Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- dienste:bytecluster0002 [05.10.2020 20:47] – [Container] chaos
+++ dienste:bytecluster0002 [02.12.2023 21:36] (aktuell) – mape2k
@@ Zeile 3: / Zeile 3: @@
 bytecluster0002 ist ein Virtualisierungsserver, der Kommunikationsdienste für den Verein bereitstellt.
 Er löst [[bytecluster0001]] ab.
+====== Virtuelle Hardware ======
+  * 4 Kerne
+  * 16 GB RAM
+  * Volumes
+    * 160 GB / //(inkludiert)//
+    * 100 GB /mnt/data //(zusätzlich)//
+====== Migration ======
+  * mehr zur Migration unter [[dienste:bytecluster0002:migration]]
 ====== Festlegungen (Diskussionsgrundlage) ======
@@ Zeile 14: / Zeile 26: @@
 ====== Container ======
-  * [[dienste:bytecluster0002:web|web]]
+  * siehe [[dienste:bytecluster0002:host-netzwerke|host-netzwerke]]
-  * [[dienste:bytecluster0002:traefik|traefik]]
-  * [[dienste:bytecluster0002:traefik|mariadb]]
-  * [[dienste:bytecluster0002:nextcloud|nextcloud]]
-  * [[dienste:bytecluster0002:wordpress|wordpress]]
 ====== Administratoren ======
@@ Zeile 25: / Zeile 34: @@
   * [[user:suicider]]
   * [[user:chaos]]
-====== ToDo ======
-  * Traefik-Container
 ====== IPs /DNS ======
@@ Zeile 83: / Zeile 88: @@
 ===== Betriebssystem =====
-  * Debian 10 minimal (vorinstalliert)
+  * Debian 12 minimal (vorinstalliert)
 ==== Vorkonfiguration =====
@@ Zeile 92: / Zeile 97: @@
 ==== Grundeinrichtung ====
+====== Migration ======
   - System aktualisieren
@@ Zeile 114: / Zeile 120: @@
   - NFS / rpcbind deaktivieren und beenden (wird nicht benötigt, offene Ports schließen)
-    * **systemctl disable --now rpcbind.service rpcbind.socket**
+    * **<nowiki>systemctl disable --now rpcbind.service rpcbind.socket</nowiki>**
   - sudo installieren und konfigurieren
     * **apt-get install sudo**
@@ Zeile 123: / Zeile 129: @@
   - SSH - Login als root und mit Passwort deaktivieren
     * Vorher mindestens einen Benutzer einrichten, der einen SSH-Schlüssel hinterlegt hat!
-    - Konfiguration anpassen<file|/etc/ssh/sshd_config>
+    - Konfiguration anpassen<file|/etc/ssh/sshd_config.d/01_custom.conf>
-...
 PermitRootLogin no
-...
 PasswordAuthentication no
-...
+KbdInteractiveAuthentication no
-ChallengeResponseAuthentication no
-...
 </file>
     - SSH-Daemon neustarten
@@ Zeile 173: / Zeile 175: @@
     * Aktuelle Regeln nicht speichern
   - NAT (portbasiert) für IPv4
-    * **iptables -t nat -A POSTROUTING -o eth0 -s '10.2.0.0/24' -j MASQUERADE**
+    * **iptables -t nat -A POSTROUTING -o eth0 -s 10.2.0.0/24 -j MASQUERADE**
+  - NAT-Reflection für IPv4 (Zugriff von intern auf externe IP-Adresse für Ports 80/443)
+    * **<nowiki>iptables -t nat -A PREROUTING -i vmbr0 -s 10.2.0.0/24 -d 138.201.246.25/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.2.0.1:80</nowiki>**
+    * **<nowiki>iptables -t nat -A PREROUTING -i vmbr0 -s 10.2.0.0/24 -d 138.201.246.25/32 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.2.0.1:443</nowiki>**
+    * **<nowiki>iptables -t nat -A POSTROUTING -o vmbr0 -s 10.2.0.0/24 -j SNAT --to-source 138.201.246.25</nowiki>**
   - NAT (prefixbasiert) für IPv6
     * **<nowiki>ip6tables -t nat -A POSTROUTING -o eth0 --to 2a01:4f8:c17:cf64:ffff::/80 -s fd00:10:2:0::/64 -j NETMAP</nowiki>**
