APU.2C4 --> Proxmox V5.2.1

Also generell ist PVE kein Problem auf den APUs, auch wenn die Installation etwas schwieriger als "klick, klick, klick" ist wie bei einem Rechner mit Grafikkarte. Was das durchreichen angeht, kann ich leider nichts dazu sagen, da wir immer nur virtualisierte Netzwerkkarten verwendet hatten (mehrere APUs im Cluster und Migration musste funktionieren).

Warum virtualisierst du, wenn du die Hardware dann hart verdrahtest? Was spricht denn gegen OPNsense direkt auf der Box?
 
Warum virtualisierst du, wenn du die Hardware dann hart verdrahtest? Was spricht denn gegen OPNsense direkt auf der Box?
Ja das frag ich mich hier im Forum auch immer wieder... völlig sinnfrei. Wenn man alles durchreicht kann man es gleich direkt auf die Hardware packen, alles andere machts komplizierter und bringt keinen Vorteil.

Virtualisere deine Netzwerkkarten ganz normal, schau dir VLAN's an und du wirst glücklich.
 
ich persönlich sehe keinen sinn auf einer mega schwachen hardware zu virtualisieren, die schon mit einer nativen installation einer firewall die performance rekorde holt.
was genau bezweckst du denn.
 
ich persönlich sehe keinen sinn auf einer mega schwachen hardware zu virtualisieren, die schon mit einer nativen installation einer firewall die performance rekorde holt.
was genau bezweckst du denn.
1. Würde gerne noch einen DNS außerhalb der Firewall laufen lassen ohne Bare-Metal in der Instllation rumfummeln zu müssen.
2. Betreibe ich mehrere dieser Boards und könnte so die Konfiguration „spiegeln“.
3. Hätte ich ein natives VM-Backup der Firewall.
4. Könnte ich bei Ausfall schnell auf eine andere Hardware umziehen.

Bin noch nicht sicher ob es eine gute Idee ist. Wäge gerade noch ab und da soielt der Aufwand auch eine Rolle.
 
1. Würde gerne noch einen DNS außerhalb der Firewall laufen lassen ohne Bare-Metal in der Instllation rumfummeln zu müssen.
Also bei OPNsense kann man Plugins installieren. Da kann man dann auch verschiedene DNS Server parallel direkt auf dem Host betreiben. Also z.B. DNScrypt Proxy + Dnsmasq + Unbound.
2. Betreibe ich mehrere dieser Boards und könnte so die Konfiguration „spiegeln“.
OPNsense kann von sich aus HA. Da braucht man keine Virtualisierung für. Einfach 2x bare metal installieren und dann HA einrichten. Dann laufen beide Firewalls gleichzeitig im Master-Slave-Mode und halten sich synchron. Fällt die Master-Firewall aus nimmt die Slave-Firewall innhalb weniger Sekunden automatisch die Rolle des Masters ein. Konfigs kann man per Knopfdruck von einer Firewall auf die andere syncen lassen und Zustände der Pakete etc werden immer automatisch im Hintergrund synchron gehalten, dass da die Slave-Firewall mit dem gleichen Wissensstand weitermachen kann, welche die Master-Firewall hatte.
3. Hätte ich ein natives VM-Backup der Firewall.
Die Frage ist ob man bei einer Firewall wie OPNsense überhaupt ein komplettes Backup braucht. Bei einer Appliance wie OPNsense reicht es z.B. völlig wenn man regelmäßig die Konfig-Datei runterläd und wegsichert. Ist dann ja super schnell wieder frisch aufgesetzt, dann nur die alte Konfig-Datei hochladen und schon ist alles wie zuvor.
4. Könnte ich bei Ausfall schnell auf eine andere Hardware umziehen.
Das ist ein guter Punkt. Das macht es natürlich leichter, wenn die Ersatz-Hardware nicht identisch sein muss.
 
Last edited:
@Dunuin Dein Post ist wirklich hilfreich und sicher gibt es bessere und schlechtere Gründe, Proxmox auf einem APU-Board zu installieren. Ich finde es auch super, über den Einsatzzweck zu philosophieren, aber hierfür sollten wir einen anderen Thread aufmachen.

