Skip to content

03 - Despliegue de infra on-prem

![[admininfra_core.excalidraw|900]] Topología con VLAN y router VyOS

La infraestructura on-premise o baremetal ubicada en la sede de la carrera para este curso es de 5 servidores físicos, cada grupo de laboratorio es responsable de un nodo Proxmox y de la implementación de un Router Virtual (vRouter) que gestionará el tráfico de sus futuras topologías en esta infraestructura.

Grupo Servidor Físico Hostname PVE IP Gestión (PVE) vRouter (VyOS) Red LAN Interna (Grupo)
G1 Nodo 01 ai-pve01 10.128.1.11 G1PRO01 10.129.0.0/16
G2 Nodo 02 ai-pve02 10.128.1.12 G2PRO01 10.130.0.0/16
G3 Nodo 03 ai-pve03 10.128.1.13 G3PRO01 10.131.0.0/16
G4 Nodo 04 ai-pve04 10.128.1.14 G4PRO01 10.132.0.0/16
G5 Nodo 05 ai-pve05 10.128.1.15 G5PRO01 10.132.0.0/16

Parte 1 - Documentación en Source Of Truth (NetBox)

Antes de la instalación física, cada grupo debe registrar en la instancia de NetBox del curso, para cada objeto asignar el estado PLANEADO:

  1. Device: El servidor asignado (ej: ai-pve01). En la sección Virtualization asignar esté dispositivo al cluster AdminInfra-Cluster.

  2. Virtual Machine: Crear el objeto VyOS (ej: GXPRO01) vinculándolo al cluster. Siendo X el número de su grupo.

  3. IPAM: Documentar la IP de gestión del PVE y la IP de la interfaz WAN del VyOS (que será la .100 de su segmento, ej: 10.128.2.101 para el grupo 1, 10.128.2.102 para el grupo 2,etc).

Parte 2 - Instalación del Hipervisor (Baremetal)

Cada grupo procederá con la instalación de Proxmox VE 9.1 en su hardware asignado.

2.1 Preparación del Hardware y BIOS/UEFI (Configuración de Energía)

Antes de insertar el medio de instalación, cada grupo debe realizar el "Hardening" de la BIOS para asegurar la alta disponibilidad física:

  • Virtualización Habilitada: Verificar que Intel VT-x o AMD-V esté en Enabled.

Power Management

Buscar la opción "Restore on AC Power Loss" (o similar como After Power Loss) y cambiarla de Power Off a Power On.

Nota: Esto garantiza que, ante un fallo eléctrico en la sede, los nodos inicien automáticamente al retornar la energía.

  • Orden de Arranque: Definir el disco local (SSD/NVMe) como prioridad 1 tras la instalación.

2.2 Parámetros de Red y Hostname

  • Hostname: ai-pve0X.tipy.prod
  • IP/Mask: 10.128.1.1X/24 (donde X es el número de grupo)
  • Gateway: 10.128.1.1
  • DNS: 192.168.100.30

Parte 3 - Creación del Cluster AdminICluster

Una vez que los 5 nodos están instalados y tienen conectividad IP entre si, los grupos deben cooperar para formar una única unidad de gestión. El Grupo 1 actuará como el "Host Maestro" para la creación inicial.

3.1 Creación del Cluster (Grupo 1)

Desde la consola (SSH o Web GUI) de ai-pve01, el Grupo 1 ejecutará:

  1. Navegar a Datacenter > Cluster > Create Cluster.

  2. Cluster Name: AdminICluster.

  3. Cluster Network: Seleccionar la interfaz 10.128.1.11 (Link 0).

3.2 Unión al Cluster (Grupos 2 a 5)

Para que los nodos se unan, el Grupo 1 debe proporcionar la "Join Information":

  1. El Grupo 1 hace clic en Join Information y copia el "Join Token".

  2. Los Grupos 2, 3, 4 y 5 deben ir a su propio Proxmox en Datacenter > Cluster > Join Cluster.

  3. Pegar el Token y completar la contraseña de root del Nodo 01.

Importante: El Quórum

En un cluster de Proxmox, se requieren al menos 3 nodos en línea para mantener el Quórum. Si 3 o más servidores se apagan, el cluster entrará en modo de solo lectura para proteger la integridad de los datos.

Parte 4 - Despliegue del vRouter (VyOS)

Con el cluster ya formado, cada grupo desplegará su Router Virtual. Al estar en un cluster, ahora podrán ver los 5 nodos desde una sola interfaz web.

4.1 Creación de la VM

Cada grupo debe asegurarse de crear su VM en su nodo correspondiente:

  • G1: Crear VM en ai-pve01 (ID 101)

  • G2: Crear VM en ai-pve02 (ID 201)

  • ...y así sucesivamente.

