technik:proxmox

Dies ist eine alte Version des Dokuments!

Proxmox

Der Verein betreibt mehrere Proxmox-Kisten.

Setup

Es gibt ein paar Konventionen zum Setup, an die wir uns halten moechten.

Interfaces

  • vmbr1: NAT für Gäste, Netz ist hier `10.0.CLUSTERID.0/24`. Die Mitglieder des Cluster haben die IPs 1-10.
  • vmbr2: Layer 2 Freifunknetz, VLAN = Segment + 100. VLAN 255 ist Transfernetz in den Wireguard Backbone.
  • vmbr999: externes Interface mit öffentlicher IP. Finger weg, bei Hetzner droht Serversperrung wenn hier unbekannte MACs oder IPs unterwegs sind!

Dateisysteme

Bei Hetzner kein Root auf ZFS, weil das Hetzner Rescue kein ZFS kann! Dann bitte mdadm RAID + LVM + ZFS (ja, wirklich).

Nutzerkonto auf Proxmox anlegen

Es werden grundsaetzlich nur lokale Nutzeraccounts benutzt, damit die Nutzer die Proxmox-Shell verwenden koennen und ihr Passwort selbst per SSH setzen koennen.

Die Nutzerkonten auf Proxmox Hosts werden alle mit Ansible verwaltet.

Die Proxmox(!)-Gruppe ffs gibt den Nutzern Zugriff aufs Proxmox-Webinterface.

  1. Nutzer im Ansible anlegen
  2. Playbook all.yml laufen lassen.
  3. Den Nutzer per pveum user add NUTZER@pam bei Proxmox bekannt machen. Das muss nur einmal pro Cluster und Nutzer gemacht werden.
  4. Den Nutzer per pveum user modify –groups ffs nrb@pam zur Proxmox-Gruppe ffs hinzufuegen. Das muss nur einmal pro Cluster und Nutzer gemacht werden.
  5. Nutzer kann sich per SSH einloggen und anschließend ein Passwort per `passwd` setzen, mit dem er sich im Proxmox einloggen kann. Das Passwort gilt jeweils nur für einen Host, nicht clusterweit.

Zugriff auf Container / Proxmox als Jumphost

Sobald man einen Account auf den Proxmox Hosts hat und sich auf den Hosts per SSH einloggen kann, kann man sich auf den Gästen einloggen.

Entweder per Jumphost und IP des Gastes:

ssh -J PROXMOXHOST GASTIP

Oder man fügt folgenden Schnipsel in seine `.ssh/config` ein: 

Host *.ffs05
        User root
        ProxyCommand ssh ffs05 -W 10.0.3.$(( $(echo %n | sed -e 's/.ffs05//') - 3000 )):22

Und kann dann per ssh GASTID.ffs05 auf jeden beliebigen Gast hinter ffs05.

Neuen Container anlegen

Wer ein Freifunkprojekt hat, kann vom Verein einen Container bekommen. Voraussetzung ist Vereinsmitgliedschaft und/oder eine entsprechende Vereinbarung mit dem Verein. Der Vorstand kann hierzu Auskunft geben.

  • technik/proxmox.1675334929.txt.gz
  • Zuletzt geändert: vor 16 Monaten
  • von nrb