User:Packbart/orbit
orbit.attraktor.org
Ein Hetzner-Server.
Host
Proxmox VE 4
Admin-Interface für Container und VMs.
https://orbit.attraktor.org:8006/
- Zugangsdaten haben:
- Hauke
- Florian
- 2-Factor-Login erforderlich
- SSL-Zertifikat nicht von Let's Encrypt, da mit HTTP-Challenge nicht abbildbar
- Comodo-Zertifikat, läuft April 2020 aus
Siehe auch: https://www.proxmox.com/
Disks
2*2 TB disks
- sda1 / sdb1: md0 (/boot)
- sda2 / sdb2: md1 (/)
- sda3 / sdb3: zpool virtdisk
Device Boot Start End Sectors Size Id Type /dev/sda1 2048 2099199 2097152 1G fd Linux raid autodetect /dev/sda2 2099200 421529599 419430400 200G fd Linux raid autodetect /dev/sda3 421529600 3907029167 3485499568 1.6T 83 Linux
ZFS
Storage für Container und VMs. LZ4-Kompression, ohne De-Dup.
- zpool: virtdisk
- vdev: mirror
- ata-HGST_HUS724020ALA640_PN2181P6J55J7P-part3 (sda3)
- ata-HGST_HUS724020ALA640_PN2181P6J55J5P-part3 (sdb3)
- Proxmox root fs: virtdisk/vmdata
- Swap zvol: virtdisk/lxc-swap
- Swap in LXC-Containern benötigt swap im Host
- Verschlüsselt mit random key: swap_crypt, siehe /etc/crypttab, /etc/fstab
- Spezial-zvol: virtdisk/zfs_ballast_do_not_remove_1
- Belegt 10% mit Zufallsdaten
- Kann bei Problemen mit vollem ZFS gelöscht werden, um 160GB freizugeben
Netzwerk
Adressen
- IPv4: 178.63.93.21/32
- IPv6: 2a01:4f8:121:41ab::2/64
- Interne VM-Bridge: 10.166.0.0/24
- Letztes Byte der IPv4-Adressen für VMs entspricht der Proxmox VM-ID
- VM 101 -> 10.166.0.101
- Letzte 16 Bit der IPv6-Adressen für VMs entspricht dem letzten Byte der IPv4-Adresse in dezimaler Darstellung
- 10.166.0.101 -> 2a01:4f8:121:41ab::101
/etc/network/interfaces
auto lo iface lo inet loopback iface lo inet6 loopback auto eth0 iface eth0 inet static address 178.63.93.21 netmask 255.255.255.192 gateway 178.63.93.1 # route 178.63.93.0/26 via 178.63.93.1 up route add -net 178.63.93.0 netmask 255.255.255.192 gw 178.63.93.1 dev eth0 iface eth0 inet6 static address 2a01:4f8:121:41ab::2 netmask 64 gateway fe80::1 ## directly tunnel packets to 6to4 addresses auto tun6-6to4 iface tun6-6to4 inet6 v4tunnel endpoint any local 178.63.93.21 up /bin/ip route add 2002::/16 dev $LOGICAL auto vmbr0 iface vmbr0 inet static address 10.166.0.1 netmask 255.255.255.0 bridge_ports none bridge_stp off bridge_fd 0 iface vmbr0 inet6 static address 2a01:4f8:121:41ab::2 netmask 112
Paketfilter
- DNAT verteilt Ports auf VMs
- Ports 80 und 443 werden für alle Adressen auf den webfront-Container umgeleitet (auch IPv6)
- Filter für eingehende IPv6-Verbindungen
- siehe /etc/iptables/rules.v[46]
Monitoring
TODO. Lalala.
Backup
Backups werden von einem Script täglich auf eine Festplatte im Attraktor gezogen.
Container und VMs
VM 100 - Ubuntu 16.04 Base (Template)
Template für qemu-VMs. Minimales Ubuntu-Server-System.
VM 101 - admin (LXC)
TODO. Monitoring und Adminstuff.
VM 102 - ns.attraktor.org (LXC)
Nameserver für Attraktor-Zonen. DNS-Resolver für VMs.
- BIND9
- Zonen in /var/cache/bind/master
VM 103 - webfront.attraktor.org (LXC)
nginx-Proxy für VMs. Der Großteil der verwendeten Let'sEncrypt-Zertifikate liegt hier
- siehe /etc/nginx/sites-available/
VM 104 - wiki.attraktor.org (LXC)
TODO. Mediawiki Turnkey-Template (https://www.turnkeylinux.org/mediawiki)
VM 105 - mail.attraktor.org (LXC)
MX für lists.attraktor.org und attraktor.org. Smarthost für VMs.
- exim4
- spamassassin
- mailman
- apache2
- Mails für attraktor.org werden weitergeleitet an IMAP-Server (cloud.attraktor.org)
VM 106 - git.attraktor.org (LXC)
Gitlab CE
VM 107 - pad.attraktor.org (LXC)
Etherpad Lite Turnkey-Template (https://www.turnkeylinux.org/etherpad)
VM 108 - blog.attraktor.org (LXC)
TODO. Wordpress Turnkey-Template (https://www.turnkeylinux.org/wordpress)
VM 109 - mqtt.attraktor.org (LXC)
MQTT-Server und -DB. Selbstgebasteltes HTTP-Interface für JSON-Queries.
- mosquitto
- lokale MongoDB
- nodejs (mqttdb_writer, mqttdb_httpd)
VM 110 - cloud.attraktor.org (QEMU)
VM mit verschlüsseltem Dateisystem. IMAP-Server, Office, Verwaltung.
Die Passphrase muss beim Starten der VM über die Konsole eingegeben werden!
- dovecot