Hier geht es ja um die Machbarkeit im Allgemeinen, ob Sinn oder Unsinn muss dann jeder für sich selbst entscheiden. Ich setze APU4D4 Boards ein und habe nicht auf jedes Board physikalischen Zugriff. Wenn ich mir überlege, dass ich neben die Firewall noch abgeschlossene andere Services (bspw. DNS) legen könnte, die ich im Zweifel einfach "stoppe" und dabei nicht in das FreeBSD eingreifen muss, ist das sehr attraktiv für mich. Weiterhin lassen sich so einfach VMs zwischen verschiedenen Hosts "migrieren", wenn dann doch einmal etwas ist. Da ich ein Cluster über mehrere Standorte hinweg betreibe (VPN), kann ich so alles zentral auf einen Proxmox Backup Server sichern. Ja, es ginge auch mit dem proxmox-backup-client auf File-Level, aber wenn ich mich schon im Ökosystem befinde, dann kann ich es ja auch gleich voll ausnutzen. Die einzige Hardware, die aktuell dauerhaft läuft und noch nicht auf Proxmox basiert sind eben die Firewall-Appliances auf APU4D4 Boards. Ja, es geht auch ohne Proxmox aber mit ist halt flexibler. Ich weiß (gerade) nicht genau welche Ports Proxmox im Detail benötigt (ausschließlich PVE: 8006 bzw. PBS: 8007?) aber alleine die Möglichkeit, von einem zentralen Backend in alle Shells zu kommen ohne wilde SSH Zertifikatsverwaltung sowie wegsichern vollständiger VMs finde ich schon attraktiv. Es lässt sich einfach bequem verwalten ... mal sehen.
 
Last edited:
Wie wäre denn das Vorgehen in 2021? Erlaubt Proxmox derweil eine Installation über CLi?

Oder muss man den Weg gehen, zunächst Debian und dann Proxmox zu installieren?

https://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Buster
um die frage zu beantworten - derzeit ist der PVE installer immer noch GUI only - sprich für eine Install auf einer APU würde ich den Weg über den Debian Buster installer empfehlen (die einzige andere Alternative wäre es das boot-device in einen anderen Rechner mit Graphik zu packen dort zu installieren und dann in die APU zu stecken und korrekt an die APU anzupassen)

Ich hoffe das hilft
 
  • Like
Reactions: j.io
um die frage zu beantworten - derzeit ist der PVE installer immer noch GUI only - sprich für eine Install auf einer APU würde ich den Weg über den Debian Buster installer empfehlen (die einzige andere Alternative wäre es das boot-device in einen anderen Rechner mit Graphik zu packen dort zu installieren und dann in die APU zu stecken und korrekt an die APU anzupassen)

Ich hoffe das hilft
Danke dir Stoiko, habt ihr die CLI Installation im Hinterkopf?
 
Danke dir Stoiko, habt ihr die CLI Installation im Hinterkopf?
Gab es gerade erst eine Diskussion zu. Ist wohl ganz unten auf der Prioritätenliste, da es ja bereits über Debian-Installation geht und bei den meisten zahlenden Kunden das ein unnötiges Feature wäre, weil da 99% aller Server mit GUI-Installation gut klarkommen.
 
  • Like
Reactions: j.io
Gab es gerade erst eine Diskussion zu. Ist wohl ganz unten auf der Prioritätenliste, da es ja bereits über Debian-Installation geht und bei den meisten zahlenden Kunden das ein unnötiges Feature wäre, weil da 99% aller Server mit GUI-Installation gut klarkommen
Macht Sinn. Ist halt charmant, alles aus einer Hand zu bekommen und sich nicht ein "eigenes" Debian + Proxmox "bauen" zu müssen.
 
Macht Sinn. Ist halt charmant, alles aus einer Hand zu bekommen und sich nicht ein "eigenes" Debian + Proxmox "bauen" zu müssen.
War eigentlich nicht wirklich aufwändig ein Debian zum Proxmox zu machen. Ist sogar mein bevorzugter Weg, da man einfach viel mehr Freiheiten hat und einem weniger fest vorgeschrieben wird.
Das einzige was mir da wirklich fehlte war eine Liste mit Programmen, welche die ProxmoxVE ISO automatisch installiert. welche aber nicht Teil der Dependencies von dem APT proxmox-ve Package sind und daher nicht automatisch mitinstalliert werden. Nehmen wir mal ksmtuned als Beispiel. Mit der Proxmox VE ISO Installation hat mir Proxmox immer RAM eingespart, weil KSM den RAM dedupliziert hat. Mit der Debian-Installation ging das plötzlich nicht mehr. Musste ich dann selber erst einmal herausfinden, dass da Proxmox das Paket "ksmtuned" für braucht was es aber nicht mitinstalliert. Ein anderes Programm brauchte die Linux Header und die von Debian gehen nicht, da Proxmox den Kernel austauscht. Da muss man dann das Package "pve-headers" installieren.
Da würde ich für den Wiki-Eintrag eine Liste mit optionalen Packages schön finden, welche einem sagen, was man eventuell noch nachinstallieren möchte, um alle Features zu erhalten die man mit der PVE ISO hätte.
 
