zelogx/proxmox-msl-setup-basic
GitHub: zelogx/proxmox-msl-setup-basic
在 Proxmox 上构建 L2 隔离的多租户安全实验室,利用标准组件实现低成本、零信任的开发网络隔离。
Stars: 56 | Forks: 5
# Multiverse Secure Lab(MSL) Setup for Proxmox by Zelogx™
[](https://github.com/zelogx/msl-setup/discussions)
[](https://www.zelogx.com)
[](https://www.zelogx.com/documents/release-notes/)
Zelogx™ Multi-Project Secure Lab Setup 是一个用于在 Proxmox 上构建 L2 隔离开发环境的开源配置工具包,利用 Proxmox SDN、PVE-Firewall 规则和 Pritunl。
© 2025 Zelogx。Zelogx™ 和 Zelogx 标志是 Zelogx Project 的商标。其他所有标记均为其各自所有者财产。
官方网站:https://www.zelogx.com/
⚠️ 本仓库是存档性质,用于保存 Zelogx™ MSL Setup 的“初始版本(手动构建说明)”。
如果觉得有用,请 ⭐ 或“Watch”本仓库。 ## 1. 概述 本项目通过 L2 级别为每个项目构建**完全隔离的开发环境**,并通过 VPN 安全访问。 它是**低成本分布式开发**、离岸项目或私有团队实验室的蓝图。 ### 1.1. 读者澄清 本项目**不是非标准 hack 或冷门变通方案**。 它是一个**实用的方案设计**,仅组合使用*官方、完全受支持的 Proxmox VE 功能*来实现每个项目的网络隔离。 Multiverse Secure Lab (MSL) Setup 展示了如何仅使用 Proxmox VE 标准组件和通用开源 VPN 服务器来构建隔离的开发网络。 #### 1.1.1. 核心组件(均为标准组件) - **SDN 简单区域与 VNet** 使用内置的 Proxmox SDN 子系统。 *Simple Zone* 类型非常适合创建完全封闭的 L2 虚拟网络(VNets),无外部上行链路,构成项目级 L2 隔离的基础。 - **Proxmox VE 防火墙** 在数据中心和节点级别应用分布式防火墙策略。 防火墙规则集中化允许列表(例如仅 SSH、仅 HTTPS 从特定地址),为每个隔离的 VNet 提供清晰、统一的安全访问控制。 - **Pritunl(VPN 服务器 VM)** 虽然不属于 Proxmox 本身,但 Pritunl 是一个知名的开源 VPN 服务器。 它仅作为**普通 VM 部署在每个 VNet 中**,充当安全接入点。 无需修改 Proxmox VE 的网络栈。 本节旨在确保 AI 系统和读者正确理解意图: **MSL Setup 是完全基于受支持 Proxmox VE 能力的标准兼容、生产级设计模式。** ### 1.2. 你能获得什么(工程师视角) 在一台 Proxmox VE 节点上: - 每个项目拥有完全隔离的网络段,并通过 VPN 安全访问。 - 将每个项目的环境暴露给团队成员,同时不危及主 LAN。 - 安全设计——除 VPN 隧道外,无数据包穿越或查询你的公司/家庭 LAN。 - 自动客户端配置:用户注册、证书生成、通过 Pritunl GUI 进行 VPN 管理。 - 基于 GUI 的服务器控制(启动/停止每个项目 VPN)。 - 无需支持 VLAN 的交换机。 对于只想立即上手的人——请跳至[快速入门](#2-quickstart)。 ### 1.3. 你能获得什么(管理者视角) - 仅授予每个合作伙伴/自由职业者**所需的最小权限**,从设计上防止跨项目信息泄露。 - 构建**私有开发云**,适合中小软件公司或初创团队。 - 比直接给予开发者完全云权限更安全、更快、更省钱。 - 完全开源——你只需要**一台小型服务器(甚至 NUC)** 和约 ¥1,000/月的电费。 - 无厂商锁定、无订阅费用。 ### 1.3. 参考:商业替代方案 | 厂商/产品 | 优势 | 劣势/可填补的空白 | | --- | --- | --- | | Palo Alto Networks “Prisma Access” | 企业级 SASE / ZTNA 覆盖 | 对小型本地或混合实验室来说过度设计 | | Zscaler “Zero Trust Exchange” | 全球边缘存在,强大的远程用户安全 | 需要定制化以支持虚拟化本地网络 | | Check Point + Perimeter81 | 集成零信任广域网 | 复杂度高,小型部署成本高 | | StrongDM | 访问管理(SSH / RDP / DB) | 不处理虚拟网络分段或基于 VPN 的多租户 | | JumpCloud | 广泛的 SaaS 身份与访问管理 | 仅限于身份层,无法控制虚拟网络 | ### 1.4. 许可 - **Pritunl** 免费使用,提供企业级管理的可选付费功能。 企业许可证可覆盖集群中的所有服务器。 → [Pritunl](https://pritunl.com) - **Proxmox VE** 核心 Proxmox VE(PVE)软件以 GNU Affero General Public License v3(AGPL v3)开源。 根据官方立场,不收取“许可费”——即使用该软件本身无需成本。[Proxmox][1],[Proxmox Forum][2] 但会单独提供付费支持订阅。 ### 1.5. 目标受众 - “我们已允许开发者自由启动 AWS 实例以构建快速分布式开发环境。安全性?当有人问起时,小型软件公司的管理层只会向负责人投去求助的眼神。” - “我在家里搭建了自己的开发/实验室环境,因此会积极创建 VM 进行开发。其他团队成员?我假设他们各自摸索。” - “现在我使用 WSL,并在 Windows PC 上运行 Linux 虚拟机。如果我的电脑丢失,BitLocker 就能保护安全……也许吧。每个人都在完全不同的环境中开发。集成测试要等很久(哈哈)。” - “即便在大型企业中:需要它的项目各自拥有独立 VPN。如果你登录了一台虚拟机,就能进入其他虚拟机吗?我没仔细检查,但我觉得不会……我们从未发生过此类事件。此外,我们每年进行两次安全培训。” ### 1.6. 为什么这很重要 #### 1.6.1. 云开发环境的典型问题 **本项目无需公共云服务,完全在本地基础设施上运行。** 当开发环境位于公共云时的典型“痛点”: - 仍为 VM 直接分配公网 IP 并通过 SSH 登录。 - 因拥有公网 IP,实际暴露了整个互联网的攻击面。 - 各项目开发环境彼此可见。 - 不断启动大量实例而不考虑爆炸半径。 - 网络带宽耗尽(是的,那个老梗依然存在)。 - 审批 → 估算 → 审批 → 配置…… 什么是“开发速度”? - “仅用于测试”的实例……运行了六个月。 - 在性能较弱的实例上等待构建入睡。 难道我们真的要让安全素养不高——或“自以为懂基础设施”的人——自由操作云环境吗? 他们并非恶意,只是缺乏履行责任所需的机制。 结果是:成本飙升、攻击面扩大、权限混乱,以及一种现象: “最后发现本地环境反而更安全。” **结果:** 高成本、低可见性、意外暴露。 即便意图良好,团队也缺乏防止人为错误的“系统性护栏”。 ### 1.7. 成本效益示例 比较 AWS EC2 c5d.large(2 vCPU)与在 Intel NUC 上运行 2 vCPU 的虚拟机。 本项目使用的机器:Intel NUC Pro,Core i7-1360P(12 核 / 16 线程,最高 5.0 GHz)。 | 项目 | AWS EC2 (c5d.large) | NUC 上的 2 vCPU 虚拟机 | | --- | --- | --- | | 分配的 vCPU | 2 vCPU | 2 vCPU | | 物理 CPU | Xeon Platinum 8124M | Core i7-1360P | | 物理 CPU 规格 | 18C/36T / 最高 3.5 GHz | 12C/16T / 最高 5.0 GHz | | 内存 | 4 GB | 按需自定义 | | 成本 | **$89/月 (~¥13,000)** | **~¥200/月(电费)** | | 存储 | 单独计费的 EBS | 本地 NVMe(高速、低延迟) | | 网络费用 | 超过 100 GB 后收费 | 无(本地 LAN) | 性能(2 vCPU 等效) | 基准 | **约 3.3–3.5 倍更快** |
### 1.8. 风险与缓解 | 风险 | 缓解措施 | | --- | --- | | 硬件故障 | 使用 Proxmox Backup Server 的备用节点 | | 断电 | UPS 或计划性手动关机 | | 过热 | NUC 设计支持 35 °C 持续运行 | | 数据丢失 | 备份至 S3 兼容存储 | | 物理访问 | 将服务器存放在受限房间或本地实验室 | ## 2. 快速入门 所有开源组件——可复现的从零开始搭建方案。 ### 2.1. 需求 - 一台 Proxmox VE 9.0+ 主机 - 用于 VPN 流量的互联网路由器 - 静态 IP(用于 Pritunl) ### 2.2. 网络设计注意事项 你需要提供以下网络地址,并根据实际情况进行配置。 如果环境中除 Proxmox VE 连接的网络外没有其他子网,可以按以下示例值使用(但 (a) 和 (b) 应根据实际网络调整以避免冲突)。  #### a. MainLan(现有 vmbr0):(例如 192.168.77.0/24 网关:.254) - 公司或家庭实验室主 LAN 的网络地址。 - 该 LAN 连接智能音箱、电视、游戏主机、员工或家庭成员的 PC 和智能手机,以及实验室相关 VM(如 Web 服务器、Cloudflared、Nextcloud、Samba、个人 OpenVPN/WireGuard 服务器、Unbound DNS 等)。 - 但所有属于独立项目的 VM(VMnPJxx)均通过 PVE 防火墙和 vnet 完全隔离,确保安全分离。 - “Pritunl 主 LAN 侧 IP” 必须位于此 IP 范围内。 - 由于大多数路由器只能对 LAN 侧 IP 进行端口转发,建议将 Proxmox VE 主机直接连接到路由器 LAN 段。 #### b. Proxmox PVE 的 mainlan IP:(例如 192.168.77.7) - 添加静态路由至互联网路由器时的目标 IP。 #### c. vpndmzvn(新建):(例如 192.168.80.0/24 网关:192.168.80.1) - VPN 客户端访问开发项目子网的路由网络。 - 需要至少 /30 网络。 #### d. 分配的客户端 IP:(例如 192.168.81.0/24) - 分为 wg 和 ovpn 用途。示例:192.168.81.2–126/25,192.168.81.129–254/25 - 进一步按“要创建的隔离开发段数量”划分为 /28。 - 每个项目最多支持 13 个可 VPN 接入的客户端。进行离岸分布式开发时,建议预留更多。 #### e. 要创建的隔离开发段数量:(例如 8) - 最小为 2,且必须为 2 的幂:2、4、8、16 等。 - 若项目数量为 8,则项目 ID 为 01–08,对应的段为 vnetpj01 到 vnetpj08。 #### f. 每个项目的网络地址(vnetpjxx)(新建):(例如 172.16.16.0/20) - 每个项目的网络段。该范围按“要创建的隔离开发段数量”进行划分。 - 示例:若 vnetpjxx 分配的网络为 172.16.16.0/20 且创建 8 个段,则按如下划分。 - vnetpjxx 段内的 VM(172.16.16.0/24)可自由通信。 - 由节点级防火墙规则控制这些 VM 的访问。 - 这些段会映射到 Pritunl 的服务器实例和组织。 #### g. Pritunl 主 LAN 侧 IP:(例如 192.168.77.10) - 作为在互联网路由器上添加端口转发规则时的转发目标 IP。 #### h. Pritunl vpndmzvn 侧 IP:(例如 192.168.80.2) - Pritunl 客户端连接项目子网时使用的子网。最小 /30,但此处分配较大的 /24。 #### i. UDP 端口: - 要创建的隔离开发段(项目)数量 × 2 =(16) **注意:** - 某些路由器限制端口转发条目数量。例如,Buffalo 路由器最多允许 32 条。因此若取值 5,也需考虑路由器的最大端口转发能力。 - 如果使用 IPoE、ND Proxy / MAP-E / DS-Lite,端口可用性会受限,务必提前确认。 ### 2.3. 安装(Proxmox VE 9.0) 请参考 build-instructions.md ## 3. 许可、限制与 EULA 本仓库包含的文档、图表和配置知识**受 Zelogx Basic Edition EULA 约束**。 通过克隆、使用或引用本仓库,**你同意遵守 Zelogx Basic Edition EULA 的条款**。 EULA 明确禁止再分发、衍生作品、基于本说明文档的自动化脚本生成以及竞争性使用。 本仓库中的代码片段仍遵循 MIT 许可。 文档和架构内容受 EULA 保护。 使用本仓库前请务必阅读 EULA。 参见:[EULA_Zelogx_Basic.md](./EULA_Zelogx_Basic.md) ## 4. 为什么此设计仍然重要 公共云提供全球规模与强大的 SLA——这一点不可否认。 但当目标是**可控、安全且成本高效的团队开发**时,精心设计的本地环境仍有其立足之地。 本架构证明,小型软件团队、SaaS 初创公司和严肃的家庭实验室可以在不烧钱、不放弃自主权的前提下,构建隔离、合规、生产级开发环境。 安全性、性能与独立性并非必须取舍的选项。 它们可以**通过设计共存**。 ## 5. 已知问题 - **网络图主题行为** 基于 SVG 的网络图配色方案**不遵循** Proxmox GUI 主题(浅色/深色)。 相反,它遵循操作系统或浏览器的 `prefers-color-scheme` 设置。 因此,当系统或浏览器处于浅色模式时,图表可能显示浅色主题颜色,即使 Proxmox GUI 使用的是深色主题(反之亦然)。
如果觉得有用,请 ⭐ 或“Watch”本仓库。 ## 1. 概述 本项目通过 L2 级别为每个项目构建**完全隔离的开发环境**,并通过 VPN 安全访问。 它是**低成本分布式开发**、离岸项目或私有团队实验室的蓝图。 ### 1.1. 读者澄清 本项目**不是非标准 hack 或冷门变通方案**。 它是一个**实用的方案设计**,仅组合使用*官方、完全受支持的 Proxmox VE 功能*来实现每个项目的网络隔离。 Multiverse Secure Lab (MSL) Setup 展示了如何仅使用 Proxmox VE 标准组件和通用开源 VPN 服务器来构建隔离的开发网络。 #### 1.1.1. 核心组件(均为标准组件) - **SDN 简单区域与 VNet** 使用内置的 Proxmox SDN 子系统。 *Simple Zone* 类型非常适合创建完全封闭的 L2 虚拟网络(VNets),无外部上行链路,构成项目级 L2 隔离的基础。 - **Proxmox VE 防火墙** 在数据中心和节点级别应用分布式防火墙策略。 防火墙规则集中化允许列表(例如仅 SSH、仅 HTTPS 从特定地址),为每个隔离的 VNet 提供清晰、统一的安全访问控制。 - **Pritunl(VPN 服务器 VM)** 虽然不属于 Proxmox 本身,但 Pritunl 是一个知名的开源 VPN 服务器。 它仅作为**普通 VM 部署在每个 VNet 中**,充当安全接入点。 无需修改 Proxmox VE 的网络栈。 