4.2 Configuración de VyOS (CLI)

Cada grupo configura su interfaz WAN para interoperar con la red de la sede:

configure
set system host-name G1PRO01 # Cambiar según grupo

# Interfaz conectada a la red de la universidad
set interfaces ethernet eth0 address 10.128.2.101/24 # G1=.101, G2=.102...
set interfaces ethernet eth0 description "WAN-TIPY"

# Ruta de salida
set protocols static route 0.0.0.0/0 next-hop 10.128.2.1
set system name-server 192.168.100.30

commit
save

Parte 5 - Validación de la Infraestructura Unificada

  1. Vista Unificada: Verificar que desde cualquier IP de los PVE se pueden ver y gestionar los 5 nodos y las 5 VMs VyOS.

  2. Prueba de Red: Realizar un ping desde el VyOS del Grupo 1 al VyOS del Grupo 5 a través de la red 10.128.2.0/24.

Parte 6 - Integración de Identidad (Active Directory & SSSD)

Una vez que el nodo tiene salida a internet y el DNS apunta correctamente al controlador de dominio, cada grupo debe vincular su servidor al dominio de la sede (tipy.prod). Esto permitirá el acceso SSH y la gestión de sudo mediante grupos de AD.

6.1 Preparación y Paquetes de Interoperabilidad

Limpiar repositorios antiguos (si existen) e instalar las herramientas necesarias para la comunicación con el dominio Windows:

# Eliminar repositorios enterprise agregados por la instalación de PVE
rm -f /etc/apt/sources.list.d/ceph.sources
rm -f /etc/apt/sources.list.d/pve-enterprise.sources
apt update -y && apt upgrade -y

# Instalar dependencias de AD y SSSD
apt install sssd-ad sssd-tools realmd adcli packagekit sudo nfs-common -y

6.2 Solicitud de Permisos y Unión al Dominio

Antes de ejecutar los comandos para unir el servidor Proxmox de su equipo, es necesario gestionar la autorización a nivel de *Active Directory * a través del sistema de mesa de ayuda que utilizaremos en tipyenaccion.net.

A. Gestión de Ticket en GLPI (Help Desk): Un integrante de cada equipo debe ingresar a la instancia de soporte del curso:

![[glpi_login.png]] Topología con VLAN y router VyOS

Al iniciar sesión, de manera predeterminada se asignara el perfil Estudiante de Administración de Infraestructuras II 2026 , donde tendrá un rol de Service Desk (lo veremos en futuras actividades), para esta actividad se debe cambiar al rol Estudiante para acceder al portal de usuario: Topología con VLAN y router VyOS ![[glpi_perfil_admininfraii_2026.png]]

Portal de usuario:

![[glpi_perfil_estudiante_2026.png]]

Topología con VLAN y router VyOS

  • Acción: Crear un nuevo ticket de tipo "Solicitud de Servicio".

  • Urgencia: Media.

  • Asunto: Solicitud de permisos de Join Domain - Grupo X.

  • Observadores: Todos los integrantes del grupo de laboratorio.

  • Descripción: Solicitar formalmente que su usuario de AD ([email protected]) sea delegado con los permisos necesarios para unir el servidor admininfra-pve0X al dominio.

Validación

No se podrá proceder al siguiente paso hasta que el ticket sea marcado como "Resuelto" por el administrador del dominio (docente).

B. Unión al Dominio y Autenticación PAM: Una vez recibida la confirmación en GLPI, ejecute en la terminal del Proxmox:

# Unirse al dominio usando su usuario autorizado
realm join tipy.prod -U nombre.apellido

# Verificar que la unión fue exitosa
realm list

# Habilitar la creación automática de carpetas home al primer login
# Esto es vital para que el perfil del estudiante se cree al entrar por SSH
pam-auth-update --enable mkhomedir

6.3 Configuración de SSSD y Privilegios Sudo

Para que los administradores de red del dominio tengan permisos de root en el nodo Proxmox, configuramos el servicio SSSD y el archivo de sudoers:

  1. Definir permisos de Sudo: 

    cat << EOF > /etc/sudoers.d/00-ad-admins
%unix\ admins  ALL=(ALL:ALL) NOPASSWD: ALL
EOF

  2. Configurar el demonio SSSD (/etc/sssd/sssd.conf): Asegúrate de que la configuración refleje la estructura de la sede:

cat << EOF > /etc/sssd/sssd.conf
[sssd]
domains = tipy.prod
config_file_version = 2
services = nss, pam

