IP / подсеть аварийного переключения — это дополнительный IP / подсеть, который можно переключать с одного сервера на другой. Его можно заказать для любого выделенного сервера Hetzner и подключить к любому другому выделенному серверу Hetzner, независимо от местонахождения.
Переключение IP / подсети аварийного переключения занимает от 40 до 60 секунд и может быть выполнено через веб-интерфейс робота (меню Server-> IPsвкладка -> нажмите
* Каждый резервный IP-адрес через робота предназначен для одного резервного IP-адреса, поэтому, если вам нужно более одного аварийного IP-адреса, сделайте несколько заказов.
Заказ
Для того, чтобы заказать дополнительный IP — адрес пожалуйста , войдите в Robot webinterface управления, выберите Serversиз меню слева , а затем выберите нужный сервер в IP — адрес для. Вызывается первая вкладка (которая должна открыться автоматически) IPs. Внизу этой вкладки вы можете щелкнуть ссылку под названием Ordering of additional IP, failover IP or subnet. Теперь вы увидите обзор IP-адресов, которые вы можете заказать, а также цену для каждого варианта.
Для подсетей аварийного переключения закажите обычную подсеть и отметьте в разделе комментариев, что вы хотите, чтобы она использовалась в качестве подсети аварийного переключения, и что вы соглашаетесь с дополнительными расходами.
Рекомендации RIPE
IP-адреса назначаются только в том случае, если они соответствуют рекомендациям RIPE. Это означает, что нам требуется действительная техническая причина, по которой необходимы IP-адреса.
Выделение IP
IP-адреса выделяются в обычные рабочие часы: пн-пт 7:30 до 16:30
Аннулирование
Одиночный IP — адрес и подсети могут быть отменены с помощью робота webinterface администрирования. Пожалуйста, выберите Serversв меню слева, а затем выберите соответствующий сервер. На вкладке Cancellationвы можете отменить IP-адреса и / или подсети до следующей доступной даты.
Все выделенные и виртуальные серверы имеют IPv4-адрес, а также подсеть IPv6 / 64.
Дополнительные адреса IPv4 можно заказать через робота . См. Также: IP-адреса
Примечание. Эта статья ограничена отображением соответствующих команд Linux для иллюстрации общих концепций. Для таких систем, как FreeBSD, необходима другая конфигурация .
Основной адрес
Основной IPv4-адрес сервера — это IP-адрес, который изначально назначен серверу и настраивается при автоматической установке.
Для IPv6 нет четко определенного основного адреса. В автоматических установках ::2настраивается из назначенной подсети.
С выделенными серверами и виртуальными серверами из линии CX подсеть IPv6 маршрутизируется на локальном адресе канала сетевого адаптера. Если дополнительные одиночные адреса IPv4 были заказаны с их собственными MAC-адресами, то подсеть IPv6 может быть маршрутизирована на их локальный адрес с помощью робота .
Конкретный локальный адрес канала вычисляется из MAC-адреса с использованием RFC 4291 и автоматически настраивается:
# ip address
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 54:04:a6:f1:7b:28 brd ff:ff:ff:ff:ff:ff
inet6 fe80::5604:a6ff:fef1:7b28/64 scope link
valid_lft forever preferred_lft forever
В старых моделях виртуальных серверов ( линии VQ / VX ) маршрутизация подсети / 64 IPv6 отсутствует. Это локальная сеть, в которой ::1подсеть используется в качестве шлюза (см. Ниже).
Следующий <10.0.0.2>используется как основной IPv4-адрес. Это не настоящий IP-адрес.
Дополнительные адреса
Как отдельные адреса, так и адреса из подсетей обычно маршрутизируются через основной IP-адрес. В оставшейся части этого руководства мы будем предполагать следующие дополнительные адреса / сети:
<2001:db8:61:20e1::/64>( Подсеть IPv6 )
<10.0.0.8>( Единый адрес )
<203.0.113.40/29>( Подсеть IPv4 )
Выделенные подсети могут быть разделены, перенаправлены или назначены в зависимости от ваших предпочтений.
В IPv4 сетевой и широковещательный адреса обычно зарезервированы. Основываясь на приведенном выше примере, это будут IP-адреса <203.0.113.40>и <203.0.113.47>. Эти адреса могут использоваться, когда вы используете IP-адреса из подсети в качестве вторичных IP-адресов или как часть настройки точка-точка. В результате в подсети / 29 можно использовать все 8 IP-адресов, а не только 6.
В IPv6 первый адрес ( ::0) подсети зарезервирован как Subnet-Router anycastадрес. IPv6 не использует широковещательную рассылку, поэтому последний адрес также можно использовать (в отличие от IPv4).
