Merhaba değerli okuyucularım. Google analatik ‘in bana siteye giriş sayılarının düştüğünü hatırlatması ile fark ettim ki uzun süredir yaz(a)mıyorum. Aslında halihazırda bir seriye başlamıştım fakat bu araya bir süredir aklımda olan “ağ göçü” ile ilgili bir yazı sokuşturmak istiyorum. Bilmiyorum sektördeki ismi tam olarak bu mu? Daha önce bir göç hikayesi daha yazmıştım ve çok az bahsetmiştim bizdeki ağ göçünden.

Genel olarak vlan yapısı olmayan ve -eğer gerekti ise- sanal sunucuları öylesine ağdaki bazı makinelere, vbox vb sanallaştırma yazılımı ile konumlandırılmış bir ağı alıp; vlan yapısı oluşturulmuş, sanal işletim sistemleri, fiziksel bir sunucu yada sunucu kümesi üzerine taşınmış güvenli ve düzenli bir ağ haline getireceğiz.

Akıllı switchlerin ayarlanmasından, firewall un ayarlarının yapılmasına; high available bir sunucu kümesi kurulmasından, dağıtık bir disk havuzu oluşturulmasına kadar her detaya değinmeye çalışacağım; kodlar, ekran görüntüleri hatta videolar bile paylaşacağım. Haydi başlayalım.

İlk olarak VLAN yapısı olmayan bir ağ hayal edelim. Bu ağda herşey birbirine aptal switchler ile bağlı olsun. Ağda bir de storage olsun. Yine bazı fiziksel makineler üzerinde çalışan sanal sunuclar olsun. Hatta Proxmox ve Ceph disk mimarisini kullanan bir sunucu kümesi de olsun -olsun ki onun üzerinde çalışan işletim sistemlerini kayıpsız nasıl taşıyacağımızı ve eski sunucuları yeni sunucu kümesine nasıl dahil edeceğimizi görelim. Yada dahil edemeyelim rezil olalım :)- . Sonra bu ağda kameralar, iot cihazlar, ağ yazıcıları ve personel bilgisayarları da olsun. Hatta sayın valim bile bu ağ üzerinden internete çıkıyor olsun. Yetti mi? Tabi ki hayır. Yok yok yetti. Yeteri kadar karmaşıklaştırdık. Sadece boşta iyi bir sunucum olmasını istiyorum. İlk olarak onu kurup ilmek ilmek öreceğiz ağı.

Şimdi bi plan yapalım. İlk olarak sunucularımı Proxmox işletim sistemini kullanarak bir küme yapmak istiyorum. Hazır 6.0 versiyonu da yayınlanmışken. Burada kurumunuzun durumuna ve elinizdeki sunucu sayısına göre bir küme yerine tek sunucu da kullanabilirsiniz. Ama sunucu kümesi yaparsanız sunucular birbirini takip edecek ve bir problem halinde servisleriniz diğer sunucular üzerinde çalışmaya devam edecek.

Her sunucu üzerinde iki adet aynı boyutta disk olmalı. Küçük boyutlu olabilirler. Bunları raid 1 ile yapılandırıp işletim sistemini buna kuracağım. Bu sayede disklerden biri yansa bile sistem sorunsuz çalışmaya devam edebilecek.

Sonra dağıtık disk mimarasi olarak da Ceph kullanacağım bu sayede hem yüksek hızlarda okuma yazma yapabileceğiz hem de disklerde bir arıza olması durumunda veri kaybı ve kesinti olamadan sistem çalışmaya devam edebilecek. İlk iki disk hariç sunuculardaki tüm diskleri tek başına bağlayacağım, bir raid yapısı kullanmayacağım. Çünkü Ceph mimarisi disklerde kayıp olması dumunda bana tutarlılık de devamlılık sağlayacak sorun yaşamadan diski değiştirebileceğim.

Küme için 4 adet sunucu kullanacağım. Ceph 3 sunucu ile de çalışıyor fakat sunuculardan birisi düşmesi durumunda devamlılık problemleri yaşadım. Hüseyin ÇOTUK bey ile yaptığımız görüşmede kendisi 4 sunucu ile böyle bir sorun yaşanmayacağını düşündüğünü söylemişti.

Son olarak da her sunucuda bir adet ssd disk kullanmak istiyorum. Ceph mimarisinde journal disk diye birşey var. Bu disk ara bir katman olarak kullanılıyor. Ssd diskler journal disk olacak.

