoint 192.168.0.1

Дополнительный маршрут к шлюзу больше не нужен.

IPv6

Выделенные серверы / CX vServers

В принципе, вышесказанное относится и к IPv6. Но вместо одного основного IP вы получаете блок / 64.

В отличие от конфигурации IPv4, в IPv6 нет настройки «точка-точка».

Например:

  • Блок адресов: 2a01:4f8:61:20e1::2до2a01:4f8:61:20e1:ffff:ffff:ffff:ffff
  • Мы используем первый адрес из этого: 2a01:4f8:61:20e1::2
  • Шлюз: fe80::1
## /etc/network/interfaces example Hetzner root server
# Loopback-Adapter
auto lo
iface lo inet loopback
#
# IPv6 LAN
auto eth0
iface eth0 inet6 static
  # Main IPv6 Address of the server
  address 2a01:4f8:61:20e1::2
  netmask 64
  gateway fe80::1

IPv4 + IPv6

Ожидается, что в ближайшие несколько лет IPv4 и IPv6 будут использоваться параллельно. Оба файла конфигурации просто объединяются, и повторяющиеся записи опускаются.

Специальные серверы

## /etc/network/interfaces example Hetzner root server
# Loopback-Adapter
auto lo
iface lo inet loopback
#
# LAN interface
auto eth0
iface eth0 inet static
  # Main IP address of the server
  address 192.168.0.250
  # Netmask 255.255.255.255 (/32) independent from the
  # real subnet size (e.g. /27)
  netmask 255.255.255.255
  # explicit host route to the gateway
  gateway 192.168.0.1
  pointopoint 192.168.0.1
#
iface eth0 inet6 static
  # Main IPv6 Address of the server
  address 2a01:4f8:61:20e1::2
  netmask 64
  gateway fe80::1

Виртуальные серверы

## /etc/network/interfaces Example Hetzner Virtual Server
# Loopback-Adapter
auto lo
iface lo inet loopback
#
# LAN interface
auto eth0
iface eth0 inet static
  # Main IP address of the server
  address 192.168.0.250
  netmask 255.255.255.224
  gateway 192.168.0.1
#
# IPv6 LAN
iface eth0 inet6 static
  # Main IPv6 Address of the server
  address 2a01:4f8:61:20e1::2
  netmask 64
  gateway 2a01:4f8:61:20e1::1

Дополнительные IP-адреса (хост)

Для наших выделенных корневых серверов (за исключением моделей SX131 / 291) вы можете заказать до 6 дополнительных одиночных IP-адресов. Конфигурация сети аналогична в обоих случаях.

Для использования дополнительных адресов на сервере (без виртуализации) необходимы пакет iprouteи служебная программа ip. Конфигурация с псевдонимами интерфейсов (например eth0:1eth0:2и т. Д.) Устарела и больше не должна использоваться. Чтобы добавить адрес, выполните:

ip addr add 10.4.2.1/32 dev eth0

Команда ip addrпоказывает IP-адреса, которые в данный момент активны. Поскольку сервер использует всю подсеть, здесь также полезно добавить адреса с префиксом / 32, что означает, что маска подсети255.255.255.255

Конфигурация

В  /etc/network/interfacesвставьте следующие две строки в соответствующий интерфейс (например eth0):

up ip addr add 10.4.2.1/32 dev eth0
down ip addr del 10.4.2.1/32 dev eth0

upи downожидайте только одну строку кода оболочки, и это может повторяться для нескольких адресов. Недостатком является то, что имя и адрес интерфейса должны быть указаны дважды. Если используется много IP-адресов, файл конфигурации становится запутанным и подверженным ошибкам. Если данные изменены, все записи необходимо скорректировать.

Альтернативная настройка через скрипт адресов

ВНИМАНИЕ :  Следующие инструкции предполагают установку программного обеспечения третьей стороной (www.wertarbyte.de). Это не поддерживается Hetzner. В случае ошибок или проблем обращайтесь к  разработчику .

Скрипт находится в пакете ifupdown-scripts-wa, который не является частью официального дистрибутива Debian. Если для конфигурации APT добавлена ​​следующая строка, этой apt-get install ifupdown-scripts-waкоманды достаточно для правильной установки скрипта:

# /etc/apt/sources.list.d/wertarbyte.list
# Tartarus, ifupdown-scripts etc.
deb [http://wertarbyte.de/apt/](http://wertarbyte.de/apt/) ./

Полную процедуру установки можно сократить с помощью следующих команд:

wget -P/etc/apt/sources.list.d/ [http://wertarbyte.de/apt/wertarbyte-apt.list](http://wertarbyte.de/apt/wertarbyte-apt.list)
wget -O - [http://wertarbyte.de/apt/software-key.gpg](http://wertarbyte.de/apt/software-key.gpg) | apt-key add -
apt-get update
apt-get install ifupdown-scripts-wa

Если вы не хотите устанавливать сценарий с использованием системы пакетов, его также можно загрузить вручную:  http://wertarbyte.de/debian/ifupdown/addresses . Он хранится в  /etc/network/if-up.d/ каталоге, а также связан с  /etc/network/if-down.d/:

cd /etc/network/if-up.d/ && \
wget [http://wertarbyte.de/debian/ifupdown/addresses](http://wertarbyte.de/debian/ifupdown/addresses) && \
chmod +x addresses && \
cd ../if-down.d/ && \
ln -s ../if-up.d/addresses .

Рекомендуется установка через пакетную систему, так как текущая версия скрипта всегда доступна.

Сценарий расширяет синтаксис файла конфигурации, добавляя новую команду address`. Это позволяет указать дополнительные IP-адреса привязки (с сетевой маской в ​​/ -notation):

addresses 10.4.2.1/32 10.4.2.2/32 10.4.2.3/32

Если эта строка добавляется для настройки интерфейса «eth0», адреса добавляются при активации интерфейса и удаляются при деактивации.

Также можно использовать несколько строк для объединения адресов по категориям и сделать конфигурацию более прозрачной:

addresses       10.4.2.1/32
addresses-https 10.4.2.2/32 10.4.2.3/32 # SSL-Websites
addresses-mail  10.4.2.4/32             # Mailserver

Сценарий захватывает различные команды, которые начинаются с ключевого слова addresses-и метки по вашему выбору. Ярлыки не следует использовать дважды, поскольку в противном случае отображается синтаксическая ошибка ifupdown и настройка интерфейса прерывается. Это может привести к тому, что сервер будет недоступен.

IP-адреса, которые были добавлены через ip addr, не отображаются в выводе ifconfig ; команда ip addr showтребуется, чтобы показать их. Однако сценарий адресов также может настраивать псевдонимы устройств:

addresses 10.0.0.1/32 10.0.0.2/32 10.0.0.3/32
create_alias_devices yes

Сценарий создает последовательно пронумерованные устройства eth0: X, используя эту конфигурацию, которые также видны в ifconfig.

Вместо простой нумерации устройств можно также использовать метки из конфигурации:

addresses-https 10.0.0.1/32 10.0.0.3/32
addresses-vhost 10.0.0.2/32
label_addresses yes

Адреса впоследствии помечаются eth0:httpsили отображаются в eth0:vhostвыходных данных, ip addrа также отображаются в ifconfig.

Дополнительные IP-адреса (виртуализация)

При виртуализации дополнительные IP-адреса используются через гостевую систему. Чтобы к ним можно было получить доступ через Интернет, необходимо соответствующим образом скорректировать конфигурацию хост-системы, чтобы пересылать пакеты. Для дополнительных одиночных IP-адресов есть два способа сделать это: маршрутизированный и мостовой.

