Reprise du message précédent :

 
Je n'ai qu'un seul conteneur LXC pour pihole depuis presque trois ans je me suis coltiné un upgrade de version majeure de debian, quelques galères pour upgrade python ou je ne sais plus quoi, et chaque fois que je veux mettre à jour pihole je dois ressortir la notice.
Tout ça pour un malheureux micro service de DNS.
Des services comme ça j'en ai 7 ou 8, perso j'ai autre chose à faire de ma life que de gérer des upgrades de LXC. J'imagine qu'un barbu linuxien fait ça tout en regardant sa série sur netflix + en mattant Twitch sur le 3ème écran.
 
Quant à la logique "la domotique c'est important donc machine dédiée", chacun sa croyance donc soit, perso j'ai domoticz+home assistant + un moteur de script python, et c'est également important pour moi, tout comme pihole, tout comme le firewall, etc. Bref, c'est pas parce que c'est sur une VM que c'est moins fiable.

là je me prend la tete sur le backup d'un conteneur LXC non privilégié. C'est à s'arracher les cheveux.
 
mon coeur balance entre virer tous les LXC et persévérer...
 
Petit HS, vous utilisez quoi pour la vidéosurveillance? j'ai qu'il y avait frigate (sur conteneur LXC )

Faites de l'infra as code sinon

Surveillance Station sur NAS Synology, c'est la dernière chose qui m'attache à ce NAS... je m'intéresse à Frigate aussi

On en a pas mal parlé sur le topic domotique, et je crois aussi sur le topic serveur@home

+1 pour le côté pénible de la multiplication des conteneurs/vm : backup/restauration et surtout mise à jour. apt udate / upgrade avec 4 ou 5 sessions ssh en parallèle, j'ai atteint une limite. Soit j'en oublie soit il faut plancher sur un système qui gère et zutomatise ca mieux.

Genre Ansible - parmi tant d'autres - par exemple.
 
Avec des playbooks bien rodés tu gère tes CT/VM comme un king

 
tu as regardé ça?
https://forum.proxmox.com/threads/u [...] ipt.58729/
 
un script qui le fait en auto

 
merci, je suis aussi ces topics mais j'ai perdu le fil quand j'ai commencé à me perdre dans les méandres de linux
 
je vais y jeter un oeil mais tu saurais dire si un consensus se dégage?

 
ca me gonfle vraiment cette histoire, personne n'a eu le meme problème?  
 
voici le log:
INFO: starting new backup job: vzdump 110 --remove 0 --mode stop --compress zstd --storage Backupsproxmox --node pve
INFO: filesystem type on dumpdir is 'zfs' -using /var/tmp/vzdumptmp1263199_110 for temporary files
INFO: Starting Backup of VM 110 (lxc)
INFO: Backup started at 2022-02-28 21:42:45
INFO: status = running
INFO: backup mode: stop
INFO: ionice priority: 7
INFO: CT Name: pve-lms
INFO: including mount point rootfs ('/') in backup
INFO: excluding bind mount point mp0 ('/home/music') from backup (not a volume)
INFO: stopping virtual guest
INFO: creating vzdump archive '/data/backups/proxmox/dump/vzdump-lxc-110-2022_02_28-21_42_45.tar.zst'
INFO: tar: ./home/desp/.bash_history: Cannot open: Permission denied
INFO: Total bytes written: 1189273600 (1.2GiB, 80MiB/s)
INFO: tar: Exiting with failure status due to previous errors
INFO: restarting vm
INFO: guest is online again after 19 seconds
ERROR: Backup of VM 110 failed - command 'set -o pipefail && lxc-usernsexec -m u:0:100000:65536 -m g:0:100000:65536 -- tar cpf - --totals --one-file-system -p --sparse --numeric-owner --acls --xattrs '--xattrs-include=user.*' '--xattrs-include=security.capability' '--warning=no-file-ignored' '--warning=no-xattr-write' --one-file-system '--warning=no-file-ignored' '--directory=/var/tmp/vzdumptmp1263199_110' ./etc/vzdump/pct.conf ./etc/vzdump/pct.fw '--directory=/mnt/vzsnap0' --no-anchored '--exclude=lost+found' --anchored '--exclude=./tmp/?*' '--exclude=./var/tmp/?*' '--exclude=./var/run/?*.pid' ./ | zstd --rsyncable '--threads=1' >/data/backups/proxmox/dump/vzdump-lxc-110-2022_02_28-21_42_45.tar.dat' failed: exit code 2
INFO: Failed at 2022-02-28 21:43:04
INFO: Backup job finished with errors
TASK ERROR: job errors
 
je n'arrive pas à comprendre cette histoire de permissions et de mapping utilisateurs.

