3 subnet, 10 container, 1 Raspberry Pi come gateway, 0 porte esposte su internet. Questa è la rete del mio homelab di produzione. Non è un laboratorio didattico: ci girano applicazioni reali, con utenti reali, e il traffico attraversa un firewall con policy drop prima di uscire verso internet.
Nella Parte 1 ho spiegato perché tratto il mio homelab come un datacenter. Nella Parte 2 ho configurato il cluster Proxmox con failover reale. Ora tocca alla rete: la parte che tiene insieme tutto e che, se sbagliata, rende inutile il resto.
Perché segmentare la rete di un homelab
Il problema è semplice: se il database PostgreSQL, il reverse proxy, la dashboard Grafana e il Wi-Fi di casa condividono la stessa subnet, qualsiasi dispositivo compromesso può raggiungere qualsiasi servizio. Un tablet con un'app malevola potrebbe parlare direttamente con il database di produzione.
La segmentazione rete homelab risolve questo separando il traffico in zone. Ogni zona ha regole di accesso diverse: il traffico di management non si mescola con quello applicativo, i container Docker non vedono i servizi di backend, e il gateway controlla tutto ciò che entra e esce.
In un datacenter si usano VLAN, switch managed e firewall dedicati. In un homelab il budget è diverso, ma il principio no.
I 3 bridge Proxmox: come funziona la segmentazione
Proxmox gestisce la rete con bridge Linux. Ogni bridge è uno switch virtuale: i container collegati allo stesso bridge si vedono tra loro, quelli su bridge diversi no. Sul mio cluster — pve (nodo primario) e pve2 (failover) — ho configurato tre bridge identici.