Для малого и среднего бизнеса важно получить инфраструктуру, которая будет достаточно гибкой, безопасной и при этом не слишком сложной в сопровождении. Во многих случаях для этого не требуется дорогая облачная платформа или сложный корпоративный кластер. Достаточно одного правильно подготовленного сервера, на котором можно развернуть гипервизор, firewall и настроить резервное копирование.
Именно для таких задач подходит связка Proxmox VE + OPNsense + виртуальные машины Windows или Linux. Она позволяет собрать удобную платформу для удалённой работы, внутренних сервисов, терминальных машин, VPN-доступа, сегментации сети, а также размещения внутренних и публичных сервисов компании.
Такой подход особенно удобен для:
- малого и среднего бизнеса;
- небольших офисов;
- удалённых команд;
- компаний, которым нужны виртуальные рабочие места;
- инфраструктуры с безопасным доступом через VPN;
- размещения внутренних сервисов, сайтов и баз данных.
Что можно построить на такой схеме
После развёртывания такой платформы можно использовать её не только для рабочих виртуальных машин, но и для других задач бизнеса. Например:
- размещать внутренние сервисы;
- публиковать сайты и веб-приложения;
- держать базы данных внутри защищённого сегмента;
- организовать VPN-доступ для сотрудников;
- разделять рабочие машины, серверы приложений и сервисные узлы по разным сетям.
OPNsense позволяет публиковать внутренние веб-сервисы через NAT / Port Forward, а также использовать reverse proxy для маршрутизации HTTP(S)-трафика к внутренним приложениям. Это подходит для сайтов, панелей управления, внутренних веб-систем и других сервисов. При этом сам firewall лучше использовать как точку маршрутизации, фильтрации и публикации, а не как место, где напрямую размещается сайт или PHP-приложение.
Базы данных тоже можно размещать в такой инфраструктуре, но обычно их оставляют во внутренней сети, без прямой публикации в интернет. Это безопаснее и лучше соответствует типовой архитектуре малого и среднего бизнеса. Возможность открыть доступ к отдельным сервисам при необходимости сохраняется за счёт правил firewall и NAT в OPNsense.
Что будет в этой серии статей
1. Установка Proxmox VE
2. Базовая настройка сети на сервере
Во второй статье описывается настройка сетевой схемы хоста: внешний bridge для WAN и внутренний bridge для локальной сети виртуальных машин.
3. Настройка OPNsense
В третьей статье рассматривается установка OPNsense в виртуальной машине, настройка WAN и LAN, подключение внутренних ВМ и организация безопасного доступа через VPN.
Что получится в итоге
После прохождения всех этапов вы получите рабочую схему, в которой:
- Proxmox VE выступает как гипервизор;
- OPNsense управляет внешним и внутренним трафиком;
- виртуальные машины находятся во внутреннем сегменте;
- доступ к инфраструктуре можно организовать через VPN;
- сайты, панели и веб-сервисы можно публиковать через OPNsense;
- базы данных можно держать во внутренней сети и не открывать напрямую наружу.
Такая архитектура хорошо подходит для малого и среднего бизнеса, потому что даёт баланс между стоимостью, управляемостью и безопасностью. Она позволяет начать с одного сервера, а затем постепенно расширять инфраструктуру по мере роста задач.