Вступ
Для малого та середнього бізнесу важливо отримати інфраструктуру, яка буде достатньо гнучкою, безпечною і водночас не надто складною в супроводі. У багатьох випадках для цього не потрібна дорога хмарна платформа або складний корпоративний кластер. Достатньо одного правильно підготовленого сервера, на якому можна розгорнути гіпервізор, firewall і налаштувати резервне копіювання.
Саме для таких завдань добре підходить зв’язка Proxmox VE + OPNsense + віртуальні машини Windows або Linux. Вона дозволяє побудувати зручну платформу для віддаленої роботи, внутрішніх сервісів, термінальних машин, VPN-доступу, сегментації мережі, а також розміщення внутрішніх і публічних сервісів компанії.
Такий підхід особливо зручний для:
- малого та середнього бізнесу
- невеликих офісів
- віддалених команд
- компаній, яким потрібні віртуальні робочі місця
- інфраструктури з безпечним доступом через VPN
- розміщення внутрішніх сервісів, сайтів і баз даних
Що можна побудувати на такій схемі
Після розгортання такої платформи її можна використовувати не лише для робочих віртуальних машин, а й для інших бізнес-завдань. Наприклад:
- розміщувати внутрішні сервіси
- публікувати сайти та вебзастосунки
- тримати бази даних усередині захищеного сегмента
- організувати VPN-доступ для співробітників
- розділяти робочі машини, сервери застосунків і сервісні вузли між різними мережами
OPNsense дозволяє публікувати внутрішні вебсервіси через NAT / Port Forward, а також використовувати reverse proxy для маршрутизації HTTP(S)-трафіку до внутрішніх застосунків. Це підходить для сайтів, панелей керування, внутрішніх вебсистем та інших сервісів. Водночас сам firewall краще використовувати як точку маршрутизації, фільтрації та публікації, а не як місце, де безпосередньо розміщується сайт або PHP-застосунок.
Бази даних також можна розміщувати в такій інфраструктурі, але зазвичай їх залишають у внутрішній мережі без прямої публікації в інтернет. Це безпечніше і краще відповідає типовій архітектурі малого та середнього бізнесу. Можливість відкрити доступ до окремих сервісів за потреби зберігається завдяки правилам firewall і NAT в OPNsense.
Що буде в цій серії статей
У другій статті описується налаштування мережевої схеми хоста: зовнішній bridge для WAN і внутрішній bridge для локальної мережі віртуальних машин.
У третій статті розглядається встановлення OPNsense у віртуальній машині, налаштування WAN і LAN, підключення внутрішніх ВМ і організація безпечного доступу через VPN.
Що вийде в підсумку
Після проходження всіх етапів ви отримаєте робочу схему, у якій:
- Proxmox VE виступає як гіпервізор
- OPNsense керує зовнішнім і внутрішнім трафіком
- віртуальні машини знаходяться у внутрішньому сегменті
- доступ до інфраструктури можна організувати через VPN
- сайти, панелі та вебсервіси можна публікувати через OPNsense
- бази даних можна тримати у внутрішній мережі й не відкривати безпосередньо назовні
Така архітектура добре підходить для малого та середнього бізнесу, оскільки дає баланс між вартістю, керованістю та безпекою. Вона дозволяє почати з одного сервера, а потім поступово розширювати інфраструктуру в міру зростання завдань.