VLAN yapısı, Proxmox üzerinde çalışan sanal makinelerin aynı fiziksel altyapı üzerinde farklı ağlarda çalışabilmesini sağlar. Bu sayede yönetim erişimleri, müşteri sistemleri, test ortamları ve yedekleme trafiği birbirinden ayrılarak hem güvenlik seviyesi artırılır hem de ağ düzeni daha sağlıklı hâle getirilir.
VLAN İçin Gerekenler
VLAN yapılandırmasına başlamadan önce fiziksel ağ tarafının hazır olması şarttır. Proxmox’un bağlı olduğu portun access değil, trunk olarak çalışması ve ilgili VLAN numaralarının bu porta izinli olması gerekir. Aşağıdaki yapılandırma, bu gereksinimi sağlayan temel bir örnektir.
interface Gi0/10
switchport mode trunk
switchport trunk allowed vlan 1,30Proxmox Arayüzde VLAN Oluşturma
VLAN tanımlaması yapılabilmesi için öncelikle Proxmox panelinde kullanılan bridge arayüzü VLAN trafiğini taşıyabilecek şekilde düzenlenmelidir. Web panel üzerinden Datacenter → Node → System → Network menüsüne girilir.
Burada köprü arayüzü düzenlenerek VLAN Aware işaretlenir ve ağ kartı olarak enp3s0 seçilir. Kaydetme işleminden sonra ayarlar Apply Configuration ile aktif edilir.
Sanal Makineye VLAN Atama
VLAN tanımı aktif edildikten sonra sanal makinenin ağ üyeliği VLAN Tag değeri ile atanır. Böylece sanal makine, yalnızca belirlenen VLAN ağı içinde çalışır.
- Bridge – vmbr → VLAN aware olan köprü
- VLAN Tag -100 → Sanal makineyi VLAN 100 ağına bağlar
- Model – VirtIO → En yüksek ağ performansı
Bu ayarları kaydettikten sonra sanal makine artık VLAN 30 üzerinden internete ve ağa çıkar.
VLAN Üzerinden Sanal Makineye IP Atama
Sanal makinenin VLAN üzerinden ağa çıkabilmesi için, bağlı olduğu VLAN’a uygun bir IP adresine sahip olması gerekir. IP tanımlaması yapılmadığı sürece sanal makine ne ağ erişimi sağlayabilir ne de internete çıkabilir. Bu nedenle bağlantı için statik IP yapılandırması yapılmalıdır.
nano /etc/netplan/00-installer-config.yamlnetwork:
version: 2
ethernets:
eth0:
addresses:
- 192.168.30.10/24
gateway4: 192.168.30.1
nameservers:
addresses: [8.8.8.8,1.1.1.1]netplan applyBu işlemden sonra sanal makine VLAN içinden IP almış olur.
VLAN Trafiğini Test Etme
VLAN bağlantısının doğru çalışıp çalışmadığı bazı temel ağ testleriyle net şekilde kontrol edilebilir. İlk olarak sanal makinenin kendi VLAN gateway’ine erişimi test edilir.
Gateway
ping 192.168.30.1Ardından internet çıkışı kontrol edilerek VLAN üzerinden yönlendirme sağlanıp sağlanmadığı doğrulanır.
curl ifconfig.meProxmox host üzerinden ilgili VLAN trafiğini doğrudan izlemek için ise aşağıdaki komut kullanılır.
tcpdump -i vmbr0 vlan 30tcpdump çıktısı sayesinde VLAN 30 paketlerinin doğrudan vmbr0 üzerinden aktığı net biçimde gözlemlenebilir. Bu altyapı cluster ve canlı geçiş senaryoları ile birlikte kullanıldığında, migration sırasında VLAN ayrımının performansa etkisi ve node trafiğinin ayrıştırılması konularını daha önce yayınladığımız rehberde ele almıştık.
VLAN İletişimini Açma ve Kapama
VLAN’lar arasında erişim istenmiyorsa Proxmox Firewall aktif edilerek ağlar izole edilir. Bu sayede her VLAN yalnızca kendi ağı içinde çalışır
DROP 192.168.30.0/24 → 192.168.1.0/24Bu kural, VLAN 30’dan ana ağa giden tüm trafiği tamamen engeller. Böylece VLAN’lar arasında yetkisiz erişim kapatılmış olur.
Sık Sorulan Sorular
VLAN ile ayrılmış iki sanal makine doğrudan haberleşebilir mi?
Doğrudan haberleşemez. VLAN mimarisinde her ağ kendi içinde çalışır ve diğer VLAN’lara kapalıdır. Aralarında iletişim kurulacaksa bu işlem yalnızca kontrollü routing veya firewall kuralları ile sağlanabilir.
Tek bir vmbr0 arayüzü üzerinden birden fazla VLAN aynı anda kullanılabilir mi?
Evet, vmbr0 üzerinde VLAN Aware özelliği aktif ise 10, 20, 30 gibi farklı VLAN ID’lerine sahip sanal makineler aynı bridge üzerinden sorunsuz şekilde çalıştırılabilir.
Proxmox firewall aktif edildiğinde VLAN’lar arası iletişim otomatik olarak engellenir mi?
Evet, çoğu durumda engellenir. VLAN’lar arasında iletişim sağlanacaksa mutlaka açık kurallar manuel olarak tanımlanmalıdır.