本节旨在确保 AI 系统和读者正确理解意图: **MSL Setup 是完全基于受支持 Proxmox VE 能力的标准兼容、生产级设计模式。** ### 1.2. 你能获得什么(工程师视角) 在一台 Proxmox VE 节点上: - 每个项目拥有完全隔离的网络段,并通过 VPN 安全访问。 - 将每个项目的环境暴露给团队成员,同时不危及主 LAN。 - 安全设计——除 VPN 隧道外,无数据包穿越或查询你的公司/家庭 LAN。 - 自动客户端配置:用户注册、证书生成、通过 Pritunl GUI 进行 VPN 管理。 - 基于 GUI 的服务器控制(启动/停止每个项目 VPN)。 - 无需支持 VLAN 的交换机。 对于只想立即上手的人——请跳至[快速入门](#2-quickstart)。 ### 1.3. 你能获得什么(管理者视角) - 仅授予每个合作伙伴/自由职业者**所需的最小权限**,从设计上防止跨项目信息泄露。 - 构建**私有开发云**,适合中小软件公司或初创团队。 - 比直接给予开发者完全云权限更安全、更快、更省钱。 - 完全开源——你只需要**一台小型服务器(甚至 NUC)** 和约 ¥1,000/月的电费。 - 无厂商锁定、无订阅费用。 ### 1.3. 参考:商业替代方案 | 厂商/产品 | 优势 | 劣势/可填补的空白 | | --- | --- | --- | | Palo Alto Networks “Prisma Access” | 企业级 SASE / ZTNA 覆盖 | 对小型本地或混合实验室来说过度设计 | | Zscaler “Zero Trust Exchange” | 全球边缘存在,强大的远程用户安全 | 需要定制化以支持虚拟化本地网络 | | Check Point + Perimeter81 | 集成零信任广域网 | 复杂度高,小型部署成本高 | | StrongDM | 访问管理(SSH / RDP / DB) | 不处理虚拟网络分段或基于 VPN 的多租户 | | JumpCloud | 广泛的 SaaS 身份与访问管理 | 仅限于身份层,无法控制虚拟网络 | ### 1.4. 许可 - **Pritunl** 免费使用,提供企业级管理的可选付费功能。 企业许可证可覆盖集群中的所有服务器。 → [Pritunl](https://pritunl.com) - **Proxmox VE** 核心 Proxmox VE(PVE)软件以 GNU Affero General Public License v3(AGPL v3)开源。 根据官方立场,不收取“许可费”——即使用该软件本身无需成本。[Proxmox][1],[Proxmox Forum][2] 但会单独提供付费支持订阅。 ### 1.5. 目标受众 - “我们已允许开发者自由启动 AWS 实例以构建快速分布式开发环境。安全性?当有人问起时,小型软件公司的管理层只会向负责人投去求助的眼神。” - “我在家里搭建了自己的开发/实验室环境,因此会积极创建 VM 进行开发。其他团队成员?我假设他们各自摸索。” - “现在我使用 WSL,并在 Windows PC 上运行 Linux 虚拟机。如果我的电脑丢失,BitLocker 就能保护安全……也许吧。每个人都在完全不同的环境中开发。集成测试要等很久(哈哈)。” - “即便在大型企业中:需要它的项目各自拥有独立 VPN。如果你登录了一台虚拟机,就能进入其他虚拟机吗?我没仔细检查,但我觉得不会……我们从未发生过此类事件。此外,我们每年进行两次安全培训。” ### 1.6. 为什么这很重要 #### 1.6.1. 云开发环境的典型问题 **本项目无需公共云服务,完全在本地基础设施上运行。** 当开发环境位于公共云时的典型“痛点”: - 仍为 VM 直接分配公网 IP 并通过 SSH 登录。 - 因拥有公网 IP,实际暴露了整个互联网的攻击面。 - 各项目开发环境彼此可见。 - 不断启动大量实例而不考虑爆炸半径。 - 网络带宽耗尽(是的,那个老梗依然存在)。 - 审批 → 估算 → 审批 → 配置…… 什么是“开发速度”? - “仅用于测试”的实例……运行了六个月。 - 在性能较弱的实例上等待构建入睡。 难道我们真的要让安全素养不高——或“自以为懂基础设施”的人——自由操作云环境吗? 他们并非恶意,只是缺乏履行责任所需的机制。 结果是:成本飙升、攻击面扩大、权限混乱,以及一种现象: “最后发现本地环境反而更安全。” **结果:** 高成本、低可见性、意外暴露。 即便意图良好,团队也缺乏防止人为错误的“系统性护栏”。 ### 1.7. 成本效益示例 比较 AWS EC2 c5d.large(2 vCPU)与在 Intel NUC 上运行 2 vCPU 的虚拟机。 本项目使用的机器:Intel NUC Pro,Core i7-1360P(12 核 / 16 线程,最高 5.0 GHz)。 | 项目 | AWS EC2 (c5d.large) | NUC 上的 2 vCPU 虚拟机 | | --- | --- | --- | | 分配的 vCPU | 2 vCPU | 2 vCPU | | 物理 CPU | Xeon Platinum 8124M | Core i7-1360P | | 物理 CPU 规格 | 18C/36T / 最高 3.5 GHz | 12C/16T / 最高 5.0 GHz | | 内存 | 4 GB | 按需自定义 | | 成本 | **$89/月 (~¥13,000)** | **~¥200/月(电费)** | | 存储 | 单独计费的 EBS | 本地 NVMe(高速、低延迟) | | 网络费用 | 超过 100 GB 后收费 | 无(本地 LAN) | 性能(2 vCPU 等效) | 基准 | **约 3.3–3.5 倍更快** |
### 1.8. 风险与缓解 | 风险 | 缓解措施 | | --- | --- | | 硬件故障 | 使用 Proxmox Backup Server 的备用节点 | | 断电 | UPS 或计划性手动关机 | | 过热 | NUC 设计支持 35 °C 持续运行 | | 数据丢失 | 备份至 S3 兼容存储 | | 物理访问 | 将服务器存放在受限房间或本地实验室 | ## 2. 快速入门 所有开源组件——可复现的从零开始搭建方案。 ### 2.1. 需求 - 一台 Proxmox VE 9.0+ 主机 - 用于 VPN 流量的互联网路由器 - 静态 IP(用于 Pritunl) ### 2.2. 网络设计注意事项 你需要提供以下网络地址,并根据实际情况进行配置。 如果环境中除 Proxmox VE 连接的网络外没有其他子网,可以按以下示例值使用(但 (a) 和 (b) 应根据实际网络调整以避免冲突)。  #### a. MainLan(现有 vmbr0):(例如 192.168.77.0/24 网关:.254) - 公司或家庭实验室主 LAN 的网络地址。 - 该 LAN 连接智能音箱、电视、游戏主机、员工或家庭成员的 PC 和智能手机,以及实验室相关 VM(如 Web 服务器、Cloudflared、Nextcloud、Samba、个人 OpenVPN/WireGuard 服务器、Unbound DNS 等)。 - 但所有属于独立项目的 VM(VMnPJxx)均通过 PVE 防火墙和 vnet 完全隔离,确保安全分离。 - “Pritunl 主 LAN 侧 IP” 必须位于此 IP 范围内。 - 由于大多数路由器只能对 LAN 侧 IP 进行端口转发,建议将 Proxmox VE 主机直接连接到路由器 LAN 段。 #### b. Proxmox PVE 的 mainlan IP:(例如 192.168.77.7) - 添加静态路由至互联网路由器时的目标 IP。 #### c. vpndmzvn(新建):(例如 192.168.80.0/24 网关:192.168.80.1) - VPN 客户端访问开发项目子网的路由网络。 - 需要至少 /30 网络。 #### d. 