Шлюз
Для IPv6 на выделенных серверах и виртуальных серверах из линейки CX шлюз есть fe80::1. Поскольку это локальный адрес ссылки, требуется явная спецификация сетевого адаптера (обычно eth0):
# ip route add default via fe80::1 dev eth0
Для более старых моделей виртуальных серверов ( линии VQ / VX ) шлюз находится в назначенной подсети:
# ip address add 2001:db8:61:20e1::2/64 dev eth0
# ip route add default via 2001:db8:61:20e1::1
Для IPv4 шлюз — это первый используемый адрес каждой подсети:
# Example: 10.0.0.2/26 => Network address is 192.0.2.64/26
#
# ip address add 10.0.0.2/32 dev eth0
# ip route add 192.0.2.65 dev eth0
# ip route add default via 192.0.2.65
Индивидуальные адреса
Назначенные адреса можно настроить как дополнительные адреса в сетевом интерфейсе. Чтобы обеспечить настройку IP-адресов после перезапуска, необходимо соответствующим образом настроить соответствующие файлы конфигурации операционной системы / дистрибутива. Более подробную информацию можно найти на страницах Debian / Ubuntu и CentOS.
Добавьте (дополнительный) IP-адрес:
ip address add 10.0.0.8/32 dev eth0
В качестве альтернативы он может быть перенаправлен на сервере (например, для виртуальных машин):
ip route add 10.0.0.8/32 dev tap0
# or
ip route add 10.0.0.8/32 dev br0
Соответствующие виртуальные машины должны использовать основной IP-адрес сервера в качестве шлюза по умолчанию.
ip route add 10.0.0.2 dev eth0
ip route add default via 10.0.0.2
При пересылке IP убедитесь, что пересылка IP включена:
sysctl -w net.ipv4.ip_forward=1
Если для IP-адреса через робота был установлен отдельный MAC-адрес, необходимо использовать соответствующий шлюз IP-адреса.
Подсети
Вновь назначенные подсети IPv4 статически маршрутизируются на основном IP-адресе сервера, поэтому шлюз не требуется.
IP-адреса могут быть назначены сетевым адаптерам в качестве вторичных адресов, как отдельные дополнительные IP-адреса:
ip address add 203.0.113.40/32 dev eth0
Их также можно пересылать по отдельности или целиком.
ip route add 203.0.113.40/29 dev tun0
# or
ip route add 203.0.113.40/32 dev tap0
В отличие от одиночных IP-адресов, IP-адреса подсети также могут быть назначены (виртуальным машинам) с помощью DHCP. Следовательно, адрес из подсети необходимо настроить в системе хоста.
ip address add 203.0.113.41/29 dev br0
Хосты br0используют этот адрес в качестве шлюза. В отличие от одиночных IP-адресов, тогда применяются правила для подсетей, то есть сетевой и широковещательный IP-адреса не могут использоваться.
Для IPv6 маршрутизация подсети по локальному адресу канала дает множество возможностей для дальнейшего разделения подсети на различные размеры (от / 64 до / 128 включительно). Например:
Кроме того, SLAAC ( Stateless Address Autoconfiguration) можно использовать на подключенных хостах ( br0), установив radvdна хосте. Конфигурация в /etc/radvd.confтребует, чтобы хост обладал адресом <2001:db8:61:20e1::>на мосту или устройстве Tap:
В этом routedметоде новый сетевой интерфейс настраивается на сервере, к которому подключена одна или несколько виртуальных машин. Сам сервер действует как маршрутизатор, отсюда и название.
Преимущество метода маршрутизации заключается в том, что трафик должен проходить через хост. Это полезно для инструментов диагностики ( tcpdump, traceroute), а также необходимо для работы брандмауэра хоста, который выполняет фильтрацию виртуальных машин.
Некоторые решения виртуализации создают сетевой интерфейс для каждого устройства (например, Xen и LXC), и может потребоваться его соединение с виртуальным коммутатором (например, через мост или интерфейс TAP).
Xen: для каждого domU интерфейс vifM.N (к сожалению, с динамическими числами) отображается в dom0. Им можно назначить адреса соответственно. В качестве альтернативы VIF можно объединить в сегмент с помощью мостового интерфейса; это достигается с помощью vif=['mac=00:16:3e:08:15:07,bridge=br0',]директив в /etc/xen/vm/meingast.cfg.
VirtualBox: гости привязаны к существующему интерфейсу TAP и, таким образом, образуют сегмент для каждого устройства TAP. Создайте интерфейсы TAP в соответствии с вашим дистрибутивом. В диалоговом окне настроек отдельной машины выберите для назначения: Network> Attached to: Bridged Adapter. Имя: tap0.
Сервер / рабочая станция VMware: с помощью программ VMware создайте интерфейс только для хоста (например, vmnet1) и добавьте к нему адресную область. Назначьте виртуальные машины этому созданному интерфейсу только для хоста.