     * **<nowiki>ip6tables -t nat -A PREROUTING -i eth0 -d 2a01:4f8:c17:cf64:ffff::/80 --to fd00:10:2:0::/64 -j NETMAP</nowiki>**
+  - NAT-Reflection für IPv6 (Zugriff von intern auf externe IP-Adresse)
+    * **<nowiki>ip6tables -t nat -A POSTROUTING -o vmbr0 -s fd00:10:2::/64 -j SNAT --to-source 2a01:4f8:c17:cf64::1</nowiki>**
   - Regeln speichern
     * **netfilter-persistent save**
@@ Zeile 193: / Zeile 201: @@
 ==== Eingerichtete Forwards ====
-  - NAT-Reflection (um interne Dienste über externe IPv4-Adressen zu erreichen)<code>
+  * Port 80/443 für Container [[dienste:bytecluster0002:traefik|traefik]]
-iptables -t nat -A POSTROUTING -o vmbr0 -j SNAT --to-source 138.201.246.25
+    * **iptables -t nat -A PREROUTING -d 138.201.246.25/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.2.0.1:80**
+    * **iptables -t nat -A PREROUTING -d 138.201.246.25/32 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.2.0.1:443**
+  * NGINX default im web-container<code>
+iptables -t nat -A PREROUTING -d 138.201.246.25/32 -p tcp --dport 8089 -j DNAT --to 10.2.0.10:8089
 </code>
-  - NGINX default im web-container<code>
+  * Dokuwiki im web-container<code>
-iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 8089 -j DNAT --to 10.2.0.10:8089
+iptables -t nat -A PREROUTING -d 138.201.246.25/32 -p tcp --dport 8088 -j DNAT --to 10.2.0.10:8088
 </code>
-Dokuwiki im web-container
+  * Nextcloud im nextcloud.test container<code>
-<code>
+iptables -t nat -A PREROUTING -d 138.201.246.25/32 -p tcp --dport 8087 -j DNAT --to 10.2.0.20:8087
-iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 8088 -j DNAT --to 10.2.0.10:8088
 </code>
-Nextcloud im nextcloud.test container
+  * Wordpress im wordpress.test container<code>
-<code>
+iptables -t nat -A PREROUTING -d 138.201.246.25/32 -p tcp --dport 8086 -j DNAT --to 10.2.0.30:8086
-iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 8087 -j DNAT --to 10.2.0.20:8087
 </code>
 ===== Proxmox =====
@@ Zeile 304: / Zeile 315: @@
 Task OK
 </file>
+==== SSH-Forward-Hook einrichten ====
+  - Skript hinterlegen<file|/var/lib/vz/snippets/ssh_forward.sh>
+#!/usr/bin/sh
+# Hook script to automatically forward SSH-Port to Container
+VMID=$1
+PHASE=$2
+NETWORK_INTERFACE_EXTERNAL=eth0
+NETWORK_INTERFACE_INTERNAL=vmbr0
+SSH_DESTINATION_PORT=22
+SSH_FORWARD_BASE_PORT=22000
+# Determine container details
+IP_ADDRESS_INTERNAL=$(pct config $VMID | grep "bridge=$NETWORK_INTERFACE_INTERNAL" | sed --regexp-extended 's/.*ip=([0-9\.]*)\/.*/\1/')
+# IP_LAST_OCTET=$(pct config $VMID | grep "bridge=$NETWORK_INTERFACE_INTERNAL" | sed --regexp-extended 's/.*ip=[0-9]+\.[0-9]+\.[0-9]+\.([0-9]+)\/.*/\1/')
+SSH_FORWARD_PORT=$(expr $SSH_FORWARD_BASE_PORT + $VMID)
+echo "GUEST HOOK on VMID $VMID for phase $PHASE"
+echo "Internal IP address: $IP_ADDRESS_INTERNAL"
+echo "SSH-Port on host: $SSH_FORWARD_PORT"
+case "$PHASE" in
+  # First phase 'pre-start' will be executed before the guest
+  # ist started. Exiting with a code != 0 will abort the start
+  pre-start) echo "$VMID is starting, doing preparations.\n"
+             iptables -t nat -A PREROUTING -i $NETWORK_INTERFACE_EXTERNAL -p tcp --dport $SSH_FORWARD_PORT -j DNAT --to $IP_ADDRESS_INTERNAL:$SSH_DESTINATION_PORT
+             ;;
+  # Second phase 'post-start' will be executed after the guest
+  # successfully started.
