Proxmox VE hat seit der 8er Version die Möglichkeit, Software-Defined Networking einzusetzen. Ein SDN lässt sich mit Software Netzwerk-Topologien erstellen, benötigt aber in diesem Fall auch Hardware (Netzwerkkarte und Switch) für die Verbindung untereinander. Bei der VLAN Zone können die Nodes in einem Proxmox VE Cluster miteinander verbunden werden. Die VLAN Zone nutzt hier bei VLAN Tags, um eine Abschottung zu erreichen.
Wichtig ist hierbei, das sowohl die Bridges auf den Nodes, wie auch die Hardware-Switches die VLANs unterstützen und diese natürlich auch auf den Ports konfiguriert sind.
Was ist jetzt der Vorteil dieser VLAN Zone?
Die Namen bzw. IDs der VLAN Netze werden als Netzwerkschnittstelle für die VMs und Container genutzt. Damit ist die Namensgebung im gesamten Cluster gleich. Nur die genutzte Bridge muss auf jedem Node vorhanden sein und den gleichen Namen besitzen. Auf diese Bridge können dann verschiedene virtuelle Netze gebunden werden. Gerade in großen Clustern ist damit eine Verwechselung der Bridges nahezu ausgeschlossen.
Was ist das Problem der Verwechslung von Bridges?
Wenn wir zum Beispiel eine Bridge vmbr1 für das Büronetz und eine Bridge vmbr2 für die DMZ definiert haben, dann binden wir die jeweiligen VMs und Container auf diese beiden Bridges. Und zwar eine VM für das Büronetz mit vmbr1 und eine VM für die DMZ auf vmbr2. Zieht die VM jetzt von Node1 auf Node2 um, so muss die Bridge dort gleich heißen und auch die gleiche Funktion haben. Wenn alle Nodes zur gleich Zeit eingerichtet werden und es nicht so viele Bridges sind, dann bekommt man das sicherlich noch hin.
Wenn aber Nodes später hinzugefügt werden, dann kann es schnell zu Verwechselungen kommen. Ist doch klar, das die Bridge 2 das Büro war …
Jetzt zieht eine VM auf diesen neuen Knoten um und plötzlich auf der Büro-Server Zugriff auf die DMZ, bzw. die DMZ hat Zugriff auf den Büroserver. Auf jeden Fall ist die Funktion nicht mehr gegeben, es muss ja nicht gleich ein Sicherheitsproblem da sein.
Und in unserer SDN Konfiguration bekommt jeder neue Knoten dann automatisch die gleiche Konfiguration. Ist die eine Basis-Bridge vorhanden, dann klappt es sicher.
