Привет всем!

В моей библиотеке есть локальная сеть (LAN), где работает моя инфраструктура Proxmox, DMZ и общедоступная Wi-Fi сеть. Хочу, чтобы публичный киоск мог получить доступ к определенным VM на Proxmox (в принципе, как VDI). Попробовал разные решения, но вопрос безопасности пока что не решен. Попробую объяснить последней конфигурацией:

- Proxmox-ноды находятся в LAN, изолированные от остального мира по соображениям безопасности;
- Nginx Spice Proxy (порт 3128) находится в DMZ и обеспечивает доступ к конкретным VM по протоколу Spice;
- Нужно открыть межзоновую rule в файрволе, чтобы nginx мог получить доступ к Proxmox-нодам на порту 3128 в LAN;
- Клиент в Wi-Fi сети подключается к nginx proxy через другую межзоновую rule, позволяющую Wi-Fi сети получить доступ к порту 3128 nginx;

Всё работает. Проблема в открытии тикета на Proxmox и получении .vv файла. Для этого пришлось открывать межзоновую rule для порта 8006, чтобы nginx мог получить доступ к API Proxmox, и это небезопасно! Почему Proxmox не разделяет удаленный доступ к VM API от API управления системой? Есть ли способ это сделать? VPN здесь не подходит.

Прошу прощения за мой английский.

С уважением.