http://proxmox.su Новое в теме [РЕШЕНО]Выделенный IP-адрес кластера синхронизации не появляется в сертификате HTTPS API X.509. форума Proxmox Виртуальная Среда на сайте Аспро: ЛайтШоп [proxmox.su] ru http://backend.userland.com/rss2 Tue, 21 Apr 2026 21:55:29 +0300 [РЕШЕНО]Выделенный IP-адрес кластера синхронизации не появляется в сертификате HTTPS API X.509. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
На всякий случай, если кому-то еще будет интересно, я сгенерировал собственные тестовые сертификаты с помощью easyrsa:

Код: EASYRSA_BATCH=1 EASYRSA_REQ_CN=pve-test ./easyrsa --subject-alt-name="IP:10.1.99.100,DNS:pve-test-100,DNS:pve-test-100.mydom.com,IP:172.31.99.100,DNS:pve-test-100.adm,IP:10.1.99.101,DNS:pve-test-101,DNS:pve-test-101.mydom.com,IP:172.31.99.101,DNS:pve-test-101.adm,...,IP:127.0.0.1,IP:0:0:0:0:0:0:0:1,DNS:localhost" gen-req pve-test nopass

EASYRSA_BATCH=1 EASYRSA_REQ_CN=pve-test ./easyrsa --subject-alt-name="IP:10.1.99.100,DNS:pve-test-100,DNS:pve-test-100.mydom.com,IP:172.31.99.100,DNS:pve-test-100.adm,IP:10.1.99.101,DNS:pve-test-101,DNS:pve-test-101.mydom.com,IP:172.31.99.101,DNS:pve-test-101.adm,...,IP:127.0.0.1,IP:0:0:0:0:0:0:0:1,DNS:localhost" gen-req pve-test nopass

EASYRSA_BATCH=1 ./easyrsa sign-req server pve-test Ansible столкнулся с проблемой копирования в /etc/pve/local/pveproxy-ssl.pem, видимо, у этой файловой системы другие семантики (chmod работает не так, как ожидается), поэтому пришлось сначала скопировать: dest:/root/ssl/ и затем использовать команду: cp tasks. В итоге я скопировал ca-cert в /usr/local/share/ca-certificates и выполнил команду: update-ca-certificates (с changed_when: '"1 added" in result.stdout' и notify: restart pveproxy) Думаю, это, вероятно, правильное решение.
18.03.2025 15:51:00, sdettmer.]]> http://proxmox.su/forum/messages/forum63/message304132/74837-resheno_vydelennyy-ip_adres-klastera-sinkhronizatsii-ne-poyavlyaetsya-v-sertifikate-https-api-x.509. http://proxmox.su/forum/messages/forum63/message304132/74837-resheno_vydelennyy-ip_adres-klastera-sinkhronizatsii-ne-poyavlyaetsya-v-sertifikate-https-api-x.509. Tue, 18 Mar 2025 15:51:00 +0300 Proxmox Виртуальная Среда [РЕШЕНО]Выделенный IP-адрес кластера синхронизации не появляется в сертификате HTTPS API X.509. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Привет! Мы создали отдельную VLAN с приватными IP-адресами (даже приватными для нашей корпоративной сети). Теперь я хочу использовать ее для коммуникации кластера (pvecm add ...), но не могу добавлять ноды из-за ошибки hostname в сертификате. Заметил, что в X.509 сертификате (сгенерированном pvecm updatecerts) указан только один из IP-адресов хоста. Нашел, что в /usr/share/perl5/PVE/Cluster/Setup.pm:838 есть: my $local_ip_address = PVE::Cluster::remote_node_ip($nodename); так что поддерживается только один локальный IP-адрес. Также функция gen_pve_ssl_cert() кажется, работает только с одно-IP хостами (строка 485: $names .= ",IP:$ip";). Аналогично, кажется, что и ограничение на один FQDN. С одной стороны, я думаю, что рекомендуется использовать выделенную сеть синхронизации кластера с выделенными IP-адресами, но с другой – кажется, невозможно сгенерировать самоподписанные сертификаты для неё. Что я делаю не так? Кстати, pvecm add --use_ssh=1 работает, но все равно получается неправильный сертификат, который наверняка создаст проблемы позже. Я думаю, этот сертификат должен быть совместим с браузером, то есть ограничен требованиями Google, типа ограниченного срока действия примерно в год и так далее, так как один сертификат используется для corosync links, pvecm commands и для запросов браузера, так ли это?
10.03.2025 17:04:00, sdettmer.]]> http://proxmox.su/forum/messages/forum63/message304131/74837-resheno_vydelennyy-ip_adres-klastera-sinkhronizatsii-ne-poyavlyaetsya-v-sertifikate-https-api-x.509. http://proxmox.su/forum/messages/forum63/message304131/74837-resheno_vydelennyy-ip_adres-klastera-sinkhronizatsii-ne-poyavlyaetsya-v-sertifikate-https-api-x.509. Mon, 10 Mar 2025 17:04:00 +0300 Proxmox Виртуальная Среда