Маршрутизированный (маршрутизатор)

В этом типе конфигурации пакеты маршрутизируются. Это требует настройки дополнительного моста с почти такой же конфигурацией (без шлюза), что и eth0.

Хост:

auto eth0
iface eth0 inet static
   address (Main IP)
   netmask 255.255.255.255
   pointopoint (Gateway IP)
   gateway (Gateway IP)
#
iface eth0 inet6 static
  address 2a01:4f8:XX:YY::2
  netmask 128
  gateway fe80::1
#
auto virbr1
iface virbr1 inet static
   address (Main IP)
   netmask 255.255.255.255
   bridge_ports none
   bridge_stp off
   bridge_fd 0
   pre-up brctl addbr virbr1
   up ip route add (Additional IP)/32 dev virbr1
   down ip route del (Additional IP)/32 dev virbr1
 #
 iface virbr1 inet6 static
   address 2a01:4f8:XX:YY::2
   netmask 64

Для каждого дополнительного IP-адреса необходимо создать соответствующий маршрут к хосту. Конфигурация eth0 для IPv4 не изменилась. Для IPv6 префикс уменьшен с / 64 до / 128.

Гость:

auto eth0
iface eth0 inet static
   address (Additional IP)
   netmask 255.255.255.255
   pointopoint (Main IP)
   gateway (Main IP)
#
iface eth0 inet6 static
  address 2a01:4f8:XX:YY::4
  netmask 64
  gateway 2a01:4f8:XX:YY::2

Мостовой

В мостовой конфигурации пакеты отправляются напрямую. Гостевая система ведет себя как независимая. Так как это делает MAC-адреса гостевой системы видимыми извне, виртуальный MAC-адрес должен быть запрошен для каждого IP-адреса через робота Hetzner и назначен гостевой сетевой карте. Мост получает ту же конфигурацию сети, что и eth0.

# remove or disable configuration for eth0
#auto eth0
#iface eth0 inet static
#
auto  br0
iface br0 inet static
 address (Main IP)
 netmask (like eth0, e.g: 255.255.255.254)
 gateway (same as that for the main IP)
 bridge_ports eth0
 bridge_stp off
 bridge_fd 1
 bridge_hello 2
 bridge_maxage 12

Конфигурация eth0опускается без замены.

Конфигурация сети CentOS

Основной IP-адрес

IPv4

Специальные серверы

Основной IP-адрес выделенного сервера обычно поступает из подсети / 26 или / 27. Чтобы предотвратить (случайное) принятие чужих IP-адресов, связь возможна только через адрес шлюза.

Для связи с серверами в том же сегменте сети в рамках установки по умолчанию настраивается двухточечная установка, которая направляет все пакеты на шлюз.

При настройке через DHCP эта конкретная конфигурация не может быть передана, то есть применяется обычная конфигурация (без подсети / 32). Это не проблема, если IP-адреса не должны быть получены из одной подсети. Чтобы подключиться к любому серверу в той же подсети, вам необходимо использовать подсеть / 32 в конфигурации сети:

# /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
HWADDR=<MAC Address>
ONBOOT=yes
BOOTPROTO=static
IPADDR=<IP Address>
NETMASK=255.255.255.255
SCOPE="peer <Gateway IP>"
# potential additional IPv6 entries

Маршрут по умолчанию создается отдельно:

##/ etc/sysconfig/network-scripts/route-eth0
ADDRESS0=0.0.0.0
NETMASK0=0.0.0.0
GATEWAY0=<Gateway IP>

Возможные источники ошибки

Если после настройки вышеупомянутых сетевых параметров невозможно связаться с сервером, необходимо проверить, установлена ​​ли в файле переменная «GATEWAYDEV»  /etc/sysconfig/network. Это может быть одной из причин недоступности, о чем свидетельствует сообщение об ошибке, RTNETLINK answers: file existsкоторое появляется после перезагрузки сетевых настроек.

Виртуальные серверы

С виртуальными серверами конфигурация выполняется в стандартной установке и не включает никаких специальных настроек. Это соответствует конфигурации, которая может быть достигнута с помощью DHCP. Сервер в той же подсети доступен без каких-либо дополнительных настроек.

IPv6

Специальные серверы

Каждый сервер получает подсеть IPv6 / 64. В отличие от конфигурации IPv4, настройка точка-точка не требуется.

Пример:

  • Адресный блок: 2a01:4f8:61:20e1::1до2a01:4f8:61:20e1:ffff:ffff:ffff:ffff
  • Из которых мы используем первый IP: 2a01:4f8:61:20e1::2
  • Шлюз: fe80::1

Чтобы включить IPv6 на вашем сервере, добавьте в файл следующие строки  /etc/sysconfig/network-scripts/ifcfg-eth0:

IPV6INIT=yes
IPV6ADDR=<IPv6 Address>/<Prefix>
IPV6_DEFAULTGW=fe80::1
IPV6_DEFAULTDEV=eth0

Необязательно:  чтобы добавить дополнительные адреса IPv6 к интерфейсу в файле,  /etc/sysconfig/network-scripts/ifcfg-eth0 добавьте следующую строку:

IPV6ADDR_SECONDARIES=<IPv6 Address>/<Prefix>

Обратите внимание, что вы можете добавить столько адресов IPv6, сколько хотите, через пробел.

Дополнительные IP-адреса (хост)

Настройка дополнительных одиночных IPv4-адресов

IP-адреса можно временно сделать доступными двумя способами:

  1. ifconfig eth0:1 192.0.2.10 netmask 255.255.255.255
  2. или
  3. ip addr add 192.0.2.10/32 dev eth0

CentOS

Постоянная конфигурация возможна по умолчанию только через псевдонимы интерфейсов ( eth0:1и eth0:2т. Д.). Для каждого IP-адреса необходимо создать файл:

/etc/sysconfig/network-scripts/ifcfg-eth0:1
/etc/sysconfig/network-scripts/ifcfg-eth0:2

Эти файлы должны содержать следующую информацию:

DEVICE=eth0:1
BOOTPROTO=none
ONBOOT=yes
IPADDR=<IP Address>
NETMASK=255.255.255.255

Наконец, service network restartнеобходимо запустить a или перезапустить сервер ( reboot).

Обратите внимание:  для использования IP-адресов в виртуальных машинах требуется другая конфигурация!

Fedora

Для постоянной конфигурации IP-адреса можно добавить в соответствующий файл конфигурации:

# cat /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE="eth0"
...
IPADDR=192.0.2.1
NETMASK=255.255.255.240
IPADDR0=192.0.2.10 # Additional IP
PREFIX0=28
IPADDR1=192.0.2.11
PREFIX1=28
IPADDR2=...

Настройка дополнительных подсетей IPv4

Подсети маршрутизируются на основном IP-адресе сервера. Как правило, нельзя использовать первый (сетевой IP) и последний (широковещательный IP). Это оставляет шесть пригодных адресов для подсети / 29.

Подсеть A / 29, состоящая из 8 IP-адресов, будет выглядеть так:

aaa.aaa.aaa.aaa (Network IP)
bbb.bbb.bbb.bbb
ccc.ccc.ccc.ccc
ddd.ddd.ddd.ddd
eee.eee.eee.eee
fff.fff.fff.fff
ggg.ggg.ggg.ggg
hhh.hhh.hhh.hhh (Broadcast IP)

В IP — адрес , bчтобы gможно конфигурировать и использовать в качестве отдельных IP — адресов. В качестве альтернативы можно создать файл:

/etc/sysconfig/network-scripts/ifcfg-eth0-range0

IPADDR_START=<Your Network Address + 1>
IPADDR_END=<Your Network Address + 6>
BROADCAST=<Your Network Address + 7>
CLONENUM_START=0
NETMASK=255.255.255.248

Перезапустите сервисную сеть с помощью service network restart.

Настройка дополнительной подсети IPv4 для виртуализации

Для использования IP-адресов в виртуальных машинах требуется другая конфигурация. Есть много возможных конфигураций. Один из наиболее простых — настроить мостовое устройство с использованием одного IP-адреса подсети, который служит шлюзом по умолчанию для всех машин, подключенных к подсети.

Обязательным условием является установка утилит bridge-utils:

yum install bridge-utils

/etc/sysconfig/network-scripts/ifcfg-br0

DEVICE=br0
ONBOOT=yes
TYPE=Bridge
BOOTPROTO=none
IPADDR=bbb.bbb.bbb.bbb
NETMASK=255.255.255.248 # adjust this accordingly. This is for a /29 subnet
STP=off
DELAY=0

Дополнительные IP-адреса (виртуализация)

При виртуализации дополнительные IP-адреса используются через гостевую систему. Чтобы к ним можно было получить доступ через Интернет, необходимо соответствующим образом скорректировать конфигурацию хост-системы, чтобы пересылать пакеты. Для дополнительных одиночных IP-адресов есть два способа сделать это: маршрутизированный и мостовой.

Маршрутизированный (маршрутизатор)

В маршрутизируемой конфигурации пакеты маршрутизируются. В дополнение к eth0 необходимо настроить мост с почти такой же конфигурацией (без шлюза), что и eth0.

Хост:

# /etc/sysconfig/network-scripts/ifcfg-eth0 (Hetzner Standard Installation)
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=none
IPADDR=<Main IP>
IPV6INIT=yes
IPV6ADDR=2a01:4f8:XXX:YYYY::2/128
IPV6_DEFAULTGW=fe80::1
IPV6_DEFAULTDEV=eth0
NETMASK=255.255.255.255
SCOPE="peer <Default Gateway>"
# /etc/sysconfig/network-scripts/ifcfg-br0
DEVICE=br0
ONBOOT=yes
TYPE="Bridge"
BOOTPROTO=static
IPADDR=<Main IP>
NETMASK=255.255.255.255
IPV6INIT=yes
IPV6ADDR=2a01:4f8:XXX:YYYY::2/64
STP=off
DELAY=0

Конфигурация eth0 для IPv4 остается неизменной, если это стандартная установка через installimage / Robot (шлюз по умолчанию вводится в файл «route-eth0». См.  Выделенные серверы ). Для IPv6 префикс уменьшен с / 64 до / 128. Настройка маршрутов хоста для дополнительных адресов IPv4 выполняется через дополнительный файл конфигурации:

# /etc/sysconfig/network-scripts/route-br0
ADDRESS0=<Additional IP>
NETMASK0=255.255.255.255

Дальнейшие маршруты могут быть добавлены таким же образом с помощью ADDRESS1NETMASK1ADDRESS2NETMASK2и т.д. Для IPv6 , никаких дополнительных настроек не требуется.

Гость:

# /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=none
IPADDR=<Addon IP>
NETMASK=255.255.255.255
SCOPE="peer <Main IP>"
IPV6INIT=yes
IPV6ADDR=2a01:4f8:XXX:YYYY::4/64
IPV6_DEFAULTGW=2a01:4f8:XXX:YYYY::2

Мостовой

В мостовой конфигурации пакеты отправляются напрямую. Гостевая система ведет себя как бы независимая. Так как это делает MAC-адреса гостевой системы видимыми извне, виртуальный MAC-адрес должен быть запрошен для каждого отдельного IP-адреса через робота Hetzner и назначен гостевой сетевой карте.

# /etc/sysconfig/network-scripts/ifcfg-eth0
# device: eth0
DEVICE=eth0
BOOTPROTO=static
HWADDR=<MAC of the physical NIC>
ONBOOT=yes
BRIDGE=br0
# /etc/sysconfig/network-scripts/ifcfg-br0 (pointopoint, Hetzner Standard)
DEVICE=br0
TYPE="Bridge"
BOOTPROTO=static
IPADDR=<Main IP>
NETMASK=255.255.255.255
SCOPE="peer <Gateway of the main IP>"
ONBOOT=yes
DELAY=0

Маршрут по умолчанию настраивается через дополнительный  route-eth0 файл конфигурации. Просто переименуйте его  route-br0.

Обратите внимание : в этой конфигурации использование IPv6 ограничено. Подсеть IPv6 может быть направлена ​​через  робота  либо на основной IP-адрес, либо на ОДИН из дополнительных IP-адресов. (точнее: на локальный адрес ссылки IPv6, который генерируется из MAC-адреса)

IPMI

Вступление

В этой статье представлен обзор, некоторые руководства и примеры для интерфейса IPMI.

IPMI (Intelligent Platform Management Interface) — это интерфейс для управления и администрирования серверов. Он реализован с помощью BMC (контроллера управления основной платой) материнской платы. Вы можете получить доступ к этому интерфейсу через программу командной строки (например, IPMItool) или через веб-интерфейс, с помощью которого вы можете администрировать сервер. Вы можете выполнить сброс, запустить KVM и прочитать выходные данные датчиков материнской платы.

Информация Hetzner IPMI

Из-за множества проблем с безопасностью в прошлом, вызванных уязвимостями в прошивке производителей, а также из-за количества времени, которое производители потратили на исправление этих проблем, мы решили в 2019 году прекратить возможность получения дополнительных модулей IPMI или KVM. установлен на выделенных корневых серверах. Исключение составляют выделенные серверы DELL и серверы торгов DELL. Для этих серверов мы также оставляем запасные модули IPMI на случай отказа.

Обзор модели

Если вы не уверены, какая модель сервера является основой вашего серверного продукта, не стесняйтесь обращаться в службу поддержки.

  • PX60 (-SSD) / PX70 (-SSD) — BMC включает IPMI (KVM-over-IP как дополнительный платный модуль)
  • PX90 (-SSD) / PX120 (-SSD) — BMC включает IPMI и KVM
  • PX91 (-SSD) / PX121 (-SSD) — платный дополнительный модуль BMC с IPMI / KVM

Активация сетевого интерфейса

Со встроенным BMC конфигурация сети по умолчанию отключена. Чтобы использовать функцию IPMI и последовательного интерфейса через LAN и / или KVM, вам необходимо заказать дополнительный IP-адрес (за небольшую плату) через Robot .

Важно: вам необходимо указать MAC-адрес BMC при заказе дополнительного IP-адреса.

Вы можете прочитать MAC-адрес с помощью IPMItool (см. Сеть ). После того, как мы предоставим вам IP-адрес, вы можете статически настроить или назначить его BMC через DHCP.

Правила техники безопасности

Если BMC становится доступным путем присвоения ему общедоступного IP-адреса, он может быть атакован и при определенных обстоятельствах подвергаться злоупотреблениям, что может привести к компрометации сервера. Поэтому следует принимать меры по противодействию наиболее известным сценариям атак. Чтобы узнать больше об этих атаках, прочтите о наборе инструментов проникновения Metasploit ( https://community.rapid7.com/community/metasploit/blog/2013/07/02/a-penetration-testers-guide-to-ipmi ).

Материнская плата, используемая в моделях PX60 и PX70, не уязвима для опций, описанных в ссылке, поскольку некоторые механизмы защиты уже установлены по умолчанию. Как правило, вам следует изменить пароли по умолчанию и отключить или переименовать уже существующих пользователей. По умолчанию на всех моделях анонимный доступ отключен. Другие векторы атак и их предотвращение описаны в следующих пунктах.

