Proxmox - совместное использование хранилища между виртуальными машинами в разных подсетях

870
Svarto

У меня есть вопрос, как я могу разделить диск между различными подсетями домашней сети (например, 192.168.1.1 и 10.0.0.1) для разных виртуальных машин. В одной и той же сетевой подсети я просто установил хранилище NFS, но как я могу настроить его так, чтобы он также был доступен для других сетевых подсетей?

Я хочу самостоятельно разместить веб-сайт, но в целях безопасности поместите его в отдельную сетевую подсеть на все остальные мои домашние устройства. Тем не менее, каким-то образом мне все еще нужно разделить хранилище или хотя бы папку.

То же самое с Nextcloud, я хочу иметь это в отдельной подсети, но все же быть доступным для моей основной подсети. Просто для того, чтобы по сравнению с моей домашней сетью существовала некоторая безопасность и разделение с тем, что открыто для Интернета.

Мой сервер работает под управлением Proxmox 5.1, в настоящее время только LXC, но для веб-сайта с внешним размещением и Nextcloud. Я планирую установить 2 отдельные виртуальные машины, которые используют два разных виртуальных моста (межсетевой экран - это pfsense, другая виртуальная машина на Proxmox).

Надеюсь, что это имеет смысл, спасибо за вашу помощь!

0
Как вы думаете, почему подсети имеют значение в использовании NFS? grawity 6 лет назад 1
Хм, хорошо, я попытался получить доступ к машине на 10.0.0.1 из виртуальной машины с IP 192.168.1.1, и у меня были проблемы - но вы говорите, что они могут легко соединяться друг с другом, как если бы они оба находились в одном диапазоне IP (например, оба на 192.168.1.1)? Тогда мои проблемы, должно быть, были вызваны чем-то другим, я думаю ... Я думал, что это потому, что они были в двух разных подсетях. Затем меня смущает, почему рекомендация по улучшению безопасности при представлении приложения в Интернете - это поместить его в другую подсеть - если общение так же просто для всех других подсетей, тогда зачем беспокоиться? Я не совсем понимаю... Svarto 6 лет назад 0

1 ответ на вопрос

0
Shawn Hughes

Много адресовано, но позвольте мне попробовать. Во-первых: если все заинтересованные хосты (ВМ) используют ту же виртуальную машину pfSense, что и их шлюз по умолчанию, то pfSense будет знать, как маршрутизировать трафик в обоих направлениях. Далее: вы добавили правила брандмауэра, чтобы разрешить трафик? pfSense имеет некоторые правила по умолчанию для (1) WAN + (1) LAN, чтобы разрешить весь выход из LAN, но все добавляемые вами интерфейсы OPT поставляются с правилом Deny по умолчанию. Если трафик разрешен, должен работать явный запрос для конкретного хоста / службы, но знать, что широковещательный трафик (реклама службы / обнаружение сети) будет заблокирован. Отдельные подсети = отдельные широковещательные домены. Для передачи файлов на ваш веб-сервер я бы порекомендовал вам использовать sftp (ftp over ssh), а не NFS на вашем хосте, доступном через Интернет, если вы не уверены, что у вас ограничен доступ только из вашей локальной сети. Степень защиты, которую вы получаете, размещая узлы в отдельных подсетях, зависит от того, что вы настраиваете в правилах брандмауэра pfSense: если вы разрешаете все, вы блокируете только автоматическое обнаружение сети: в основном безопасность через скрытность. Преимущество безопасности возникает, когда вы разрешаете только необходимые коммуникации. В этом случае я ожидаю, что вы разрешите соединения из вашей «локальной сети» с веб-хостом, но не разрешите ничего инициировать в обратном направлении. Если вам НЕ НУЖНО все это в одном блоке, для домашней установки я бы хотел выделить специальный блок для брандмауэра pfSense, а не открывать физический интерфейс ProxMox для Интернета. Я не говорю, что ты не можешь сделать это. Я имею. У меня есть коробка Debian, расположенная в центре обработки данных, где работает KVM / QEMU с pfSense на виртуальной машине с OpenVPN, и несколько виртуальных машин LAN и DMZ: в основном это была офисная локальная сеть клиента, и они стали достаточно маленькими, закрыли свой кирпич и миномет, и теперь все работают из дома. Это было забавное упражнение, но я не думаю, что сделаю это снова.

Похожие вопросы