O zaman ilk olarak şunu yapıyoruz. Firewall üzerinde boş portlardan birini DMZ yani sunucuların bağlanacağı izole ağ olarak ayarlıyoruz. Özel bir DMZ bacağı var ise o da kullanılabilir. Araya da bir akıllı switch koyacağım çünkü adım adım fiziksel sunucularımızın tamamını buraya alacağım. Eğer şuan elimde fazladan bir akıllı switch olmasaydı geçici olarak bir aptal switch ile de işlemlerimi halledebilirdim. Çünkü bağlı portların tamamı aynı VLAN üzerinde olacak.

Ben firewall olarak fortingate kullanacağım. Ama diğer firewall lar da çok farklı değildir diye düşünüyorum. En kötü ihtimalle internette örnekleri bulunacaktır.

Bu sunucu ağına VLAN2 diyeceğim. IP aralığı da 192.168.10.0/24 olacak. Fiziksel sunuculara 192.168.10.20-100 aralığında itibaren IP vereceğim. “.1” firewall, 20 ye kadar olan ipler de switchler olacak. Sanal işletim sistemlerine de 100 den sonraki ip adreslerini vereceğim. Bu şekilde hem daha düzenli olacağını düşünüyorum hem de ileride bir sorun halinde, ip adresinden cihaz hakkında bilgi edinebileceğim.

Sonra boştaki sunucumuzu ayarlayıp, Proxmox kurup, sanal işletim sistemlerini bunun üzerine taşıyoruz. İşletim sistemlerimizin tamamını tek sunucuya sığdırabilmek için hepsinin ram boyutlarını küçülteceğim. İlk sunucuya “fiziksel1” ismini veriyorum. Diğer sunucuları da sırası ile isimlendireceğim.

Önce sunucumuzun raid yapılandırmasını ayarlayalım:

Lenovo sunucular için F1 tuşu ile raid konfigurasyon ekranına geçilebilir.

HP sunucular “Smart Storage Array” diski ile boot edilerek raid konfigurasyon ekranına geçilebilir.

Sonra raid 1 ile yapılandırdığım disk üzerine ProxmoxVE 6.0 kuruyorum. Ve akıllı switch i VLAN 2 için ayarlıyorum. Genellikle switchler üzerinde bağlantı bilgileri yazar. Bağlantı için putty programını kullanacağım.

Konsoldan bağlandığımız switch için aşağıdaki şekilde genel ayarları ve VLAN bilgilerini kaydediyoruz.

#Komut moduna geçiyoruz
_cmdline-mode on
#Şifre genelde 512900 dür
system-view

#Switch ismi
sysname Sunucu_Sw

#Zaman dilimi
clock timezone TR add 03:00:00

#Şifre ayarı
super password level 3 cipher ****

#Genel Ayarlar
lldp enable
loopback-detection enable

#admin ayarları
local-user admin
password cipher *****
authorization-attribute level 3

#admin ayarlarını görüntüle
dis th

#Güvensiz olun telnet servisini sil
undo service-type telnet

#admin kullanıcıdan çık
qu


#Yok ise VLAN' yi tanımla
vlan2
qu

#Vlan 2 ayarlarını yap
interface Vlan-interface 2
ip address 192.168.10.2 255.255.255.0
#Vlan ayarından çık
qu


#Firewall a bağlanacak portu ayarla
interface GigabitEthernet 1/0/52
dhcp-snooping trust
port link-type trunk
port trunk permit vlan all
qu


#Sunucuları bağlayacağımız portu ayarla
interface GigabitEthernet 1/0/1
port access vlan 2
qu


#switch hakkında bilgi almak gerekirse diye snmp servisini ayarlıyoruz
snmp-agent community read *****
undo snmp-agent community read public
snmp-agent sys-info version v2c
undo snmp-agent sys-info version v3


#ssh server ı aktif ediyoruz
ssh server enable


#ayarları kaydedip çıkıyoruz
save

Bu arada firewall üzerinden yeni kurduğumuz SunucuVlan ‘a ve sunucuya erişim için kendi bilgisayarıma izin veriyorum.

Sunucumuza şuan erişebiliyoruz. Taşıma işlemlerine başlayabiliriz. Bunun için iki adet yöntem kullanacağız. İlki KVM yada Proxmox platform üzerinde sanallaştırılmış olan işletim sistemlerin kopyalayarak taşınması. Proxmox da KVM kullandığı için bu işletim sistemleri sorunsuz çalışacaktır. İkincisi ise farklı platformlardaki işletim sistemlerinin CloneZilla ile taşınması.

Bu arada şunu yapmamız yerinde olacaktır. Mevcut sunucumuzun hangi portları kullanılıyor? Çünkü artık güvenli bir yapıya geçiyoruz. Her isteyen istediği yere erişemeyecek. Biz sunucumuzu yeni yerine taşıdığımızda sadece ilgili portlara erişim için izin vereceğiz. Bunu çok basit bir arayüzü olan Advanced port scanner uygulaması ile yapabiliriz.