[domain/tipy.prod]
default_shell = /bin/bash
krb5_store_password_if_offline = True
cache_credentials = False
krb5_realm = TIPY.PROD
realmd_tags = manages-system joined-with-adcli
id_provider = ad
fallback_homedir = /home/%u@%d
ad_domain = tipy.prod
ldap_id_mapping = True
access_provider = ad
ad_enable_gc = False
ldap_use_tokengroups = True
ldap_user_ssh_public_key = sshPublicKey
ldap_user_extra_attrs = sshPublicKey:sshPublicKey
EOF

chmod 600 /etc/sssd/sssd.conf
systemctl restart sssd

6.4 Hardening de SSH y Banner Institucional

Para permitir el acceso solo a grupos específicos y mostrar el mensaje de bienvenida de la universidad:

  1. Configurar SSH para aceptar grupos de AD: 

    cat << EOF > /etc/ssh/sshd_config.d/00-ad.conf
AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
AuthorizedKeysCommandUser nobody
AllowGroups root unix\ admins
EOF

systemctl restart sshd

  2. Establecer el MOTD (Mensaje del Día): 

    cat << EOF > /etc/motd
*************************************************************
* *
* ████████╗██╗██████╗                                 *
* ╚══██╔══╝██║██╔══██╗                                *
* ██║   ██║██████╔╝                                *
* ██║   ██║██╔═══╝                                 *
* ██║   ██║██║                                     *
* ╚═╝   ╚═╝╚═╝                                     *
* *
* Tecnólogo en Informática Paysandú                 *
* *
* Bienvenido a AdminInfra Cluster                  *
* *
* Autorización y acceso solo para personal autorizado.     *
* Todas las actividades en este sistema son monitoreadas   *
* y registradas. El uso no autorizado resultará en acciones*
* disciplinarias severas, incluidas medidas legales.       *
* *
* Recuerde: Mantenga su contraseña segura y no la comparta *
* con nadie. Si sospecha de cualquier actividad            *
* inusual, informe de inmediato al equipo de seguridad.    *
* *
* ¡Gracias por mantener AdminInfra Cluster seguro!                *
* *
*************************************************************
EOF

Parte 7 - Sincronización del Source of Truth (NetBox)

Una vez que el nodo Proxmox está integrado al dominio, el cluster está formado y el vRouter (VyOS) está operativo, el grupo debe actualizar la documentación técnica para reflejar el paso de Planificación a Producción.

7.1 Actualización de Estados

Ingresar a NetBox y realizar los siguientes cambios:

  1. Nodos PVE: Cambiar el Status de cada servidor de Planned a Active.

  2. Interfaces: Verificar que las interfaces eth0 tengan asignada su dirección IP correspondiente y que el estado de la IP sea Active.

  3. Virtual Machines: El objeto VyOS creado anteriormente debe pasar a estado Active y quedar vinculado al Host (Nodo PVE) donde está corriendo actualmente.

  4. Cluster: Crear (o verificar) el objeto Cluster en NetBox bajo el tipo Proxmox. Asegurarse de que los 5 nodos físicos aparezcan como miembros del cluster.

Parte 8 - Auditoría de Entrega y Publicación en el Foro

Para finalizar la actividad, cada grupo deberá realizar una publicación en el Foro Consultas Generales - Semana 3 de la plataforma. La publicación debe ser clara, técnica y servir como evidencia del despliegue exitoso de su nodo.

8.1 Formato de Publicación en el Foro

El título del post debe ser: [ENTREGA] Grupo X - Despliegue de admininfra-pve0X.

Dentro del post, deben completar los siguientes puntos:

  1. Estado de Gestión (GLPI): * Adjuntar el ID del Ticket y una captura de pantalla del ticket en help.tipyenaccion.net donde se vea el estado "Resuelto" o "Cerrado".

  2. Source of Truth (NetBox): * Enlace o captura de pantalla del dispositivo en NetBox donde se verifique que el Status es Active y tiene su IP primaria correctamente asociada.

  3. Validación de Identidad (AD): * Copiar y pegar la salida del comando id de un integrante del grupo ejecutado desde la terminal del Proxmox (ej: id [email protected]). Esto demuestra que el SSSD está mapeando correctamente los usuarios del dominio.

  4. Consola de Administración (Banner): * Una captura de pantalla de la terminal al iniciar sesión por SSH, donde se aprecie el Banner (MOTD) del Tecnólogo en Informática Paysandú y el inicio de sesión exitoso.

  5. Estado del Cluster: * Una captura de la interfaz web de Proxmox donde se vea el Datacenter con los 5 nodos en verde y el nombre AdminICluster.