4
PVE-Basis mit DMZ (pfSense). Durchsatz?
Hallo zusammen,
ich hoffe dieser Bereich ist der Richtige für meine Frage.
Im Rahmen meiner Ausbildung (Fachinformatiker / Systemintegration) bzw. Projektarbeit, möchte ich einen Server implementieren.
Der Virtualisierungshost soll Proxmox sein und darauf verschiedene UCS Rollen. Ich habe bisher ohne DMZ gearbeitet und möchte diese im Projekt implementieren. Es gibt also drei Bridges auf dem PVE:
die pfSense ist mit drei virtuellen LAN-Adaptern an alle drei Brücken "angeschlossen". Der UCS5 Primary Directory Node (Samba ADS, Freigaben, Druckdienste etc.) ist an vmbr0 "angeschlossen".
Die Systeme, die von extern zugänglich sein sollen:
sollen an vmbr2 "angeschlossen" werden. Natürlich muss ich den Zugriff über pfSense regeln.
Bislang hatte ich alle UCS-Rollen in einem Subnetz, was recht einfach war.
Ein Frage die sich mir stellt ist der Durchsatz. Um z.B. den Media-Server vom LAN aus zu erreichen geht der gesamte Netzwerktraffic über die pfSense. Schaffe ich mir hier ein Nadelöhr wenn mehrere Clients von intern darauf zugreifen.
Oder ist mein ganzes Konzept so nicht sinnvoll?
Mit den besten Grüßen
pixel24
ich hoffe dieser Bereich ist der Richtige für meine Frage.
Im Rahmen meiner Ausbildung (Fachinformatiker / Systemintegration) bzw. Projektarbeit, möchte ich einen Server implementieren.
Der Virtualisierungshost soll Proxmox sein und darauf verschiedene UCS Rollen. Ich habe bisher ohne DMZ gearbeitet und möchte diese im Projekt implementieren. Es gibt also drei Bridges auf dem PVE:
vmbr0 (LAN) → NIC1 (192.168.0.0/19)
vmbr1 (WAN) → NIC2
vmbr2 (DMZ) → NIC3 (192.168.32.0/19)
...die pfSense ist mit drei virtuellen LAN-Adaptern an alle drei Brücken "angeschlossen". Der UCS5 Primary Directory Node (Samba ADS, Freigaben, Druckdienste etc.) ist an vmbr0 "angeschlossen".
Die Systeme, die von extern zugänglich sein sollen:
- UCS5 Replica Directory Node (für Open-Xchange)
- UCS5 Managed Node (für Nextcloud)
- Media-Server
sollen an vmbr2 "angeschlossen" werden. Natürlich muss ich den Zugriff über pfSense regeln.
Bislang hatte ich alle UCS-Rollen in einem Subnetz, was recht einfach war.
Ein Frage die sich mir stellt ist der Durchsatz. Um z.B. den Media-Server vom LAN aus zu erreichen geht der gesamte Netzwerktraffic über die pfSense. Schaffe ich mir hier ein Nadelöhr wenn mehrere Clients von intern darauf zugreifen.
Oder ist mein ganzes Konzept so nicht sinnvoll?
Mit den besten Grüßen
pixel24
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4593657201
Url: https://administrator.de/contentid/4593657201
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
4 Kommentare
Neuester Kommentar
Hängt alles von deiner Hardware und deinem Bedarf ab. Gigabit Inter-VLAN Routing und Forward ist mit halbwegs aktueller Hardware in der Regel kein Problem.
Der Virtualisierungs-Host ist ein Dual:
Intel(R) Xeon(R) Silver 4114 CPU @ 2.20GHz
mit 128GB RAM. Der Server wird physisch an einen Ruckus 10GB-Port angeschlossen.
Die Clients im LAN hängen am gleichen Switch jeweils an 1GB-Ports.
was ich nicht abschätzen kann ist ob sich durch das binden der Systeme an unterschiedliche Linux-Bridges hier eine "Engstelle" ergibt.
Ich werde es einfach mal testen und versuchen es zu ermitteln.
Intel(R) Xeon(R) Silver 4114 CPU @ 2.20GHz
mit 128GB RAM. Der Server wird physisch an einen Ruckus 10GB-Port angeschlossen.
Die Clients im LAN hängen am gleichen Switch jeweils an 1GB-Ports.
was ich nicht abschätzen kann ist ob sich durch das binden der Systeme an unterschiedliche Linux-Bridges hier eine "Engstelle" ergibt.
Ich werde es einfach mal testen und versuchen es zu ermitteln.
Dann reden wir von 10GBits? Die schafft die Hardware auch ohne Quick Assist.
Wenn nicht unmöglich gemischte Paketgrößen kommen, dann würde ich mir keine Sorgen machen, zumal die Clients ja 1GBit sind und der Gleichzeitigkeitsfakor sollte nicht mal zwei sein, bzw nur für Sekunden.
Wenn nicht unmöglich gemischte Paketgrößen kommen, dann würde ich mir keine Sorgen machen, zumal die Clients ja 1GBit sind und der Gleichzeitigkeitsfakor sollte nicht mal zwei sein, bzw nur für Sekunden.
1
Ja, der Server ist mit 10 GBits angebunden. Danke für die Unterstützung. Ich werde es jetzt so installieren einrichten und entsprechend versuchen den Durchsatz zu messen.
Ich wollte einfach vorher zunächst mal das Konzept durchdenken um nicht in eine Sackgasse zu konfigurieren.
Ich wollte einfach vorher zunächst mal das Konzept durchdenken um nicht in eine Sackgasse zu konfigurieren.