Текущие угрозы

Уязвимости

Поскольку BMC, обеспечивающий функциональность IPMI, представляет собой просто программное обеспечение, в нем могут быть уязвимости.

PX90 / PX120

Для материнских плат моделей PX90 / 120 (Supermicro X9SRi-F) в версии прошивки 2.14 была обнаружена уязвимость, позволяющая читать имена пользователей и пароли в виде обычного текста. Если на вашем сервере установлена ​​эта прошивка, перед активацией сетевого интерфейса необходимо обновить прошивку.

Версию прошивки можно узнать с помощью impitool:

ipmitool mc info
...
Firmware Revision         : 3.50

Если вы уже активировали сеть IPMI, вы можете выполнить обновление через веб-интерфейс. Вы можете найти последнюю версию на download.hetzner.de (учетные данные для входа см. В подготовительной почте вашего сервера (ов)).

В качестве альтернативы также возможно обновление с Linux, если сеть IPMI не была активирована:

wget http://mirror.hetzner.de/tools/Supermicro/tools/SMT_X9_350.tgz
tar -xzf SMT_X9_350.tgz
cd SMT_X9_350
./lUpdate -f SMT_X9_350.bin

Обратите внимание, что это обновление применимо только к PX90 и PX120.

PX91 / PX121

Дополнительный модуль KVM для моделей PX91 и PX121 (Asus Z10PA-U8) использует небезопасные протоколы SSL и устаревший сертификат SSL в версиях до 1.11.

Таким образом, в зависимости от используемого вами браузера безопасные (HTTPS) соединения могут быть недоступны до тех пор, пока вы не выполните обновление.

Вы можете загрузить обновление через веб-интерфейс, а текущую прошивку можно найти на сайте download.hetzner.de (учетные данные для входа см. В сообщении электронной почты вашего сервера (ов)).

Cipher 0 Атаки

Шифр 0 означает, что шифрование не используется, и, таким образом, аутентификация не выполняется. По умолчанию Cipher 0 активирован только на материнской плате для обратного вызова, то есть вход в систему невозможен; вы можете получить только ответ, есть ли BMC или нет. Даже при этом, чтобы гарантировать отсутствие злоупотреблений, Cipher 0 по умолчанию отключен при доставке сервера и, следовательно, больше не может использоваться.

Передача хеша пароля

В спецификации IPMI аутентификация пользователя возможна только на стороне пользователя. Поэтому хеш пароля передается всем запрашивающим пользователям. Поскольку он точно указывает, что содержит этот хэш, можно найти пароль с помощью атаки грубой силы. Поскольку это часть спецификации IPMI, эта проблема встречается на всех BMC и может быть решена только путем изменения спецификации. Поэтому единственная текущая рекомендация по этой проблеме — использовать действительно длинный и надежный пароль для BMC, чтобы сделать его как можно более трудным для любых злоумышленников. Если для BMC используется короткий или легко угадываемый пароль, его можно взломать в течение нескольких часов или даже минут.

Вот несколько советов по созданию безопасного пароля:

Если вам нужно сделать пароль легко запоминающимся, имеет смысл объединить несколько слов, не связанных друг с другом ( http://correcthorsebatterystaple.net/ ). Это безопасно из-за длины, и все же легко запомнить.

Если вы планируете хранить пароль в базе данных и вам не нужно его запоминать, вы можете использовать достаточно случайные числа и буквы разумной длины (> 30 символов) для создания безопасного пароля.

Отражение SNMP

Несколько модулей IPMI (например, ASMB8-iKVM в моделях PX91 и PX121) разрешают запросы через SNMP. Следовательно, небольшой запрос может привести к потере большого количества данных, если запрос с исходного адреса будет неправильно использован в атаке. Если вы используете SNMP, вам необходимо обязательно использовать надежный пароль (что означает использование строки сообщества SNMP). Если вы не используете SNMP, вы можете использовать брандмауэр, чтобы заблокировать этот порт на модулях ASMB8-iKVM моделей PX91 и PX121. Вы можете использовать веб-интерфейс для выполнения обоих вариантов.

Объяснение отдельных функций

Веб интерфейс

Веб-интерфейс можно использовать для простого и безопасного чтения данных из BMC. Он отображает все датчики, пользователей можно добавлять и изменять, можно настроить конфигурацию сети, и, если у вас есть KVM, ее можно запустить.

Системная информация: на этой странице вы можете найти некоторую информацию о вашем сервере (версия BIOS, текущий статус, информация о ЦП и ОЗУ) и увидеть пользователей, которые в настоящее время вошли в систему.

Состояние сервера: здесь вы можете увидеть выходные данные отдельных датчиков на материнской плате и в процессоре. Если есть какие-либо тепловые проблемы, вы можете их обнаружить здесь. Кроме того, есть журнал событий. В журнале можно найти системные события, такие как критические температуры, перезагрузки и троттлинг процессора. Это может помочь вам диагностировать потенциальную проблему. Страница Power Statisticsне работает с этой моделью, потому что блок питания не имеет необходимого интерфейса PMBUS.

Конфигурация: здесь вы можете настроить многие параметры BMC. Параметры сети обычно не требуется изменять, поскольку конфигурация для IPv4 устанавливается автоматически через DHCP. Вы можете вручную настроить IPv6, но использование шлюза по умолчанию Hetzner fe80::1будет возможно только в будущих версиях прошивки. Вы также можете добавлять сюда новых пользователей, а также изменять и удалять существующих. Кроме того, эта опция Alertsпозволяет вам получать уведомления по SNMP или по электронной почте, когда на сервере происходят определенные события. Это может быть полезно для мониторинга сервера.

Удаленное управление: на этой странице вы можете использовать KVM-функции BMC. Однако опция Console Redirectionдоступна только в том случае, если вы активируете дополнительный модуль. Всегда можно использовать Server Power Control. Это позволяет вам отправить на сервер аппаратный и программный сброс; вы также можете выключить его или запустить.

Конфигурация

В этом разделе показаны некоторые основные параметры конфигурации. Обычно вы можете использовать веб-интерфейс BMC. Также рекомендуется установить ipmitool, который можно установить через диспетчер пакетов всех основных дистрибутивов. Это дает вам доступ к дополнительным функциям, которые нельзя настроить через веб-интерфейс.

Пример для Debian:

Установка через менеджер пакетов:

apt install ipmitool

Для ipmitoolнормальной работы вам необходимо загрузить следующие модули через modprobe:

modprobe ipmi_devintf
modprobe ipmi_si

Чтобы проверить, все ли важное было правильно загружено и установлено, используйте следующий пример команды, которая покажет вам данные со всех доступных датчиков:

ipmitool sensor list

Пользователи

На BMC можно создать несколько пользователей с разными правами. После создания нового пользователя с правами администратора ipmitoolчерез веб-интерфейс вы можете управлять большим количеством пользователей. Существует 4 различных уровня прав / разрешений:

  • Обратный вызов (1) : может только инициировать обратный вызов
  • Пользователь (2) : может отправлять запросы только для чтения, но не может изменять файлы конфигурации.
  • Оператор (3) : может изменять все конфигурации, кроме деактивации канала и изменения прав.
  • Администратор (4) : может изменять все конфигурации

Обычно один или несколько пользователей уже существуют. Обзор существующих идентификаторов пользователей и логинов можно получить через:

ipmitool user list 1

В моделях PX90 / PX120 активный пользователь с правами администратора уже существует:

ID  Name             Callin  Link Auth  IPMI Msg   Channel Priv Limit
2   ADMIN            false   false      true       ADMINISTRATOR

В модулях BMC / KVM моделей PX91 / PX121 есть два активных пользователя с правами администратора:

ID  Name             Callin  Link Auth  IPMI Msg   Channel Priv Limit
1                    false   false      true       ADMINISTRATOR
2   admin            false   false      true       ADMINISTRATOR

В моделях PX60 / PX70 есть 5 стандартных неактивных пользователей. Все они могут быть изменены, кроме первого.

