Reprise du message précédent :

 
Je dispose actuellement d'un NAS Synology (DS415+) et d'un serveur sur lequel tourne Proxmox et diverses machines virtuelles.
 
Je souhaiterais simplifier mon installation personnelle, et je me demande si je ne pourrais pas faire tourner mon NAS sous Open Media Vault dans une VM de mon Proxmox... Techniquement, rien ne l'en empêche, mais est-ce "raisonnable" d'avoir une couche d'abstraction pour un NAS ? Quels pourraient être les avantages et les inconvénients d'une telle solution ?
 

Perso je viens de faire l'inverse, passé d'un proxmox avec une vm nas vers un syno + une plus petite machine sous proxmox (principalement pour faire tourner le routeur pfsense).
 
Le nas tournait sur une VM depuis plusieurs années, jamais eu de problème par rapport à ça (avant c'était à peu près la même chose, sauf que c'était une debian ou ubuntu gérée à la main)

Perso j'ai juste un proxmox (avec des CT et un VM) et y a juste un Samba d'actif/configuré sur l'OS de proxmox.
Pas spécialement besoin d'un OS dédié pour gérer un partage que je ne touche jamais (si c'est juste pour ça)

J'ai mon NAS via une VM sous Proxmox depuis de nombreuses annees et zero soucis , les disks sont montes en passthrough

Serveur + NAS physique = redondance qui peut etre evitée

Ici j'ai un Synology (que je vais bientôt remplacer par une machine sous TrueNAS Scale d'ailleurs) à part du cluster Proxmox.
 
Le cluster Proxmox étant constitué de machines type "tiny" c'est moins simple d'installer du matériel dedans

Je fais ça avec des périphériques USB perso   j'ai deux disques durs de 3To comme ça, sans compter les vrais trucs USB genre dongle domotique ou Logitech unify

Question du jour :
Aujourd'hui j'ai un nextcloud hébergé @home, sur un conteneur proxmox commun à d'autres sites web (notamment ce que je suis en train de développer).  
- Ce conteneur a aussi accès à un gros disque dur sur lequel je stocke toutes mes photos, sauvegardes, tout...
- Les services web autres que nextcloud ont des règles (apache) pour bloquer l'accès depuis l'extérieur, car par essence ce qui est en cours de dev est une passoire, donc je ne veux surtout pas les exposer à l'extérieur mais comme c'est le même NAT/Apache qui répond, il faut bloquer à ce niveau.
 
Comme nextcloud peut un jour être affecté d'une faille et que c'est typiquement un truc qui sera vite exploité (le réseau ipv4 est scanné en permanence avec stockage (par ex via shodan) des infos, je réfléchis à créer un conteneur dédié pour nextcloud.
 
Comment faire en sorte (firewall proxmox ?) pour que le conteneur n'ait absolument aucun autre accès (pas au lan) que celui "de l'extérieur", pour faire en sorte que si jamais il se fait totalement hacker (accès root sur le conteneur) il n'ait accès à strictement rien d'autre ?
 
Je ne sais pas si ça peut avoir une influence, mais le proxmox se trouve également être mon routeur/firewall via opnsense, j'ai une carte réseau dédiée pour sa sortie WAN. Dessus il y a ma livebox en double NAT / l'ip opnsense en dmz.
 
Je suis preneur de conseils. Je ne suis pas super au point sur les règles de routage et compagnie...

J'ai la même config que toi et je ne suis pas non plus terrible en réseau, routage et sécurité.
 
Selon moi, si nextcloud est sur un conteneur dans un réseau docker (donc isolé), et que tu as un reverse proxy comme traefik qui ouvre juste le port  qui va bien pour permettre d'accéder à nextcloud  en web (de l'intérieur et l'extérieur), alors pour moi tu es pas mal en terme de sécurité.
 
