在 Proxmox 中原型化企业基础设施:11+ 台虚拟机、8 个 VLAN 和 Ansible 自动化
发布: (2026年1月5日 GMT+8 01:53)
4 min read
原文: Dev.to
Source: Dev.to
为什么先在虚拟机中测试?
- 网络配置错误 在 VLAN 中被捕获,避免在购买物理交换机后才发现。
- 资源受限 在订购硬件前被识别。
- 备份失败 在测试阶段被发现,而不是在灾难发生时才暴露。
- 自动化问题 在隔离环境中调试。
- 灾难恢复演练 在不导致真实中断的情况下进行。
VLAN 设计
| VLAN | 子网 | 用途 |
|---|---|---|
| 10.0.100.0/24 | 管理与监控 | |
| 10.0.110.0/24 | 基础设施服务器 | |
| 10.0.120.0/24 | 应用服务器 | |
| 10.0.130.0/24 | 普通工作站 | |
| 10.0.131.0/24 | 管理员工作站 | |
| 10.0.132.0/24 | IT 工作站 | |
| 10.0.140.0/24 | 来宾 Wi‑Fi 与物联网 | |
| 10.0.150.0/24 | 面向公众的服务 |
所有 VLAN 之间的路由由 OPNSense 虚拟机 处理,这样我可以在迁移到物理硬件之前测试防火墙规则、路由策略和网络分段。
身份验证与访问控制
- PAM 管理员 – SSH 访问 + Web UI(root 已禁用)。
- PVE 用户 – 权限受限,无法使用 shell。
- Ansible 用户 – 仅 API 访问,用于自动化。
小技巧:不使用时关闭 Web UI
# Stop the web UI
systemctl stop pveproxy
# Restart it when needed
systemctl start pveproxy资源池(非标签)
我之前把资源池误用作标签。它们实际上用于委派和访问控制:
smb-servers– 核心基础设施smb-workstations– 桌面/笔记本虚拟机smb-project-admin@pve– 跨池完整访问权限smb-admin@pve– 仅服务器池
备份策略
本地(10 TB)
- 7 天日备份
- 4 周周备份
- 2 月月备份
外部(4 TB)
- 1 天日备份
- 2 周周备份
- 1 月月备份
我会定期测试恢复过程;如果从未验证,备份就毫无价值。
基于 Ansible 的基础设施即代码
拥有 Proxmox API 访问权限的 Ansible 用户可以实现:
- 从模板创建虚拟机
- 网络配置(VLAN 分配)
- 资源管理
- 备份调度
所有配置都存放在 GitHub 上,能够实现从源码 销毁并重建 的完整流程。
“用于家庭实验室?可以。用于学习?绝对不行。” – 在实验室中进行过度工程可以在没有生产风险的情况下学习企业概念(VLAN、RBAC、灾难恢复、自动化)。当出现故障时,修复它能培养真实的故障排除技能。
硬件平台
双路 Lenovo D20(24 核)
- CPU 直通给虚拟机
- 在虚拟机之间进行内存气球化
- 初始分配:服务器 4 GB,工作站 8 GB
文档路线图(3–6 个月)
- SMB 基础设施规划
- Ansible 自动化设置
- Samba Active Directory 部署
- 文件和打印服务
- Linux 工作站配置
- SELinux 加固
- 监控与备份自动化
进一步阅读
- 完整的 Proxmox 原型方法细节: Prototyping a Larger Project with Proxmox
Tags: #virtualization #infrastructure #linux #devops #networking #ansible