Promox sunucunuzu ev laboratuvarında yapılandırdıysanız, çoğu, ağ yapılandırmasının bir parçası olarak yönetim trafiğini laboratuvar ortamlarındaki diğer trafik türlerinden ayırmak ister. Yönetim arabirimini VLAN’dan haberdar etmek, Proxmox sunucunuzun bir ana hat bağlantı noktasına bağlanabilmesini ve çeşitli VLAN’lar için trafik taşımasını sağlar. Proxmox yönetim arabirimi VLAN etiketleme yapılandırmasının nasıl kurulacağını ve ilgili adımları görelim.
Promox VE yönetim trafiğinizi neden bölümlere ayırmalısınız?
İlk olarak, neden Proxmox VE yönetim VLAN trafiğini trafiğin geri kalanından bölümlere ayırmak istiyorsunuz ? Sanal makineler ve diğer trafik türleri ile aynı VLAN arabiriminde yönetim trafiğine sahip olmak bir güvenlik riskidir.
Diğer istemcilerin ve sunucuların bulunduğu aynı ağdaki hiper yönetici ana bilgisayarını asla yönetebilmek istemezsiniz. Tahmin edebileceğiniz gibi, bir saldırgan bir istemcinin bulunduğu ağın güvenliğini ihlal ettiyse, onların hiper yöneticinizin yönetim arayüzüne 2. Katman’a kolay erişime sahip olmasını istemezsiniz.
Konuk ağları için VLAN
Aşağıda, Linux vlan yardım düğmesine tıkladığınızda Proxmox sunucusundan alınan Proxmox belgelerinden doğrudan yararlanabilirsiniz:
Proxmox VE bu kurulumu kutudan çıktığı gibi destekler. Bir VM oluşturduğunuzda VLAN etiketini belirtebilirsiniz. VLAN etiketi, konuk ağ yapılandırmasının bir parçasıdır. Ağ katmanı, köprü yapılandırmasına bağlı olarak VLAN’ları uygulamak için farklı modları destekler:
Linux köprüsünde VLAN farkındalığı: Bu durumda, her misafirin sanal ağ kartı, Linux köprüsü tarafından şeffaf bir şekilde desteklenen bir VLAN etiketine atanır. Trunk modu da mümkündür, ancak bu, konukta yapılandırmayı gerekli kılar.
Linux köprüsünde “geleneksel” VLAN: VLAN farkındalık yönteminin aksine, bu yöntem şeffaf değildir ve her VLAN için ilişkili köprüye sahip bir VLAN cihazı oluşturur. Yani, örneğin VLAN 5’te bir konuk oluşturmak, yeniden başlatma gerçekleşene kadar kalacak olan eno1.5 ve vmbr0v5 olmak üzere iki arabirim oluşturur.
vSwitch VLAN’ı Aç: Bu mod, OVS VLAN özelliğini kullanır.
Konuk tarafından yapılandırılan VLAN: VLAN’lar konuk içinde atanır. Bu durumda kurulum tamamen misafirin içinde yapılır ve dışarıdan etkilenmez. Avantajı, tek bir sanal NIC üzerinde birden fazla VLAN kullanabilmenizdir.
Proxmox yönetim arayüzü VLAN etiketleme
Proxmox VE tarafından VLAN’ları doğru şekilde etiketlemek için birkaç adım gereklidir. Öncelikle Proxmox Server VLAN’daki Linux köprüsünü bilinçli hale getirmeliyiz. Bu ilk adım web arayüzünden tamamlanabilir.
Linux Bridge’i VLAN uyumlu olacak şekilde yapılandırma
Promox ana bilgisayarı > Sistem > Ağ’a gitmemiz ve ardından Promox’ta varsayılan linux köprü arabiriminin özelliklerini düzenlememiz gerekiyor.
Proxmox sunucusunda varsayılan Linux köprü arayüzüne gidip Proxmox GUI’de varsayılan köprüyü düzenleyerek kullanıcı arayüzünde Düzenle butonuna tıklıyoruz.
VLAN farkında yanındaki kutuyu işaretleme
Yapmamız gereken ilk değişiklik küçük. VLAN farkında yanındaki kutuyu işaretlememiz gerekiyor. Bu, Proxmox’u ve Linux köprüsünü, Linux köprü arabirimi için vlan etiketlemesinden haberdar olacak şekilde yapılandırmamızı sağlar.
