Wie allesAktuell halten?? Welche Update´s etc??

markyman

Member
Mar 19, 2023
94
2
8
Hi,

mal eine Frage wie ihr das Handhabt:

Wie haltet ihr eure Container & VM´s auf dem aktuellen Stand?? Wie oft mach tihr Update`s von Proxmox selbst und euren LXC etc??? Wenn man manuell apt update & upgrade macht, werden dann auch alle Programme mit geupdatet??? Also zb. ein LXC mit Nextcloud oder Paperless zb, würden diese dann auch aktualisiert?? Wie ich sehe gibt es seit April eine neue buntu Version 23.04, und end of life der 22.10 ist Juli 23..upgraded ihr dann auch zeitnah eure Ubuntu Version??
 
Also zb. ein LXC mit Nextcloud oder Paperless zb, würden diese dann auch aktualisiert??
Das hängt ganz davon ab wie du sowas installierst. Paperless läuft bei mir z.B. als Docker und ist dann ja z.B. kein APT Paket, wird also auch nicht durch ein "apt upgrade" aktualisiert. Das gleiche wenn man etwas installiert, indem man es per git aus der Repo klont und dann kompiliert oder eine deb-Datei herunterläd und dann mit dpkg installiert. Da musst du für jeden Service in dessen Dokumentation gucken was die genau für Anweisungen geben. Und natürlich auch die Changelogs vorher lesen bezüglich Abhängigkeiten und bekannten Problemen.

Wie haltet ihr eure Container & VM´s auf dem aktuellen Stand?? Wie oft mach tihr Update`s von Proxmox selbst und euren LXC etc???
Meine VMs und LXCs installieren einmal täglich automatisch alle Sicherheitsupdates. Funktionsupdates mache ich so grob einmal im Monat manuell, nachdem ich ein manuelles Backup für die angelegt habe. Bei PVE installiere ich kleinere Updates täglich, falls es etwas neues gibt (solltest du ja eh jeden Tag reingucken um zu checken ob noch alles OK ist). Große PVE Updates kannst du nicht über das webUI ausführen und da solltest du vorher entsprechend Backups machen und die Dokumentation lesen. Die sagt dann ja was zu tun ist. Hier z.b. für ein Upgrade von PVE 6.X auf PVE 7.X: https://pve.proxmox.com/wiki/Upgrade_from_6.x_to_7.0
 
Last edited:
Wie haltet ihr eure Container & VM´s auf dem aktuellen Stand?
Manuell. Täglich. Ich lasse mir im Monitoring (nur) anzeigen, dass Updates auf mich warten.

Im kleinen Maßstab ist das Minimum: unattended-upgrades. Damit lasse ich automatisch Sicherheitsupdates installieren. "Normale" Updates mache ich lieber manuell - man hat dann mehr Kontrolle. Aber man kann durchaus auch unattended-upgrades auch diese Sorte Updates einspielen lassen.

(( Und diese tägliche Wartung bitte nicht mit "dist-upgrade" verwechseln, das macht man immer manuell, weil praktisch immer händisch Korrekturen zu machen sind... ))

Spätestens wenn man Daten anderer Menschen auf den eigenen Systemen hat und/oder irgendeinen Dienst/Port von außen erreichbar macht, ist jedes Verzögern fahrlässig.

Wenn man manuell apt update & upgrade macht, werden dann auch alle Programme mit geupdatet?
Ja. apt löst Abhängigkeiten automatisch auf. Sofern die Programme aus einem Repository installiert wurden. (HInweis für die PVE-Nodes: IMMER "apt update && apt full-upgrade" verwenden, "upgrade" kann Probleme verursachen.

Viel Spaß!
 
Ich verwende puppet zur automatisierten Konfiguration meiner VMs und Linux Container. Damit ist es möglich apt Channels zu konfigurieren aber auch unattended_upgrades zu definieren.
Ich habe zwei, drei Testsysteme welche sich selbstständig täglich updaten dürfen. Einmal in der Woche werden dann die Produktivsysteme upgedatet. Dabei werden alle Channles upgedatet. Nicht nur Security sondern ein komplettes Update.
 
Du kannst topgrade verwenden.

topgrade verwendet die jeweiligen Paketmanager (apt / rpm /pacman...snap flatpack fw-update...) um möglichst alles upzudaten. Mit einem Eintrag die remote_topgrades Liste in .config/topgrade.tomlwerden diese Systeme auch upgedated wenn über ssh erreichbar, siehe unten.

apt install tmux
# Runterladen, auspacken, ausführbar machen und nach /usr/local/bin schieben:
wget https://github.com/topgrade-rs/topg...grade-v11.0.2-x86_64-unknown-linux-gnu.tar.gz
tar xf topgrade-v11.0.2-x86_64-unknown-linux-gnu.tar.gz
mv topgrade /usr/local/bin
chmod +x /usr/local/bin/topgrade

