Евгений Хлебников

Первая показывает статус юнита. Вторая статус файрволла

systemctl не смотрит статус файрволла

>> frontend имеет адрес допустим localhost:3000
>> api имеет адрес допустим localhost:3001
это они СНАРУЖИ докера имеют такие адреса, а внутри они "service_name:port" , и обращаться друг к другу могут без обращения к внешним (относительно докера) сервисам, просто по именам сервисов. А если надо имена, то в файл docker-compose.yml можно написать alias-ы
Читаем очень внимательно вот этот важный мануал - https://docs.docker.com/compose/how-tos/networking/

Используемые практики:
1. внутренняя зона DNS и внутренний CA для выпуска wildcard сертификатов.
Внешняя DNS зона и Let's encrypt или купленный wildcard сертификат для нее.

Но и не представляю как сделать, чтобы веб-интерфейс почты крутился не на почтовом, а на веб-сервере, то есть отдельно.

На основном веб-сервере настроить реверс-прокси на почтовый. При этом почтовый сервер может работать во внутренней сети по http без сертификата, а снаружи будет виден основной сервер по https.

С почтовым сервером есть нюансы. Вам надо будет запросить у провайдера, выдавшего вам IP-адрес, добавление PTR-записи в его DNS. Без PTR многие почтовые серверы не будут принимать от вас почту, считая спамером.
Так же нужно настроить SPF, DKIM и DMARK.
TLS и/или STARTTLS на SMTP-сервере желательны, но не обязательны.

Важнейший вопрос тут - для каких задач будет использоваться NAS.

1гбит будет давать до 110мбайт/сек, для hdd особого смысла выше нет (только если это будет бесплатно, что обычно не так, так как 2.5Gb коммутаторы все еще дорогие), так как высокие скорости (200мб/с) достигаются только при линейном копировании больших файлов и при отсутствии фрагментации... во всех остальных случаях скорость может упасть 10кратно... и не утилизирует сетевой канал.

Второе - по какому сетевому протоколу будет обеспечиваться доступ к файлам... Например самые быстрые - iscsi/nbd/aoe (потому что позволяют кешировать локально даже записи, ОС знает до каких пор), но они только блочные устройства транслируют... дальше идет linux nfs и где то в конце майкрософтовский smb (он на мелких файлах может чуть ли не кратно ронять скорость)

Теперь важный ответ про RAID, никогда не используйте дешевые 'аппаратные' raid контроллеры (не серверные, те что с кешем записи и батарейкой), пользы они вам не принесут никакой а вот гемороя административного добавят (например вендорлок, при смене материнки/контроллера пересобирать рейд). Пользуйтесь программным рейдом, он есть как в windows штатно (даже в десктопных ОС если pro версия) так и конечно в linux (mdadm или штатная фича файловых систем btrfs/zfs).

По поводу конфигурации... подбирайте корпус mini pc что бы диски были внутри и подключались по своему штатному коннектору, в вашем случае sata, так как внешние usb контроллеры могут добавить багов (например не будет виден smart дисков или уберут поддержку trim для ssd) и главное, конструктивно эти наружу торчащие провода можно задеть и сбросить диски 'со стола'... NAS должен быть удобным и монолитным, и 'с ручкой для переноса'.

p.s. покупать аппаратный raid с корпусом (домашние ревизии) имеет смысл когда есть желание получить готовый результат без усилий, за это и идет доплата в цене, по сравнению со своей сборкой, выбирайте либо вы собираете либо за вас. Ну и функционал готового рейда обычно лимитирован софтом, который там запущен, когда как свой linux - максимально полнофункционален но конечно не так удобен, плюс никто не мешает и тут такой же софт поставить с UI.

Локальные учётные записи не делаются, всё рулится централизованно через AD/LDAP. Если каким-то внешним подрядчикам нужен админский доступ к определённым хостам - им выдаётся сетевой доступ только к этим хостам и они добавляются в группу, дающую sudo только на этой группе хостов.

Локальные зеркала не делаются "определённых версий", и не выкачиваются целиком - это бессмысленно, т. к. PCI DSS, например, требует регулярного обновления пакетов. В каком-нибудь Нексусе настраивается проксирование официальных репозиториев с кэшированием пакетов - и вы получаете сразу все поддерживаемые версии и храните только те пакеты, которые используются.

в принципе всё верно, правда что такое "первая нога" и "вторая нога" не сразу понял
для такого варианта какой-то сертификат для конечного nginx нужен, но какой именно неважно, ЕМНИП по умолчанию nginx не проверяет валидность сертификатов при proxy_pass на https

можно ещё посмотреть на модуль stream и proxy-протокол, тогда проксирующий nginx будет тупо перенаправлять трафик и ничего расшифровывать и снова шифровать не будет, терминированием ssl-сессии будет заниматься конечный nginx
у этого способа есть свои недостатки — порты на конечном nginx нужны отдельные чтобы принимать proxy-протокол, проксирующий nginx не будет ничего знать о доменах, т.к. по большому способу будет работать на уровне tcp

Где-то обсуждали, но не уверен, что найду источник. Может даже на Хабр Q&A.

В качестве такого портала можно использовать любую винду (1) в домене, (2) с включенным удалённым доступом (роль RDS не требуется), (3) с выключенным требованием NLA и (4) с выключенными для простых смертных правами на удалённый доступ. Все пункты существенные. Отключение NLA нужно, чтобы не отфутболивало пользователя с галкой "требовать смену пароля", либо с просроденным паролем. Отсутствие же прав на доступ нивелирует дыру, создаваемую отключением NLA. Фактически, простые смертные не смогут сделать ничего, кроме смены пароля, после чего пользователя выкинет.

Всё уже придумано за вас:
https://self-service-password.readthedocs.io/en/stable/

Вариант того, что если сертификат отозван, то он действительно отозван - не рассматривается я так понимаю? :-)
Уверены, что это один и тот же сертификат на проблемной машине и остальных? Thumbprint сравнивали?
Вангую, что на проблемную машину не прилетают обновления\не установилось обновление корневых сертификатов, а на остальные остановилось.

DNS назначается? NAT для VPN интерфейса включен?
Вы уверены что не работает именно интернет, а не DNS ?