Yapılandırmayı uygulama
Proxmox düğümünün ağ yapılandırmasını düzenlediğimizde, yapılandırmayı ağ değişikliklerine uygulamalıyız. Bu, değişiklikleri uygulayacak ve ağ hizmetlerini yeniden başlatacaktır.
Proxmox Sunucusu, varsayılan köprü arayüzünde yapılan değişiklikleri gösteren etc ağ arayüzleri dosyasının bir önizlemesini görüntüler:
bridge-vlan-aware yes
bridge-vids 2-4094
Yeni Linux köprü arayüzü için etc ağ arayüzleri dosyasında değişiklik yapılması
Bu, Proxmox sistemi için yönetim VLAN’ındaki VLAN’ı tanıyan trafik için Proxmox sunucu yapılandırmasının ilk bölümüdür. Şimdi Proxmox ana bilgisayarındaki etc ağ arayüzleri dosyasında bazı düşük seviyeli değişiklikler yapmamız gerekiyor.
Varsayılan Linux köprüsünü düzenleme
Yönetim VLAN’ı için VLAN’ı ve bir VLAN ile etiketlenmiş yeni köprü arayüzünün statik adresi olan IP adresini ayarlamak için dosyayı düzenlememiz gerekiyor.
Aşağıda, VLAN uyumlu ayarı açtıktan sonraki varsayılan yapılandırmanın bir örneği verilmiştir .
Varsayılan yapılandırma
auto vmbr0
iface vmbr0 inet static
address 10.1.149.74/24
gateway 10.1.149.1
bridge-ports ens32
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
auto vmbr1
iface vmbr1 inet static
address 172.16.16.254/24
bridge-ports ens192
bridge-stp off
bridge-fd 0
Yeni Linux Bridge VLAN yapılandırması
Ancak yönetim arayüzü köprü arayüzünden VLAN etiketlemesi eklemek istiyoruz. Bunu yapmak için konfigürasyonu aşağıdaki gibi değiştirmemiz gerekiyor. Aşağıdaki not, IP adresini iface vmbr0 yapılandırmasından veya iface eno1 inet manuel yapılandırmasından alıyoruz. Ancak, VLAN yapılandırmasını olduğu gibi bırakıyoruz. Daha sonra “alt arayüz” konfigürasyon sözdizimine çok benzeyen başka bir ağ arayüzü oluşturuyoruz. Bir vmbr0.<vlan tag> konfigürasyonu oluşturuyoruz. Linux köprü ağ cihazı için IP adresi yapılandırmasını yerleştirdiğimiz yerdir.
Bu yapılandırma ile, Proxmox IP artık statik IP adresi olacak ve alt ağ maskesi yeni köprü arayüzünde yapılandırılacak, çünkü bunlar iface vmbr0 inet manuel stanza ile gösterilen ana Linux köprüsü dışındaki sanal arayüzlerdir. Ayrıca varsayılan ağ geçidini yeni Linux köprüsüne yerleştirirsiniz. Proxmox sunucunuzda yapılandırılmış farklı köprüler arasında birden çok IP adresi yapılandırabilirsiniz.
VLAN yapılandırması
auto vmbr0
iface vmbr0 inet manual
bridge-ports ens192
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
auto vmbr0.333
iface vmbr0.333 inet static
address 10.3.33.16/24
gateway 10.3.33.1
Ağ Anahtarı ağ yapılandırması
Yeni Linux Bridge sanal arabiriminizi yapılandırdıktan sonra, Promox sunucusundan gelen VLAN etiketlemesini “anlamak” için ağ anahtarı bağlantı noktasının fiziksel arabiriminin bir ana bağlantı noktası olarak yapılandırıldığından emin olmamız gerekir. Anahtarın fiziksel bağlantı noktası, etiketli VLAN trafiğinin ağın geri kalanına taşınmasına izin verir.
VLAN Kimliği, Katman 2 ethernet çerçevesinin bir parçasıdır. Anahtar bağlantı noktasının fiziksel arabirimi doğru yapılandırılmamışsa, VLAN Kimliği için VLAN trafiği atılır.
