Das kommt sehr darauf an, wie man die Storage einbindet. Wenn diese "roh" an den Container durchreicht, dann obliegt die komplette Rechtekontrolle dem Container, dann ist das OK. Wenn man die betreffenden Dateisysteme aber direkt unter PVE anlegt und dort auch zugreifbar haben möchte oder muss, dann ist es notwendig, die User unter PVE auch anzulegen. Will man dann einen Container nutzen, muss man entweder jeden User mappen oder den Container privilegiert machen (die User müssen in jedem Fall auch im Container angelegt werden). Im letzten Fall ist die Isolation minimal.
Man hat kurz gesagt also folgende Möglichkeiten:
1. Dateisysteme roh im LXC (oder in der VM, was noch aufwendiger ist) verwalten. Nachteil: das VM-Dateisystem wird, falls nicht die gesamte Storage durchgereicht wird, in einem bestehenden PVE-Dateisystem angelegt. Nehmen wir als Beispiel ZFS in ZFS, weil man "aus Gründen" auf dem PVE ZFS nutzt und auf dem LXC-Fileserver die Möglichkeiten für Snapshots auch haben will. Damit ergeben sich die typischen Probleme: Write Amplification und ggf. zeitgleicher Lauf von Verwaltungstasks wie ZFS Scrub "innen" und "außen".
2. Dateisysteme liegen inkl. Rechten auf dem PVE, weil man dort auch direkten Zugriff haben will oder "aus Gründen" muss. Fileserver als:
a. Unprivilegierter Container. Neben der notwendigen Anlage der User zusätzlich notwendiges Mapping der LXC-User auf PVE-User. Vorteil: LXC-Kapselung.
b. Privilegierter Container. Immer noch User doppelt verwalten, aber kein Mapping. Praktisch kaum noch Kapselung vom PVE, das LXC-User root ist, Nutzen ist also fraglich, bzw. beschränkt darauf, dass nur die gemounteten Pfade zugreifbar sind - natürlich nur, solange kein Breach auftritt.
c. VM. Vorteil: volle Kapselung. Nachteil: Durchreichen der Dateisysteme praktisch nur per NFS möglich - dann braucht man aber doch zumindest NFS mit umfassenden Zugriffsrechten auf dem PVE, das ist also eine Illusion.
d. PVE. Am einfachsten einzurichten, keine Isolation.
Ich finde, bei Betrieb im Heimnetz gibt es gute Gründe für 2d. Man muss nur darauf achten, dass falls Dienste exponiert werden, diese eben selbst eine anständige Kapselung aufweisen (also vorzugsweise VMs oder zur Not unprivilegierte LXCs mit maixmal eingeschränkten Zugriffsrechten nur auf notwendige Storage-Teilbereiche). Daneben eine Backup-Strategie mit "Pull-Charakter", also separater PBS mit "Backup only"-Rechten oder ein zusätzlicher remote-PBS, der alles nur pullt (ich empfehle Buddy-Backup).
Man hat kurz gesagt also folgende Möglichkeiten:
1. Dateisysteme roh im LXC (oder in der VM, was noch aufwendiger ist) verwalten. Nachteil: das VM-Dateisystem wird, falls nicht die gesamte Storage durchgereicht wird, in einem bestehenden PVE-Dateisystem angelegt. Nehmen wir als Beispiel ZFS in ZFS, weil man "aus Gründen" auf dem PVE ZFS nutzt und auf dem LXC-Fileserver die Möglichkeiten für Snapshots auch haben will. Damit ergeben sich die typischen Probleme: Write Amplification und ggf. zeitgleicher Lauf von Verwaltungstasks wie ZFS Scrub "innen" und "außen".
2. Dateisysteme liegen inkl. Rechten auf dem PVE, weil man dort auch direkten Zugriff haben will oder "aus Gründen" muss. Fileserver als:
a. Unprivilegierter Container. Neben der notwendigen Anlage der User zusätzlich notwendiges Mapping der LXC-User auf PVE-User. Vorteil: LXC-Kapselung.
b. Privilegierter Container. Immer noch User doppelt verwalten, aber kein Mapping. Praktisch kaum noch Kapselung vom PVE, das LXC-User root ist, Nutzen ist also fraglich, bzw. beschränkt darauf, dass nur die gemounteten Pfade zugreifbar sind - natürlich nur, solange kein Breach auftritt.
c. VM. Vorteil: volle Kapselung. Nachteil: Durchreichen der Dateisysteme praktisch nur per NFS möglich - dann braucht man aber doch zumindest NFS mit umfassenden Zugriffsrechten auf dem PVE, das ist also eine Illusion.
d. PVE. Am einfachsten einzurichten, keine Isolation.
Ich finde, bei Betrieb im Heimnetz gibt es gute Gründe für 2d. Man muss nur darauf achten, dass falls Dienste exponiert werden, diese eben selbst eine anständige Kapselung aufweisen (also vorzugsweise VMs oder zur Not unprivilegierte LXCs mit maixmal eingeschränkten Zugriffsrechten nur auf notwendige Storage-Teilbereiche). Daneben eine Backup-Strategie mit "Pull-Charakter", also separater PBS mit "Backup only"-Rechten oder ein zusätzlicher remote-PBS, der alles nur pullt (ich empfehle Buddy-Backup).
Und du hattest in deinen Post erst lxcs erwähnt, nicht VMs. Und auch bei VMs hast du mit durchgereichten Devices ja das Problem nicht, wenn man natürlich der VM virtuelle Platten zuweist (die dann in ZFS erstellt werden) und dann in der VM die dann wieder mit zfs, dann ist man auch selbst Schuld 