❎관리 및 운영

GUI & CLI 활용

Web GUI

Proxmox는 웹 기반 관리 인터페이스를 제공하며, 대부분의 관리 작업을 브라우저에서 처리할 수 있음

• 대시보드 보기
  : CPU·메모리·스토리지 자원 현황과 VM/컨테이너 상태를 시각적으로 표시함
• VM/컨테이너 관리
  : 생성, 시작, 중지, 마이그레이션 등 주요 작업을 버튼 클릭으로 처리 가능
• 자원 모니터링
  : VM·CT 별 CPU, 메모리, 네트워크, 디스크 사용향을 그래프 형태로 제공 → 성능 추세 및 병목 원인 파악에 유용
• 스토리지/네트워크 설정
  : GUI 기반으로 ZFS 풀 관리, Ceph 클러스터 구성, 브리지·VLAN 생성 가능

CLI

Proxmox는 GUI와 동일한 기능을 CLI에서도 제공하며, 특히 자동화, 스크립팅, 대량 작업에 유용함

• pm 명령어 (QEMU/KVM VM 관리)
  : VM 생성, 시작, 중지, 삭제, 리소스 할당 변경 등 VM 관련 모든 작업을 CLI에서 수행 가능함

  qm list			# 현재 VM 목록 확인
  qm start 101		# VM ID 101번 시작
  qm stop 101		# VM ID 101번 중지
  qm create 102 --momory 2048 --cores 2 --net0 virtio,bridge=vmbr0 --ide2 local:iso/debian.iso,media=cdrom

  
  
• pct 명령어 (LXC 컨테이너 관리)
  : LXC 기반 컨테이너를 다루는 전용 명령어로, 가볍게 테스트 환경을 운영할 때 유용함

  pct list					# 현재 컨테이너 목록 확인
  pct start 201				# 컨테이너 ID 201번 시작
  pct exec 201 -- bash		# 컨테이너 내부에서 명령어 실행
  pct shutdown 201			# 컨테이너 종료

사용자·권한 관리

계정 생성

Proxmox VE는 설치 직후 root@pam 계정으로 관리되지만, 운영 환경에서는 별도의 고나리 계정을 추가하는 것이 권장됨

Datacenter → Permissions → Users 메뉴

인증방식 선택

• PAM : Proxmox 서버의 Linux 사용자 계정과 연동
• Proxmox VE Auth : Proxmox의 자체 인증
• LDAP/AD 연동 : 기업 환경에서 중앙 계정 체계와 통합 가능

생성된 계정은 이후 특정 역할(Role)과 리소스(Resource)에 할당하여 세부 권한을 부여할 수 있음

RBAC

Proxmox는 역할 기반 접근 제어 방식을 사용하여, 개별 사용자에게 직접 권한을 주는 대신 역할을 정의하고 이를 사용자·그룹에 할당함

권한 부여는 Datacneter, Node, VM/CT 단위로 나눌 수 있음

Example

• Administrator : 전체 리소스 관리 가능
• PVEVMAdmin : VM 관련 작업 가능, 시스템 전체에는 제한
• PVEUser : VM/CT의 콘솔 접속, 시작·중지 같은 최소 권한만 부여

계층적으로 권한을 설정하면 불필요한 권한 남용을 방지하고, 관리 책임을 분리할 수 있음

시스템 모니터링

로그와 지표

• 로그 확인
  : Proxmox는 각 노드의 VM/CT으 이벤트, 작업 이력을 GUI와 CLI모두에서 확인 가능함

  • Web GUI : Datacenter → Node → Syslog
  • CLI : journalctl -xe, /var/log/syslog, /var/log/pve/tasks/active 등
  • VM/CT 단위 로그는 Task History 메뉴에서 확인 가능

• 지표 모니터링

  • GUI 대시보드에서 CPU, 메모리, 디스크, 네트워크 사용량 실시간 확인 가능
  • 장기간 추이를 보기 위해 RRD(Round-Robin Database) 기반 그래프 제공
  • 필요 시 외부 모니터링 시스템(PPrometheus, Grafana) 연동 가능
    → 알림·대시보드 확장

• 활용 목적

  • 장애 원인 분석 (ex: VM 다운 → CPU과부하 로그 확인)
  • 자원 추세 분석 (ex: 메모리 사용량 급증 → 증설 필요 판단)
  • 보안 이벤트 감시 (ex: 인증 실패 시도, 권한 없는 접근 시도 기록)

업데이트 및 패치 관리

OS 업데이트

Proxmox는 Debian 기반이므로, 기본 OS 업데이터는 apt 패키지 관리자로 수행

apt update
apt full-upgrade

• GUI : Node → Updates 메뉴에서 업데이트 가능
• 보안 권장 사항
  • 정기적 업데이트 스케줄 수립
  • 커널 업데이트 시 재부팅 필요 여부 확인
  • 변경 전 apt changelog로 업데이트 내역 확인