Sanal makineler VLAN trafiği
Varsayılan Linux köprüsü VLAN’ını uyardığımızda, sanal makinelerin ağ yapılandırmalarıyla ilişkili bir VLAN etiketi de olabilir. Sanal makinenin VLAN trafiğini etiketlemesine ve söz konusu VLAN’a yerleştirilmesine izin verir.
VLAN etiketi ile VM oluşturma
VM’ler oluşturduğunuzda, ağ trafiğini bir VLAN kimliği ile etiketlemeyi seçebilirsiniz. Bu, sanal makine trafiğinin fiziksel aygıt VLAN arabirimi aracılığıyla fiziksel ağın geri kalanına gönderilmesine olanak tanır.
VLAN farkında köprünün güzelliği, diğer sanal makinelerde yapılandırılmış başka VLAN’lara sahip olmanız ve her birinin gerekli VLAN arabiriminde iletişim kurabilmesidir.
Aşağıda yeni bir VM oluşturma ekranı ve ağ oluşturma ekranı örneği verilmiştir. VLAN etiketi alanı, VLAN arayüz numaranızın yazılmasına izin verir.
Ev Laboratuvarı ağ yapılandırması
Proxmox, bir ev laboratuvarı ortamı oluşturmak ve ev ağınızda VM’leri çalıştırmak için mükemmel bir seçimdir. Proxmox sunucusunda ve ağ cihazınızda yeni VLAN’ınızı oluşturduktan sonra, laboratuvar ortamınızı oluşturmaya başlayabilir ve trafik akışını beklendiği gibi sağlayabilirsiniz. Sanal makinelerinizin uygun ağlara bağlı olduğundan emin olabilirsiniz.
Ayrıca ağ anahtarınızda, güvenlik duvarınızda, yönlendiricinizde vb. VLAN arası yönlendirme yoluyla İnternet erişiminizin olmasını sağlayabilirsiniz. VLAN’lar, trafiğin başka yerlerden akmasına izin vermek için birçok fırsat sağlayarak fiziksel bir kablolama, bağlantı noktaları ve sanal yapılandırmadan çok fazla esneklik yaratır. VM misafirleriniz veya fiziksel ana bilgisayarlarınız.
Proxmox Yönetim Arayüzü VLAN yapılandırması
Promox sunucunuzu ev laboratuvarında yapılandırdıysanız, çoğu, ağ yapılandırmasının bir parçası olarak yönetim trafiğini laboratuvar ortamlarındaki diğer trafik türlerinden ayırmak ister. Yönetim arabirimini VLAN’dan haberdar etmek, Proxmox sunucunuzun bir ana hat bağlantı noktasına bağlanabilmesini ve çeşitli VLAN’lar için trafik taşımasını sağlar. Proxmox yönetim arabirimi VLAN etiketleme yapılandırmasının nasıl kurulacağını ve ilgili adımları görelim.
Makale İçeriği
Promox VE yönetim trafiğinizi neden bölümlere ayırmalısınız?
İlk olarak, neden Proxmox VE yönetim VLAN trafiğini trafiğin geri kalanından bölümlere ayırmak istiyorsunuz ? Sanal makineler ve diğer trafik türleri ile aynı VLAN arabiriminde yönetim trafiğine sahip olmak bir güvenlik riskidir.
Diğer istemcilerin ve sunucuların bulunduğu aynı ağdaki hiper yönetici ana bilgisayarını asla yönetebilmek istemezsiniz. Tahmin edebileceğiniz gibi, bir saldırgan bir istemcinin bulunduğu ağın güvenliğini ihlal ettiyse, onların hiper yöneticinizin yönetim arayüzüne 2. Katman’a kolay erişime sahip olmasını istemezsiniz.
Konuk ağları için VLAN
Aşağıda, Linux vlan yardım düğmesine tıkladığınızda Proxmox sunucusundan alınan Proxmox belgelerinden doğrudan yararlanabilirsiniz:
Proxmox VE bu kurulumu kutudan çıktığı gibi destekler. Bir VM oluşturduğunuzda VLAN etiketini belirtebilirsiniz. VLAN etiketi, konuk ağ yapılandırmasının bir parçasıdır. Ağ katmanı, köprü yapılandırmasına bağlı olarak VLAN’ları uygulamak için farklı modları destekler:
Linux köprüsünde VLAN farkındalığı: Bu durumda, her misafirin sanal ağ kartı, Linux köprüsü tarafından şeffaf bir şekilde desteklenen bir VLAN etiketine atanır. Trunk modu da mümkündür, ancak bu, konukta yapılandırmayı gerekli kılar.