Контейнеры Linux (LXC, systemd-nspawn, OpenVZ): для каждого контейнера интерфейс ve-… отображается в родительском элементе . Им можно назначить адреса соответственно. В качестве альтернативы интерфейсы VE можно комбинировать с интерфейсом моста.
QEMU: использует TAP, аналогично VirtualBox.
Использование с виртуализацией для каждого метода моста
Мостовой метод описывает конфигурацию, которая позволяет подключать виртуальную машину напрямую к подключающейся сети, как к физической машине. Это возможно только для одиночных IP-адресов. Подсети всегда маршрутизируются.
Преимущество мостового решения заключается в том, что конфигурацию сети обычно легко реализовать, поскольку не требуется правил маршрутизации или конфигурации точка-точка. Недостатком является то, что MAC-адрес гостевой системы становится «видимым» извне. Поэтому каждому отдельному IP-адресу должен быть присвоен виртуальный MAC-адрес, что возможно через робота . Затем подсеть IPv6 должна быть маршрутизирована через этот новый MAC (значок рядом с подсетью в Robot позволяет это).
VMware ESX: ESX устанавливает мост к физическому адаптеру, на котором висит ядро виртуальной машины и к которому могут быть привязаны другие виртуальные машины. Например, виртуальная машина маршрутизатора, на которой работает фактическая операционная система. В ESX могут быть определены дополнительные виртуальные коммутаторы, которые затем становятся доступными для виртуальной машины маршрутизатора через другие сетевые адаптеры.
Другие решения виртуализации предлагают мостовой режим, но для простоты мы ограничимся более простым методом маршрутизации, поскольку он также проще для устранения неисправностей (например, mtr / traceroute). Только ESX срочно требует мостового режима.
Для использования мостового режима в настоящее время требуется функция sysctl net.ipv4.conf.default.proxy_arp=1(например, с Xen).
Настройка под разные дистрибутивы
Руководства по установке для различных дистрибутивов можно найти здесь:
Брандмауэр Hetzner Online без сохранения состояния — это бесплатное решение безопасности для вашего выделенного корневого сервера. В интерфейсе администрирования клиентов Robot вы можете использовать функцию брандмауэра для определения ваших собственных настроек фильтрации входящего трафика.
С нашим межсетевым экраном без сохранения состояния или статическим межсетевым экраном пакеты данных не распаковываются; скорее, проверяется заголовок каждого отдельного пакета, и в зависимости от предварительно определенных настроек межсетевой экран решает, разрешить или отклонить эти пакеты. Таким образом брандмауэр предотвращает несанкционированный доступ к вашему серверу.
Однако при использовании брандмауэров важно помнить, что они фактически не распознают попытки атак. Они лишь применяют набор заранее определенных правил для сетевых коммуникаций. В дополнение к нашему брандмауэру без сохранения состояния, Hetzner Online предлагает защиту от DDoS-атак ; Таким образом, у вас есть еще один охранник, который защитит ваши выделенные корневые серверы от интернет-угроз.
Брандмауэр для клиентов Robot (которые используют выделенные корневые серверы) настроен на порт коммутатора и фильтрует входящий трафик IPv4.
Как мне активировать брандмауэр?
Вы можете активировать брандмауэр, выбрав Main functions-> Servers. Затем выберите нужный сервер, перейдите на него Firewallи активируйте его. Если вы активируете брандмауэр до ввода каких-либо правил брандмауэра, вы заблокируете весь входящий трафик.
Брандмауэр немедленно станет активным и будет настроен на коммутатор. Настройка занимает примерно 20-30 секунд.
Правила межсетевого экрана
Вы можете использовать максимум 10 правил.
Параметр
Имя : Вы можете выбрать любое имя, какое захотите. Запрещены только специальные символы.
IP-адрес назначения и IP-адрес источника: IP-адреса можно вводить как отдельные IP-адреса или как подсеть в нотации CIDR (например, <192.168.0.1>или <192.168.0.0/30>). Поскольку брандмауэр настроен на порту коммутатора, правило без указанного IP-адреса назначения будет применяться ко всем IP-адресам сервера.
Порт назначения и порт источника: вы можете вводить порты как отдельные порты или диапазоны портов (например, 80 или 32768-65535).
Протокол: выбор протокола (например, TCP или UDP). Флаги TCP
Вы можете ввести флаги TCP (syn, fin, rst, psh, urg) индивидуально или в виде логической комбинации ( |для логического OR= должен быть установлен хотя бы один из флагов; &для логического AND= должны быть установлены все флаги).
Действие: действие определяет, что должно происходить с пакетами при применении правила, то есть оно определяет, должны ли пакеты быть отклонены ( discard) или они должны быть перенаправлены ( accept).
