Actividad: Despliegue sobre Redes Sementadas (VLAN-Aware)

Objetivos

Seguridad de Gestión: Implementar certificados SSL válidos en la interfaz de administración de Proxmox VE.
Segmentación de Red: Configurar una VLAN específica para el despliegue de servicios.
Documentación: Actualizar la "Fuente de Verdad" en NetBox con la nueva configuración de red.

Parte 1: Instalación de Certificado SSL en Proxmox VE

De manera predeterminada, el acceso a la interfaz web de gestión de Proxmox utiliza un certificado autofirmado que es generado durante el proceso de instalación; por eso debemos configurar la excepción de seguridad al conectarnos por primera vez, ya que al ser autofirmado, no está validado por ninguna entidad certificadora publica en Internet.

![[proxmox-console.png]]

Por consiguiente, desde la herramienta de gestión de incidentes, cada equipo recibirá una solicitud de servicio que incluirá un archivo de certificado (GXPVEfullchain.pem) y una clave privada (GXPVEprivkey.pem). Se deberá reemplazar en el nodo del grupo el certificado autofirmado por defecto para asegurar el acceso vía HTTPS desde la red VPN.

Una vez importado el certificado, el acceso al portal de gestión de Proxmox deberá realizarse utilizando su FQDN (Full Qualified Domain Name), validando así la identidad del host y la integridad de la conexión. A continuación, se detallan los parámetros de red para cada grupo:

Grupo	Hostname PVE	IP Gestión (PVE)	FQDN
G1	ai-pve01	10.128.1.11	ai-pve01.tipyenaccion.net
G2	ai-pve02	10.128.1.12	ai-pve02.tipyenaccion.net
G3	ai-pve03	10.128.1.13	ai-pve03.tipyenaccion.net
G4	ai-pve04	10.128.1.14	ai-pve04.tipyenaccion.net
G5	ai-pve05	10.128.1.15	ai-pve05.tipyenaccion.net

Procedimiento

La carga de los certificados puede realizarse desde la CLI o la interfaz web de Proxmox. En esta instancia utilizaremos la consola web: seleccione el nodo correspondiente y diríjase a la sección System > Certificates. Allí podrá visualizar los certificados cargados actualmente.

![[proxmox-certificates.png|900]]

Desde el boton Upload Custom Certificate, podemos importar el certificado y su llave privada desde un archivo o cargando el contenido directamente:

![[proxmox-certificate-load.png]]

Sobre la carga del certificado vía la web (GUI)

Luego de cargar el certificado por la web, Proxmox reiniciara automáticamente el servicio pveproxy para aplicar los cambios. Por esta razón la conexión se perderá por unos segundos y se deberá recargar la pagina (esta vez sin la advertencia de seguridad).

Parte 2: Segmentación de Red y Enrutamiento Inter-VLAN

En esta etapa, cada equipo deberá extender la conectividad de su infraestructura. Se requiere configurar el etiquetado de tráfico (VLAN Tagging) tanto en el switch físico como en el entorno virtual, utilizando el router VyOS (GXPRO01) como gateway para permitir la salida a Internet a una maquina virtual llamada GXPSR01.

Tabla de Direccionamiento y Segmentación

Grupo	VLAN ID	VLAN Name	Red (CIDR)	IP Gateway (VyOS)	Rango Útil VM
G1	21	G1PVL_SERVER	10.129.0.0/25	10.129.0.1/25	10.129.0.2 - 10.129.0.126
G2	22	G2PVL_SERVER	10.130.0.0/25	10.130.0.1/25	10.130.0.2 - 10.130.0.126
G3	23	G3PVL_SERVER	10.131.0.0/25	10.131.0.1/25	10.131.0.2 - 10.131.0.126
G4	24	G4PVL_SERVER	10.132.0.0/25	10.132.0.1/25	10.132.0.2 - 10.132.0.126
G5	25	G5PVL_SERVER	10.133.0.0/25	10.133.0.1/25	10.133.0.2 - 10.133.0.126

2.1: Configuración del Hipervisor (VLAN Aware)

Antes de proceder con el etiquetado en el switch físico, debemos asegurar que el bridge de Proxmox sea capaz de procesar y reenviar tramas con etiquetas 802.1Q.