Proxmox 패치

Proxmox VE 자체 패키지는 별도의 저장소에서 관리됨

저장소 종류

• enterprise (유료)
  : 안정성과 장기 지원 중심

• no-subscription (무료)
  : 최신 업데이트는 빠르게 반영되나 안정성 검증 수준은 낮음

• test
  : 신규 기능 및 패치 조기 배포, 운영 환경에는 권장되지 않음

apt update
apt dist-upgrade

• GUI : Updates 탭에서 설치 가능, 커널 패치 포함 시 재부팅 필요
• 패치 관리 시 고려사항
  • 운영 환경에서는 enterprise 권장
  • 사내 검증 서버에서는 먼저 업데이트 적용 → 문제 없을 경우 운영 서버 반영
  • 보안 패치는 가급적 지체 없이 적용

---

❎보안 및 운영 고려사항

관리 인터페이스 보안

관리 인터페이스는 외부 공격에 가장 먼저 노출되는 영역이므로, 네트워크·계정·통신 프로토콜 차원에서 다층적 방어가 필요함

네트워크 분리

관리용 트래픽을 서비스망과 격리하여 사용

• Proxmox Web GUI 및 SSH 접속은 서비스 네트워크와 분리된 전용 관리망에서만 접근하도록 구성
• 방화벽 규칙을 통해 허용된 IP 대역만 접속 가능하도록 제한하면 불필요한 접속 시도를 줄일 수 있음

계정 및 인증 관리

root 직접 로그인을 피하고 관리자 전용 계정을 생성한 후 sudo 권한을 부여하는것을 권장함

• TOTP 기반 2FA 활성화 → 계정 탈취 리스크 낮춤
• LDAP/AD 연동 → 기업 단위의 중앙집중현 계정 관리 가능
• 로그인 실패 횟수 제한, Fail2Ban 연동 → 무차별 대입 공격 방지

SSL/TLS 적용

1️⃣기본 제공 인증서

• Proxmox는 설치 시 자체 서명된 SSL 인증서를 생성하여 HTTPS 통신 지원
• 단, 기본 인증서는 브라우저에서 보안 경고 발생

2️⃣신뢰할 수 있는 인증서 적용

• 운영 환경에서는 Let's Encypt 또는 사내 CA 인증서를 적용하여 신뢰성 확보
• GUI : Datacenter → Node → Certificates
• 자동 갱신 기능 제공 (acme.sh 기반)

3️⃣TLS 설정 강화

• 구식 프로토콜(TLS 1.0/1.1) 비활성화, TLS 1.2 이상 권장
• HSTS (HTTP Strict Transport Security) 적용으로 중간자 공격 방지

백업 및 데이터 보호

가상화 환경의 핵심은 데이터 무결성과 복구 가능성 확보로 단순히 백업을 수행하는 것에 그치지 않고, 주기적인 자동화·암호화·검증이 병행되어야 함

자동화와 스케줄링

: PBS:Proxmox Basckup Server를 이용하면 증분 백업, 압축, 중복 제거 기능을 통해 저장 효율성을 높일 수 있음

GUI : Datacenter → Backup

• VM/CT 단위로 스케줄 설정이 가능함
• 일반적으로 "일일 증분 + 주간 풀 백업" 구조가 사용됨
• 성능 저하를 줄이기 위해 비 업무 시간대에 실행하는 것이 적함함

백업 신뢰성 검증

: 저장된 백업은 실제 복구 테스트를 통해 유효성을 확인해야 함

단순히 백업 파일 존재 여부만으로는 복구시 정상 동작 여부를 알 수 없으므로 정기적으로 VM/CT를 복구해 정상 동작 여부를 검증해야함

데이터 암호화

• 전송 구간
  : PBS는 기본적으로 TLS 기반 전송 암호화로 보호되며, SSH 터널링을 통해 원격 백업 시 추가 보안 계층 제공이 가능함

• 저장 데이터
  : AES-256 기반 암호화 옵션 지원하고, 백업 저장소 탈취 시에도 데이터 보호 가능함
    암호화 키는 별도 안전한 위치(HSM, Vault 등)에 보관 필요

장기 보관 및 정책 연계

: 장기 보관용 백업은 오프사이트 스토리지나 WORM (Write Once Read Many) 장치를 사용하는 것이 적절하며 접근 권한을 제한해 관리자가 아닌 운영자가 임의로 접근할 수 없도록 설정해야함

장단점

⭕장점

1. 보안 강화
   • 관리 인터페이스를 전용 VLAN으로 분리하고 방화벽으로 접근을 제한하면 외부 공격 표면이 줄어듦
   • TLS, 2FA 적용, SSH 키 기반 인증 등으로 계정 탈취 및 중간자 공격 위험을 낮출 수 있음
     
     
2. 데이터 안정성 확보
   • PBS를 활용한 증분 백업과 주간 풀 백업 조합으로 데이터 손실 가능성을 최소화 함
   • 정기적인 복구 테스트를 통해 백업 신뢰성을 검증할 수 있음
     
