« Proxmox 8 » : différence entre les versions

Aller à la navigation Aller à la recherche
← Modification précédente
VisuelWikicode
 
(21 versions intermédiaires par le même utilisateur non affichées)
Ligne 3 : Ligne 3 :
[[Category:virtualisation]]
[[Category:virtualisation]]


Nous allons voir comment installer proxmox 7.x sur un raid 1 logiciel (md / mdadm) avec debootstrap.
Nous allons voir comment installer proxmox 8.x sur un raid 1 logiciel (md / mdadm) avec debootstrap.


=Prérequis=
=Prérequis=
Ligne 101 : Ligne 101 :
</pre>
</pre>


Installez le système de base debian, version bullseye :
Installez le système de base debian, version bookworm :
<pre>debootstrap --arch=amd64 bullseye /mnt http://ftp.fr.debian.org/debian</pre>
<pre>debootstrap --arch=amd64 bookworm /mnt http://ftp.fr.debian.org/debian</pre>


==Configuration de Debian==
==Configuration de Debian==
Ligne 118 : Ligne 118 :
<pre>
<pre>
# main archive
# main archive
deb http://deb.debian.org/debian/ bullseye main contrib non-free
deb http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bullseye main contrib non-free
deb-src http://deb.debian.org/debian/ bookworm main contrib non-free non-free-firmware


# security updates
# security updates
deb http://security.debian.org/debian-security bullseye-security main contrib non-free
deb http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware
deb-src http://security.debian.org/debian-security bullseye-security main contrib non-free
deb-src http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware


# bullseye-updates, previously known as 'volatile'
# bookworm-updates, previously known as 'volatile'
deb http://deb.debian.org/debian/ bullseye-updates main contrib non-free
deb http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian/ bullseye-updates main contrib non-free
deb-src http://deb.debian.org/debian/ bookworm-updates main contrib non-free non-free-firmware


# backports
# backports archive
#deb http://deb.debian.org/debian bullseye-backports main contrib non-free
deb http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
#deb-src http://deb.debian.org/debian bullseye-backports main contrib non-free
deb-src http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
</pre>
</pre>


Ligne 154 : Ligne 154 :
</pre>
</pre>


Configurez votre fichier <code>/etc/fstab</code> :
Configurez votre fichier <code>/etc/fstab</code>.<br>
Pour GPT pour EFI / UEFI :
<pre>
<pre>
# <file system> <mount point>  <type>  <options>                                <dump>  <pass>
# <file system> <mount point>  <type>  <options>                                <dump>  <pass>
Ligne 163 : Ligne 164 :
</pre>
</pre>


Montez la partition EFI / ESP :
Pour GPT pour BIOS :
<pre>
# <file system> <mount point>  <type>  <options>                                <dump>  <pass>
/dev/md2        /              ext4    defaults,errors=remount-ro,relatime      0      1
/dev/sda3      swap    swap    sw,pri=1                                          0      0
/dev/sdb3      swap    swap    sw,pri=1                                          0      0
</pre>
 
Montez la partition EFI / ESP dans le cas d'un partitionnement GPT pour EFI / UEFI :
<pre>
<pre>
mkdir /boot/efi
mkdir /boot/efi
Ligne 207 : Ligne 216 :
225.182.54.9 proxmox.domain.tld proxmox pvelocalhost
225.182.54.9 proxmox.domain.tld proxmox pvelocalhost
</pre>
</pre>
'''Attention : n'utilisez pas 127.0.1.1 (comme le fait debian) mais bien la vrai ip (ici 225.182.54.9)'''


N'oubliez pas de configurer les dns (ceux de votre hébergeur dédié) dans <code>/etc/resolv.conf</code> :
N'oubliez pas de configurer les dns (ceux de votre hébergeur dédié) dans <code>/etc/resolv.conf</code> :
Ligne 228 : Ligne 239 :
<pre>
<pre>
# PVE pve-no-subscription repository provided by proxmox.com, NOT recommended for production use
# PVE pve-no-subscription repository provided by proxmox.com, NOT recommended for production use
deb http://download.proxmox.com/debian/pve bullseye pve-no-subscription
deb http://download.proxmox.com/debian/pve bookworm pve-no-subscription
</pre>
</pre>


Ajoutez la clé du dépôt proxmox :
Ajoutez la clé du dépôt proxmox :
<pre>
<pre>
wget https://enterprise.proxmox.com/debian/proxmox-release-bullseye.gpg -O /etc/apt/trusted.gpg.d/proxmox-release-bullseye.gpg
wget https://enterprise.proxmox.com/debian/proxmox-release-bookworm.gpg -O /etc/apt/trusted.gpg.d/proxmox-release-bookworm.gpg  
</pre>
</pre>


Ligne 249 : Ligne 260 :
<pre>
<pre>
apt install pve-firmware
apt install pve-firmware
apt install pve-kernel-5.15 grub-efi-amd64 gdisk
apt install proxmox-default-kernel grub-efi-amd64 gdisk
</pre>
</pre>


Ligne 275 : Ligne 286 :
<pre>
<pre>
apt install pve-firmware
apt install pve-firmware
apt install pve-kernel-5.13 grub-pc
apt install proxmox-default-kernel grub-pc gdisk
</pre>
</pre>