Ensuite je ne sais pas te dire si ton approche avec Apache vaut la mienne avec Traefik

 
Je fais pareil. Seul mon docker traefik est exposé sur le net et il redirige les requêtes vers les autres conteneurs lxc/docker en fonction du nom de domaine
 
Si un conteneur est compromis, il sera le seul

hormis sur 2/3 trucs un peu automatisés (genre home assistant...) je n'ai jamais touché à docker
 
Si un conteneur a par exemple un service exposé, via une ip (192.168.1.x via nat) et qu'il se fait hacker. Il ne peut pas aller voir les autres ip autour ? genre scan du réseau, découverte de l'imprimante "open bar", du module sonoff wifi sans mot de passe (j'ai pas mais c'est l'idée)... ?

Non, il est seul sur un lan virtuel genre 170.x.y.z et il ne peut causer à personne d'autre que les autres docker que tu choisis de mettre dans le même lan. Genre tu peux faire un LAMP dans lequel les machines pourront se voir et seul le apache aura un port exposé à l'extérieur et basta.

Alors 1. ça dépend de la conf Docker.
2., 170 c'est de l'adressage public et c'est une mauvaise idée. Tu pensais à 172.16.0.0/12.

ouais bon, je vous laisse expliquer, j'y vais à tâtons avec docker perso, vous ne m'avez pas vu  

Bonjour tout le monde.
Le disque de ma machine qui héberge proxmox est presque plein : depuis l'interface de proxmox, je vois que le disque "local-lvm" qui contient les disques de mes VMs est full à 93%. Mais j'ai un autre disque "local" qui ne contient que des ISOs qui est lui quasi vide et sous exploité (14Go utilisé pour 58Go dispo).

Je ne suis pas habitué du tout à LVM, mais j'ai cru comprendre qu'il était assez simple d'étendre la capacité d'un volume logique.

De ce que je comprends sur mon installation :
- j'ai un volume physique qui n'est constitué que de /dev/sda3 (/dev/sda1 et sda2 sont BIOS/EFI)
- j'ai un seule groupe de volume qui s'appelle pve
- j'ai une palanquée de volumes logiques : swap, root (sur lequel semble être le système), data (celui qui est quasi plein ?), et ensuite tous les disques de mes VM/CT.

Est ce que le LV data est celui qui contient les 2 "disques" local-lvm et local qui apparaissent don mon interface proxmox ? A vrai dire si je pouvais réduire la taille de local pour la transférer sur local-lvm, ce serait déjà bien, avant même ajouter un nouveau disque.

Bref, je suis preneur de vos avis/conseils, j'ai un peu de mal à faire le lien entre ce qui est affiché dans l'interface et la structure de mon disque.

EDIT : bon, j'ai compris pour local vs local-lvm :

Donc ma question se résume à : comment augmenter le LV 'data' avec un nouveau disque ?

Pour augmenter un lv, il faut plus de place dans le vg. Pour avoir plus de place dans le vg, il faut soit que le disque physique (pv) sous-jacent augmente de taille par magie (remplacer le disque dur ou le ssd quoi), soit rajouter un second disque dans le vg.

Sauf si il reste encore de la place dans le vg, auquel cas il suffit d'extend le lv.

J'ai du mal à comprendre exactement combien de place il me reste dans le vg :

Moins de 16GiB, c'est ça ?

Bon il faut que j'arrive à mettre tout ça au clair.
 
Mon idée de départ c'est donc d'avoir nextcloud, hébergé chez moi (pas d'ip fixe) et accessibles (via un nom de domaine un peu anonyme / en https) depuis l'extérieur et d'isoler de manière importante ce service.
J'ai 1 machine pour tout faire, sous proxmox.
 
J'ai créé un compte duckdns pour tester et l'ip est bien mise à jour via le service intégré à ma VM firewall opnsense.
 
Ensuite se pose les problématiques suivantes :
- où je mets le nextcloud ? un lxc dédié ? un lxc dédié docker + un conteneur docker pour nextcloud ?
- certificat https : où est-ce que je le gère ?  
 a) sur le firewall (il y a un client acme qui prend en charge duckdns), mais ensuite il faut transférer le certificat pour qu'il soit utilisé par nextcloud
 b) sur le firewall + faire tourner un reverse proxy sur le firewall aussi pour que ça soit lui qui gère le certificat et redirige vers le conteneur nextcloud
 c) directement sur le conteneur nextcloud (+NAT du port 443 vers son ip)
 
des avis ?

Bah b) c'est grosso modo un traefik qu'il te faut.
 
ou c) le plus simple.
 
