KennyLightfoot/homelab-public

# 家庭实验室文档 ## 关于 目标是获得入门级云工程师 / 云安全岗位。 作为我 WGU 云与网络工程理学学士（AWS 方向）学习的一部分，构建此实验室。 **证书：** CompTIA A+, Linux Essentials, ITIL 4 ## 当前作品集进度 | 领域 | 状态 | 证据 | |---|---|---| | 网络分段 | ✅ 完成 | OPNsense 防火墙在 LAN、DMZ 和 Lab 网段之间进行路由 | | DNS 安全 | ✅ 完成 | Pi-hole DNS sinkhole，配备精选的 blocklists | | 正常运行时间监控 | ✅ 完成 | Uptime Kuma 监控内部服务及公共 web endpoint | | 指标与可观测性 | ✅ 完成 | Prometheus, Grafana, cAdvisor, Node Exporter 和 InfluxDB 技术栈 | | 网络 IDS | ✅ 完成 | Suricata 在 OPNsense 上以被动 PCAP IDS 模式运行 | | SIEM / 集中化日志 | 🚧 下一步 | Wazuh 管理器以及 endpoint/日志摄取 | | AWS / Terraform | 🚧 计划中 | 从家庭实验室镜像而来的 AWS VPC 架构 | | 混合网络 | 🚧 计划中 | 家庭实验室连接 AWS WireGuard VPN 毕业项目 | ## 目标岗位 本作品集旨在申请以下入门级岗位： - 云支持工程 - 网络支持 / NOC - 初级云工程 - 云安全 / SOC 相关岗位 - 具备基础设施经验的 技术支持 / 应用支持 ## 硬件 | 机器 | 角色 | |---|---| | **Mini PC (`pve-homelab`)** | Proxmox VE 主机，约 32 GB 内存。7x24小时运行的实验环境。 | | **Fedora 笔记本** | Cockpit — 通过 SSH 驱动一切。Git, Terraform, AWS CLI 均在此运行。 | | **主 PC** | 突发计算，本地 AI (Ollama)。 | | **旧 Lenovo** | Wazuh 监控的 endpoint + 学习机。 | **Hypervisor：** 在私有子网上运行的 Proxmox VE 管理 **网络：** 在分段式内部网桥之间进行路由的 OPNsense VM ## VM 与容器清单 | ID | 名称 | 类型 | RAM | 用途 | |---|---|---|---|---| | 100 | `Carlvis-Ubuntu` | VM | 12 GB | 用于监控、DNS、仪表板和实验服务的 Docker 服务主机 | | 101 | `opnsense` | VM | 2 GB | 实验环境路由器/防火墙 | | 200 | `lan-box` | LXC | ~0.75 GB | LAN 网段的目标主机 | | 201 | `dmz-box` | LXC | ~0.75 GB | DMZ 网段的目标主机 | | 202 | `lab-box` | LXC | ~0.75 GB | Lab 网段的目标主机 | ### 在 Carlvis (VM 100) 上运行的服务 | 服务 | 用途 | |---|---| | Pi-hole | 全网 DNS 广告拦截 | | Uptime Kuma | 托管服务的正常运行时间监控 | | Portainer | Docker 容器管理 UI | | Grafana | 指标仪表板 | | Prometheus | 指标采集 | | InfluxDB | 时间序列数据库 | | cAdvisor | 容器资源指标 | | Node Exporter | 主机级指标 | | n8n | 工作流自动化 | | Open WebUI | LLM 聊天界面 | | SearXNG | 隐私搜索引擎 | | Ollama | 本地 LLM 后端 | | Qdrant | 向量数据库 (RAG) | | Homepage | 内部服务仪表板 | ## 项目 ### 给招聘人员最快验证途径 如果你只看三个项目，从这里开始： 1. **OPNsense 网络分段** — 证明子网划分、防火墙、信任区域和验证能力 2. **Grafana 监控技术栈** — 证明可观测性、exporters、Prometheus 和仪表板设计逻辑 3. **Suricata IDS** — 证明安全工具、规则集、检测策略和 SIEM 准备能力 ### ✅ [项目 1：OPNsense 网络分段](./projects/01-opnsense-segmentation/) **状态：** 完成 **技能：** Proxmox, OPNsense, 网络分段, 防火墙规则, Linux Containers 使用三个 Proxmox 网桥（LAN、DMZ、Lab）和一个作为路由器/防火墙的 OPNsense VM 构建了一个分段式实验网络。在每个网段中部署了 LXC containers。隔离性已验证：DMZ 和 Lab 无法访问 LAN；两者均可访问互联网。 **技术栈：** Proxmox VE, OPNsense, LXC **验证证据：** 记录的网桥布局、通过 OPNsense 的路由路径，以及低信任级别网段在保持互联网访问的同时无法访问 LAN 的证明 ### ✅ [项目 2：Pi-hole DNS](./projects/02-pihole/) **状态：** 完成 **技能：** DNS, Docker, 网络安全, 广告拦截 在 Carlvis 上部署了 Pi-hole 作为全网 DNS sinkhole。记录了 Docker 部署、blocklists、gravity 数据库行为以及 DNS 层安全概念。 **技术栈：** Docker, Pi-hole, Carlvis-Ubuntu **验证证据：** 仪表板截图、实时查询日志、gravity/blocklist 数量，以及针对被拦截与允许域名的 DNS 查询测试 ### ✅ [项目 3：Uptime Kuma 监控](./projects/03-uptime-kuma/) **状态：** 完成 **技能：** Docker, 基础设施监控, 告警 在 Carlvis 上部署了 Uptime Kuma，以监控外部 web 可用性、内部服务端口和核心基础设施主机。 **技术栈：** Docker, Uptime Kuma, Carlvis-Ubuntu **验证证据：** 正常运行时间仪表板截图、9 个活动监控器，以及跨公共和内部目标的 HTTP/TCP/ICMP 混合检查 ### ✅ [项目 4：Grafana 监控技术栈](./projects/04-grafana-stack/) **状态：** 完成 **技能：** 可观测性, 指标, Docker, Prometheus, InfluxDB 在 Carlvis 上的完整可观测性技术栈：Prometheus 抓取 node-exporter 和 cAdvisor，Grafana 提供仪表板，InfluxDB 存储时间序列数据。 **技术栈：** Docker, Grafana, Prometheus, InfluxDB, cAdvisor, Node Exporter **验证证据：** 仪表板截图、活动的 Prometheus targets、主机指标，以及每个容器的可见性 ### ✅ [项目 5：Suricata IDS](./projects/05-suricata-ids/) **状态：** 完成 **技能：** 入侵检测, 网络监控, 安全日志, SIEM 准备 在 OPNsense 的 WAN 接口上以被动 PCAP IDS 模式部署了 Suricata。启用了 Emerging Threats 和 abuse.ch 规则集，确认了告警日志记录，并准备了 EVE JSON 输出以供未来 Wazuh SIEM 集成使用。 **技术栈：** OPNsense, Suricata, Emerging Threats Open, abuse.ch **验证证据：** IDS 设置截图、实时告警截图、已启用的规则集，以及为 SIEM 摄取准备的 EVE JSON 输出 ### 🚧 项目 6：Wazuh SIEM **状态：** 下一步 **技能：** 安全监控, 日志分析, Endpoint 检测 在 Proxmox 上的 Wazuh 管理器 VM，并在 Lenovo 笔记本和 Fedora cockpit 上安装 agents。 ### 🚧 项目 7：使用 Terraform 构建 AWS VPC **状态：** 计划中 **技能：** AWS, Terraform, 基础设施即代码 将家庭实验室的网络网段通过 Terraform 镜像为 AWS VPC 基础设施 — 相同的架构，以代码形式实现。 ### 🚧 项目 8：AWS 上的云安全层 **状态：** 计划中 **技能：** GuardDuty, CloudTrail, AWS Config, KMS, Secrets Manager ### 🚧 项目 9：Site-to-Site WireGuard VPN (家庭 ↔ AWS) **状态：** 计划中 **技能：** WireGuard, VPN, AWS, 网络架构 毕业项目 — 通过加密隧道桥接家庭实验室和 AWS VPC。 ## 面试定位 本仓库在定位为以下证明时最具说服力： - 面向 Help Desk / 技术支持 / 应用支持的 **支持与基础设施故障排除证明** - 面向 NOC / 云支持的 **监控与网络基础知识证明** - 面向初级 SOC / 云安全相关岗位的 **安全经验证明** 面试中的最佳表述： - 构建了分段式网络，而不仅仅是扁平的 Docker 实验环境 - 使用 Prometheus、Grafana 和 Uptime Kuma 监控真实服务 - 添加了 DNS 层过滤和被动 IDS，以在实施防御前理解检测 - 记录了部署的内容、其重要性以及如何进行验证 ## 联系方式 **LinkedIn：** https://www.linkedin.com/in/kenneth-lightfoot/ **WGU 专业：** 云与网络工程 — AWS（在读中）

标签：AI风险缓解, Metaprompt, OPNsense, Proxmox, 个人Homelab, 文档, 监控与可视化, 自定义请求头, 请求拦截, 运维与基础设施