Proxmox виртуалды машиналарына желіге кіруді гипервизор деңгейінде басқару

Proxmox — бұл KVM гипервизоры мен LXC контейнерлері негізінде жасалған танымал виртуализация платформасы, виртуалды машиналар мен контейнерлерді басқаруға арналған қуатты құралдарды ұсынады. Виртуализациямен жұмыс істегенде маңызды аспектілердің бірі — желіге кіруді басқару, себебі желіні дұрыс баптау жүйенің қауіпсіздігі мен тұрақтылығы үшін өте маңызды.

Бұл мақалада біз Proxmox виртуалды машиналарына желіге кіруді гипервизор деңгейінде басқаруды қарастырамыз, оның ішінде виртуалды желілік интерфейстерді орнату, VLAN қолдану, желі көпірлерін (bridge) орнату және виртуалды машиналарды қорғау үшін брандмауэр ережелерін баптау.

1. Proxmox желілік инфрақұрылымының негізгі компоненттері

Proxmox бірнеше маңызды желілік компоненттерді пайдаланады, олар виртуалды машиналарға желілік қосылымдарды икемді түрде баптауға мүмкіндік береді:

• Көпірлер (bridges) — виртуалды желілік құрылғылар, олар виртуалды машиналарды физикалық желімен байланыстырады.
• VLAN — виртуалды жергілікті желілер, олар гипервизор деңгейінде желіні сегменттеуге мүмкіндік береді.
• Контейнерлер үшін туннельдер мен интерфейстер — LXC контейнерлеріне арналған жеке желілік интерфейстер жасалады.
• Брандмауэр — желіге кіру ережелерін орнату және трафикті сүзу құралы.

2. Виртуалды көпірлерді (bridge) орнату

Виртуалды машина физикалық желіге қосылуы үшін желілік көпір құру қажет. Proxmox-те көпірлер виртуалды машиналарды физикалық желімен қосу үшін қолданылады.

1-қадам. Proxmox-те көпір құру

Жаңа көпір жасау үшін Proxmox хостындағы желі конфигурациясын өзгерту қажет. Ол үшін /etc/network/interfaces файлын ашып, келесі жолдарды қосыңыз:

Мұндағы:

• vmbr0 — көпірдің атауы.
• eth0 — физикалық желілік интерфейс, көпір оған қосылады.
• bridge_ports eth0 — көпірді физикалық интерфейспен байланыстырады.
• bridge_stp off — STP (Spanning Tree Protocol) протоколын өшіреді, бұл желіде петельдер болдырмауға көмектеседі.
• bridge_fd 0 — көпір үшін кадрларды жіберу жылдамдығын 0-ге орнатады.

2-қадам. Желі қайта жүктеледі

Желі конфигурациясын өзгерткеннен кейін, хостта желіні қайта іске қосу қажет:

3-қадам. Виртуалды машинаны баптау

Виртуалды машинаны көпірге қосу үшін, оны жасағанда немесе өңдегенде «bridge» типті интерфейс таңдалып, көпірдің атын, мысалы, vmbr0 көрсетуге болады.

3. VLAN қолдану

Virtual Local Area Network (VLAN) физикалық желіні бірнеше логикалық сегменттерге бөлуге мүмкіндік береді. Proxmox-та VLAN орнату трафикті оқшаулауға көмектеседі.

1-қадам. Proxmox хостында VLAN орнату

VLAN қолдану үшін тегтеу (tagging) қолдайтын желілік интерфейс орнату қажет. Мысалы, 10-ID VLAN-ды орнату үшін виртуалды интерфейс құрыңыз:

Мұндағы eth0.10 — VLAN ID 10 үшін виртуалды интерфейс.

2-қадам. VLAN көпірін құру

Виртуалды машинаны VLAN желісіне қосу үшін, VLAN-ға арналған виртуалды интерфейсті көпірмен байланыстыру қажет:

Енді виртуалды машина vmbr0.10 көпірі арқылы VLAN 10 желісіне қосыла алады.

3-қадам. Виртуалды машинаны VLAN қолдануға баптау

Виртуалды машинаның желілік интерфейсін баптағанда, оны қажетті VLAN желісіне қосу үшін тегті көрсетуге болады.

4. Виртуалды машиналар үшін брандмауэр орнату

Брандмауэр — бұл виртуализация ортасын қорғаудың маңызды құралы. Proxmox-те брандмауэрды хост деңгейінде немесе әрбір виртуалды машина үшін жеке орнатуға болады, бұл ресурстарға қол жетімділікті егжей-тегжейлі бақылауға және жүйені сыртқы қауіптерден қорғауға мүмкіндік береді.

4.1. Хост деңгейінде брандмауэрды қосу

Хост деңгейінде брандмауэр трафикті сүзуге және виртуалды машиналарға, контейнерлерге және хосттың өзіне қол жеткізуді басқаруға мүмкіндік береді. Хостта брандмауэрды қосу үшін келесі қадамдарды орындаңыз:

1. Proxmox веб-интерфейсіне өтіңіз.
2. Сол жақ панельден Datacenter таңдаңыз.
3. Firewall қойындысына өтіңіз.
4. Кластер деңгейінде брандмауэрды қосу үшін Enable параметрін таңдаңыз.

