45.2. pveproxy — служба PVE API Proxy

⁠45.2. pveproxy — служба PVE API Proxy

Служба pveproxy предоставляет весь PVE API на TCP-порту 8006 с использованием HTTPS. Она работает от имени пользователя www-data и имеет минимальные разрешения. Операции, требующие дополнительных разрешений, перенаправляются локальному pvedaemon.

Запросы, предназначенные для других узлов, автоматически перенаправляются на них. Таким образом, управлять всем кластером можно, подключившись к одному узлу PVE.

⁠45.2.1. Управление доступом на основе хоста

Можно настраивать списки контроля доступа в стиле apache2. Значения задаются в файле /etc/default/pveproxy. Например:

ALLOW_FROM="10.0.0.1-10.0.0.5,192.168.0.0/22"
DENY_FROM="all"
POLICY="allow"

IP-адреса можно указывать в любом формате, поддерживаемом Net::IP. Ключевое слово all является псевдонимом для 0/0 и ::/0 (все адреса IPv4 и IPv6).

Политика по умолчанию — allow.

⁠

Таблица 45.1. Правила обработки запросов

Соответствие	POLICY=deny	POLICY=allow
Соответствует только Allow	Запрос разрешён	Запрос разрешён
Соответствует только Deny	Запрос отклонён	Запрос отклонён
Нет соответствий	Запрос отклонён	Запрос разрешён
Соответствует и Allow и Deny	Запрос отклонён	Запрос разрешён