# Auf die anderen upzudatenden Systeme kopieren. (Vorher ssh key verteilen)
scp /usr/local/bin/topgrade YOURVMs:/usr/local/bin/topgrade
topgrade

# .config/topgrade.toml anpassen:
run_in_tmux = true
remote_topgrades = ["192.168.249.10","192.168.249.11","192.168.249.14"]

Have Fun
 
Du kannst topgrade verwenden.

topgrade verwendet die jeweiligen Paketmanager (apt / rpm /pacman...snap flatpack fw-update...) um möglichst alles upzudaten. Mit einem Eintrag die remote_topgrades Liste in .config/topgrade.tomlwerden diese Systeme auch upgedated wenn über ssh erreichbar, siehe unten.

apt install tmux
# Runterladen, auspacken, ausführbar machen und nach /usr/local/bin schieben:
wget https://github.com/topgrade-rs/topg...grade-v11.0.2-x86_64-unknown-linux-gnu.tar.gz
tar xf topgrade-v11.0.2-x86_64-unknown-linux-gnu.tar.gz
mv topgrade /usr/local/bin
chmod +x /usr/local/bin/topgrade

# Auf die anderen upzudatenden Systeme kopieren. (Vorher ssh key verteilen)
scp /usr/local/bin/topgrade YOURVMs:/usr/local/bin/topgrade
topgrade

# .config/topgrade.toml anpassen:
run_in_tmux = true
remote_topgrades = ["192.168.249.10","192.168.249.11","192.168.249.14"
Hi,
muss topgrade dann über die shell von Proxmox oder einfach indie jeweiige VM??
 
topgrade wird auf alle Systeme kopiert, die upgedatet werden sollen(siehe oben)
Diese werden dann im config file auf dem host eingetragen und via ssh wird das Upgrade dann vom zentralen topgrade aus aufgerufen
 
ok, danke.

Wenn ich es so mache wie du oben geschrieben hast ( erstmal nur auf einem LXc um es zu probieren ) wo finde ich dann die config Datei? .config/topgrade.toml


Ok, stopp.

Ich wiederhole mal:

Im PVE per Shell installiere ich topgrade ( siehe wget etc. ). Dann kopiere ich es mit " scp /usr/local/bin/topgrade zb.102??:/usr/local/bin/topgrade "

und " yourVM´s " ist die VM Nummer gemeint??

Wie verteile ich einen ssh key???

und mit remoite_topgrades in der config dann die ip´s der vm´s??
 
Last edited:
SSH-Key Authentifizierung
Ein ssh-key ist ein assymetrischer Key (bestehend aus einem öffentlichen und einem privaten Schlüsselteil)

Hier als root auf dem proxmox Host, Passphrase leer lassen

Erzeugen mit
ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa Your public key has been saved in /root/.ssh/id_rsa.pub The key fingerprint is: SHA256:CEQx6Tc/mupsCk5XqAS32XDXP0VmcNMlPC3l1+8OtAM root@server The key's randomart image is: +---[RSA 3072]----+ | .=o ..*o.+o| | ... . = .=oo| |. o.o . . . o+| |.. *ooo. . . o| | .o..o.oS o E . .| |. . . o . o o | |.o . o . + .| |o.... o + | | ..++. .| +----[SHA256]-----+

Der Teil mit pub ist offensichtlich der öffentliche:
ls -l .ssh/id_*test* -rw------- 1 ubu ubu 2590 Mai 30 08:41 .ssh/id_rsa_test -rw-r--r-- 1 ubu ubu 563 Mai 30 08:41 .ssh/id_rsa_test.pub

Den public Teil kopierts du auf den Rechner (IP des Zielrechners) mit dem du kommunizieren willst:
ssh-copy-id -i .ssh/id_rsa_test.pub root@zielrechner
oder copy und paste in die Datei /root/.ssh/authorized_keys auf dem Zielrechner (wichtig: ohne Zeilenumbruch)

Danach kannst du dich ohne Passwortabfrage per ssh verbinden
ssh root@zielrechner

Und natürlich auch topgrade per scp auf diesen kopieren:
scp /usr/local/bin/topgrade root@zielrechner:/usr/local/bin/topgrade
 
  • Like
Reactions: matt69
> und " yourVM´s " ist die VM Nummer gemeint??
Ja, mit YourVMs sind die IPs deiner VMs gemeint

> und mit remoite_topgrades in der config dann die ip´s der vm´s??
Genau
Wenn du topgrade auf deinem Proxmox Hosts aufrufst wird automatisch /root/.config/topgrade.toml erzeugt, dieses kannst du dann anpassen
 
  • Like
Reactions: matt69
@ubu
Letzte Woche hatte ich den Thread gefunden, weil ich als Proxmox-Newbie eine automatische Update-Möglichkeit des PVE-Host und der LXC-Container gesucht habe.
Da ist mir Dein Post #5 mit der Info zu Topgrade aufgefallen.
Das wollte ich mir mal anschauen.