Приоритезация
Правила применяются в том же порядке, в каком они определены в Robot. Они выполняются сверху вниз. Вы можете изменить порядок правил после их ввода с помощью значков зеленой стрелки в конце каждого правила.
Если правило №1 не применяется, то проверяется правило №2. Если правило № 2 также не применяется, то будет проверяться правило № 3 и так далее, пока не будет применено одно правило, и пакет будет либо отклонен, либо принят в соответствии с определенным действием. Если, например, применяется второе правило, то все правила после этого не будут проверяться. Если ни одно из правил не применяется, пакет будет отброшен.
Включение сервисов Hetzner
Установив флажок Hetzner Services, вы можете активировать все важные инфраструктурные услуги из Hetzner Online без дополнительной настройки. Если вы активируете этот параметр, такие службы, как Hetzner Rescue-System , DNS , Backup-Server / StorageBoxes , System Monitor (SysMon) , больше не будут блокироваться, а будут включены.
Исходящие TCP-соединения
Статический брандмауэр принимает решения о пакетах только путем проверки отдельных пакетов. Следовательно, межсетевой экран не «отслеживает», принадлежит ли входящий пакет исходящему соединению с сервера. По этой причине, если вы не введете дополнительное правило, все исходящие соединения с сервера не будут работать. Серверные службы (например, включение веб-серверов для порта 80) не затрагиваются.
Вы можете использовать следующее правило, чтобы разрешить все ответы на TCP-соединения:
Source IP: No entry
Destination IP: No entry
Source port: No entry
Destination port: 32768-65535 (Ephemeral Port Range)
Protocol: tcp
TCP flags: ack
Action: accept
Вводя IP-адреса и порты TCP, вы, конечно, можете сделать это правило более строгим.
пример
Сервер <1.2.3.4>устанавливает соединение с внешним веб- сервером и отправляет следующий TCP-пакет:
Source IP: 1.2.3.4
Destination IP: 4.3.2.1
Source port: 44563 (random port from the ephemeral port range)
Destination port: 80
Protocol: tcp
TCP flags: syn
В этом примере исходящий пакет вообще не блокируется межсетевым экраном, поскольку фильтруются только входящие соединения.
Этот пакет блокируется без дополнительного правила. Таким образом, соединение не может быть установлено.
Шаблоны межсетевого экрана
Если вы Firewall templatesнажмете кнопку в обзоре сервера ( Main functions-> Servers), вы можете создать свои собственные наборы правил. Затем вы можете вставить эти правила через раскрывающееся меню конфигурации брандмауэра серверов и настроить их.
Кроме того, по умолчанию существует несколько предварительно определенных шаблонов примеров для общих серверных служб.
В дистрибутивах на основе Debian (Ubuntu, Debian):
apt remove hc-utils
В дистрибутивах на основе RHEL (Fedora, CentOS):
yum remove hc-utils
Ручная настройка через DHCP
Debian / Ubuntu
Интерфейс для первой подключенной сети будет назван ens10(для CX, CCX) или enp7s0(для CPX). Дополнительные интерфейсы будут называться ens11(CX, CCX) или enp8s0(CPX) для второго и ens12(CX, CCX) или enp9s0(CPX) для третьего.
Доступ к серверу через SSH2.
Создайте файл конфигурации и откройте редактор touch /etc/network/interfaces.d/61-my-private-network.cfg nano /etc/network/interfaces.d/61-my-private-network.cfg
Вставьте следующую конфигурацию в редактор.
CX и CCX
auto ens10
iface ens10 inet dhcp
Только CPX
auto enp7s0
iface enp7s0 inet dhcp
Теперь вам следует перезапустить вашу сеть. Внимание: это сбросит ваше сетевое соединение.sudo service networking restartCentOS / FedoraПервый интерфейс будет называться Debian / Ubuntu ( ens10для CX, CCX и enp7s0для CPX), за исключением CentOS, где для интерфейсов используются традиционные имена ( eth1, eth2и eth3).
Доступ к серверу через SSH
Создайте файл конфигурации и откройте редактор
touch /etc/sysconfig/network-scripts/ifcfg-ens10 vi /etc/sysconfig/network-scripts/ifcfg-ens10
Вставьте следующую конфигурацию в редактор
DEVICE=ens10 BOOTPROTO=dhcp ONBOOT=yes
Теперь вам следует перезапустить вашу сеть. Внимание: это сбросит ваше сетевое соединение. systemctl restart networkРучная настройка псевдонимов IPВ дистрибутивах на основе Debian (Ubuntu, Debian). Доступ к серверу через SSH2. Создайте файл конфигурации и откройте редактор
Вставьте следующую конфигурацию в редактор и замените your.ali.as.IP одним из псевдонимов IP-адресов. Не забывайте увеличивать идентификатор на единицу при использовании большего количества псевдонимов IP.
auto ens10:1 iface ens10:1 inet static address your.ali.as.IP netmask 32
Теперь вам следует перезапустить вашу сеть. Внимание: это сбросит ваше сетевое соединение.sudo service networking restartВ дистрибутивах на основе RHEL: интерфейсы будут иметь имена eth1и до eth3.