 
Oui, d'après les feedbacks sur le forum Frigate est très efficace, il faut prendre un peu de temps pour le mettre en place et l'associer à ton soft de surveillance, il vaut mieux avoir une carte coral dédiée pour le traitement de l'image mais si tu as un bon CPU et peu de caméras ça reste totalement jouable sans carte coral (qui de toute façon est en rupture mondiale depuis 5 mois). La virtualisation avec proxmox fonctionne.

Il y en a qui ont des VM sur différents réseaux ?
 
Typiquement je voulais mettre une VM en DMZ, rien de spécial je pense, je sors eno4 du bridge0, j'assigne ma vm sur eno4, eno4 branché en DMZ.
 
Ma question c'est est-ce vous faites des règles spécifiques dans le FW de Proxmox pour éviter la communication ?

dmz c'est pas un truc de 1999 ça ?

C'est juste un réseau isolé où arrive internet en entrée si tu préfères. Ya deja des règles de FW sur le FW kivonbien, jme demande pour l'isolation au niveau de proxmox si il est possible - je ne sais comment - que le trafic fuite d'une carte à l'autre.

tout est possible

Merci

Bridge séparé avec bridge-utils ou bien OVS

Perso j'ai :
* Un bridge connecté à en0 qui est donc mon point d'entrée depuis l'intérieur.
Sur ce bridge là, je n'ai que ma vm firewall qui est connecté dessus. (patte wan) ==> c'est la dmz donc

* Un bridge connecté à rien niveau interface physique, et dessus j'ai mon firewall qui a une autre patte (patte lan) + toutes mes vm.
C'est isolé, c'est filtré par le firewall et ça fait le café.
Bon j'ai même rajouté des vlan sur ce bridge là histoire d'isoler sans créer moultes bridge + ports sur le firewall.

Perso le firewall de proxmox je le désactive sur les vm, c'est la vm firewall qui gère le truc.

Mais sinon tu peux donc parfaitement faire des bridgs affectés à une carte réseau, et d'autre sur d'autre, et connecter des vm que sur un de ces bridges. CHaque truc sera donc cloisonné en fonction de son bridge.

Ici je fais simplement du VLAN tagging : aucune configuration réseau sur les nodes Proxmox.

D'ailleurs j'ai un modem VDSL en bridge et je peux déplacer mon routeur (VM pfSense) sur le cluster à ma guise sans la moindre perte de paquet

edit: bien penser à cocher "VLAN aware"

Bon je relance mon débat de routeur/firewall virtuel ou pas.
 
J'ai donc migré sur un OPNSense intégré à mon serveur "à tout faire" à la maison : nas, vm domotique HA, serveur web, ... une dizaine de conteneurs/vm en tout.
 
Ici beaucoup on préféré une petite machine dédiée pour éviter les soucis (plus de net = wife qui râle, plus d'accès au net pour résoudre les problèmes sur leserveur principal...). Bon, avec la pratique je comprends un peu l'idée.
 
Par exemple j'ai déjà dû différer le démarrage de certains conteneurs car au boot de la machine proxmox, l'accès au net ne fonctionne pas étant donné que la VM OPNSense n'est pas lancée. L'autre jour j'ai eu des bugs sur un contrôleur zigbee de ma domotique, ça me crashait complètement tous les ports USB de la machine, il fallait que je reboote l'hôte totalement pour que ça remarche. WAF pas top.
 
Donc je réfléchissais à une migration de mon OPNSense sur une machine dédiée ou presque, un petit machin à base de celeron J ou qqch du genre.
 
Par exemple "en mode grosse config" : https://www.aliexpress.com/item/32832914936.html
J4125 (quad core) / 8go de DDR4 / 128go de SSD / emplacement M.2 ... : 232 €
Autre version un peu moins chère : https://www.aliexpress.com/item/33048212204.html
Une autre en 4x2.5G : https://www.aliexpress.com/item/1005003744743799.html autour de 250-290€
 
On peut descendre autour de 146€ en version "pauvre" (Celeron 3205U de 2 cores / 2go de DDR3 / 32Go de SSD.
 
Un avis sur ce genre de machine ? J'ai cherché, mais je n'ai rien trouvé de rackable 1U avec le même genre de specs et des tarifs pas délirants, c'est dommage quand les tarifs sont corrects les frais de ports sont super élevés (EMS...)
 
