Servus,
jetzt hab ich wieder eine Frage ...
Notgedrungen habe ich bisher mein kleines Drei-Node-Cluster plus pbs mit VMs, Storage und Corosync in ein und demselben Netzwerk betrieben. Die Latenz für Corosync ist ~1ms, also kein Problem, die Netzwerkauslastung hält sich in Grenzen.
Dank einiger Änderungen könnte ich das Netzwerk aber nun auftrennen und mein Guru sagt, ich soll das aus Sicherheitsgründen unbedingt tun.
Ich bin mir zwar nicht im Klaren darüber, ob der Sicherheitsgewinn dadurch so eklatant ist – alles ist Büro-intern, von außen nur per vpn erreichbar – aber der Aufwand hält sich ja in Grenzen (das Risiko hoffentlich auch...). Immerhin würde theoretisch ein Trojaner, der sich im Netz der VMs und Clients breit macht, den pbs dann nicht mehr sehen.
Es ist kein HA-Cluster, aber die VMs/Container werden mehrmals täglich auf einen zweiten Node repliziert, um längeren Ausfällen zu vorzubeugen.
Auf Node 3 läuft ein virtualisiertes NAS, das per rsnapshot Backups auf Dateiebene zieht. Pve-Version ist 7.4.
Wie man Corosync nachträglich in ein eigenes Netzwerk verlegt, ist im Wiki wirklich schön beschrieben aber ich frage mich noch, wie das mit dem Storage und dem pbs funktioniert:
Ist es ausreichend, den pbs in das neue separate Netz zu verlegen und in der storage.cfg die IPs des neuen Netzwerks einzutragen, damit sowohl die Replikation als auch die Sicherung auf dem pbs darüber laufen?
Die zweite Frage ist, wie ich die GUIs der pve, die dann ja auch nicht mehr über dasselbe Netz wie die VMs erreichbar sein sollen, davon abhalten kann, in diesem Netz weiter zu lauschen.
Geht das nur mit IPTables oder lässt sich das andernorts konfigurieren?
Besten Dank einstweilen
Grüße
Bernhard
jetzt hab ich wieder eine Frage ...
Notgedrungen habe ich bisher mein kleines Drei-Node-Cluster plus pbs mit VMs, Storage und Corosync in ein und demselben Netzwerk betrieben. Die Latenz für Corosync ist ~1ms, also kein Problem, die Netzwerkauslastung hält sich in Grenzen.
Dank einiger Änderungen könnte ich das Netzwerk aber nun auftrennen und mein Guru sagt, ich soll das aus Sicherheitsgründen unbedingt tun.
Ich bin mir zwar nicht im Klaren darüber, ob der Sicherheitsgewinn dadurch so eklatant ist – alles ist Büro-intern, von außen nur per vpn erreichbar – aber der Aufwand hält sich ja in Grenzen (das Risiko hoffentlich auch...). Immerhin würde theoretisch ein Trojaner, der sich im Netz der VMs und Clients breit macht, den pbs dann nicht mehr sehen.
Es ist kein HA-Cluster, aber die VMs/Container werden mehrmals täglich auf einen zweiten Node repliziert, um längeren Ausfällen zu vorzubeugen.
Auf Node 3 läuft ein virtualisiertes NAS, das per rsnapshot Backups auf Dateiebene zieht. Pve-Version ist 7.4.
Wie man Corosync nachträglich in ein eigenes Netzwerk verlegt, ist im Wiki wirklich schön beschrieben aber ich frage mich noch, wie das mit dem Storage und dem pbs funktioniert:
Ist es ausreichend, den pbs in das neue separate Netz zu verlegen und in der storage.cfg die IPs des neuen Netzwerks einzutragen, damit sowohl die Replikation als auch die Sicherung auf dem pbs darüber laufen?
Die zweite Frage ist, wie ich die GUIs der pve, die dann ja auch nicht mehr über dasselbe Netz wie die VMs erreichbar sein sollen, davon abhalten kann, in diesem Netz weiter zu lauschen.
Geht das nur mit IPTables oder lässt sich das andernorts konfigurieren?
Besten Dank einstweilen
Grüße
Bernhard
