Proxmox — совместное использование хранилища между виртуальными машинами в разных подсетях

Proxmox — совместное использование хранилища между виртуальными машинами в разных подсетях

У меня есть вопрос, как я могу предоставить общий доступ к диску в разных подсетях домашней сети (например, 192.168.1.1 и 10.0.0.1) разным виртуальным машинам. В тех же подсетях сети я только что установил хранилище NFS, но как мне настроить его так, чтобы оно было доступно и в других подсетях сети?

Я хочу разместить веб-сайт самостоятельно, но для безопасности разместить его в отдельной сетевой подсети для всех моих других устройств дома. Однако мне все равно нужно как-то поделиться хранилищем или хотя бы папкой.

То же самое с Nextcloud, я хочу иметь его в отдельной подсети, но при этом быть доступным для моей основной подсети. Просто чтобы была какая-то безопасность и разделение моей домашней сети от того, что открыто для интернета.

На моем сервере работает Proxmox 5.1, в настоящее время только LXC, но для внешнего веб-сайта и Nextcloud я планирую установить 2 отдельные виртуальные машины, которые будут использовать два разных виртуальных моста (брандмауэр — pfsense, еще одна виртуальная машина на Proxmox).

Надеюсь, это понятно. Спасибо за помощь!

решение1

Много чего нужно рассмотреть, но позвольте мне попробовать. Во-первых: если все соответствующие хосты (ВМ) используют одну и ту же ВМ pfSense в качестве шлюза по умолчанию, то pfSense будет знать, как маршрутизировать трафик в обоих направлениях. Далее: добавили ли вы правила брандмауэра для разрешения трафика? У pfSense есть некоторые правила по умолчанию для (1) WAN + (1) LAN, чтобы разрешить весь исходящий трафик из LAN, но любые добавляемые вами интерфейсы OPT поставляются с правилом Deny по умолчанию. Если трафик разрешен, явный запрос на определенный хост/службу должен работать, но имейте в виду, что широковещательный трафик (реклама службы/обнаружение сети) будет заблокирован. Отдельные подсети = отдельные широковещательные домены. Для передачи файлов на ваш веб-сервер я бы рекомендовал вам рассмотреть sftp (ftp через ssh) вместо NFS на вашем хосте, доступном через Интернет, если только вы не уверены, что ограничили доступ только из вашей LAN. Насколько вы защищены, помещая хосты в отдельные подсети, зависит от того, что вы настраиваете в правилах брандмауэра pfSense: если вы разрешаете все, то вы блокируете только автоматическое обнаружение сети: по сути, безопасность через неизвестность. Преимущество безопасности возникает, когда вы разрешаете только необходимые коммуникации. В этом случае я ожидаю, что вы разрешите соединения из вашей «LAN» к веб-хосту, но не разрешите ничего, инициируемого в обратном направлении. Если вам НЕ НУЖНО все это в одном корпусе, для домашней установки я бы хотел отдельный корпус для брандмауэра pfSense, а не выставлять физический интерфейс ProxMox в Интернет. Я не говорю, что вы не можете этого сделать. Я сделал. У меня есть коробка Debian, установленная в центре обработки данных, на которой запущен KVM/QEMU с pfSense на виртуальной машине, работающей OpenVPN, и несколько виртуальных машин LAN и DMZ: по сути, это была локальная сеть офиса клиента, и они стали достаточно маленькими, что закрыли свои кирпичные и цементные, и теперь все работают из дома. Это было забавное занятие, но не думаю, что я буду делать его снова.

Связанный контент