ID  Name             Callin  Link Auth  IPMI Msg   Channel Priv Limit
1                    true    false      true       ADMINISTRATOR
2   root             false   true       true       ADMINISTRATOR
3   test1            true    false      true       ADMINISTRATOR
4   test2            true    false      true       ADMINISTRATOR
5   test3            true    false      true       ADMINISTRATOR

ID пользователя root (или ADMIN) должен быть деактивирован и, по возможности, переименован после создания пользователя-клиента и перед активацией конфигурации сети.

Измените имя для входа через ipmitool:

ipmitool user set name 2 john-doe

Чтобы создать нового пользователя, просто назначьте имя ранее неиспользованному идентификатору. Процедура здесь идентична изменению логина ID. Удаление идентификаторов возможно только путем изменения настроек BMC.

Создайте нового пользователя:

ipmitool user set name 6 max+meier

После этого установить пароль следует:

ipmitool user set password 6 Correct-Battery-Horse-Staple

Теперь активируйте доступ для этого пользователя:

ipmitool channel setaccess 1 6 link=on ipmi=on callin=on privilege=4

Активируйте самого пользователя:

ipmitool user enable 6

Чтобы изменить пароль пользователя, просто введите следующую команду:

ipmitool user set password 6 Battery+Staple-Horse$Correct

Наконец, вы можете отключить администратора по умолчанию:

ipmitool user disable 2

Сеть

Чтобы сделать BMC доступным через Интернет, вам необходимо заказать для него дополнительный (платный) IP-адрес через Robot. Вы можете выполнить настройку IPv4 BMC вручную или через DHCP с помощью ipmitool. Вы можете внести изменения в эту конфигурацию с помощью веб-интерфейса, перейдя в Configuration / IPv4 Network. В настоящее время вы не можете использовать IPv6. Конфигурация с IPv6 станет доступна позже в веб-интерфейсе.

Вы можете установить начальную конфигурацию, используя ipmitool. Соответствующий канал IPMI зависит от материнской платы и интерфейса, который вы хотите настроить.

Общий порт LAN основного IP:

  • PX60 / 70/90/120 и SX131 / 291: канал 1
  • PX91 / 121: канал 8

Чтобы отобразить текущую конфигурацию и MAC-адрес BMC, используйте следующую команду:

  • PX60 / 70/90/120 и SX131 / 291:
  • ipmitool lan print 1
  • PX91 / 121:
  • ipmitool lan print 8

Как показано выше, set 8следует использовать, а не set 1для этой и всех других команд для моделей PX91 и PX121.

Чтобы получить IP-адрес через DHCP, используйте следующую команду:

ipmitool lan set 1 ipsrc dhcp

Если вы хотите использовать статическую конфигурацию по умолчанию, введите:

ipmitool lan set 1 ipsrc static

Чтобы установить IP-адрес, введите:

ipmitool lan set 1 ipaddr <IP address>

Чтобы установить маску сети, введите:

ipmitool lan set 1 netmask <netmask>

Чтобы установить IP-адрес шлюза, введите:

ipmitool lan set 1 defgw ipaddr <gateway IP address>

Последовательный через LAN

Чтобы активировать SOL (Serial over LAN), введите следующую команду:

ipmitool -C 3 -I lanplus -H <ipaddr> -U <user> -P <pass> sol activate

Использование набора шифров 3 необходимо (если это не по умолчанию), потому что в LANplusпротивном случае связь через посредство невозможна.

Если появляется следующее сообщение об ошибке, вам необходимо активировать SOL для пользователя:

ipmitool -C 3 -I lanplus -H <ipaddr> -U <user> -P <pass> sol activate
Info: SOL payload disabled
ipmitool -C 3 -I lanplus -H <ipaddr> -U <user> -P <pass> sol payload enable <channel> <user-id>

После этого вы можете увидеть вывод BIOS. Для доступа к загрузчику и / или загруженной системе требуются дополнительные настройки.

GRUB2

Для GRUB2 просто измените некоторые строки, чтобы они соответствовали приведенным ниже, /etc/default/grubи заново сгенерируйте настройки.

В PX90 / 120 (Supermicro X9SRi-F) последовательная консоль включена ttyS2/unit=2. На PX91 / 121 (Asus Z10PA-U8) он включен ttyS1/unit=1. А с PX60 / 70 (Intel S1200V3RPL) он включен ttyS0/unit=0. Также следует отметить, что скорость передачи данных должна быть установлена ​​на 57600 для PX91 / 121 и 115200 для всех остальных.

PX60 / 70

GRUB_CMDLINE_LINUX_DEFAULT="nomodeset console=tty0 console=ttyS0,115200n8"
GRUB_TERMINAL=serial
GRUB_SERIAL_COMMAND="serial --speed=115200 --unit=0 --word=8 --parity=no --stop=1"

PX90 / 120, SX131 / 291

GRUB_CMDLINE_LINUX_DEFAULT="nomodeset console=tty0 console=ttyS2,115200n8"
GRUB_TERMINAL=serial
GRUB_SERIAL_COMMAND="serial --speed=115200 --unit=2 --word=8 --parity=no --stop=1"

PX91 / 121

GRUB_CMDLINE_LINUX_DEFAULT="nomodeset console=tty0 console=ttyS1,57600n8"
GRUB_TERMINAL=serial
GRUB_SERIAL_COMMAND="serial --speed=57600 --unit=1 --word=8 --parity=no --stop=1"

GRUB (grub-наследие)

Для GRUB1 (grub-legacy) добавьте следующие строки в /boot/grub/menu.lstor /boot/grub/grub.conf(CentOS):

PX60 / 70

serial --unit=0 --speed=115200 --word=8 --parity=no --stop=1
terminal --timeout=5 serial console

PX90 / 120, SX131 / 291

serial --unit=2 --speed=57600 --word=8 --parity=no --stop=1
terminal --timeout=5 serial console

PX91 / 121

serial --unit=1 --speed=115200 --word=8 --parity=no --stop=1
terminal --timeout=5 serial console

В то же время тот же последовательный порт необходимо добавить в параметры загрузки ядра. Это ttyS0 с PX60 / 70, ttyS1 с PX91 / 121 и ttyS2 с PX90 / 120.

console=tty0 console=ttyS0,115200n8

Это указывает ядру выводить информацию на первый последовательный порт. Изменение GRUB_TERMINALна serialозначает, что любой ввод / вывод перенаправляется на последовательный порт. На локальном экране больше не будет отображаться меню загрузки, поэтому выбор загрузочной записи через KVM Console или KVM больше не возможен. После перезагрузки вывод будет отправлен параллельно как на локальный экран, так и на последовательный порт.

После этого вам необходимо настроить терминал для последовательного порта в вашей системе.

Ubuntu

Создайте файл /etc/init/ttyS0.confсо следующим содержимым (или, альтернативно, ttyS2.confсо ttyS2скоростью и 115200 бод для моделей PX90 / PX120, или ttyS1.confсо ttyS1скоростью и 57600 бод для моделей PX91 / PX121):

# ttyS0 - getty
#
# This service maintains a getty on ttyS0 from the point the system is
# started until it is shut down again.

start on stopped rc RUNLEVEL=[2345]
stop on runlevel [!2345]

respawn
exec /sbin/getty -L ttyS0 115200 vt100

После этого вы можете активировать терминал, введя start ttyS0.

