#proxmox#best-practices#security#operations

أفضل ممارسات Proxmox VE: قائمة تحقق الاستقرار والأمان

3 min read

في الممارسة العملية، الأنظمة تميل إلى الكسر ليس بسبب "ميزات غير كافية" بل بسبب العملية والعادات. يمكن استخدام قائمة التحقق هذه كإرشادات يومية — كل مخاطرة يُتجنَّبها هي مرة أخرى تغادر العمل في وقتها.

الممارسات الموصى بها

1) النسخ الاحتياطي يجب أن يقترن بتدريبات الاستعادة

امتلاك ملف نسخ احتياطي لا يعني أنك تستطيع الاستعادة منه فعلاً. اختبر الاستعادة دورياً — تحقق من الإقلاع وصحة الخدمات. نسخة احتياطية لم تختبرها قط مثل حذاء جديد لم تجربه: تكتشف أنه يؤلم فقط في المعركة.

2) لقطة قبل التغييرات الكبيرة

قبل تحديث الحزم أو تغيير الشبكة أو لمس الأجهزة، خذ لقطة أولاً. إذا سارت الأمور بشكل خاطئ، تراجع وتخطّ حلزون إعادة التثبيت.

qm snapshot 100 before-maintenance

3) خطّط لاستراتيجية التحديث والاشتراك

لبيئات الإنتاج: اعرف أي بيئة تحصل على التحديث أولاً وأيها يحصل عليه لاحقاً. افهم اشتراكك ومصادر الحزم — لا تضف مستودعات طرف ثالث عشوائياً.

# التحقق من حالة الاشتراك
pvesubscription get

4) تجزئة الشبكة والحد الأدنى من التعرض

حركة الإدارة والتخزين والأعمال: افصل عند الإمكان لتجنب التداخل المتبادل والانتشار الجانبي.

5) الوصول المبني على الأدوار وخط أساسي للجدار الناري

لا تجعل الجميع يشاركون حساب root واحداً. أنشئ حسابات مبنية على الأدوار، فعّل المصادقة الثنائية حيثما أمكن، وافتح فقط المنافذ الضرورية في الجدار الناري.

المخاطر الشائعة

المخطر 1: طبقة RAID للأجهزة فوق ZFS/Ceph

ZFS وCeph يحتاجان إدارة الأقراص مباشرةً. إضافة طبقة RAID للأجهزة فوقهما يُخفّض قدرتيهما الخارقتين إلى النصف — تعاني كل من حماية البيانات وإمكانية الرؤية.

المخطر 2: توقع HA من عقدة واحدة

HA يتطلب عقداً متعددة يمكنها التولي عن بعضها. مع جهاز واحد فقط، لا تحلم بالتوفر العالي — ذلك "نقطة فشل واحدة في انتظار أن تحدث."

المخطر 3: حذف الصورة الأساسية للاستنساخ المرتبط

الاستنساخات المرتبطة تعتمد على قرصها الأصلي. احذف الأصل وجميع الآلات الافتراضية المرتبطة تحته تكسر — مثل سحب الكتلة السفلية من برج.

المخطر 4: لا مراقبة للسعة

عندما يمتلئ local-lvm أو تخزين النسخ الاحتياطي، تفشل الكتابات وتنكسر المهام. راقب مبكراً، نظّف مبكراً — لا تنتظر تنبيهاً في الساعة 2 صباحاً قبل النهوض لمكافحة الحريق.

المخطر 5: كلمات مرور ضعيفة وأذونات مفرطة

إذا كانت واجهة الإدارة مكشوفة على الإنترنت، فكلمات المرور الضعيفة والأذونات المفتوحة دعوة مفتوحة. غيّر ما يحتاج تغييراً، قيّد ما يحتاج تقييداً.

اتباع قائمة التحقق هذه لن يضمن صفر إخفاقات، لكنها ستوفر عليك الكثير من الالتفافات غير الضرورية. تحقق من الوثائق والمنتديات الرسمية عند الشك — معظم المخاطر قد تعثّر بها آخرون من قبل.

قراءة إضافية