+  post-start) echo "$VMID started successfully.\n"
+              ;;
+  # Third phase 'pre-stop' will be executed before stopping the guest
+  # via the API. Will not be executed if the guest is stopped from
+  # within e.g., with a 'poweroff'
+  pre-stop) echo "$VMID will be stopped.\n"
+            ;;
+  # Last phase 'post-stop' will be executed after the guest stopped.
+  # This should even be executed in case the guest crashes or stopped
+  # unexpectedly.
+  post-stop) echo "$VMID stopped. Doing cleanup.\n"
+             iptables -t nat -D PREROUTING -i $NETWORK_INTERFACE_EXTERNAL -p tcp --dport $SSH_FORWARD_PORT -j DNAT --to $IP_ADDRESS_INTERNAL:$SSH_DESTINATION_PORT
+             ;;
+  *) echo "Got unknown phase '$PHASE'\n"
+     exit 1
+     ;;
+esac
+</file>
+  - Skript ausführbar machen
+    * **chmod +x /var/lib/vz/snippets/ssh_forward.sh**
+==== Zusätzliches Volume einrichten ====
+  - Volume vorbereiten als /mnt/data
+  - Volume in Proxmox einbinden
+    * **pvesm add dir data -content rootdir,images,backup -path /mnt/data/**
 ==== Anpassung des Standard-Templates auf Debian-Basis ====
@@ Zeile 312: / Zeile 388: @@
     * **pveam update**
   - Verfügbare Images anzeigen
-    * **<nowiki>pveam available --section system | grep debian</nowiki>**<code>system          debian-10.0-standard_10.0-1_amd64.tar.gz
+    * **<nowiki>pveam available --section system | grep debian</nowiki>**<code>system          debian-11-standard_11.7-1_amd64.tar.zst
-system          debian-8.0-standard_8.11-1_amd64.tar.gz
+system          debian-12-standard_12.2-1_amd64.tar.zst</code>
-system          debian-9.0-standard_9.7-1_amd64.tar.gz</code>
+  - Debian 12 Image herunterladen
-  - Debian 10 Image herunterladen
+    * **pveam download local debian-12-standard_12.2-1_amd64.tar.zst**
-    * **pveam download local debian-10.0-standard_10.0-1_amd64.tar.gz**
   - Template in neuen Ordner entpacken
     * **mkdir /tmp/template**
     * **cd /tmp/template**
-    * **<nowiki>tar --numeric-owner --extract --verbose --file=/var/lib/vz/template/cache/debian-10.0-standard_10.0-1_amd64.tar.gz --directory=/tmp/template</nowiki>**
+    * **<nowiki>tar --numeric-owner --extract --verbose --file=/var/lib/vz/template/cache/debian-12-standard_12.2-1_amd64.tar.zst --directory=/tmp/template</nowiki>**
   - In das Template-System wechseln
     * **systemd-nspawn -D /tmp/template**<code|Ausgabe>
@@ Zeile 329: / Zeile 404: @@
   - Template: Konfiguration und Software anpassen
     - APT-Quellen auf Hetzner festlegen
-      * **echo "deb http://mirror.hetzner.de/debian/security buster/updates main contrib non-free" > /etc/apt/sources.list.d/hetzner-security-updates.list**
+      * **<nowiki>echo "deb http://mirror.hetzner.de/debian/security bookworm-security main contrib" > /etc/apt/sources.list.d/hetzner-security-updates.list</nowiki>**
-      * **echo "deb http://mirror.hetzner.de/debian/packages buster main contrib non-free" > /etc/apt/sources.list.d/hetzner-mirror.list**
+      * **<nowiki>echo "deb http://mirror.hetzner.de/debian/packages bookworm main contrib" > /etc/apt/sources.list.d/hetzner-mirror.list</nowiki>**
-      * **echo "deb http://mirror.hetzner.de/debian/packages buster-updates main contrib non-free" >> /etc/apt/sources.list.d/hetzner-mirror.list**
+      * **<nowiki>echo "deb http://mirror.hetzner.de/debian/packages bookworm-updates main contrib" >> /etc/apt/sources.list.d/hetzner-mirror.list</nowiki>**
-      * **echo "deb http://mirror.hetzner.de/debian/packages buster-backports main contrib non-free" >> /etc/apt/sources.list.d/hetzner-mirror.list**