     
3. 운영 효율성 향상
   • 백업 자동화와 스케줄링, 중복 제거·압축 기능으로 스토리지 효율을 높이고, 관리 부담을 줄일 수 있음
     
     
4. 중앙 관리와 권한 제어 용이
   • LDAP/AD 연동으로 계정과 권한을 중앙에서 관리할 수 있음
   • TOTP 2FA와 접근 제한 적용으로 운영자 실수나 외부 공격으로 인한 피해를 줄일 수 있음

❌단점

1. 구축 초기 부담
   • 관리망 분리, TLS 인증서 발급, 백업 스케줄링 등 초기 설정 과정이 복잡하며, 경험이 없는 경우 시행착오가 발생할 수 있음
   • HSM, Vault, 오프사이트 레포지토리 등 보안 장치와 스토리지 확보 시 비용 부담이 증가함
     
     
2. 운영 부담
   • 정기적인 백업 상태 모니터링과 복구 검증이 필요하여 인력 또는 자동화 체계 없이는 관리 부담이 증가함
   • 백업·암호화 처리 시 가상화 환경 성능에 일시적 부하가 발생할 수 있음
     
     
3. 보안 취약 노출 가능성
   • 관리 인터페이스 접근 제한이 미흡하면 외부 공격에 노출될 수 있음
   • BMC나 관리 포트가 외부에 노출되어 있으면 공격자가 시스템에 접근할 수 있어 별도의 보안강화가 필요함

운영 사례

소규모 테스트 환경

• 기본 보안 설정적용
  : 관리 인터페이스의 접근 제한, SSH 보안 강화, TLS 적용 등의 기본 보안 설정을 적용하여 데스트 환경의 보안을 강화할 수 있음

개인 연구실/서버 활용

• 백업 및 복구 전략 사용
  : 개인 프로젝트나 연구용 서버에 대해 정기적인 백업 및 복구 전략을 적용하여 데이터 손실에 대비할 수 있음

중소규모 프로덕션

• 다층 보안 적용
  : 관리 인터페이스 보안, TLS 보호, 백업 전략, 암호화 및 적앱을 통합하여 다층 보안을 적용하는 것이 중요함

• 정기적인 복구 테스트 수행
  : 백업의 신뢰성을 확보하기 위해 정기적으로 복구 테스트를 수행하는 것이 권장됨

---

❎고급 활용

Ceph 분산 스토리지

Ceph는 Proxmox VE와 연동이 가능한 오픈소스 분산 스토리지로, 데이터 가용성과 확장성을 높이는 핵심 구성 요소

• 데이터 복제 및 내결함성
  : Ceph OSD(Obejct Storage Demon)는 데이터를 여러 노드에 복제하여, 일부 노드 장애 시에도 데이터 손실 없이 운영이 가능함

• RBD:Black Device 지원
  : VM/CT 디스크를 Ceph RBD로 구성하면 스냅샷, 복제, 라이브 마이그레이션이 가능함

• 확장성
  : 노드 추가만으로 스토리지 용량과 I/O 성능을 확장할 수 있으며, Proxmox GUI에서 간편하게 클러스터 상태를 모니터링할 수 있음

⚠️ 네트워크 지연(latency)과 Ceph 모니터(MON) 노드 수 부족 시 성능 저하와 데이터 불균형이 발생할 수있음 → 최소 3개의 MON 노드를 권장함

HA 클러스터 운영

HA:High Availability 클러스터는 서비스 연속성을 보장하기 위해 VM/CT를 자동으로 재배치라는 기능을 제공함

• 자동 장애 대응
  : 노드 장애 발생 시, 다른 노드로 VM/CT가 자동으로 마이그레이션되어 서비스 중단이 최소화됨

• 리소스 관리
  : Proxmox Ve HA 관리자는 각 VM의 우선순위, 리소스 요구량을 고려해 재배치함

• Heartbeat 및 Quorum
  : 노드 간 상태 확인(Heartbeat)과 Quorum 체계를 통해 클러스터 분리(split-brain) 방지

⚠️ HA를 적용하면 스토리지 및 네트워크 부하가 증가하므로, 충분한 리소스 계획과 네트워크 분리가 필요함

방화벽 및 보안 정책

Proxmox VE 내장 방화벽과 네트워크 보안 정책을 활용하면 관리 인터페이스와 VM/CT 트래픽을 보호할 수 있음

• 노드 및 VM 단위 방화벽
  : Proxmox GUI에서 노드, VM, CT 별로 입출력 규칙 설정이 가능함

• 정책 계층화
  : Datacenter → Node → VM/CT 순으로 규칙을 상속하고, 우선순위 기반 정책 적용이 가능함

• SSH 및 서비스 보호
  : 불필요한 포트는 차단하고 특정 IP만 접근을 허용함, Fail2Ban 연동 등으로 공격 표면 최소화

• 로그와 모니터링
  : 방화벽 로그를 수집하여 비정상 트래픽 탐지 알람 체계와 연계 가능