24T28: Firewall w Proxmox: Pierwsze Kroki [Praktyczny Poradnik]

Link do filmu na YT oraz jego transkrypcja.

Link do artykułu.

0:00 Wprowadzenie

0:18 Instalacja SQL Server 2022 Express

0:44 Instalacja SQL Server Management Studio

1:52 Proxmox

6:13 Podsumowanie

Transkrypcja

Cześć. W tym materiale pokażę, jak uruchomić podstawowe funkcje w Proxmox oraz w jaki sposób można przeglądać na żywo logi dotyczące Firewalla na maszynie lub na całym klastrze.

Aby zainstalować SQL Server 2022 Express pobierz instalator z oficjalnej strony Microsoft, uruchom go i wybierz typ instalacji. Zaakceptuj warunki licencyjne a następnie wybierz miejsce gdzie chcesz zainstalować serwer. Po pobraniu i zainstalowaniu plików skonfiguruj nazwę instancji i opcję autoryzacji.

Po zakończeniu instalacji aby zarządzać bazą danych pobierz i zainstaluj SQL Server Management Studio. Warto pamiętać że SQL Server express używa dynamicznych portów do komunikacji co może wymagać dodatkowej konfiguracji w środowiskach z ograniczeniami sieciowymi. Mimo, że SQL Server express ma pewne ograniczenia takie jak limit wielkości bazy danych do 10 gb i mniejszą wydajność w porównaniu do pełnej wersji jest darmowy i idealny dla mniejszych aplikacji oraz edukacyjnych projektów.

Aby aplikacje klienckie mogły automatycznie wykrywać port na którym działa SQL Server musi być uruchomiona usługa SQL Server browser. Jest ona domyślnie wyłączona po instalacji SQL Server ale jej aktywacja udostępnia informacje o instancjach SQL Server oraz ich portach. Dodatkowo Firewall musi pozwalać na ruch przez ten port używany przez SQL Server browser do przesyłania tych danych.

W Proxmox istnieje Firewall na poziomie całego klastra. Jest on domyślnie wyłączony. Można go aktywować na poziomie klastra, co pozwala na zarządzanie regułami zapory sieciowej dla całego środowiska. Proxmox oferuje również Firewall na poziomie poszczególnych maszyn wirtualnych. Każda maszyna wirtualna może mieć własne, niezależne reguły Firewalla, które mogą być konfigurowane oddzielnie.

W ustawieniach karty sieciowej czyli interfejsu sieciowego maszyny wirtualnej znajduje się opcja czyli check box dotyczący aktywacji Firewalla. Jest to miejsce w którym można włączyć lub wyłączyć Firewalla dla konkretnego interfejsu. Przy tworzeniu nowej maszyny wirtualnej opcja Firewalla na poziomie interfejsu sieciowego jest domyślnie zaznaczona czyli włączona. Oznacza to, że jeśli globalna obsługa Firewalla jest aktywna to Firewall dla tej maszyny będzie również aktywny.

Reguły Firewalla w Proxmox są przetwarzane w kolejności od góry do dołu dlatego kolejność reguł ma znaczenie ponieważ 1 pasująca reguła determinuje działanie dla danego ruchu sieciowego. Możesz definiować reguły ogólne na poziomie klastra, które będą miały zastosowanie dla wszystkich maszyn wirtualnych. Reguły specyficzne możesz również ustawić bardziej szczegółowo na poziomie poszczególnych maszyn wirtualnych, które będą miały priorytet nad regułami ogólnymi.

Zakładka Log w Proxmox to miejsce gdzie możesz monitorować ruch sieciowy w czasie rzeczywistym. Działa ona jako panel podglądu pokazując logi zdarzeń Firewalla, które mogą odejmować zarówno ruch przychodzący jak i wychodzący a także blokowane i dozwolone połączenia. Wybór statycznych portów TCP dla SQL Server niesie ze sobą kilka istotnych korzyści. Po 1 ułatwia to monitorowanie serwera. Narzędzia do monitoringu takie jak Kuma uptime mogą efektywnie śledzić serwer gdy numer portu jest stały i przewidywalny.

Po 2 stosowanie dynamicznych portów może prowadzić do problemów ze stabilnością. Znane są przypadki gdy po restarcie usługi SQL Server przydzielony port wykraczał poza dopuszczalny zakres portów TCP,
co skutkowało niedostępnością serwera. Taka sytuacja może być wynikiem błędu bez SQL Server ale podkreśla ono ryzyko związane z dynamicznym przydzielaniem portów.

Wreszcie niektóre aplikacje klienckie mają specyficzne wymagania dotyczące numeracji portów które mogą być związane z ich systemami licencjonowania. Zmiana portu wynikająca z użytkowania dynamicznych portów może uniemożliwić tym aplikacjom połączenie się z serwerem. Używanie statycznych portów eliminuje te problemy zapewniając stabilne i zgodne z wymaganiami środowisko pracy.

Po zainstalowaniu SQL Server usługa serwera działa domyślnie na dynamicznie przypisanym porcie TCP takim jak na przykład 48532. Standardowym portem dla SQL Server jest jednak 1433 ale ze względów bezpieczeństwa często używa się niestandardowych portów. W środowiskach produkcyjnych dynamiczne porty mogą prowadzić do problemów zwłaszcza gdy ich numer się zmienia dlatego zaleca się wyłączenie dynamicznego przydzielania portów i ustawienie stałego numeru portu aby zapewnić stabilność połączeń.

Informacja o instancjach SQL Server można uzyskać poprzez wysłanie odpowiedniego zapytania do serwera. Jeśli SQL Server browser jest aktywny i port jest dostępny otrzymamy odpowiedź zawierającą dane takie jak nazwa serwera, nazwa instalacji i wersja SQL Server, używany protokół TCP oraz przypisany numer portu.

Dziękuję za obejrzenie materiału. Jeżeli masz pytania czy sugestie proszę zostaw w komentarzu. tematyka Firewalla jest na tyle dużym obszarem że w kilku minutach nie da się objąć całości zagadnienia natomiast jest to po prostu pokazanie, że taka funkcjonalność jest do uruchomienia w sposób szybki oraz zachętą do dalszego zgłębiania funkcjonalności.