Доступ к серверу через SSH
Создайте файл конфигурации и откройте редактор
touch /etc/sysconfig/network-scripts/ifcfg-eth1:0 vi /etc/sysconfig/network-scripts/ifcfg-eth1:0
Вставьте следующую конфигурацию в редактор и замените your.ali.as.IP одним из псевдонимов IP-адресов. Не забывайте увеличивать идентификатор на единицу при использовании большего количества псевдонимов IP.
3. Вставьте следующую конфигурацию в редактор и замените выделенные значения на значения вашей сети.
auto ens10
iface ens10 inet static
address private.address.ofThe.CloudServer
netmask 255.255.255.255
mtu 1450
pointopoint gateway.of.the.network
post-up ip route add net.work.ip.range/8 via gateway.of.the.network dev ens10
Теперь вам следует перезапустить вашу сеть. Внимание: это сбросит ваше сетевое соединение.
sudo service networking restart
В дистрибутивах на основе RHEL (Fedora, CentOS):
Интерфейсы будут называться ens10, ens11а ens12. CentOS по-прежнему использует eth0, eth1 и eth2.
Доступ к серверу через SSH
Создайте файл конфигурации и откройте редактор
touch /etc/sysconfig/network-scripts/ifcfg-ens10
vi /etc/sysconfig/network-scripts/ifcfg-ens10
Вставьте следующую конфигурацию в редактор и замените private.address.ofThe.CloudServer на IP-адрес частной сети вашего сервера.
Создайте файл конфигурации маршрута и откройте редактор touch /etc/sysconfig/network-scripts/route-ens10 vi /etc/sysconfig/network-scripts/route-ens10
Вставьте следующую конфигурацию в редактор и замените выделенные значения на значения вашей сети.
gateway.of.the.network/32 via 0.0.0.0 dev ens10 scope link
net.work.ip.range/8 via gateway.of.the.network dev ens10
Теперь вам следует перезапустить вашу сеть. Внимание: это сбросит ваше сетевое соединение.
systemctl restart network
Ручная настройка для систем на базе Windows
Доступ к серверу через консоль RDP или HTML5.
Откройте повышенный cmd.
Распечатайте список интерфейсов и получите идентификатор интерфейса «Red Hat VirtIO Ethernet Adapter # 2».
route print ?
Должно получиться так:
Interface List
3...xx xx xx xx xx xx ......Red Hat VirtIO Ethernet Adapter
5...xx xx xx xx xx xx ......Red Hat VirtIO Ethernet Adapter #2</span>
1...........................Software Loopback Interface 1
2...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
4...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
7...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
Вам нужен красный жирный номер.
Добавьте статические маршруты в интерфейс
route add -p gateway.of.the.network 0.0.0.0 if 5
route add -p net.work.ip.range mask mask.of.network.range gateway.of.the.network if 5
Проверьте имя интерфейса на предмет статической конфигурации
netsh interface ip show config
Результат должен быть примерно таким:
Configuration for interface "Ethernet"
DHCP enabled: Yes
IP Address: xxx.xxx.xxx.xxx
Subnet Prefix: xxx.xxx.xxx.xxx/32 (mask 255.255.255.255)
Default Gateway: 172.31.1.1
Gateway Metric: 0
InterfaceMetric: 5
DNS servers configured through DHCP: 213.133.99.99
213.133.100.100
213.133.98.98
Register with which suffix: Primary only
WINS servers configured through DHCP: None
Configuration for interface <span style="color: #ff0000;"><strong>"Ethernet 2"</strong></span>
DHCP enabled: Yes
IP Address: <span style="color: #ff0000;">private.address.ofThe.CloudServer</span>
Subnet Prefix: <span style="color: #ff0000;">private.address.ofThe.CloudServer</span>/32 (mask 255.255.255.255)
Default Gateway: <span style="color: #ff0000;">gateway.of.the.network</span>
Gateway Metric: 0
InterfaceMetric: 5
DNS servers configured through DHCP: None
Register with which suffix: Primary only
WINS servers configured through DHCP: None
Configuration for interface "Loopback Pseudo-Interface 1"
DHCP enabled: No
IP Address: 127.0.0.1
Subnet Prefix: 127.0.0.0/8 (mask 255.0.0.0)
InterfaceMetric: 75
Statically Configured DNS Servers: None
Register with which suffix: None
Statically Configured WINS Servers: None
Сети обеспечивают частные связи уровня 3 между облачными серверами Hetzner с использованием выделенных сетевых интерфейсов. Их можно использовать для удобного построения многоуровневых архитектур, охватывающих несколько мест.