Heute sehe ich diesen Beitrag von Dir:

Welche Variante würdest Du mir zum automatischen updaten des PVE-Host und der LXC-Container empfehlen?
Topgrade oder BassT23/Proxmox?
VMs habe ich aktuell nicht, könnten aber vll. irgendwann mal kommen.
 
Last edited:
Momentan benutze ich updaterfor proxmox auf meinem privaten proxmox, weil ich es ausprobieren will, topgrade auf meinen Laptops, weil es alles updatet, nicht nur deb packages sondern auch flatpak snap pip ...

Beruflich apt-dater, Firmenpolicy

Probier's aus
 
  • Like
Reactions: matt69
Momentan benutze ich updaterfor proxmox auf meinem privaten proxmox, weil ich es ausprobieren will
Meinst Du mit updaterfor proxmox den BassT23/Proxmox?
Oder ist updaterfor proxmox wieder was anderes?

EDIT:
Irgendwie finde ich keine Doku zu topgrade.
Macht topgrade auf dem PVE-Host ein apt full-upgrade?
Bzw. kann man einstellen, auf welchen Servern apt upgrade oder apt full-upgrade gemacht werden soll?
Hinweis für die PVE-Nodes: IMMER "apt update && apt full-upgrade" verwenden, "upgrade" kann Probleme verursachen.
 
Last edited:
Du kannst topgrade verwenden.

topgrade verwendet die jeweiligen Paketmanager (apt / rpm /pacman...snap flatpack fw-update...) um möglichst alles upzudaten. Mit einem Eintrag die remote_topgrades Liste in .config/topgrade.tomlwerden diese Systeme auch upgedated wenn über ssh erreichbar, siehe unten.
Ich habe nun Topgrade installiert und einige Fragen dazu.

Muss man Topgrade per Cronjob starten, wenn es automatisch/unattended laufen soll?

Kannst Du bitte noch sinnvolle Parameter nennen, die man setzen sollte, wenn es unattended läuft?

In der config.example.toml gibt es u.a. diese Parameter.
Sollten die gesetzt werden?

Code:
# config.example.toml

# Cleanup temporary or old files (default: false)
# cleanup = true

# Path to Topgrade executable on remote machines
# remote_topgrade_path = ".cargo/bin/topgrade"

# Don't ask for confirmations (no default value)
# assume_yes = true

# Cleanup temporary or old files (default: false)
# cleanup = true
 
topgrade wird auf alle Systeme kopiert, die upgedatet werden sollen(siehe oben)
Diese werden dann im config file auf dem host eingetragen und via ssh wird das Upgrade dann vom zentralen topgrade aus aufgerufen
Remote-Update auf LXC-Container funktioniert bei mir nicht.
Wo liegt das Problem?

topgrade wurde mit root auf dem PVE-Host gestartet, danach hängen im LXC-Container Prozesse.
Diese Prozesse im LXC-Container müssten mit topgrade gestartet worden sein:
Code:
5438 pts/3    00:00:00 topgrade
5765 ?        00:00:00 packagekitd
5784 pts/3    00:00:00 sudo
5785 pts/4    00:00:00 sudo
5786 pts/4    00:00:01 apt-get

Software topgrade wurde vom PVE-Host zum LXC-Container kopiert:
Code:
scp /usr/local/bin/topgrade 192.168.1.85:/usr/local/bin/topgrade

Software topgrade ist im LXC-Container vorhanden.
Code:
root@debian85:~ # ls -lh /usr/local/bin/
insgesamt 18M
-rwxr-xr-x 1 root root  18M 20. Feb 17:15 topgrade

Konfig auf dem PVE-Host:
Code:
root@pve83:~ # cat ~/.config/topgrade.toml
[misc]

# List of remote machines with Topgrade installed on them
remote_topgrades = ["192.168.1.85"]

# Do not set the terminal title (default: true)
set_title = false

# Don't ask for confirmations (no default value)
assume_yes = true

# Do not ask to retry failed steps (default: false)
no_retry = true

# Run inside tmux (default: false)
run_in_tmux = true
 
Last edited:
ls -lh topgrade /usr/local/bin/

Der Befehl sagt zeige mir den Ordner oder die Datei topgrade an mit Eigenschaften und zeige mir auch den Inhalt von /usr/local/bin/ an. Ist wohl ein Schreib Fehler von dir oder ein Wissensfehler.
 
root@debian85:# ls -l /usr/local/bin/topgrade

zeigt die Eigenschaften von der Datei topgrade in /usr/local/bin
 
Last edited:
ls -lh topgrade /usr/local/bin/

Der Befehl sagt zeige mir den Ordner oder die Datei topgrade an mit Eigenschaften und zeige mir auch den Inhalt von /usr/local/bin/ an. Ist wohl ein Schreib Fehler von dir oder ein Wissensfehler.
Ja, ist ein Schreibfehler. Kam wohl durch copy/paste und ich habe das gestern nicht Abend nicht mehr realisiert. Alles gut, ich habe es oben korrigiert.
 
Last edited:

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!