Procedimiento en Proxmox VE:

En el panel lateral, seleccione su Nodo Físico y diríjase a System -> Network.
Identifique el bridge principal (vmbr0).
Haga clic en Edit y asegúrese de que la casilla VLAN aware esté marcada.
Aplicar cambios: Presione el botón Apply Configuration (esto aplicará los cambios en caliente sin necesidad de reiniciar el nodo físico).

Validación

Si este paso no se realiza, el bridge funcionará de forma "ciega" a las etiquetas, ignorando cualquier configuración de VLAN que se asigne a las interfaces de las máquinas virtuales.

2.2: Configuración del Switch Físico

![[admininfra_core.excalidraw|900]] Topología con VLAN y router VyOS

Para que el tráfico de las VLANs de servicios pueda fluir entre los nodos físicos y el router, cada grupo debe configurar el switch de agregación utilizado en el curso.

Acceso al Switch

![[admininfra-sw-login.png]]

Dispositivo: admininfra-sw1
Método: Interfaz Web (HTTP/HTTPS) vía su IP de gestión 10.128.0.4 .
Credenciales:
- Usuario: admin
- Clave: admin

Configuraciones en el Switch

Creación de VLAN:
- Navegar a la sección: L2 FEATURES -> VLAN -> 802.1Q VLAN.
- Registrar el VLAN ID y el VLAN Name asignado a su equipo según la tabla de direccionamiento (ej. grupo: 1, Name: G1PVL_SERVER).
Asignación de puertos a VLAN:
- Una vez creada la VLAN, ingresar a la operación VLAN Config.
- Se debe agregar bajo Tagged Ports (puertos etiquetados) los siguientes interfaces:
  - Los puertos físicos donde se encuentran conectados los nodos de Proxmox.

![[admininfra-sw-vlan-config.png|697]]

Ejemplo VLAN Config: Donde se muestre la base de datos de VLANS registradas

Parte 3: Configuración de Gateway en VyOS (GXPRO01)

3.1: Adición de Interfaz de Red al Router Virtual (Proxmox)

Para que el router GXPRO01 pueda gestionar el tráfico de la nueva red, debemos agregarle una nueva tarjeta de red virtual desde el panel de Proxmox.

Procedimiento en la GUI de Proxmox:

Seleccione la VM GXPRO01 y diríjase a la pestaña Hardware.
Haga clic en Add -> Network Device.
Configure los siguientes parámetros:
- Bridge: vmbr0 (el que configuramos como VLAN Aware).
- VLAN Tag: El ID de su grupo (ej. 21, 22, etc.).
- Model: VirtIO (paravirtualized).
Haga clic en Add.
Nota: En VyOS, esta nueva interfaz aparecerá generalmente como eth1 (o la siguiente disponible). Verifíquelo con show interfaces dentro del router.

3.2: Configuración Lógica en VyOS

Ahora que el router tiene el "cable" conectado a la VLAN, procedemos a darle identidad IP dentro del SO.

Información

Al haber asignado el Tag de VLAN directamente en el hardware de la VM (paso anterior), en VyOS configuraremos la IP sobre la interfaz física (ej. eth1) directamente, ya que Proxmox se encarga de entregarle el tráfico ya "desetiquetado" (untagged) a la VM.