Après mon "point numéro 2" qui découle du routeur/firewall c'est le DNS, actuellement un pihole en conteneur LXC sur mon serveur principal. Donc reboot du serveur principal = plus de DNS, donc en pratique plus d'internet. Pour que basculer le routeur sur une machine dédiée ait un intérêt il faut donc déporter pihole.
Pihole ça ne tourne pas sur un BSD, donc pour le déporter sur la machine qui serait le routeur il faudrait de nouveau installer un proxmox, 1 VM firewall, 1 CT pihole... ce qui j'imagine oriente plus vers une machine un peu plus costaud (plutôt le J4125 avec 8 go de rram que le 3205U avec 2go seulement).
 
Avis ?

Si c'est juste pour des conteneurs de base ( routeur/firewall, dns et dhcp ) un 2e proxmox sur la machine à 146€ fera sans doute l'affaire ( tu peux le savoir en regardant ce qu'ils consomment sur ton proxmox actuel ).

2go de RAM pour faire tourner proxmox + 1 vm opnsense + pihole ça risque d'être étroit.

Ici ma VM pfSense utilise à peine 800MO sur les 2Go alloués... un piHole ça mange strictement rien dans un CT. Donc pa forcément si étroit que ça.
 
Là je viens d'avoir une catastrophe technologique : je ne sais comment toute ma baie a rebooté... pourtant onduleur avec de quoi tenir 1 heure, pas de coupure secteur... j'espère qu'il n'est pas en train de flancher
 
Du coup au reboot le cluster Proxmox a tenté de démarrer toutes les VM sauf que... le NAS (Synology) n'était pas prêt et comme c'est un partage NFS pour stocker les disques de VM : chocapics !
 
Pareil pour le volume GlusterFS géré directement sur le cluster Proxmox : pas prêt pour démarrer les VM...
 
Je n'ai pas encore joué avec les options de HA mais je pense que ça aurait pu me sauver la mise car le cluster aurait tenté de placer les VM sur un noeud différent jusqu'à ce que ça fonctionne (dans la limite des fails paramétrés dans la HA).

 
Le côté pédagogique voire ludique, je le comprends mais pourquoi vouloir absolument faire des usines à gaz?    
Tu colles une petite machine physique fanless en tête de réseau et ce routeur firewall est autonome sans fantaisie... sinon, quel intérêt de le séparer de ton PVE principal?
Keep It Simple Stupid, c'est pourtant pas compliqué.
 
Et PiHole, soit tu le mets à part, soit tu attends qu'il soit intégré à OPNSense, soit tu utilises les outils OPNSense...

ilium : ben oui je suis d'accord que ça fait usine à gaz, mais comme dit plus haut, avoir pihole sur mon serveur proxmox principal n'a aucun intérêt, car dès que ce serveur n'est plus dispo (mise à jour, reboot, crash ...) c'en est terminé d'internet. Donc autant avoir le routeur sur ce même serveur, ça ne changerait rien.
 
Attendre que pihole soit intégré à OPNSense : peu probable car OPNSense est basé sur BSD alors que pihole est sur une base linux. Les fichiers de conf réseau et compagnie ne sont pas les mêmes, donc je n'y crois pas trop.
 
Utiliser les outils OPNSense : on est quand même un cran au dessous : on peut avoir un DNS qui filtre, mais zéro monitoring (c'est quand même la force de pihole). Il y a adguard par contre je crois. Il faudrait que je teste pour voir ce que ça donne.
 
dough29 : ma vm opnsense a 4go de ram et en prend 2.5. Je crois que j'avais mis 1 ou 2 initialement mais que je l'ai un peu étendue car je tapais le haut suite à l'installation de zenarmor sensei ou ntopgmachin je ne sais plus trop.

Pihole n'est qu'un DNS, tu peux parfaitement le séparer d'un routeur et le mettre sur une VM sur le PVE. Quand ton firewall est démarré, tu forwardes les requêtes chez lui et sinon tu laisses un cache local si défaillance.
 
Quant à l'intégration à un autre système, c'est plus une question de volonté qu'autre chose: toutes les technos qu'il utilise sont sur BSD donc le portage serait faisable. On ne parle pas de porter un filtre noyau.
 
Pour le monitoring, on fait mieux mais bon, bigbrother à la maison...
Le plus important c'est le filtrage.

Ha oui si tu installe des services qui mangent de la RAM ça peut aller vite.
 
Ici le pfSense est quasi à poil mis à part un tunnel IPSec site-to-site.

J'ai oublié de le préciser tout à l'heure mais une vm qui migre d'un Proxmox à un autre ne s'arrête pas, par contre un conteneur si. Pas bien longtemps mais il s'arrête. Ceci dis rien n'empêche d'avoir 2 serveurs DNS sur un seul réseau.

piHole tu peux faire de la synchro master-slave oui

Pour ceux qui comme moi on un stockage externe dont dépendent certaines VM/CT il est possible de retarder le "start all" au démarrage de Proxmox :
 

 
exemple pour 3 minutes.
 