Могут ли сети охватывать несколько мест?
Да, вы можете подключить экземпляры из наших офисов в Фалькенштейне, Нюрнберге и Хельсинки к одной сети.
Будете ли вы платить за эту функцию? Как насчет трафика?
Функция «Сети» бесплатна. Трафик на интерфейсах частной сети бесплатный и не взимается.
Как IP-адреса управляются в сетях?
Вы можете использовать облачную консоль для управления IP-адресами в сетях. Каждый раз, когда вы подключаете сервер к сети, наша система автоматически назначает ему IPv4-адрес в вашей частной сети. Или вы можете выбрать конкретный IP-адрес в своей частной сети, если хотите.
Поскольку сети — это функция уровня 3, вы можете использовать только IP-адреса, выделенные серверной частью. Сети поддерживают только IPv4.
Какие IP-адреса можно использовать?
Вы можете создавать сети для всех диапазонов частных IP-адресов RFC1918, а именно:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Как настроены IP-адреса на моих серверах?
Если вы недавно создали свой сервер, используя один из наших стандартных образов, мы автоматически настроим основной IP-адрес для интерфейса вашей частной сети с помощью DHCP.
Вы можете отключить автоконфигурацию, удалив наш пакет автоконфигурации. В этом случае вам нужно будет вручную настроить сетевые интерфейсы для их использования.
Может ли один сервер иметь несколько IP-адресов в сети?
Да. Помимо основного IP-адреса в сети, вы также можете настроить до пяти псевдонимов IP-адресов для каждого сервера. Вам придется настроить эти IP-адреса вручную, поскольку они не могут быть выданы DHCP.
Могу ли я подключить сервер к нескольким сетям?
Вы можете подключить свой сервер к трем сетям одновременно.
Зашифрован ли трафик внутри Hetzner Cloud Networks?
Трафик между облачными серверами внутри сети является частным и изолированным, но не шифруется автоматически. Мы рекомендуем вам использовать TLS или аналогичные протоколы для шифрования конфиденциального трафика.
Что такое подсети?
Что такое подсети? Подсети являются частью функции «Сети». При создании сети вам необходимо определить диапазон ее IP-адресов. В пределах этого диапазона IP-адресов можно создать одну или несколько подсетей, каждая из которых имеет собственное IP-пространство в пределах диапазона IP-адресов сети. IP-адреса для ваших серверов всегда будут выделяться из IP-пространства вашей подсети.
Пример: вы создаете сеть 10.0.0.0/8. Внутри сети вы создаете подсеть 10.0.0.0/24. Когда вы подключаете сервер к своей сети, он получает IP-адрес из 10.0.0.0/24подсети.
Сейчас функция подсетей не очень полезна. Однако это изменится в будущем, когда мы добавим больше функций.
Когда вы создаете сеть через Cloud Console, мы выбираем разумные значения по умолчанию и автоматически создаем для нее подходящую подсеть. Поэтому, если сомневаетесь, используйте значения по умолчанию.
Что такое маршруты?
Маршруты — это расширенная функция в сетях. С его помощью вы можете создать маршрут, который автоматически применяется к частному трафику. Вы можете использовать Routes, чтобы убедиться, что все пакеты для данного IP-префикса назначения будут отправлены на адрес, указанный в его шлюзе.
Что особенного в направлениях маршрута, которые не входят в диапазон IP-адресов моей сети?
Если вы выберете пункт назначения для своих маршрутов, который находится в диапазоне IP-адресов вашей сети, они будут автоматически работать должным образом.
Однако, если вы настроили пункт назначения вне диапазона IP-адресов сети, вам необходимо убедиться, что трафик для пункта назначения отправляется на интерфейс вашей частной сети. Для этого вам нужно вручную добавить маршрут в операционную систему каждого из ваших серверов.
Зарезервированы ли какие-либо IP-адреса?
Следующие IP-адреса не могут быть назначены вашему серверу:
Первый IP-адрес из диапазона IP-адресов вашей сети. Например, 10.0.0.0/8вы не можете использовать 10.0.0.1.
Сетевые и широковещательные IP-адреса любой подсети. Например, 10.0.0.0/24вы не можете использовать 10.0.0.0так же хорошо, как 10.0.0.255.
Специальный частный IP-адрес 172.31.1.1. Этот IP-адрес используется в качестве шлюза по умолчанию для общедоступного сетевого интерфейса вашего сервера.