Proxmox (yada sanal işletim sistemlerini kvm üzerinde koşturan sanallaştırma sistemi) yönetim paneline gidip yedekle diyoruz. Sonra yedeklenmiş olan “.tar.gz” (yada “.lzo”) dosyasını yeni sunucumuza taşıyoruz. Burada taşıma size kalmış flash bellek ile bile taşıyabilirsiniz. Ben ortak bir ağ paylaşımı kullanacağım. Bunun için mevcut storage üzerindeki boş ethernetlerden birini sunucu switch e bağladım ve storage için 192.168.10.35 ip adresini verdim. Böylece sunucular direk storege e bağlanabildi. Bunun yerinde yeni kurduğum sunucumdan erişim için firewall a geçici olarak bir kural da yazılabilirdi. Sonra taşıdığımız dosyayı yeni sunucu üzerine geri yükle yapıyoruz. Geri yükledikten sonra ram ve işlemci yi biraz düşürüp başlatabiliriz.

İkinci yöntem olan CloneZilla ya geçelim. Bu yöntemle fiziksel makineyi bile sanala taşıyabilirsiniz. Önce kaynak makinemizi CloneZilla iso ile başlatıp “192.168..X.X” adresi ile bir ağ kaynağı haline getiriyoruz. Sonra yeni kurduğumuz sunucuda istediğimiz özelliklerde bir makine oluşturup CloneZilla iso ile başlatıyoruz. Bunu da “192.168.X.X” adresindeki kaynağa istemci olarak bağlıyoruz. Bu, ağ üzerinden diğer sunucuyu kopya ediyor.

Sunucumuzu taşıdık. Artık bu sunucuyu kullanan kullanıcıların ayarlarını güncellemeliyiz ki kullandıkları servislere yeni yerinde erişebilsinler. Burada yine iki adet ayar yapmalıyız. İlki firewall üzerinden istenen kullanıcıların yeni sunucuya erişimi için izin. İkincisi de Proxmox firewall ayarları.

Proxmox da yerleşik bir firewall a sahiptir. Devre dışı bırakabilirsiniz ama ben kullanılması taraftarıyım. Aşağıdaki videoda tespit ettiğimiz portları nasıl açtığımızı görebilirsiniz.

Tüm sanal işletim sistemlerini taşıdık. Ayarlarını yaptık artık rahatız. Hemen bunların yedekleme emrini de oluşturalım. Belirlediğimiz aralıklarla işletim sistemleri yedeklensin.

Artık diğer tüm sunucularımız boşa çıktı. Şimdi bu sunuclarımızı da -fiziksel olarak- DMZ ‘ye taşıyoruz ve hepsine ProxmoxVE 6.0 ‘ı kuruyoruz. Bu sunucuları kurarken de ilk sunucu için uyguladığımız disk politikalarını uyguluyoruz. Ardından ilk sunucumuz lider olacak şekilde bir sunucu kümesi oluşturuyoruz.

Elimiz değmişken Cehp havuzunu da oluşturalım. Ve boştaki disklerimizin tamamını bu havuza dahil edelim.

Artık son işlem olarak da sanal işletim sistemlerinin tamamını daha güvenli olan bu havuza taşıyoruz

“HA” özelliklerini ve açılışta başlat özelliklerini ayarlıyoruz. Böylelikle yüksek erişilebilir, güvenli ve tutarlı sunucu grubumuz tamam oldu. İçeride ne olursa olsun servislerimiz durmayacak kullanıcı içerideki krizi farketmeyecek.

Burada bir dip not olarak şunu söylemek istiyorum. Sunucu odasında enerji yönetimi de çok önemli. Her sunucuya hem UPS hem de şebeke enerjisi erişiyor olmalı. Mümkünse UPS de yedekli olmalı. Aksi halde beklenmedik bir enerji kesintisi en baştan beri yaptığımız bütün önlemleri devre dışı bırakacaktır.

Hatta daha hassas sistemlerde birden fazla lokasyonda birden fazla fw ile spf nin önüne geçilmelidir. Tabi servisler de buna göre tasarlanmalıdır. Gökhan ŞENGÜN ‘ün bu konuda güzel bir yazısı var.

Bu yazı buraya kadar. Daha da uzatarak; daha da sıkıcı olmak istemiyorum. Sunucularımızı ve storage ‘i DMZ portunda yeni bir vlan ‘a taşıdık. Bir sonraki yazıda, personel bilgisayarlarını, ip kameraları, IOT cihazları yani geri kalan herşeyi ilgili vlanlara taşıma işlemini yapacağız. Görüşmek dileğiyle.