La doc : https://pve.proxmox.com/pve-docs/pvenode.1.html
 

Déjà eu le souci

Salut à tous,
 
Y’a-t-il un risque reel a utiliser des conteneurs privilégiés en environnement domestique (proxmox @ home), et avec un conteneur exposé sur le net (nextcloud en l’occurrence)?

La réponse courte est oui.
 
La réponse longue serait... ça dépend
 
Mais la question serait surtout : pourquoi vouloir le faire tourner en privileged ?

Pourquoi? Parceque je n’arrive pas a faire marcher les backups proxmox a cause du statut unprivilegied.
 
Quand tu dis ca depend, prenons l’exemple de nextcloud, qui je pense est le seul conteneur expose sur le net. Si la sécurisation du seveur nextcloud est bonne y’a t il un risque sur l’hote en passant par un conteneur privilégié ?

Le risque 0 n'existe pas et le "moindre privilège" un principe fondamental.
Note qu'en l'occurence, je trouve l'idée d'un container pas idéale et je ferais plus une VM pour justement tout cloisonner.

J'ai les 2 (privileged et unprivileged), de souvenir les unprivileged couinent sur certaines opérations de restauration de backup autour de l'accès à quelques fichiers (j'ai en tête le serveur de mail, mais j'avoue que je ne me souviens plus des détails).
 
Après (toujours pareil, à vérifier, parce que ça date et que ça a pu évoluer), au pire on peut basculer un unpriv en priv avant de restaurer (ou lors de la restauration).
 
De tête encore, les fichiers de logs indiquent quels fichiers posent problème lors de la restauration.
 
Mais oui ça m'avait fait bizarre au départ de faire un conteneur (sans connaître le statut unpriv ou priv), de faire une sauvegarde, de restaurer la sauvegarde (pour tester comment tout ça fonctionnait) et de me prendre direct une erreur alors que j'avais des conteneurs super basiques (un pour ubiquiti, l'autre un bête serveur LAMP...)

C'est notamment les sockets urandom et random du chroot de postfix qui mettent le binz. En les supprimant dans le CT et en faisant un mount bind vers ceux du host dans la partie lxc de la conf du container ça passe.
Édit : ça passe parce que la restauration du CT ne nécessite plus que l'user unprivileged crée un socket.

Voilà c'est exactement ça, merci pour les précisions !

Bonjour a tous,
J'utilise ProxMox depuis quelques années a des fins perso.
Commencé avec le 3, puis update en 4...
Refait un 4 car pas stable, update en 5.

Je l'utilise uniquement pour faire de la virtualisation de machines sous Win7, puis Win8 et Win10 maintenant.

Mon serveur doit etre décommissionné en Avril, je dois donc tout bouger sur une autre config.

Je viens de prendre un Serveur SYS-6-SSD-128
-> Epyc 7351P - 128GB DDR4 - 2x500GB NVMe Soft RAID
Donc chez SYS/OVH . J'etais chez Dedibox/Scaleway (OneProvider exactement)
La config reseau semble totalement differente... ce qui fait que je me retrouve sans reseau sur ma VM de test...

Sauvegarde VM sur l'ancien PVE v5 : OK
Restauration VM sur le nouveau PVE v7 : OK

Windows boot parfaitement, mais pour le reseau, je n'y arrive pas...

J'ai commandé une IP OverFail, pour faire des test en fonction des différents tuto trouvés sur le net... mais ...rien...

Une bonne âme pour m'aider a configurer ca ?
Merci d'avance

Comment tu as géré ta configuration réseau ?
 
Copie de l'ancien vers le nouveau ? Si oui attention car le nom des interfaces peut être différent ^^
 
Quelle est la configuration des interfaces de chaque VM ? Reliées à un bridge ? Ce dernier existe bien sur l'hôte ?

La config reseau, c'est l'install de base via le template PVE7 sur SoYouStart
Je n'ai donc pas touché a grand chose...
Effectivement, le nom des interfaces est differentes, mais le bridge me semble bien config ( eno0 sur l'ancien ->enp5s0f0 sur le nouveau)

L'adresse MAC virtuel etant celle de l'IP OVERFAIL...
j'ai vu plusieurs tuto -> https://docs.ovh.com/fr/dedicated/network-bridging/

Ok donc les VM sont bridgées sur l'interface publique de l'hôte
 
Comment tu as prévu l'adressage des VM ? Elles sont sensés obtenir une IP publique ou se trouver sur un réseau privé ?