Lorsqu'on vous demandera où installer grub, choisissez <code>sda</code> ET <code>sdb</code>
Lorsqu'on vous demandera où installer grub, choisissez <code>sda</code> ET <code>sdb</code>. Sinon :
<pre>
grub-install /dev/sda
grub-install /dev/sdb
</pre>


==Installation de proxmox - OpenSSH==
==Installation de proxmox - OpenSSH==
Ligne 334 : Ligne 349 :


Une fois le redémarrage effectué, vous allez enfin pouvoir installer pve :
Une fois le redémarrage effectué, vous allez enfin pouvoir installer pve :
<pre>apt install lvm2</pre>
<pre>apt install proxmox-ve ksm-control-daemon chrony</pre>
<pre>apt install proxmox-ve ksm-control-daemon</pre>
<pre>apt remove os-prober</pre>
<pre>apt remove os-prober</pre>


Ligne 462 : Ligne 476 :
Depuis Proxmox 5.2, il n'est plus recommandé d'adapter manuellement les fichiers contenant les certificats et clés privés de proxmox.<br>
Depuis Proxmox 5.2, il n'est plus recommandé d'adapter manuellement les fichiers contenant les certificats et clés privés de proxmox.<br>
Cependant, vous pouvez placer directement votre clé privé dans le fichier <code>/etc/pve/local/pveproxy-ssl.key</code> et la chaîne de certification dans le fichier <code>/etc/pve/local/pveproxy-ssl.pem</code>. Vous pouvez également déposer ces fichiers via la webui de proxmox au niveau de chaque serveur.
Cependant, vous pouvez placer directement votre clé privé dans le fichier <code>/etc/pve/local/pveproxy-ssl.key</code> et la chaîne de certification dans le fichier <code>/etc/pve/local/pveproxy-ssl.pem</code>. Vous pouvez également déposer ces fichiers via la webui de proxmox au niveau de chaque serveur.
Si vous avez endommagé les certificats autogénérés par proxmox (<code>/etc/pve/pve-root-ca.pem</code>, <code>/etc/pve/priv/pve-root-ca.key</code>, <code>/etc/pve/nodes/<node>/pve-ssl.pem</code>, <code>/etc/pve/nodes/<node>/pve-ssl.key</code>), vous pouvez les régénérer avec :
<pre>pvecm updatecerts -f</pre>


=Surveiller l'état des disques avec SMART=
=Surveiller l'état des disques avec SMART=
Ligne 557 : Ligne 574 :
==Protéger l'interface web avec fail2ban==
==Protéger l'interface web avec fail2ban==


<pre>aptitude install fail2ban</pre>
<pre>apt install fail2ban</pre>


Créez le fichier <code>/etc/fail2ban/jail.local</code> contenant :
Créez le fichier <code>/etc/fail2ban/jail.local</code> contenant :
Ligne 584 : Ligne 601 :
port = https,http,8006
port = https,http,8006
filter = proxmox
filter = proxmox
logpath = /var/log/daemon.log
backend = systemd
maxretry = 4
maxretry = 4
bantime = 3600 #1 heure
findtime = 2d
bantime = 1h
</pre>
</pre>


Ligne 594 : Ligne 612 :
failregex = pvedaemon\[.*authentication failure; rhost=<HOST> user=.* msg=.*
failregex = pvedaemon\[.*authentication failure; rhost=<HOST> user=.* msg=.*
ignoreregex =
ignoreregex =
journalmatch = _SYSTEMD_UNIT=pvedaemon.service
</pre>
</pre>
Vous pouvez tester votre configuration avec la commande <code>fail2ban-regex /var/log/daemon.log /etc/fail2ban/filter.d/proxmox.conf</code>


Relancez fail2ban :
Relancez fail2ban :
Ligne 658 : Ligne 675 :
==Bloquer le spoofing d'adresse mac==
==Bloquer le spoofing d'adresse mac==
Sur l'hyperviseur, installez <code>ebtables</code> :
Sur l'hyperviseur, installez <code>ebtables</code> :
<pre>aptitude install ebtables</pre>
<pre>apt install ebtables</pre>


Admettons ensuite que votre VM a comme adresse ip <code>84.93.26.3</code> et que son adresse mac doit être <code>52:54:00:00:98:b6</code> :  
Admettons ensuite que votre VM a comme adresse ip <code>84.93.26.3</code> et que son adresse mac doit être <code>52:54:00:00:98:b6</code> :  
Ligne 734 : Ligne 751 :


Installez dmsetup et ruby (1.8 minimum) sur le serveur d'origine et de destination :
Installez dmsetup et ruby (1.8 minimum) sur le serveur d'origine et de destination :
<pre>aptitude install dmsetup ruby</pre>
<pre>apt install dmsetup ruby</pre>


Récupérez <code>lvmsync</code> sur https://github.com/mpalmer/lvmsync et placez le dans /sbin/ sur les serveurs d'origine et de destination.
Récupérez <code>lvmsync</code> sur https://github.com/mpalmer/lvmsync et placez le dans /sbin/ sur les serveurs d'origine et de destination.
Ligne 911 : Ligne 928 :


Installez testdisk :
Installez testdisk :
<pre>aptitude install testdisk</pre>
<pre>apt install testdisk</pre>


Lancez le:
Lancez le:
Récupérée de "https://wiki.unscdf.org/index.php?title=Proxmox_8"