Существуют ли какие-либо ограничения на использование сетей?
Вы можете подключить к сети до 100 серверов
Каждый сервер может иметь до 5 псевдонимов IP в дополнение к его частному основному IP.
Вы можете создать до 50 подсетей
Вы можете создать до 100 маршрутов
Могу ли я включить свои выделенные корневые серверы Hetzner в свои облачные сети Hetzner?
Пока нет, но мы надеемся скоро это изменить. Следите за объявлениями об этом в наших социальных сетях или в нашей информационной рассылке для клиентов.
Как использовать сети? У вас есть какие-нибудь руководства / учебники?
Что такое балансировщик нагрузки и почему он может быть мне полезен?
Балансировщик нагрузки обычно устанавливается перед вашими серверами приложений и действует как первая точка контакта для входящих запросов. В зависимости от того, какой алгоритм он использует, он может распределять трафик по вашей инфраструктуре. Это приводит к повышению доступности, масштабируемости и производительности вашего приложения.
Сколько балансировщиков нагрузки я могу создать?
У каждого клиента есть ограничение по умолчанию на количество облачных ресурсов, которые мы одновременно предоставляем. Если вы хотите увеличить свой лимит, вы можете отправить запрос в нашу службу поддержки, открыв заявку в службу поддержки через Cloud Console. Наша команда быстро рассмотрит ваш запрос и, если все в порядке, увеличит ваш лимит.
Как вы выставляете счет за балансировщики нагрузки?
Балансировщики нагрузки оплачиваются так же, как и серверы. У них есть как ежемесячный предел цены, так и цена за час.
Какой производительности я могу ожидать от балансировщиков нагрузки?
Это сильно зависит от вашей конфигурации. От нашего самого маленького балансировщика нагрузки типа LB11 вы должны ожидать производительности, примерно эквивалентной запуску популярного программного обеспечения для балансировки нагрузки на облачном сервере CX11.
Является ли мой балансировщик нагрузки доступным?
Мы разработали балансировщики нагрузки для обеспечения высокой доступности. В случае аппаратного сбоя произойдет автоматическое переключение на резерв, и клиентам будет видно только короткое прерывание обслуживания.
Наши балансировщики нагрузки способны обрабатывать любой трафик на основе TCP, а также HTTP и HTTPS. По умолчанию они используют HTTP / 2, в зависимости от возможностей клиента.
Что такое проверки здоровья?
Проверки работоспособности защищают ваше приложение от сбоев одного сервера, гарантируя, что трафик направляется только к работоспособным целям. Есть два типа проверки работоспособности: активная и пассивная. Наши балансировщики нагрузки поддерживают оба.
Активные проверки работоспособности настраиваются и через определенные интервалы времени активно проверяют, живы ли целевые объекты балансировщиков нагрузки и отвечают на запросы.
Пассивные проверки работоспособности — это проверки, которые происходят пассивно с каждым запросом, который пересылается от балансировщика нагрузки к цели. Если цель считается невосприимчивой и, следовательно, «нездоровой», ее можно оживить только с помощью активной проверки работоспособности.
Что означает протокол прокси и нужно ли его включать?
!! Включение протокола прокси для целей, которые НЕ поддерживают его, сделает всю службу недоступной !!
ProxyProtocol используется для передачи информации о соединении через несколько уровней соединений. Его можно использовать для пересылки исходного IP-адреса клиента целевой службе. Чтобы это работало, ваше программное обеспечение для прослушивания на цели должно поддерживать эту функцию и иметь ее явную активацию.
Пересылают ли балансировщики нагрузки специальные заголовки HTTP?
Если вы выберете протокол http или https, балансировщик нагрузки добавит эти заголовки в перенаправленный запрос:
X-Forwarded-For — содержит IP-адрес исходного клиента, отправившего запрос
X-Forwarded-Port — содержит порт прослушивания службы балансировки нагрузки. Поэтому, если ваш балансировщик нагрузки прослушивает порт 80, он будет содержать 80.
X-Forwarded-Proto — содержит протокол, который клиент использовал для связи с балансировщиком нагрузки. Может быть http или https.
Как определить, с какого IP-адреса исходил запрос?
Для сервисных протоколов http и https заголовок HTTP «X-Forwarded-For» содержит IP-адрес запрашивающего клиента.
Если ваша целевая служба поддерживает это, вы можете изучить возможность использования функции ProxyProtocol для достижения этой цели.
Могу ли я назначить плавающий IP-адрес своему балансировщику нагрузки?
Плавающие IP-адреса поддерживают только облачные серверы в качестве целей. Сами балансировщики нагрузки обладают высокой доступностью, поэтому использование плавающего IP-адреса не обязательно для достижения наилучшего времени безотказной работы.
