機能 #135
未完了
chuable のコンテナと VM のファイアウォールを Proxmox VE に任せる
nop_thread さんが10ヶ月前に追加.
約1ヶ月前に更新.
説明
ansible で雑にコンテナに ufw を突っ込んでファイアウォールを設定していたが、わざわざコンテナ側であれこれするよりも基盤の Proxmox VE 側にそのための機能があるのだからそちらに任せるべきな気がしてきた。
オーバーヘッドがいかほどのものかは知らないが。
コンテナならカーネルを共有していて案外コンテナ側であれこれしてもオーバーヘッドは小さいという可能性もあるかもしれない。
Proxmox VE 側に任せると ansible から自動化するのが面倒なので悩ましい。
今のところ、ポート単位や kagamidai の IP アドレス範囲にほぼ非依存なルールについては ufw でコンテナ側に持たせ、ネットワーク構成次第で変化しうる IP アドレス等に依存するものは Proxmox VE 側に持たせるつもりでいる。
Proxmox VE だと IP Set などに別名を付けられるので多少管理がしやすい。
とはいえ web UI からポチポチするのは手間なので、あまり規模が大きくなったりルールが複雑になるようだと ansible から API を叩くことも視野に入れる必要があるかもしれないが……
とりあえず VLAN 単位での規制ができれば基本的には問題ないだろう。
DB と app frontend を分けて立てたりするようだと DB コンテナへのホスト単位でのアクセス制限を追加したくなったりするだろうが、今のところそのような運用はしていないし、もしやるとしても frontend をオートスケールさせたりしない限りは手作業でどうにかできるはず。
(オートスケールさせるなら #338 が先になる。)
- 優先度 を 低め から 低:暇なとき に変更
- 前回確認日 を 2024/05/26 から 2024/10/15 に変更
他の形式にエクスポート: Atom
PDF