✅ Operational Security & Go-Live (Finale Phase)
Geplantes Projekt: Härtung der Hosts, Backup-Strategien, zentrales Monitoring und Migration der Dienste.
1. Sicherheits-Härtung (Hardening) der Hosts
Die Sicherheit ist der wichtigste Schritt vor dem Go-Live. Jeder Host (S740, S920, OPNsense) muss gegen interne und externe Bedrohungen abgesichert werden.
Proxmox Host Hardening (S740/S920)
- **SSH:** Deaktivierung von Root-Login (außer über Konsolenzugriff), Verwendung von Key-basiertem Login.
- **Firewall:** Aktivierung der Proxmox-Firewall auf Host-Ebene (als zweite Verteidigungslinie).
- **Updates:** Automatisierung der Sicherheitsupdates.
2. Zentrales Monitoring (Prometheus/Grafana)
Zur Aufrechterhaltung der Stabilität und zum frühzeitigen Erkennen von Problemen wird ein zentrales Monitoring-System in einem LXC-Container auf dem S740 eingerichtet.
Ziel des Monitorings
- **OPNsense:** Überwachung von WAN-Verkehr, CPU-Last, VPN-Status.
- **Proxmox Hosts:** CPU-Temperatur, Speicherauslastung, Datenträger-Health (SMART).
- **LXC/VMs:** Service-Health (z.B. NGINX-Erreichbarkeit, Datenbank-Performance).
3. Backup-Strategie
Backup-Strategie-Details
- **Proxmox Backup Server (PBS):** Installation und Konfiguration eines PBS auf einem separaten Speichermedium (oder dem S740/S920 mit externem Speicher), um Proxmox-VMs und LXCs effizient zu sichern.
- **Anwendungs-Backups:** Spezielle Backups für kritische Dienste (z.B. Datenbanken, Mailserver-Daten).
- **Recovery-Tests:** Regelmäßiges Testen der Wiederherstellungsfähigkeit (Recovery Time Objective, RTO).
4. Go-Live und Migration des Webservers
Webserver-Umzug
Nachdem die DMZ des S920 eingerichtet und gehärtet ist, wird die Website vom Raspberry Pi migriert.
- **Ziel:** Umzug der statischen Website-Dateien (z.B. Lighttpd) auf den S920 (unter einem neuen Webserver wie NGINX oder Apache).
- **Grund:** Der S920 bietet deutlich höhere Performance, RAM und Speicherplatz.
Finaler Go-Live
Der letzte Schritt ist die Aktivierung der finalen WAN-Regeln auf der OPNsense und die Aktualisierung des **A-Records** im Goneo DNS-Editor, um alle Dienste (Web, Mail, etc.) auf die neue, gehärtete Infrastruktur zu leiten.