CentOS

В CentOS конфигурация аналогична Ubuntu. Однако /etc/init/serial.confавтоматически запускается getty для последовательного порта, который добавляет порт /etc/securetty. Итак, вам просто нужно настроить последовательную консоль в grub.conf и подключить соответствующий параметр ядра.

Debian / OpenSuSE / Fedora

Для Debian, OpenSuSE и других дистрибутивов, таких как Fedora, которые используют systemdи GRUB2, просто измените /etc/default/grubсоответствующим образом и обновите конфигурацию, используя grub2-mkconfig. При следующей загрузке systemdавтоматически начнет использовать последовательный порт GRUB2.

Последовательная консоль

Теперь вы быстро увидите логин, если подключитесь через ipmitool:

ipmitool -C 3 -I lanplus -H <ipaddr> -U <user> -P <pass> sol activate
[SOL Session operational.  Use ~? for help]

Debian GNU/Linux 7 Debian-70-wheezy-64-minimal ttyS0

Debian-70-wheezy-64-minimal login:

Serial поверх IPMI

Вступление

Serial Over LAN (SOL) — это механизм, который позволяет перенаправлять входные и выходные данные последовательного порта управляемой системы через IP. Это делается через IPMI .

Активация последовательного порта через LAN

Чтобы активировать SOL (Serial over LAN), введите следующую команду:

ipmitool -C 3 -I lanplus -H <ipaddr> -U <user> -P <pass> sol activate

Использование набора шифров 3 необходимо (если это не по умолчанию), поскольку в противном случае связь через LANplus невозможна.

Если появляется следующее сообщение об ошибке, вам необходимо активировать SOL для пользователя:

$ ipmitool -C 3 -I lanplus -H <ipaddr> -U <user> -P <pass> sol activate
Info: SOL payload disabled
$ ipmitool -C 3 -I lanplus -H <ipaddr> -U <user> -P <pass> sol payload enable <channel> <user-id>

После этого вы можете увидеть вывод BIOS. Для доступа к загрузчику и / или загруженной системе требуются дополнительные настройки.

GRUB2

Для GRUB2 просто измените некоторые строки, чтобы они соответствовали приведенным ниже, /etc/default/grubи заново сгенерируйте настройки.

В PX90 / 120 (Supermicro X9SRi-F) последовательная консоль находится на ttyS2 / unit = 2. У PX91 / 121 (Asus Z10PA-U8) он находится на ttyS1 / unit = 1. А с PX60 / 70 (Intel S1200V3RPL) он находится на ttyS0 / unit = 0. Также следует отметить, что скорость передачи данных должна быть установлена ​​на 57600 для PX91 / 121 и 115200 для всех остальных.

PX60 / 70

GRUB_CMDLINE_LINUX_DEFAULT="nomodeset console=tty0 console=ttyS0,115200n8"
GRUB_TERMINAL=serial
GRUB_SERIAL_COMMAND="serial --speed=115200 --unit=0 --word=8 --parity=no --stop=1"

PX90 / 120, SX131 / 291

GRUB_CMDLINE_LINUX_DEFAULT="nomodeset console=tty0 console=ttyS2,115200n8"
GRUB_TERMINAL=serial
GRUB_SERIAL_COMMAND="serial --speed=115200 --unit=2 --word=8 --parity=no --stop=1"

PX91 / 121

GRUB_CMDLINE_LINUX_DEFAULT="nomodeset console=tty0 console=ttyS1,57600n8"
GRUB_TERMINAL=serial
GRUB_SERIAL_COMMAND="serial --speed=57600 --unit=1 --word=8 --parity=no --stop=1"

GRUB (grub-наследие)

Для GRUB1 (grub-legacy) добавьте следующие строки в /boot/grub/menu.lstor /boot/grub/grub.confCentOS ):

PX60 / 70

serial --unit=0 --speed=115200 --word=8 --parity=no --stop=1
terminal --timeout=5 serial console

PX90 / 120, SX131 / 291

serial --unit=2 --speed=57600 --word=8 --parity=no --stop=1
terminal --timeout=5 serial console

PX91 / 121

serial --unit=1 --speed=115200 --word=8 --parity=no --stop=1
terminal --timeout=5 serial console

В то же время тот же последовательный порт необходимо добавить в параметры загрузки ядра. Это ttyS0 с PX60 / 70, ttyS1 с PX91 / 121 и ttyS2 с PX90 / 120.

console=tty0 console=ttyS0,115200n8

Это указывает ядру выводить информацию на первый последовательный порт. Изменение GRUB_TERMINAL на последовательный означает, что любой ввод / вывод перенаправляется на последовательный порт. На локальном экране больше не будет отображаться меню загрузки, поэтому выбор загрузочной записи через KVM Console или KVM больше не возможен. После перезагрузки вывод будет отправлен параллельно как на локальный экран, так и на последовательный порт.

После этого вам необходимо настроить терминал для последовательного порта в вашей системе. Debian 7.x (wheezy) / Debian 8 с Sys-V Init

Необходимо добавить следующую строку /etc/inittab. Здесь снова используйте ttyS0 и 115200 бод с PX60 / 70, ttyS2 и 115200 бод с PX90 / 120 и ttyS1 и 57600 бод с PX91 / 121:

T0:2345:respawn:/sbin/getty -L ttyS0 115200 vt100

После этого вы можете активировать терминал, введя init q.

Ubuntu (до 14.10 с Upstart)

Создайте файл /etc/init/ttyS0.confсо следующим содержимым (или, альтернативно, ttyS2.conf с ttyS2 и 115200 бод для моделей PX90 / PX120 или ttyS1.conf с ttyS1 и 57600 бод для моделей PX91 / PX121):

# ttyS0 - getty
#
# This service maintains a getty on ttyS0 from the point the system is
# started until it is shut down again.

start on stopped rc RUNLEVEL=[2345]
stop on runlevel [!2345]

respawn
exec /sbin/getty -L ttyS0 115200 vt100

После этого вы можете активировать терминал, введя start ttyS0.

CentOS

В CentOS 6.x конфигурация аналогична Ubuntu. Однако /etc/init/serial.confавтоматически запускается getty для последовательного порта, который добавляет порт /etc/securetty. Поэтому вам просто нужно настроить последовательную консоль grub.confи подключить соответствующий параметр ядра.

Debian 8 / OpenSuSE / Fedora

Для Debian 8 (jessie), OpenSuSE и других дистрибутивов, таких как Fedora, которые используют systemd и GRUB2, просто измените /etc/default/grubсоответствующим образом и обновите конфигурацию, используя grub2-mkconfig. При следующей загрузке systemd автоматически запустится с использованием последовательного порта GRUB2.

Последовательная консоль

Теперь вы быстро увидите логин, если подключитесь через ipmitool:

 $ ipmitool -C 3 -I lanplus -H <ipaddr> -U <user> -P <pass> sol activate
 [SOL Session operational.  Use ~? for help]

 Debian GNU/Linux 7 Debian-70-wheezy-64-minimal ttyS0

 Debian-70-wheezy-64-minimal login:

NVMe

Вступление

NVMe (Non-Volatile Memory Express) — это спецификация для доступа к дискам через PCI Express, которая специально адаптирована к потребностям энергонезависимой памяти. Подключение через PCIe Gen3 x4 (32 ГБит / с) обеспечивает, например, до пяти раз более высокую скорость доступа и меньшие задержки, чем обычные интерфейсы SATA 3 (6 ГБит / с). Благодаря высокой степени параллелизма и низкому энергопотреблению удовлетворяются текущие и будущие требования к памяти.

