Proxmox VE 最佳實踐:穩定性與安全性清單
4 min read
進到實際維運後,搞掛系統的往往不是「功能不夠」,而是流程跟習慣。下面這份清單可以直接當日常準則用——少踩一次雷,就多一次準時下班。
推薦做法
1) 備份一定要搭配還原演練
有備份檔不代表真的能還原。定期抽樣還原,確認能開機、服務正常,才叫真的有用。沒演練過的備份,就像沒試穿過的新鞋,上戰場才知道磨腳。
2) 重大變更前先快照
更新套件、改網路、動硬體前,先打一個快照。出問題回滾就好,不用重灌到懷疑人生。
qm snapshot 100 before-maintenance3) 正確規劃更新與訂閱策略
生產環境要分清楚:哪邊先測、哪邊後上。訂閱與套件來源也要心裡有數,別亂加第三方源。
# 看一下訂閱狀態
pvesubscription get4) 網路分區與最小暴露
管理、存儲、業務流量能分就分,避免互相影響與橫向擴散。一爆全爆的劇情留給電影就好。
5) 權限分級與防火牆基線
不要大家共用一个 root 走天下。建立角色帳號、能開 2FA 就開、防火牆只開必要埠。弱密碼 + 高權限 = 在網路上裸奔。
常見誤區
誤區 1:ZFS/Ceph 疊硬體 RAID
ZFS 和 Ceph 要直接管磁碟。上面再疊一層硬體 RAID,等於把他們的超能力廢一半,資料保護與觀測都會變差。
誤區 2:單節點談 HA
HA 的前提是多節點可以互相接管。只有一台機器就別幻想高可用了——那叫「單點故障等待發生」。
誤區 3:刪掉 linked clone 的基底映像
連結克隆是依賴母盤的。把母盤砍了,底下那一串 linked 的 VM 都會出事,像抽掉積木最下面那一塊。
誤區 4:不做容量監控
local-lvm 或備份存儲滿了,寫入會失敗、任務會爆。提早監控、提早清,不要等到半夜告警才起床救火。
誤區 5:弱密碼與過大權限
管理介面一旦對外,弱密碼跟全開權限就是在邀請別人進來散步。該改的改、該限的限。
照這份清單做,不敢說零故障,但至少少走很多彎路。有問題再翻官方文件跟論壇,多數坑都有人踩過了。
祝維運順利,VM 乖乖跑、備份都還原得回來~ 🦦