操作
機能 #135
未完了chuable のコンテナと VM のファイアウォールを Proxmox VE に任せる
開始日:
期日:
進捗率:
0%
一時中断:
いいえ
pinned:
いいえ
確認予定日:
前回確認日:
2024/10/15
管理外残件あり:
説明
ansible で雑にコンテナに ufw を突っ込んでファイアウォールを設定していたが、わざわざコンテナ側であれこれするよりも基盤の Proxmox VE 側にそのための機能があるのだからそちらに任せるべきな気がしてきた。
オーバーヘッドがいかほどのものかは知らないが。
コンテナならカーネルを共有していて案外コンテナ側であれこれしてもオーバーヘッドは小さいという可能性もあるかもしれない。
nop_thread さんが6ヶ月前に更新
Proxmox VE 側に任せると ansible から自動化するのが面倒なので悩ましい。
今のところ、ポート単位や kagamidai の IP アドレス範囲にほぼ非依存なルールについては ufw でコンテナ側に持たせ、ネットワーク構成次第で変化しうる IP アドレス等に依存するものは Proxmox VE 側に持たせるつもりでいる。
Proxmox VE だと IP Set などに別名を付けられるので多少管理がしやすい。
とはいえ web UI からポチポチするのは手間なので、あまり規模が大きくなったりルールが複雑になるようだと ansible から API を叩くことも視野に入れる必要があるかもしれないが……
とりあえず VLAN 単位での規制ができれば基本的には問題ないだろう。
DB と app frontend を分けて立てたりするようだと DB コンテナへのホスト単位でのアクセス制限を追加したくなったりするだろうが、今のところそのような運用はしていないし、もしやるとしても frontend をオートスケールさせたりしない限りは手作業でどうにかできるはず。
(オートスケールさせるなら #338 が先になる。)
操作