Характеристики

SSD-диски NVMe адресуются иначе, чем диски SATA. В системе UNIX (Linux / BSD) первый NVMe-SSD вызывается /dev/nvme0n1вместо /dev/sdanПосле nvme0означает «пространство имен». Первый раздел на этом SSD /dev/nvme0n1p1вместо /dev/sda1.

Схема такая:

/dev/nvme<CONTROLLER_NUMBER>n<NAMESPACE>p<PARTITION>

NVMe-CLI

Для управления твердотельными накопителями NVMe в системах UNIX можно использовать инструмент nvme-cli .

В Hetzner Rescue System этот инструмент уже предустановлен.

Показать список всех обнаруженных твердотельных накопителей NVMe

nvme list
Node             SN                   Model                                    Version  Namespace Usage                      Format           FW Rev
---------------- -------------------- ---------------------------------------- -------- --------- -------------------------- ---------------- --------
/dev/nvme0n1     S1XXNYAGAXXXXX       SAMSUNG MZVPV512HDGL-00000               1.1      1         102.40  GB / 512.11  GB    512   B +  0 B   BXW7300Q
/dev/nvme1n1     S1XXNYAGAYYYYY       SAMSUNG MZVPV512HDGL-00000               1.1      1         102.40  GB / 512.11  GB    512   B +  0 B   BXW7300Q

Показать серийный номер конкретного твердотельного накопителя NVMe

nvme id-ctrl /dev/nvme0n1|egrep "sn |mn "
sn      : S1XXNYAGAXXXXX
mn      : SAMSUNG MZVPV512HDGL-00000

Показать журнал SMART

Некоторые модели твердотельных накопителей NVMe поддерживают журнал SMART (технология самоконтроля, анализа и отчетности), считываемый с помощью этого инструмента smartctl, который также используется для дисков SATA и может предоставлять более подробную информацию, чем при использовании nvmeинструмента.

Использование Smartctl

smartctl -a /dev/nvme0n1
smartctl 6.6 2017-11-05 r4594 [x86_64-linux-4.19.101] (local build)
Copyright (C) 2002-17, Bruce Allen, Christian Franke, www.smartmontools.org

=== START OF INFORMATION SECTION ===
[...]
=== START OF SMART DATA SECTION ===
SMART overall-health self-assessment test result: PASSED

SMART/Health Information (NVMe Log 0x02, NSID 0x1)
Critical Warning:                   0x00
Temperature:                        29 Celsius
Available Spare:                    100%
Available Spare Threshold:          10%
Percentage Used:                    0%
Data Units Read:                    113,446 [58.0 GB]
Data Units Written:                 48,760 [24.9 GB]
Host Read Commands:                 111,504,973
Host Write Commands:                41,507,430
Controller Busy Time:               1,395
Power Cycles:                       7
Power On Hours:                     395
Unsafe Shutdowns:                   0
Media and Data Integrity Errors:    0
Error Information Log Entries:      0
Warning  Comp. Temperature Time:    0
Critical Comp. Temperature Time:    0
Temperature Sensor 1:               29 Celsius
Temperature Sensor 2:               30 Celsius

Error Information (NVMe Log 0x01, max 64 entries)
No Errors Logged

Использование NVMe-CLI

nvme smart-log /dev/nvme0n1
Smart Log for NVME device:nvme0n1 namespace-id:ffffffff
critical_warning                    : 0
temperature                         : 29 C
available_spare                     : 100%
available_spare_threshold           : 10%
percentage_used                     : 0%
data_units_read                     : 113,446
data_units_written                  : 48,760
host_read_commands                  : 111,504,973
host_write_commands                 : 41,507,430
controller_busy_time                : 1,395
power_cycles                        : 7
power_on_hours                      : 395
unsafe_shutdowns                    : 0
media_errors                        : 0
num_err_log_entries                 : 0
Warning Temperature Time            : 0
Critical Composite Temperature Time : 0
Temperature Sensor 1                : 29 C
Temperature Sensor 2                : 30 C

Показать журнал ошибок

nvme error-log /dev/nvme0n1
Error Log Entries for device:nvme0n1 entries:1
.................
 Entry[ 0]
.................
error_count  : 0
sqid         : 0
cmdid        : 0
status_field : 0(SUCCESS: The command completed successfully)
parm_err_loc : 0
lba          : 0
nsid         : 0
vs           : 0
cs           : 0
.................

Выполните самотестирование

Короткое самотестирование (продолжительность: до 1 часа) для проверки работоспособности твердотельных накопителей NVMe можно запустить с помощью следующей команды:

nvme device-self-test /dev/nvme0n1 -s 1

После запуска самотестирования вы можете использовать эту команду для проверки текущего состояния:

nvme self-test-log /dev/nvme0n1
  • Вывод при выполнении теста:Test is 21% complete and is still in progress.
  • Если в выходных данных указанной команды указано 0%, что тест либо не запущен, либо не поддерживается установленным твердотельным накопителем NVMe:Test is 0% complete and is still in progress.
  • После завершения теста еще раз проверьте данные о состоянии SMART (см. Соответствующий раздел в этой статье).

KVM-консоль

Вступление

Hetzner предлагает удаленную консоль, которую можно подключить к любому выделенному серверу. Эта удаленная консоль предоставляет возможности KVM (клавиатура, видео и мышь) over-IP и позволяет полностью контролировать сервер на уровне BIOS. Это полезно для устранения неполадок сервера, особенно в тех случаях, когда SSH не может использоваться. Можно получить доступ к меню загрузки и исправить ошибки конфигурации сети. Консоль поддерживает виртуальные носители, поэтому ее можно использовать для установки пользовательской операционной системы путем монтирования файла ISO .

Вызываются удаленные консоли KVM Console. Этот термин происходит от названия первоначальных предлагаемых удаленных консолей. Хотя с тех пор они были модернизированы более современными решениями, название осталось.

KVM-консоль предоставляется бесплатно в течение 3 часов. Если это требуется на более длительный период времени, его можно забронировать за 8,40 евро за дополнительные 3 часа.

Обратите внимание, что при использовании функции консоли KVM требуется Java.

Заказ KVM-консоли

Поскольку количество KVM-консолей в каждом DC ограничено, мы рекомендуем клиентам заказывать KVM-консоль заранее через робота .

Если вам нужна KVM-консоль, запросите ее напрямую через веб-интерфейс Robot . Для этого войдите в Робот, перейдите на Servers, выберите свой сервер и щелкните вкладку Support. Вы увидите форму поддержки. Здесь выберите Remote Console (KVM). Затем вы можете выбрать встречу, когда вы этого хотите и на какой срок.

Вход в систему

После того, как наши специалисты подключат KVM-консоль к вашему серверу, они отправят вам электронное письмо с данными для входа в систему, а также URL-адресом KVM-консоли. Этот URL-адрес можно просто щелкнуть или скопировать и вставить в свой браузер. Вы увидите следующий экран:

После того, как вы вошли в систему, используя данные для входа, указанные в электронном письме, вы увидите следующий экран:

Использование консоли KVM

В разделе KVM Console Preview(см. Снимок экрана выше) вы можете щелкнуть по самому экрану, чтобы открыть консоль, или по Click to open KVM Consoleссылке внизу.

Появится диалоговое окно с вопросом, что вы хотите сделать с файлом spider.jnlp. Это нужно открыть с помощью JAVA(TM) Web Start Launcher, который должен быть выбран автоматически.