Last edited:
Das einzige was mir da wirklich fehlte war eine Liste mit Programmen, welche die ProxmoxVE ISO automatisch installiert. welche aber nicht Teil der Dependencies von dem APT proxmox-ve Package sind und daher nicht automatisch mitinstalliert werden. Nehmen wir mal ksmtuned als Beispiel. Mit der Proxmox VE ISO Installation hat mir Proxmox immer RAM eingespart, weil KSM den RAM dedupliziert hat. Mit der Debian-Installation ging das plötzlich nicht mehr. Musste ich dann selber erst einmal herausfinden, dass da Proxmox das Paket "ksmtuned" für braucht was es aber nicht mitinstalliert. Ein anderes Programm brauchte die Linux Header und die von Debian gehen nicht, da Proxmox den Kernel austauscht. Da muss man dann das Package "pve-headers" installieren.
Und genau auf so etwas habe ich keine Lust, da diese Fehler / Eigenheiten immer erst nach ein paar Tagen oder Wochen auffallen und man damit unheimlich viel Zeit verbrennt. :D

Gut, zugegeben, ich bin auch kein Poweruser von Proxmox sondern interessierter Heimanwender.
 
Gut, zugegeben, ich bin auch kein Poweruser von Proxmox sondern interessierter Heimanwender.
Ich auch nur, aber selbst dann macht Debian da Sinn. Ich bin z.B. kein Fan von unverschlüsselten Rechnern. Ist nicht so, dass ich da wichtige Daten auf den Heimservern hätte, die ich unbedingt schützen müsste, aber Verschlüsselung bremst ja heute nicht wirklich viel. Man hat da trotzdem private Daten drauf, und wenn es nur Urlaubsfotos, archivierte Bankauszüge oder sonst was sind. Eingebrochen werden kann immer und wenn dann mal wer die Server stehlen sollte, dann kommt wenigstens niemand mehr an die Daten, da dazu ja der Server vom Strom genommen werden muss. Ein anderes Problem sind defekte Laufwerke und Rücksenden wegen Herstellergarantie. Ist eine SSD kaputt ist die noch auslesbar aber nicht mehr beschreibbar. Verschlüsselt kommt da niemand mehr an die Daten, nachdem die Laufwerke ausgebaut sind. Unverschlüsselt könnte da jeder in den Daten rumfühlen, wenn man die Laufwerke wegen Ersatz einsendet. Vorher formatieren kann man die ja nicht mehr.
Hatte das z.B. bei einer MicroSD fürs Handy die nach 4 Monaten den Geist aufgegeben hat. Die war voll lesbar aber nicht mehr beschreibbar. Ist dann in den Müll gewandert, anstatt zurück zum Hersteller, da ich keine Lust hatte, dass da jeder an die Fotos, App-Daten etc kommt.

Über die Debian-Installation kann ich da z.B. das komplette System verschlüsseln. Die PVE Iso würde mir all sowas nicht erlauben.
 
Last edited:
Über die Debian-Installation kann ich da z.B. das komplette System verschlüsseln. Die PVE Iso würde mir all sowas nicht erlauben.
Das ist ein sehr valider Punkt. Wieso ist das eigentlich nicht vorgesehen?

Gut, in Rechenzentren kann man von einer gewissen Sicherheit ausgehen, aber ich vermute zur zahlenden Kundschaft von Proxmox gehören auch viele KMU, die von Systemintegratoren / Administratoren Proxmox eingerichtet bekommen? Hier könnte ein verschlüsseltes System auch hilfreich sein. Im Installer an der Stelle der Festplattenauswahl könnte man doch einen Encryption-Key gut unterbringen.

Darf ich fragen, wie du die Keys handhabst? Gibst du bei jedem Neustart nach Netztrennung (Strom hart aus) das Passwort für die Plattenverschlüsselung neu ein? Debian verschlüsselt dann nur die Systemplatte, oder?
 
Das ist ein sehr valider Punkt. Wieso ist das eigentlich nicht vorgesehen?

Gut, in Rechenzentren kann man von einer gewissen Sicherheit ausgehen, aber ich vermute zur zahlenden Kundschaft von Proxmox gehören auch viele KMU, die von Systemintegratoren / Administratoren Proxmox eingerichtet bekommen? Hier könnte ein verschlüsseltes System auch hilfreich sein. Im Installer an der Stelle der Festplattenauswahl könnte man doch einen Encryption-Key gut unterbringen.

