- 版本: 2.0
- 日期: 2025年9月30日
- 核心架构: Proxmox VE 超融合平台 + 万兆骨干网络
为支持约100人规模软件研发团队的业务需求,构建一套全新的IT基础架构,以解决旧有网络在性能、安全、扩展性和远程协同方面的不足。
- 高性能 (High-Performance): 满足高并发编译、大数据测试、代码同步等研发场景,核心网络达到万兆速率。
- 高可用 (High-Availability): 核心服务具备冗余能力,降低单点故障风险,保障业务连续性。
- 安全可控 (Security & Controllability): 通过VLAN、防火墙策略实现网络隔离和精细化访问控制。
- 灵活扩展 (Scalability): 架构支持未来人员增长和新业务(如AI训练)的平滑扩展。
- 成本效益 (Cost-Effectiveness): 充分利用现有硬件资产,优先采用成熟的开源软件,实现功能与成本的最佳平衡。
采用基于Proxmox VE的超融合基础架构 (HCI)。通过虚拟化技术,在单台高性能物理服务器上整合网络核心(虚拟化防火墙)、存储核心(虚拟化NAS)及应用服务,并通过L3核心交换机构建万兆内部网络骨干,实现“内外兼顾、安全可控”的融合网络。
| 分类 | 设备名称 | 关键规格/说明 | 数量 |
|---|
| 服务器 | 现有服务器 | 4路AMD处理器, 128GB+ RAM | 1 |
| 万兆网卡 | Intel/Mellanox 双光口 SFP+ 10GbE | 1 |
| HBA卡 | LSI/Broadcom SAS HBA卡 (IT Mode) | 1 |
| 网络核心 | L3核心交换机 | ≥ 4个10GbE SFP+光口, ≥ 24个1GbE电口, 支持三层路由 | 1 |
| 网络接入 | L2接入交换机 | 24/48口千兆网管交换机, 支持PoE+ (802.3at) | 3-4 |
| 无线网络 | Wi-Fi 6 AP | 企业级高密度AP, 802.11ax | 8-10 |
| 基础设施 | 网络机柜 | 42U标准机柜 | 1 |
| UPS | 在线式机架式UPS, ≥ 6KVA | 1 |
| VLAN ID | 名称 | 用途 | 子网 | 网关 (在L3核心交换机) |
|---|
| 10 | Management | 网络设备管理 | 10.0.10.0/24 | 10.0.10.1 |
| 20 | Servers | 物理/虚拟服务器 | 10.0.20.0/24 | 10.0.20.1 |
| 30 | Corporate | 员工办公PC/Mac | 10.0.30.0/23 | 10.0.30.1 |
| 40 | Development | 开发环境 | 10.0.40.0/23 | 10.0.40.1 |
| 50 | Testing | 测试环境 | 10.0.50.0/23 | 10.0.50.1 |
| 99 | Guest | 访客Wi-Fi | 10.0.99.0/24 | 10.0.99.1 |
| 200 | VPN_Users | 远程VPN接入用户 | 10.0.200.0/24 | 10.0.200.1 (在pfSense) |
- VLAN间路由: 全部由L3核心交换机负责,实现内网流量的线速转发。
- 默认路由 (公网访问): L3核心交换机的默认路由(
0.0.0.0/0)指向pfSense防火墙的LAN口IP地址。
- 在pfSense防火墙上配置出站NAT (Outbound NAT)规则,将所有来自内网VLAN的流量,在访问互联网时,其源地址自动转换为防火墙的公网IP。
- 在pfSense防火墙上根据对外服务的需求,配置端口映射规则,将对公网IP特定端口的访问请求转发至内网服务器。
- 软件: Proxmox VE (PVE)
- 理由: 开源免费,功能强大,集成ZFS与LXC,社区活跃。
| VM名称 | 用途 | 操作系统 | 资源建议 (vCPU/RAM) | 备注 |
|---|
| fw-core-01 | 核心防火墙/路由器 | pfSense / OPNsense | 4 Cores / 8 GB | 直通万兆网卡,负责网络出口和VPN。 |
| nas-core-01 | 文件存储服务器 | OpenMediaVault (OMV) | 4 Cores / 16 GB | 直通HBA卡,管理所有数据硬盘,提供SMB/NFS共享。 |
| cicd-runner-01 | CI/CD服务 | Ubuntu Server | 8 Cores / 32 GB | 运行GitLab, Jenkins等。 |
- 采用HBA卡直通方案,将所有数据硬盘的管理权交给
nas-core-01 (OMV)虚拟机。 - 在OMV内部,使用ZFS文件系统将所有硬盘组建为RAID-Z2或RAID-Z3阵列。
- 遵循“默认全部拒绝 (Default Deny)”原则,仅显式允许必要的通信。
- VLAN间访问控制:
- 管理VLAN (10): 仅允许特定堡垒机IP访问。
- 服务器VLAN (20): 按需对其他VLAN开放服务端口。
- 访客VLAN (99): 严格隔离,仅允许访问互联网。
- 采用WPA2/WPA3-Enterprise认证模式,后端对接RADIUS服务器,实现员工使用个人账号认证上网。
- 推荐: WireGuard。因其配置极简、性能超高、技术现代。
- 安装服务: 通过Package Manager安装
wireguard包。 - 创建隧道: 在"VPN" -> "WireGuard"中添加新Tunnel,生成服务器密钥,并分配一个独立的接口(如
WG_VPN),配置VPN子网(如10.0.200.1/24)。 - 配置防火墙规则:
- WAN口: 允许外部UDP流量访问WireGuard的监听端口(如
51820)。 - WG_VPN接口: 配置规则,允许
WG_VPN net访问必要的内网资源(如Servers net)。
- 创建客户端(Peers): 为每位员工创建一个Peer,分配一个VPN内的固定IP(如
10.0.200.2/32),并生成其客户端配置文件。
- 安装软件: 员工从WireGuard官网下载并安装对应系统的客户端。
- 导入配置: 员工通过
.conf文件或二维码导入配置。 - 连接: 点击“Activate”激活连接。
- 访问: 连接成功后,即可通过内网IP访问公司所有已授权的服务器资源。
- 阶段一:基础设施准备: 机柜就位,综合布线,电力系统(含UPS)部署。
- 阶段二:服务器与虚拟化: 安装Proxmox VE,配置好管理网络、存储和虚拟化网桥。
- 阶段三:核心网络配置: 配置L3核心交换机、pfSense虚拟机、L2接入交换机。
- 阶段四:核心服务部署: 部署OMV虚拟机并配置存储池;部署无线AC控制器并配置AP。
- 阶段五:应用迁移与测试: 逐步迁移应用,进行全网络连通性、性能和安全策略测试。
| 技术名词 | 作用与解释 |
|---|
| NAT | 将多个私网IP“伪装”成一个公网IP去访问互联网,实现共享上网。 |
| L3路由 | 在不同VLAN(子网)之间进行高速数据转发,构建互联互通的内网。 |
| Port Forwarding | 将对公网IP特定端口的访问请求,精准“导航”到内网指定的服务器上。 |
| VLAN | 在物理网络中逻辑上划分出多个独立的广播域,用于网络隔离。 |
| HCI | 将计算、存储、网络等资源通过软件定义的方式,在通用服务器硬件上统一管理。 |
| ZFS | 一种先进的文件系统,以其数据完整性、快照和存储池功能而闻名。 |
| HBA Passthrough | 将物理硬件的控制权直接移交给虚拟机,实现接近物理机的性能。 |
| WireGuard | 一种极其简单、快速和现代的VPN,采用最先进的加密技术。 |