+      * **<nowiki>echo "deb http://mirror.hetzner.de/debian/packages bookworm-backports main contrib" >> /etc/apt/sources.list.d/hetzner-mirror.list</nowiki>**
     - Alle Änderungen aus Betriebssystem von bytecluster0002 vornehmen
       * Ausnahmen: NFS deaktivieren und SSH neustarten
@@ Zeile 341: / Zeile 416: @@
       * **logout**
   - Template packen und temporären Ordner entfernen
-    * **<nowiki>tar --numeric-owner --create --gzip --verbose --file=/var/lib/vz/template/cache/debian-10-$(hostname).tar.gz .</nowiki>**
+    * **<nowiki>tar --numeric-owner --create --zstd --verbose --file=/var/lib/vz/template/cache/debian-12-$(hostname).tar.zst .</nowiki>**
     * **cd**
     * **<nowiki>rm --recursive /tmp/template</nowiki>**
@@ Zeile 363: / Zeile 438: @@
   - Unter **network** statische IPs vergeben: IPv4: 10.2.0.x/24 Gateway 10.2.0.0 IPv6: fd00:10:2:0::x/64 Gateway fd00:10:2:0::0 mit freiem x (0 = host, 10 = web, ...);
   - Im letzten Tab bestätigen und ggfs. Container sofort starten.
+=== Automatischen SSH-Forward für Container konfigurieren ===
+  - Per SSH auf dem Host einloggen
+  - Hook-Skript an Container binden
+    * **sudo pct set <CT ID> -hookscript local:snippets/ssh_forward.sh**
+  - Container ist nach dem (Neu)Start per SSH auf Port 22000 + <CT ID> (z.B. 22149 für Container mit ID 149) direkt erreichbar
 === In Container einloggen ===
   * Vor weiteren Konfigurationen ist der Container nicht von aussen erreichbar, sondern nur über den Host
-  * Die Nutzeraccounts des Hosts sind auch im Container angelegt, jedoch mit unbekanntem Passwort
+  * Die Benutzer-Accounts des Hosts sind auch im Container angelegt, das Passwort liegt in einer passwort.txt im Home des Benutzers im Container
-  * Ein Login ist über public key möglich, wenn dieser beim erstellen hinterlegt wurde
+  * Ein Login ist über mittels SSH-Key möglich, die Keys sind in den Containern vorab hinterlegt
     * Es empfiehlt sich, SSH Agent forwarding zu nutzen, statt seinen private key auf den Host zu kopieren
 <code|Disclaimer>Wird SSH Agent Forwarding genutzt, kann potentiell jeder mit root/sudo-Rechten solange ihr eingeloggt seid euren Key benutzen, um sich in eurem Namen lokal oder auf weiteren (auch externen) Servern einzuloggen, auf denen der selbe Key benutzt wird!</code>
-    * Dazu vom Heimrechner einmal **sshd-add** (je nach system einmalig oder nach jedem Login), dann **ssh -A bytecluster0002.bytespeicher.org**; von dort dann **ssh 10.2.0.x** zum Container
+    * Dazu am eigenen Rechner einmal **ssh-add** (je nach system einmalig oder nach jedem Login), dann **ssh -A bytecluster0002.bytespeicher.org**; von dort dann **ssh 10.2.0.x** zum Container
-  * Alternativ kann von der Konsole des Hosts aus mit **sudo lxm-attach <CT ID>** direct eine root-Konsole des Containers erreicht werden
+  * Zum Passwort ändern kann man sich zur Konsole des Containers verbinden
-    * aus dieser kann mit **passwd <nutzername>** das Nutzerpasswort geändert werden
+    * Von der Konsole des Hosts aus mit **sudo pct console <CT ID>**
-  * Sobald das Nutzerpasswort bekannt ist, kann auch eine Konsole im Web-Frontend (Rechtsklick auf den Container) genutzt werden
+    * Über das Web-Frontend kann man die "Console" nutzen
-  * Alle bekannten Nutzer sind sudoer
+    * In der Konsole kann man sich als root mit dem festgelegten Passwort einloggen und mit **passwd <nutzername>** das Benutzer-Passwort ändern
+  * Alle bekannten Nutzer sind sudo-fähig