+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

proxmox UI, Caddy и обратный прокси, Proxmox Виртуальная Среда

ayo91

Guest

28.01.2021 10:24:00

Я использую Caddy Server как обратный прокси в своей локальной сети, чтобы не указывать порты в каждом из моих приложений. Решение работает для всей сети, кроме Proxmox. Когда открываю интерфейс по адресу https://proxmox.lan, появляется ошибка 502. Какие идеи? У меня есть несколько других приложений с такой же настройкой, и всё работает отлично. Значит, дело точно связано с Proxmox...

Конфигурация Caddy:

proxmox.lan:443 {
reverse_proxy {
to 192.168.1.200:8006
}
}

Какие-нибудь предположения?

Artem1231 Guest	#2 0 19.04.2021 07:26:00 Привет! Тебе удалось настроить caddy для работы с proxmox? Ошибок никаких нет, но страница с proxmox просто пустая.

oherold Guest	#3 0 17.05.2021 14:52:00 Привет, я зарегистрировался только для того, чтобы опубликовать своё решение проблемы. Вот рабочая запись в моём конфигурационном файле Caddy: proxmox.lan { reverse_proxy 192.168.1.200:8006 { transport http { tls_insecure_skip_verify } } }

stuif1982 Guest	#4 0 04.03.2022 12:12:00 Спасибо! Это сработало!

ayo91 Guest	#5 0 09.06.2022 19:18:00 Потрясающе! Всё сработало безукоризненно. Без участия пользователя Nginx_Proxy. Только настройка Caddy.

stuif1982 Guest	#6 0 03.10.2022 14:34:00 Я заметил, что это работает не совсем правильно в кластере: узел, к которому проксирует мой домен, работает. Но на остальных узлах, добавленных в кластер (а у них другие IP-адреса), консоли остаются пустыми.

eivamu

Guest

17.10.2022 19:20:00

У меня тоже возникали проблемы с кластерами Proxmox на Caddy. Особенно это проявлялось при попытке подключиться к консолям через noVNC. Кажется, я исправил это, выбрав правильное правило балансировки нагрузки, чтобы клиент оставался на одном и том же бэкенд-сервере. Вот моя рабочая конфигурация из Caddyfile:

Code:
proxmox.domain.com {
reverse_proxy * {
to server01:8006
to server02:8006
to server03:8006

lb_policy ip_hash # Делает бэкенд «липким» на основе IP клиента
lb_try_duration 1s
lb_try_interval 250ms

health_uri / # Путь для проверки здоровья бэкендов
# health_port 80 # По умолчанию такой же, как порт бэкенда
health_interval 10s
health_timeout 2s
health_status 200

transport http {
tls_insecure_skip_verify
}
}
}

Caddy 2.6.2 на Ubuntu 22.04 LTS. Proxmox GUI 7.2-11.

kimmer2k Guest	#8 0 11.07.2023 21:08:00 Использование tls_insecure_skip_verify с точки зрения безопасности рекомендуется? Если нет, знает ли кто-нибудь другой способ обойти эту проблему?

billthe4th

Guest

27.07.2023 12:48:00

Это действительно открывает возможность атаки "человек посередине", так как сервер Caddy примет любой сертификат от бэкенд-серверов, но если предположить, что Caddy и Proxmox находятся в одной локальной сети или даже на одной машине, риск, на мой взгляд, минимален. Если хотите избежать использования этой опции, нужно заставить Caddy доверять сертификату, который предоставляет Proxmox — либо добавив корневой сертификат PVE в доверенное хранилище корневых сертификатов сервера Caddy, либо прописав это в конфиге примерно так (взято с примера eivamu):

Код:
proxmox.domain.com {
reverse_proxy * {
to server01:8006
to server02:8006
to server03:8006

lb_policy ip_hash # Делает бэкенд "липким" на основе IP клиента
lb_try_duration 1s
lb_try_interval 250ms

health_uri / # Путь для проверки здоровья бэкенда
# health_port 80 # По умолчанию такой же, как порт бэкенда
health_interval 10s
health_timeout 2s
health_status 200

transport http {
tls_trusted_ca_certs /etc/pve/pve-root-ca.pem # Путь к корневому сертификату PVE
}
}
}

Или можно сделать так, чтобы PVE использовал сертификат, подписанный публично доверенным УЦ, через опции ACME challenge, доступные в Node -> System -> Certificates.

kimmer2k Guest	#10 0 27.07.2023 19:11:00 Спасибо за это, я смог разобраться, как добавить pve сертификат, но не подумал сделать его публично доверенным центром сертификации — это ещё проще!

Robert.H

Guest

#11

07.08.2023 06:13:00

Health_uri, будучи просто /, исключает ли это хосты, находящиеся на обслуживании, или, возможно, те, что не входят в кластер? Я ищу эндпоинты /live и /ready в API, но ничего подобного не нахожу... ссылка: https://testfully.io/blog/api-health-check-monitoring/#api-health-check-endpoint-types

devins07 Guest	#12 0 09.05.2024 19:09:00 Я знаю, что опоздал... но я уже начинал злиться из-за этого, а потом наткнулся на твой комментарий. Ты настоящий спаситель!!!

abudhu Guest	#13 0 25.05.2024 19:48:00 Как и предыдущий автор, я тоже пришёл к этой теме не сразу, но хочу немного дополнить данное решение. Если вы собираетесь использовать собственный домен BYOB (а не получать его через Caddy LetsEncrypt), тогда следуйте инструкции: 1) В веб-интерфейсе Proxmox (IP:8006) зайдите на свой сервер и загрузите свой сертификат. Файлы загрузятся с именами: Код: pveproxy-ssl.pem pveproxy-ssk.key В вашем CaddyFile нужно прописать примерно так: Код: YourDomain.Com { tls /etc/pve/local/pveproxy-ssl.pem /etc/pve/local/pveproxy-ssl.key reverse_proxy localhost:8006 { transport http { tls_insecure_skip_verify } } }

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры