====== host2.shackspace.de ======                 
{{tag> infrastructure computing }}

Proxmox VE Server für Internetdinge.

**LXCs Stand 2023-02-04**\\
[Quelle: pct list]
 
^ ID ^ name ^ status ^ 
(keine)

Management der LXCs entweder über Webfrontend https://host2.shackspace.de:8006, oder über Kommandozeile, Tool `pct`. lxc-* ist nicht anzuraten. Die LXC-Configuration wird dynamisch erzeugt.

===== Grundinstallation =====
  * Proxmox 7.1 ISO gebootet
  * Alles ZFS, dann Datenteil verschlüsseln
<code>
zfs destroy rpool/data
zfs create -o encryption=on -o keylocation=prompt -o keyformat=passphrase rpool/data
# passphrase im passbolt
reboot

# Proxmox Community Repositories
apt install extrepo
extrepo enable proxmox-pve
sed -i 's/^/#/' /etc/apt/sources.list.d/pve-enterprise.list

apt install apt-dater

# rpcbind disable, wird nicht verwendet und ist public erreichbar
systemctl stop rpcbind.socket rpcbind.service
systemctl disable rpcbind.socket rpcbind.service
systemctl mask rpcbind.socket rpcbind.service
</code>

==== tinc zur Migration host1/host2 ====
<code>
apt install tinc
mkdir -p /etc/tinc/inetpriv/hosts

cat <<'EOF' >/etc/tinc/inetpriv/tinc.conf
Name = $HOST
Mode = switch
BindToAddress = * 656
Hostnames = yes
GraphDumpFile = /tmp/inetpriv.gv
ConnectTo = tom
#ConnectTo = host2.shackspace.de
EOF

cat <<'EOF' >/etc/tinc/inetpriv/tinc-up
#!/bin/sh
brctl addif vmbr000 $INTERFACE
ip link set dev $INTERFACE up
EOF
chmod +x /etc/tinc/inetpriv/tinc-up
tincd -n inetpriv -K
mv /etc/tinc/inetpriv/hosts/inetpriv /etc/tinc/inetpriv/hosts/host2

cat <<'EOF' >/etc/tinc/inetpriv/hosts/tom
Address = host1.shackspace.de
Port 656
-----BEGIN RSA PUBLIC KEY-----
...
EOF

ufw allow 656 comment 'tinc/656 inetpriv'

systemctl enable tinc@inetpriv
systemctl start tinc@inetpriv
</code>

==== Firewall Regeln extra ====
Basis kommt über ansible
<code>
# IP Forwarding
cat <<'EOF' >/etc/sysctl.d/99-local.conf
net.ipv4.ip_forward=1
EOF
sysctl --system

ufw route allow in on vmbr999 out on vmbr000 to 192.168.146.101 port 25 proto tcp
</code>
===== ZFS unlock nach Boot =====
<code>
zfs load-key -a
zfs mount -a
# eventuell, falls der Timeout schon abgelaufen ist und die Gäste nicht laufen:
zfs restart zfs-volume-wait.service # nur wegen der Optik
pvenode startall
</code>
===== Aktuelles Debian Template holen =====
<code>
pveam update
TEMPLATE=$(pveam available --section system | grep ' debian-11' | tail -n1 | cut -d' ' -f2- | sed "s/[[:space:]]//g")
TEMPLATESTORAGE=local
pveam download $TEMPLATESTORAGE $TEMPLATE
</code>