Darf ich fragen, wie du die Keys handhabst? Gibst du bei jedem Neustart nach Netztrennung (Strom hart aus) das Passwort für die Plattenverschlüsselung neu ein? Debian verschlüsselt dann nur die Systemplatte, oder?
Soweit ich weiß kann man nicht von verschlüsselten ZFS Pools booten. Ich musste da als Software-Raid mdraid statt ZFS nutzen. Und mdraid wird offiziell nicht von Proxmox unterstützt. Wird aber gerne genommen, weil es kaum RAM braucht und sich auch über LUKS verschlüsseln lässt. Mdraid ist also auch so ein Punkt was Proxmox auf Debian kann, die Proxmox ISO aber nicht. Hat man da nur einen alten Rechner mit z.B. 8 oder 16GB RAM macht da ja ZFS wenig Sinn, wenn da ZFS dann 4 oder 8GB RAM frisst und für die VMs nichts mehr über bleibt. Mit mdraid hätte man dann trotzdem Raid kann aber den doppelten RAM nutzen.
ZFS wäre mir da aber auch lieber gewesen, wenns denn gegangen wäre.

Wegen Verschlüsselung:
Proxmox ist auf zwei SSDs installiert. Diese sind als ein Raid1 Array über mdraid gespiegelt. Grub/ESP sind unverschlüsselt sowie auch die Boot-Partition. Dann ist da eine LUKS verschlüsselte Partition in der LVM läuft. Das LVM hat dann zwei LVs. Einmal für das Root-Verzeichnis und einmal für SWAP. Bis auf den Kram der für das Booten benötigt wird ist da also das ganze System verschlüsselt. Dann habe ich über initramfs-dropbear den Bootloader angepasst. Nach dem Booten kann ich dann entweder physisch per Tastatur oder per Web KVM des IPMIs den Schlüssel für LUKS eintippen oder ich verbinde mich zum im RAM ausgeführen SSH-Server. Dann kann ich mich bequem per SSH mit RSA Key zum Server verbinden und werde da dann gleich nach dem LUKS Passwort gefragt. Per Copy&Paste das LUKS Passwort aus dem Passwort Manager einfügen und daraufhin wird dann LUKS entsperrt und Proxmox bootet.
In Proxmox habe ich das automatische Hochfahren der VMs ausgeschaltet, da die VMs alle auf verschlüsselten ZFS Pools liegen, welche noch gesperrt sind. Nach dem Hochfahren startet dann ein selbst geschriebenes Script, welches die Passwörter für die ZFS Pools von dem nun entschlüsselten Root-Verzeichnis ausliest und diese damit entsperrt. Danach mountet das Script einmal alle SMB Shares und ZFS Datasets und startet dann alle VMs.

Ist also alles super bequem und trotzdem ziemlich sicher. Ich muss nur ein einziges mal irgendwo ein Passwort eintippen und das ist das Passwort für meinen Passwort Manager. Dann kurz SSH öffnen, Passwort einfügen und fertig. Alles weitere läuft dann automatisch ohne Zutun.

Außerdem greift Proxmox dann noch auf einen FreeNAS-Server zu. Der ist auch verschlüsselt. Und der FreeNAS-Server macht wöchentliche Backups auf einen zweiten FreeNAS-Server der ebenfalls verschlüsselt ist. Da habe ich mir auch extra ein Script geschrieben, welches auf dem Haupt-FreeNAS-Server läuft und ohne Zutun den Backup-FreeNAS-Server anschaltet, entschlüsselt und wenn alles synchronisiert wurde wieder runterfährt. Das mit den Backups läuft also auch ohne ein Zutun. Bei dem Haupt-FreeNAS-Server kann man über das WebGUI die ZFS Pools entschlüsseln. Bevor ich den Proxmox-Server hochfahre muss das NAS an sein, wo ich die Passwörter für die Pools per Passwort-Manager im WebGUI ausfüllen lasse.

Bei FreeNAS lässt sich aber leider nicht das ganze OS verschlüsseln, da es ja nur eine Appliance ist. Aber wenigstens kann man die Pools mit den Daten selbst noch verschlüsseln.

Da sehe ich leider nichts. Ich meinte Dinge wie "ksmtuned" etc die Debian nicht mitinstalliert, das "proxmox-ve" Package aber auch nicht, die aber bei einer PVE ISO Installation installiert werden.
 
Last edited:
Da sehe ich leider nichts. Ich meinte Dinge wie "ksmtuned" etc die Debian nicht mitinstalliert, das "proxmox-ve" Package aber auch nicht, die aber bei einer PVE ISO Installation installiert werden.
Doch, auf der Seite siehst du eine Übersicht der Pakete, u.a. auch enthalten sind die, die nanntest. :)
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!