Бұл барлық компоненттер үшін, оның ішінде хост пен виртуалды машиналар үшін брандмауэрды баптауға мүмкіндік береді.

4.2. Виртуалды машиналар үшін брандмауэрды қосу

Proxmox әрбір виртуалды машина үшін жеке брандмауэр орнатуға мүмкіндік береді. Бұл виртуалды машиналар арасындағы трафикті оқшаулауға және оларға кіруге қолжетімділікті басқаруға мүмкіндік береді. Виртуалды машина үшін брандмауэрды қосу үшін келесі қадамдарды орындаңыз:

1. Proxmox-те Virtual Machine интерфейсіне өтіңіз.
2. Орнатқыңыз келетін виртуалды машинаны таңдаңыз.
3. Options қойындысына өтіп, Firewall параметрін Enabled күйіне орнатыңыз.
4. Осыдан кейін, виртуалды машинаның баптауларында Firewall қойындысы ашылады, онда ережелерді орнатуға болады.

Виртуалды машина үшін брандмауэрды қосу оның қауіпсіздігін жеке басқаруға мүмкіндік береді, сондықтан белгілі бір порттарға және IP-адреске кіруге немесе кіруге тыйым салуға болады.

4.3. Виртуалды машиналар үшін брандмауэрдың негізгі ережелері

Брандмауэр қосылғаннан кейін, виртуалды машинаға қол жетімділікті бақылау үшін ережелерді орнату қажет. Proxmox-та ережелерді қосып, трафиктің рұқсат етілгенін және тыйым салынғанын анықтауға болады. Орнатуға болатын негізгі ереже түрлерін қарастырайық.

4.3.1. IP-адрес бойынша трафикті рұқсат ету немесе бұғаттау

Трафикті сүзудің бір әдісі — белгілі бір IP-адреске кіруге рұқсат беру немесе оны блоктау. Мысалы, тек белгілі бір IP-адрес диапазонынан кіруге рұқсат беріп, қалғандарын бұғаттауға болады.

Мысал:

1. ВМ-ге тек 192.168.1.100 IP-адресінен кіруге рұқсат ету:

2. 10.0.0.0/24 IP-адресінен кіруге тыйым салу:

4.3.2. Порттар бойынша трафикті рұқсат ету

Тағы бір әдіс — виртуалды машинаға тек белгілі бір порттарға кіруге рұқсат беру немесе оларды блоктау. Мысалы, HTTP серверіне порт 80 арқылы кіруге рұқсат беру, бірақ басқа порттарды бұғаттау.

Мысал:

1. Порт 80 (HTTP) арқылы кіруге рұқсат ету:

2. Порт 22 (SSH) арқылы кіруге тыйым салу:

4.3.3. Протоколдар бойынша трафикті рұқсат ету

Ережелерді протоколдарға негізделген түрде орнатуға болады, мысалы, тек TCP немесе UDP трафигін рұқсат ету.

Мысал:

1. Тек TCP трафигіне рұқсат беру:

2. UDP трафигін блоктау:

5. Қорытынды

Proxmox гипервизорында желіге кіруді басқару жүйенің қауіпсіздігі мен тиімділігін арттыру үшін маңызды болып табылады. Виртуалды машиналарды және контейнерлерді дұрыс желілік конфигурациялау, VLAN орнату және брандмауэрды баптау арқылы, сіз жүйеңізді ішкі және сыртқы қауіптерден қорғап, ресурстарды тиімді басқаруға қол жеткізе аласыз.

Proxmox-те желіге кіруді басқару процесі қарапайым, бірақ жүйені дұрыс баптау үшін мұқияттықты талап етеді. Қажетті қадамдарды орындау арқылы, сіз виртуалды машиналарыңыздың қауіпсіздігін және өнімділігін арттыра аласыз.

Реклама Google

 

 

Назар аударыңыз! Бұл мақала ресми құжат емес. Ақпаратты сақтықпен және сынақ ортасында пайдалану керек. Әлемдегі жетекші жеткізушілерден сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының тегін сынақ нұсқасына тапсырыс беріңіз: Тегін сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының спецификациясын есептеу қызметіміздің артықшылығын пайдаланыңыз: Acronis Arcserve Veeam Vembu Vinchin Acronis Arcserve Veeam Vembu Vinchin   Заманауи сақтық көшірме жасау, репликациялау, деректерді синхрондау және төлемдік бағдарламадан қорғау жүйелерін құру туралы сұрақтарыңыз болса, қазіргі заманғы деректердің сақтық көшірмесін жасау және қалпына келтіру технологиялары бойынша кеңес алу үшін біздің компанияға хабарласыңыз . Біздің компанияның осы салада 20 жылдан астам тәжірибесі бар.