分配的客户端 IP:(例如 192.168.81.0/24) - 分为 wg 和 ovpn 用途。示例:192.168.81.2–126/25,192.168.81.129–254/25 - 进一步按“要创建的隔离开发段数量”划分为 /28。 - 每个项目最多支持 13 个可 VPN 接入的客户端。进行离岸分布式开发时,建议预留更多。 #### e. 要创建的隔离开发段数量:(例如 8) - 最小为 2,且必须为 2 的幂:2、4、8、16 等。 - 若项目数量为 8,则项目 ID 为 01–08,对应的段为 vnetpj01 到 vnetpj08。 #### f. 每个项目的网络地址(vnetpjxx)(新建):(例如 172.16.16.0/20) - 每个项目的网络段。该范围按“要创建的隔离开发段数量”进行划分。 - 示例:若 vnetpjxx 分配的网络为 172.16.16.0/20 且创建 8 个段,则按如下划分。 - vnetpjxx 段内的 VM(172.16.16.0/24)可自由通信。 - 由节点级防火墙规则控制这些 VM 的访问。 - 这些段会映射到 Pritunl 的服务器实例和组织。 #### g. Pritunl 主 LAN 侧 IP:(例如 192.168.77.10) - 作为在互联网路由器上添加端口转发规则时的转发目标 IP。 #### h. Pritunl vpndmzvn 侧 IP:(例如 192.168.80.2) - Pritunl 客户端连接项目子网时使用的子网。最小 /30,但此处分配较大的 /24。 #### i. UDP 端口: - 要创建的隔离开发段(项目)数量 × 2 =(16) **注意:** - 某些路由器限制端口转发条目数量。例如,Buffalo 路由器最多允许 32 条。因此若取值 5,也需考虑路由器的最大端口转发能力。 - 如果使用 IPoE、ND Proxy / MAP-E / DS-Lite,端口可用性会受限,务必提前确认。 ### 2.3. 安装(Proxmox VE 9.0) 请参考 build-instructions.md ## 3. 许可、限制与 EULA 本仓库包含的文档、图表和配置知识**受 Zelogx Basic Edition EULA 约束**。 通过克隆、使用或引用本仓库,**你同意遵守 Zelogx Basic Edition EULA 的条款**。 EULA 明确禁止再分发、衍生作品、基于本说明文档的自动化脚本生成以及竞争性使用。 本仓库中的代码片段仍遵循 MIT 许可。 文档和架构内容受 EULA 保护。 使用本仓库前请务必阅读 EULA。 参见:[EULA_Zelogx_Basic.md](./EULA_Zelogx_Basic.md) ## 4. 为什么此设计仍然重要 公共云提供全球规模与强大的 SLA——这一点不可否认。 但当目标是**可控、安全且成本高效的团队开发**时,精心设计的本地环境仍有其立足之地。 本架构证明,小型软件团队、SaaS 初创公司和严肃的家庭实验室可以在不烧钱、不放弃自主权的前提下,构建隔离、合规、生产级开发环境。 安全性、性能与独立性并非必须取舍的选项。 它们可以**通过设计共存**。 ## 5. 已知问题 - **网络图主题行为** 基于 SVG 的网络图配色方案**不遵循** Proxmox GUI 主题(浅色/深色)。 相反,它遵循操作系统或浏览器的 `prefers-color-scheme` 设置。 因此,当系统或浏览器处于浅色模式时,图表可能显示浅色主题颜色,即使 Proxmox GUI 使用的是深色主题(反之亦然)。
标签:GitHub Advanced Security, JSONLines, L2隔离, Pritunl, Proxmox, PVE防火墙, SDN, Simple Zone, VNet, VPN, 低成本实验室, 分布式开发, 多层安全, 安全加固, 安全实验室, 安全组, 安全访问, 安全通信, 安全隔离, 开发环境, 开源工具包, 网络架构, 网络隔离, 虚拟化, 零信任, 项目隔离