Pas obligé de containeriser, tu peux faire ton nextcloud raw (app php + mariadb + apache2)

A peine un peu moins, mais en gros 16GiB oui. Le < c'est surtout un arrondi ici.

OK, donc ça confirme mon manque de place.
Si j'ai bien compris ce que j'ai pu lire jusqu'ici pour ajouter un disque :
- je branche mon nouveau disque, je crée une partition dessus : sgdisk -N1 /dev/sdb
- je crée un nouveau pv : pvcreate --metadatasize 250k -y -ff /dev/sdb1
- j'ajoute le pv au vg 'pve' : vgextend -v pve /dev/sdb1
- j'étend le lv 'data' : lvextend --size +XG --poolmetadatasize + YM data
avec X et Y à adapter.

Bon, en faisant ça, je me retrouve un volume logique sur 2 disques, c'est peut être pas idéal.
Ne vaudrait-il pas mieux créer un nouveau lv et y déplacer les disques de mes VM ?

Install webmin et zou

Non. C'est beaucoup mieux d'apprendre ce qu'on manipules. Le jour où t'a un serveur en carafe t'est content de savoir le récupérer en cmd.

Un truc du genre. En général je fait du parted/fdisk plutôt que sgdisk.
A pripri pas de raison de se faire chier avec le metadatasize et le ff/YM.
A la fin, faut agrandir le système de fichier sur le lv aussi.

Bonjour,
 
Pour l'espace regardé déjà si ce n'est pas des anciens kernels qui prennent de la place;
Un petit apt autoremove devrait peut-être te faire gagner suffisamment de place pour être tranquille.

Y-a-t-il vraiment une utilité à créer une partition quand on confie entièrement le disque à LVM ?
 
Perso je ne le fais plus depuis longtemps car je n'en vois pas l'utilité, sauf pour indiquer que le disque est utiisé. Mais la signature LVM l'indique

Je tente haproxy sur le firewall + redirection vers le lxc où j'ai nextcloud.
Pour l'instant avec plusieurs sites sur le même oxc c'est le bordel ca ne marche pas (ha mappe vers une ip et pas un nom de domaine à première vue, donc pas top avec des virtualhosts.
Mais de toute façon l'idée est de créer un conteneur avec juste 1 site/vhost (nextcloud dessus).
 
Au passage, l'installation de nextcloud sur un lxc via snap ca a l'air KO c'est dommage ça aurait été pratique... Vous avez déjà réussi ? (Cad sans se taper l'installation a la main d'apache, MySQL...)
 
Edit : bon en fait c'est plein de subtilités, genre un paramétrage du conteneur pour autoriser "FUSE" + des reboots / réessais multiples. tuto ici : https://www.youtube.com/watch?v=XhGyCEla19E
Ca a fini par fonctionner, par contre à première vue les perfs sont mauvaises, ça a l'air 3x plus lent que l'install "à l'ancienne" que j'ai en parallèle sur un autre LXC sur la même machine... à suivre...

Perso mon Nextcloud tourne sur un serveur physique avec install à la main (Apache2 / MariaDB / PHP + 2 modules de cache) J'espère juste que Debian vont pas tarder à valider PHP8 et/ou Bookworm car a priori pour Nextcloud PHP 7.4 sera déprécié.

Pour ton pb de perf tu peux essayer de mettre les CPU en "Host" mais bon ca va pas faire x3.

Je suis passé à Nextcloud 25 et en effet j'ai eu le message de la dépréciation de PHP7.4.
Hop les repos Sury, update des des packages et le souci etait réglé (juste penser à modifier le php.ini pour le max_memory_limit et apc.enable (pour APCu), et desactiver php7.4/activer php8.1 dans Apache)

Ah ca tombe bien, est-ce que même avec APCu (et aussi memcached perso) tu as le message dans l'interface admin "le cache est desactivé blabla" ?

J'ai toujours ce message alors que le phpinfo me dit bien que les modules fonctionnent.

La doc est pas trop claire la dessus, il y a : https://docs.nextcloud.com/server/2 [...] uning.html

mais aussi : https://docs.nextcloud.com/server/2 [...] ation.html

penser à mettre apc.enable_cli=1 dans le php.ini du cli sinon il n'est pas utilisé

Et tu ne mets que APCu ? (pas Opcache ni memcached ?)

