Dies ist eine alte Version des Dokuments!
Proxmox
Der Verein betreibt mehrere Proxmox-Kisten.
Setup
Es gibt ein paar Konventionen zum Setup, an die wir uns halten moechten.
Interfaces
vmbr1
: NAT für Gäste, Netz ist hier `10.0.CLUSTERID.0/24`. Die Mitglieder des Cluster haben die IPs 1-10.vmbr2
: Layer 2 Freifunknetz, VLAN = Segment + 100. VLAN 255 ist Transfernetz in den Wireguard Backbone.vmbr999
: externes Interface mit öffentlicher IP. Finger weg, bei Hetzner droht Serversperrung wenn hier unbekannte MACs oder IPs unterwegs sind!
Dateisysteme
Bei Hetzner kein Root auf ZFS, weil das Hetzner Rescue kein ZFS kann! Dann bitte mdadm RAID + LVM + ZFS (ja, wirklich).
Nutzerkonto auf Proxmox anlegen
Es werden grundsaetzlich nur lokale Nutzeraccounts benutzt, damit die Nutzer die Proxmox-Shell verwenden koennen und ihr Passwort selbst per SSH setzen koennen.
Die Nutzerkonten auf Proxmox Hosts werden alle mit Ansible verwaltet.
Die Proxmox(!)-Gruppe ffs gibt den Nutzern Zugriff aufs Proxmox-Webinterface.
- Nutzer im Ansible anlegen
- Playbook
all.yml
laufen lassen. - Den Nutzer per
pveum user add NUTZER@pam
bei Proxmox bekannt machen. Das muss nur einmal pro Cluster und Nutzer gemacht werden. - Den Nutzer per
pveum user modify –groups ffs nrb@pam
zur Proxmox-Gruppe ffs hinzufuegen. Das muss nur einmal pro Cluster und Nutzer gemacht werden. - Nutzer kann sich per SSH einloggen und anschließend ein Passwort per `passwd` setzen, mit dem er sich im Proxmox einloggen kann. Das Passwort gilt jeweils nur für einen Host, nicht clusterweit.
Zugriff auf Container / Proxmox als Jumphost
Sobald man einen Account auf den Proxmox Hosts hat und sich auf den Hosts per SSH einloggen kann, kann man sich auf den Gästen einloggen.
Entweder per Jumphost und IP des Gastes:
ssh -J PROXMOXHOST GASTIP
Oder man fügt folgenden Schnipsel in seine `.ssh/config` ein:
Host *.ffs05 User root ProxyCommand ssh ffs05 -W 10.0.3.$(( $(echo %n | sed -e 's/.ffs05//') - 3000 )):22
Und kann dann per ssh GASTID.ffs05
auf jeden beliebigen Gast hinter ffs05.
Neuen Container anlegen
Wer ein Freifunkprojekt hat, kann vom Verein einen Container bekommen. Voraussetzung ist Vereinsmitgliedschaft und/oder eine entsprechende Vereinbarung mit dem Verein. Der Vorstand kann hierzu Auskunft geben.