Пожалуйста, обратите внимание:

  • Служба поддержки Lantronix заявляет, что KVM Console не будет полностью работать с Java 9 или 10. Чтобы сохранить функциональность, оставайтесь с Java 8.
  • Если Java 8 еще не установлена ​​на вашем компьютере, посетите веб-сайт Java и загрузите, а затем установите последнюю версию.
  • Может появиться предупреждение системы безопасности. Это общее предупреждение от Java и не означает, что у Java-апплета есть какие-либо проблемы с безопасностью. Предупреждение можно смело принимать.
  • К сожалению, некоторые браузеры отменяют загрузку апплета с сообщением об ошибке (файл неполный / недействительный сертификат). В таких случаях используйте альтернативный браузер. Например, в текущей стандартной версии Mozilla Firefox такие проблемы не известны.

После инициализации Java-апплета должна открыться консоль, и вы увидите вывод на экран сервера, как если бы вы сидели прямо перед самим сервером.

Раскладка клавиатуры

Если клавиши, которые вы нажимаете на своей клавиатуре, не отображаются правильно на экране / консоли, то раскладка клавиатуры, скорее всего, настроена неправильно. Это можно изменить в пункте меню Options, перейдя в Local Keyboard. Здесь вам нужно выбрать правильную раскладку клавиатуры, которую вы используете.

перезагружать

С помощью confirm Ctrl+Alt+Deleteкнопки в верхнем левом углу консоли серверу можно отправить ctrl + alt + delete . Это можно использовать для перезапуска сервера или для входа в Windows. После того, как вы нажмете эту кнопку, вам нужно будет подтвердить, что вы хотите отправить на сервер ctrl + alt + delete .

Полноэкранный режим

Вы можете выбрать, чтобы консоль заполняла весь экран, если хотите. Просто нажмите Ctrl + F10 или одну из кнопок в верхней части консоли с буквой A или S и стрелками, указывающими наружу. Выход из полноэкранного режима осуществляется повторным нажатием Ctrl + F10.

Установка ОС

Консоль KVM можно использовать для установки собственной ОС. Это можно сделать, смонтировав файл ISO или попросив наших технических специалистов записать файл ISO на USB-накопитель / DVD .

Обратите внимание, что если вы хотите установить одну из предлагаемых нами стандартных операционных систем Linux, это можно сделать автоматически с помощью робота , на Linuxвкладке сервера или вручную с помощью нашего установочного образа или установки VNC .

Монтирование файла ISO

Чтобы получить доступ к интерфейсу виртуального носителя, щелкните Interfacesвкладку, а затем перейдите по Virtual Mediaссылке. Здесь вы можете ввести подробные сведения о местонахождении файла ISO.

Пожалуйста, обратите внимание:

  • KVM Console поддерживает только монтирование файлов ISO через сетевой протокол SAMBA (SMB) / CIFS.
  • Монтирование файла может занять значительное время, поэтому убедитесь, что соединение с местоположением файла хорошее. К сожалению, индикатора выполнения нет. Вы увидите уведомление, когда файл будет полностью загружен.
  • Мы не можем гарантировать, что монтирование файла ISO и его установка всегда будут работать. По этой причине мы предлагаем нашим техническим специалистам записать файл ISO на USB-накопитель / DVD .

Использование нашего зеркала

Чтобы помочь нашим клиентам установить Windows, мы предоставляем несколько образов этих операционных систем.

Предлагаемые нами изображения можно найти на двух наших зеркалах:

  • http://download.hetzner.de/ доступен из любого места и требует имени пользователя и пароля для входа. Эти данные можно найти в конце электронного письма с активацией сервера, в котором также находятся данные для входа на сам сервер.
  • http://mirror.hetzner.de/ доступен только из сети Hetzner и не требует пароля.

В следующих примерах используется внутреннее зеркало, хотя также упоминается ссылка на внешнее зеркало. Эту ссылку можно использовать для проверки точных имен файлов образов операционной системы.

Windows

Имеющиеся у нас образы Windows можно найти по адресу http://download.hetzner.de/bootimages/windows/ .

Эти образы Windows прямо от Microsoft и не содержат никаких изменений от нас. Они не поставляются с лицензией и, таким образом, могут использоваться для установки чистой Windows на сервере, которая затем может быть активирована вашим собственным лицензионным ключом.

  • Файл изображения с именем пути можно скопировать прямо с нашего зеркала.
  • Поля «Имя пользователя» и «Пароль» можно оставить пустыми, поскольку они не нужны.

Использование резервного пространства

Наше пространство для резервных копий доступно через SAMBA / CIF, что означает, что оно может использоваться для размещения образа, который затем может быть смонтирован через консоль KVM.

См. Также: SAMBA / CIFS в нашем резервном пространстве .

  • <username> — это имя пользователя вашего резервного пространства, которое можно найти на вкладке «Резервное копирование» сервера в Robot.
  • <file_name> это имя файла ISO-файла.
  • Если вы поместили файл ISO в подпапку, укажите это перед именем файла. Например: <sub_folder>/<file_name>.
  • Пароль — это тот пароль, который вы установили для резервного пространства.

Использование собственного хоста

Файл ISO не обязательно должен размещаться у нас. Вы можете разместить ISO-файл где угодно, если он доступен через SAMBA / CIFS. Это может быть другой сервер Hetzner, сторонний сервер или даже ваш собственный компьютер / сервер в вашем офисе / доме.

Обратите внимание, что это может занять много времени, поэтому подождите, пока образ будет смонтирован / загружен.

Использование USB-накопителя / DVD

Если упомянутые выше варианты монтирования файла ISO не работают или занимают слишком много времени, тогда всегда есть возможность попросить наших технических специалистов «записать» образ на USB-накопитель или DVD и прикрепить его к серверу вместе с KVM. Консоль.

Отправьте нашим техническим специалистам ссылку на имеющийся у вас файл ISO. Это можно сделать при заказе консоли KVM напрямую или после этого, ответив на тикет запроса консоли KVM.

Обратите внимание, что в этом случае файл ISO не обязательно должен быть доступен через SAMBA / CIFS, он может быть просто доступен, например, через ftp, поскольку наши технические специалисты будут подключаться к нему напрямую, а не через консоль KVM.

Загрузка сервера

После того, как файл ISO был смонтирован / прикреплен к консоли KVM, вам нужно будет перезапустить сервер и загрузиться с него. Это можно сделать с помощью KVM Consoleфункции консоли KVM.

При загрузке сервера войдите в меню загрузки. На большинстве материнских плат это можно сделать, нажав F11 во время загрузки. Обратите внимание, что на некоторых материнских платах для входа в меню загрузки требуется другая функциональная клавиша, например F6, поэтому следите за соответствующим запросом.

В меню загрузки выберите, подключили PepperC Virtual Disc 1 0.01ли вы файл с помощью консоли KVM. В качестве альтернативы, если наши техники подключили USB-накопитель или DVD, выберите соответствующий вариант для загрузки с него. JetFlashTrascend 16GB 1.00будет примером для USB-накопителя, а HL-DT-STDVDRAM GP50NB40 1.00будет примером для DVD.

Установка ОС

Теперь вы можете просто следовать инструкциям на экране, чтобы установить ОС, которую вы смонтировали / подключили к консоли KVM.

Загрузка установочных файлов для Windows занимает около минуты, если выполняется через USB / DVD, но может занять 10-15 минут через смонтированный файл ISO (через наше зеркало). Если файл ISO был смонтирован откуда-то еще, это может занять еще больше времени.

Цены без НДС, если применимо.