Linux köprüsünde “geleneksel” VLAN: VLAN farkındalık yönteminin aksine, bu yöntem şeffaf değildir ve her VLAN için ilişkili köprüye sahip bir VLAN cihazı oluşturur. Yani, örneğin VLAN 5’te bir konuk oluşturmak, yeniden başlatma gerçekleşene kadar kalacak olan eno1.5 ve vmbr0v5 olmak üzere iki arabirim oluşturur.
vSwitch VLAN’ı Aç: Bu mod, OVS VLAN özelliğini kullanır.
Konuk tarafından yapılandırılan VLAN: VLAN’lar konuk içinde atanır. Bu durumda kurulum tamamen misafirin içinde yapılır ve dışarıdan etkilenmez. Avantajı, tek bir sanal NIC üzerinde birden fazla VLAN kullanabilmenizdir.
Proxmox yönetim arayüzü VLAN etiketleme
Proxmox VE tarafından VLAN’ları doğru şekilde etiketlemek için birkaç adım gereklidir. Öncelikle Proxmox Server VLAN’daki Linux köprüsünü bilinçli hale getirmeliyiz. Bu ilk adım web arayüzünden tamamlanabilir.
Linux Bridge’i VLAN uyumlu olacak şekilde yapılandırma
Promox ana bilgisayarı > Sistem > Ağ’a gitmemiz ve ardından Promox’ta varsayılan linux köprü arabiriminin özelliklerini düzenlememiz gerekiyor.
Proxmox sunucusunda varsayılan Linux köprü arayüzüne gidip Proxmox GUI’de varsayılan köprüyü düzenleyerek kullanıcı arayüzünde Düzenle butonuna tıklıyoruz.
VLAN farkında yanındaki kutuyu işaretleme
Yapmamız gereken ilk değişiklik küçük. VLAN farkında yanındaki kutuyu işaretlememiz gerekiyor. Bu, Proxmox’u ve Linux köprüsünü, Linux köprü arabirimi için vlan etiketlemesinden haberdar olacak şekilde yapılandırmamızı sağlar.
Yapılandırmayı uygulama
Proxmox düğümünün ağ yapılandırmasını düzenlediğimizde, yapılandırmayı ağ değişikliklerine uygulamalıyız. Bu, değişiklikleri uygulayacak ve ağ hizmetlerini yeniden başlatacaktır.
Proxmox Sunucusu, varsayılan köprü arayüzünde yapılan değişiklikleri gösteren etc ağ arayüzleri dosyasının bir önizlemesini görüntüler:
bridge-vlan-aware yes
bridge-vids 2-4094
Yeni Linux köprü arayüzü için etc ağ arayüzleri dosyasında değişiklik yapılması
Bu, Proxmox sistemi için yönetim VLAN’ındaki VLAN’ı tanıyan trafik için Proxmox sunucu yapılandırmasının ilk bölümüdür. Şimdi Proxmox ana bilgisayarındaki etc ağ arayüzleri dosyasında bazı düşük seviyeli değişiklikler yapmamız gerekiyor.
Varsayılan Linux köprüsünü düzenleme
Yönetim VLAN’ı için VLAN’ı ve bir VLAN ile etiketlenmiş yeni köprü arayüzünün statik adresi olan IP adresini ayarlamak için dosyayı düzenlememiz gerekiyor.
Aşağıda, VLAN uyumlu ayarı açtıktan sonraki varsayılan yapılandırmanın bir örneği verilmiştir .
Varsayılan yapılandırma
auto vmbr0
iface vmbr0 inet static
address 10.1.149.74/24
gateway 10.1.149.1
bridge-ports ens32
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
auto vmbr1
iface vmbr1 inet static
address 172.16.16.254/24
bridge-ports ens192
bridge-stp off
bridge-fd 0
Yeni Linux Bridge VLAN yapılandırması
Ancak yönetim arayüzü köprü arayüzünden VLAN etiketlemesi eklemek istiyoruz. Bunu yapmak için konfigürasyonu aşağıdaki gibi değiştirmemiz gerekiyor. Aşağıdaki not, IP adresini iface vmbr0 yapılandırmasından veya iface eno1 inet manuel yapılandırmasından alıyoruz. Ancak, VLAN yapılandırmasını olduğu gibi bırakıyoruz. Daha sonra “alt arayüz” konfigürasyon sözdizimine çok benzeyen başka bir ağ arayüzü oluşturuyoruz. Bir vmbr0.<vlan tag> konfigürasyonu oluşturuyoruz. Linux köprü ağ cihazı için IP adresi yapılandırmasını yerleştirdiğimiz yerdir.