Поскольку мы получаем этот запрос функции довольно часто, мы думаем о расширении балансировщиков нагрузки для поддержки этой функции в будущем.
Как я могу добавить сертификат, включая промежуточные сертификаты?
Чтобы добавить сертификат сервера со всеми необходимыми промежуточными сертификатами, вам необходимо объединить сертификаты. Вот как это работает:
Каждый сервер Hetzner Cloud автоматически поставляется с одной сетью IPv4 и одной сетью IPv6 (/ 64). Вы также можете добавить плавающие IP-адреса за небольшую плату.
Плавающие IP-адреса помогают создавать очень гибкие настройки. Вы можете назначить плавающий IP любому серверу. Затем сервер может использовать этот IP-адрес. Вы можете переназначить его другому серверу в любое время или можете отменить назначение плавающего IP-адреса для всех серверов.
Плавающие IP-адреса можно использовать глобально. Это означает, что вы можете назначить плавающий IP-адрес серверу в одном месте, а затем переназначить его серверу в другом месте. Для оптимальной маршрутизации и задержки плавающие IP-адреса должны использоваться в том месте, где они были созданы.
Чтобы плавающие IP-адреса работали, вы должны настроить их в операционной системе сервера, который вы используете.
Чтобы временно настроить плавающий IPv4 «1.2.3.4», вы можете запустить
ip addr add 1.2.3.4/32 dev eth0
Обратите внимание, что эта конфигурация не выдержит перезагрузки.
Чтобы настроить первый IPv6-адрес плавающего сетевого блока IPv6 2a01: 4f8: 2c17: 2c :: / 64, вы должны запустить:
ip addr add 2a01:4f8:2c17:2c::1/128 dev eth0
Как постоянно настроить плавающий айпи?
Чтобы узнать, как настроить постоянный плавающий IP-адрес, прочитайте наш учебник
У нас есть центры обработки данных в разных местах в Германии, и мы стремимся предоставить нашим клиентам оптимальную связь в любое время.
Для этого мы используем линии передачи данных большого размера и высокопроизводительное оборудование маршрутизации. Чтобы обеспечить плавную интеграцию с другими сетями, мы используем множество частных и публичных пирингов к различным точкам сети.
Частные пиринги:
Частный пиринг — разумный вариант для обмена данными со скоростью более 2 Гбит / с с другой сетью на регулярной основе. Мы предлагаем приватные пиринги в следующих городах:
Нюрнберг
Франкфурт
Амстердам
Фалькенштейн
Варианты восходящего канала:
10 Гбит / с
несколько 10 Гбит / с
100 Гбит / с
Публичный пиринг:
Публичный пиринг рекомендуется для обмена данными со скоростью менее 2 Гбит / с, если смотреть на принцип 95/5. В настоящее время мы предлагаем подключения через следующие публичные пиринговые точки:
FICIX
AMS-IX
LINX
Франция-IX
Скорость-IX
NL-IX
STH-IX
peering.cz
ECIX
Данные-IX / Глобальный-IX
N-IX
Netnod
VIX
NL-IX
Принимая во внимание нашу политику открытого пиринга, мы рады обмениваться идеями и опытом с другими операторами сетей передачи данных, используя вышеупомянутые Internet Xchanges. Пожалуйста, задавайте вопросы пирингу .
IP-транзит:
В оставшейся части обмена данными мы работаем с несколькими крупными операторами связи уровня 1 (GTT, NTT, TATA Communications и Telia Carrier — Источник: http://as-rank.caida.org/ ), а также с оператором связи уровня 2 Core- Магистральная сеть, чтобы достичь всех других пунктов назначения в Интернете с оптимальной производительностью.
Наши пиринги, восходящие каналы и магистральные подключения к Интернету постоянно отслеживаются и дорабатываются на ранней стадии, чтобы всегда обеспечивать хорошую производительность и пропускную способность в различных сетевых сегментах. В результате любые проблемы, возникающие в нашей собственной сети или с нашими собственными подключениями, очень редки.
Однако в случае неадекватной производительности это обычно происходит из-за того, что сеть назначения не имеет собственного пиринга с нами и, следовательно, не имеет достаточной свободной емкости для упомянутых выше провайдеров IP-транзита. Здесь мы будем рады установить прямой пиринг с вашим сетевым партнером для оптимизации обмена данными между нашими сетями. Ваш оператор связи может связаться с нами по электронной почте по этому поводу.
К сожалению, некоторые операторы сознательно делают доступными пиринги на ограничительной основе и / или намеренно используют пропускную способность для других сетевых операторов, превышающую пределы пропускной способности. (См .: 1 2 )
Мы дистанцируемся от этой недобросовестной деловой практики и рекомендуем нашим клиентам избегать использования операторами такой маркетинговой стратегии.