Comandos en VyOS:

configure

# Configurar la IP en la nueva interfaz (asumiendo que es eth1)
set interfaces ethernet eth1 address <IP_GATEWAY>/25
set interfaces ethernet eth1 description "Gateway VLAN Servidores"

# Configurar NAT para que esta red tenga salida
set nat source rule 100 source address 10.1XX.0.0/25
set nat source rule 100 outbound-interface name eth0
set nat source rule 100 translation address masquerade

commit
save

Parte 4: Despliegue de Servidores mediante Plantillas Cloud-Init

Para optimizar el despliegue y asegurar la estandarización, no realizaremos una instalación manual desde un ISO. En su lugar, utilizaremos una plantilla (template) con Cloud-Init previamente preparada en el clúster.

Sobre Cloud-Init

Cloud-init es una herramienta ampliamente usada en entornos cloud y virtualización que permite configurar automáticamente una máquina virtual o instancia en su primer arranque. Funciona leyendo datos de inicialización (llamados user-data y meta-data) desde distintas fuentes (como ISO, metadata de cloud providers o incluso Proxmox), y con eso puede:

Crear usuarios y configurar claves SSH
Instalar paquetes
Ejecutar scripts
Configurar red, hostname, etc.

4.1: Clonación de la Plantilla

Cada equipo debe localizar la plantilla base (vm-server-cloudinit-template) y proceder de la siguiente manera:

Clonar como "Full Clone": Crear una copia independiente de la plantilla y nombrarla como GXPSR01.
Configuración de Red (Hardware): * En la pestaña Network, editar la interfaz de red.
- Asegurarse de que el bridge sea vmbr0 y, lo más importante, asignar el VLAN Tag correspondiente a su grupo (ej. 21, 22, etc.).

4.2: Personalización vía Cloud-Init

Antes de iniciar la VM por primera vez, deben configurar los parámetros de personalización en la sección Cloud-Init de la máquina virtual en Proxmox:

User: Definir un usuario administrador (ej. gx-admin).
Password: Establecer una contraseña segura.
IP Config (IPv4): Seleccionar modo Static.
- IPv4/CIDR: Ingresar la IP del rango útil (ej. 10.129.0.2/25).
- Gateway (Default GW): Ingresar la IP de su interfaz VyOS (10.1XX.0.1).
DNS Settings: Configurar los servidores DNS (ej. 192.168.100.30).

Información Útil

Una vez configurados los parámetros, es necesario presionar el botón Regenerate Image para que Proxmox actualice el archivo ISO de Cloud-Init que la VM leerá al arrancar.

4.3: Arranque y Validación

Inicie la VM y acceda vía consola.
Verifique que la configuración de red se haya aplicado correctamente con el comando ip a.
Prueba de Fuego: Realice un ping 8.8.8.8. Si hay respuesta, el flujo completo (VM -> Cloud-Init -> Proxmox Bridge -> Switch Físico -> VyOS -> Internet) es funcional.

Parte 5: Documentación en NetBox

Para dar por finalizada la actividad, cada equipo deberá actualizar el inventario técnico en NetBox. La información en NetBox debe coincidir exactamente con la implementación física y virtual realizada.

5.1. Gestión de Direccionamiento (IPAM)

VLANs: Registrar la VLAN correspondiente (ID y Nombre) asociada al Site de la sede.
Prefixes: Declarar el prefijo de red /25 asignado, vinculándolo a la VLAN creada anteriormente.
IP Addresses: * Registrar la IP del Gateway en la interfaz del router VyOS.
- Registrar la IP estática asignada a la VM GXPSR01.
- Ambas deben estar en estado Active.

5.2. Infraestructura Virtual (Virtualization)

Virtual Machines: Crear/Actualizar el objeto para el router GXPRO01 y la nueva VM GXPSR01.
- Asociar cada VM al Cluster de Proxmox del laboratorio.
- Especificar recursos (vCPU, RAM, Disk) que fueron utilizados.
VM Interfaces: * Documentar las interfaces virtuales de cada máquina.
- Asegurar que la interfaz de la VM de servicios esté asociada a la VLAN del grupo en modo Access.