Bu yapılandırma ile, Proxmox IP artık statik IP adresi olacak ve alt ağ maskesi yeni köprü arayüzünde yapılandırılacak, çünkü bunlar iface vmbr0 inet manuel stanza ile gösterilen ana Linux köprüsü dışındaki sanal arayüzlerdir. Ayrıca varsayılan ağ geçidini yeni Linux köprüsüne yerleştirirsiniz. Proxmox sunucunuzda yapılandırılmış farklı köprüler arasında birden çok IP adresi yapılandırabilirsiniz.
VLAN yapılandırması
auto vmbr0
iface vmbr0 inet manual
bridge-ports ens192
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
auto vmbr0.333
iface vmbr0.333 inet static
address 10.3.33.16/24
gateway 10.3.33.1
Ağ Anahtarı ağ yapılandırması
Yeni Linux Bridge sanal arabiriminizi yapılandırdıktan sonra, Promox sunucusundan gelen VLAN etiketlemesini “anlamak” için ağ anahtarı bağlantı noktasının fiziksel arabiriminin bir ana bağlantı noktası olarak yapılandırıldığından emin olmamız gerekir. Anahtarın fiziksel bağlantı noktası, etiketli VLAN trafiğinin ağın geri kalanına taşınmasına izin verir.
VLAN Kimliği, Katman 2 ethernet çerçevesinin bir parçasıdır. Anahtar bağlantı noktasının fiziksel arabirimi doğru yapılandırılmamışsa, VLAN Kimliği için VLAN trafiği atılır.
Sanal makineler VLAN trafiği
Varsayılan Linux köprüsü VLAN’ını uyardığımızda, sanal makinelerin ağ yapılandırmalarıyla ilişkili bir VLAN etiketi de olabilir. Sanal makinenin VLAN trafiğini etiketlemesine ve söz konusu VLAN’a yerleştirilmesine izin verir.
VLAN etiketi ile VM oluşturma
VM’ler oluşturduğunuzda, ağ trafiğini bir VLAN kimliği ile etiketlemeyi seçebilirsiniz. Bu, sanal makine trafiğinin fiziksel aygıt VLAN arabirimi aracılığıyla fiziksel ağın geri kalanına gönderilmesine olanak tanır.
VLAN farkında köprünün güzelliği, diğer sanal makinelerde yapılandırılmış başka VLAN’lara sahip olmanız ve her birinin gerekli VLAN arabiriminde iletişim kurabilmesidir.
Aşağıda yeni bir VM oluşturma ekranı ve ağ oluşturma ekranı örneği verilmiştir. VLAN etiketi alanı, VLAN arayüz numaranızın yazılmasına izin verir.
Ev Laboratuvarı ağ yapılandırması
Proxmox, bir ev laboratuvarı ortamı oluşturmak ve ev ağınızda VM’leri çalıştırmak için mükemmel bir seçimdir. Proxmox sunucusunda ve ağ cihazınızda yeni VLAN’ınızı oluşturduktan sonra, laboratuvar ortamınızı oluşturmaya başlayabilir ve trafik akışını beklendiği gibi sağlayabilirsiniz. Sanal makinelerinizin uygun ağlara bağlı olduğundan emin olabilirsiniz.
Ayrıca ağ anahtarınızda, güvenlik duvarınızda, yönlendiricinizde vb. VLAN arası yönlendirme yoluyla İnternet erişiminizin olmasını sağlayabilirsiniz. VLAN’lar, trafiğin başka yerlerden akmasına izin vermek için birçok fırsat sağlayarak fiziksel bir kablolama, bağlantı noktaları ve sanal yapılandırmadan çok fazla esneklik yaratır. VM misafirleriniz veya fiziksel ana bilgisayarlarınız.