J'ai pas la config sous la main, faut que je regarde

Via snap c'est pas clair comment paramétrer des détails de php
Il y a quelques paramètres prévus mais pas tout.

Aucun "gros" message d'erreur pour moi dans la gui section admin (juste des trucs genre que je suis pas en https ce qui est normal vu le reverse proxy)

 
 
Proxmox installé sur mon server@home.

Bon j'ai refait toute l'install à la main (apache, mysql, php...) pour avoir un conteneur LXC avec juste nextcloud dessus.
Ca marche avec le reverse proxy sur opnsense, j'ai bien un accès https fonctionnel).

Il y en a qui maitrisent le firewall intégré à proxmox/aux conteneurs ?

J'aimerai bien bloquer toute sortie du conteneur autre que celles prévues, donc en gros :
- que moi depuis un ordi du lan (192.168.1.x) je puisse accéder en ssh
- que le conteneur puisse sortir vers le web, donc accéder à mon routeur 192.168.1.253 et probablement aussi au dns (192.168.1.254)
- qu'il puisse recevoir le trafic https depuis l'extérieur, donc l'ip du routeur/reverse proxy j'imagine (192.168.1.253)

Pour l'instant je patine un peu, j'ai tenté un drop OUT et IN total (sans rien mettre dans les interfaces, ip ... ça n'a pas l'air d'être ça...

Snif, la dernière MAJ proxmox m'a cassé mes docker dans mes LXC, j'ai une erreur du type : 'failed to mount overlay: invalid argument     storage-driver=overlay2'
 
je suis déception...
 
EDIT: trouvé : en modifiant le fichier /etc/docker/deamon.json et en ajoutant le driver vfs
Ca vient du fait que docker dans LXC c’est pas recommandé et peut se casser en cas de MAJ de proxmox (je répète ce que j’ai lu)

Du coup suite a cette mesaventure, j’aiemrais lancer une discussion trueNAS vs proxmox.
 
Quels sont vos avis pour une utilisation somme toute basique:
- Pool ZFS a migrer
- Qq Conteneurs docker avec besoin de transcodage GPU
- Une ou deux VM  
 
En supposant que les points au dessus soient gérés par TrueNAS, gagne-t-on vraiment en simplicité d’administration en passant de proxmox a truenas?

 
Je n'ai pas étudié l'outil mais j'utilise iptables. J'ai tendance à penser que l'interface doit être un frontend pour ça.
Quoi qu'il en soit, je te conseille de jeter un oeil sur un tutoriel iptables pour comprendre le fonctionnement parce que ce que tu veux faire n'est pas très compliqué mais si on doit te le résumer, ça ne sera pas simple.
 

 
Il faut identifier source et destination.
Pour le ssh c'est bon.
Pour le web sortant, la source c'est ta vm et tu oublies le routeur, la destination c'est tout internet ports 80 et 443/tcp. Et il faut en effet une règle pour le DNS.
Pour le https entrant, ça semble aussi bon: tout internet vers ton reverse port 443/tcp
 

 
D'une manière assez générale, encapsuler les technos n'est pas génial.
Je dois être un peu un vieux con mais quand je vois les usines à gaz technophiles que certains montent pour 3 services à la maison, je suis assez sidéré.
Faut revenir à des choses simples.
 

 
J'ai l'impression, no offense, que tu as une maitrise assez approximative de ces technos et c'est peut être ça le soucis. Ce que tu décris est pile dans ce que fait Proxmox et assez facilement. Je ne connais pas TrueNAS mais en changeant juste l'emballage, surtout suite à un incident, j'ai peur que tu ne fasses que déplacer le problème.

Si tu as OPNSense, pourquoi tu t'embêtes à faire ça avec le firewall proxmox ? Une DMZ, un bridge dédié et t'as tout dans l'interface d'OPNSsense

 
On pourrait poser la question dans l'autre sens: si tu peux le faire directement dans proxmox qui est au coeur du système, pourquoi s'embêter avec une VM dédiée en plus.