Home aktualisiert

Home.md

@@ -27,7 +27,7 @@ Es ist zu empfehlen dauerhaft keine weiteren Ports zu öffnen.
 ### Optimierung fail2ban und Härtung
 Es ist nicht zu vermeiden, dass auf einem Proxmox-Node im Rechenzentrum, die administrativen Ports 22 für SSH und 8006, für die Proxmox-GUI aus dem Internet erreichbar sind. Diese Ports müssen offen bleiben. Neben guten Passwörtern für die GUI und der Empfehlung root-Logins sowohl über SSH, als auch über die GUI abzuschalten, ist eine 2 Faktor Authentifizierung für die GUI zu empfehlen. Unabhängig davon, sollte für SSH und für die Weboberfläche auf Port 8006 ein aktives fail2ban hinterlegt sein, um Angriffsversuche mit vielen (falschen) Passworteingaben durch Sperrung der IP-Adressen, die dies versuchen zu erschweren und diese möglichst längerfristig zu blockieren. Für SSH liefert fail2ban entsprechende Regeln und Suchfilter in den Logs mit. Diese müssen nur aktiviert werden und ggf. die Sperrzeit auf höhere, aber angemessene Werte erhöht werden. Für Port 8006 müssen eigene Filter hinterlegt und getestet werden. Dies wurde bei diesem Setup gemacht. Bedeutet allerdings auch, dass Admins, die zu oft unkonzentriert falsche Passwörter eingeben, ggf. längere Zeit gesperrt sind, auf dem Internetzugang, mit dem die Login-Versuche unternommen wurden. Dies behebt sich selber, nach der hinterlegten Sperrzeit oder erfordert einen Eingriff durch einen nicht gesperrten Admin.
 
-### Virtuelle Server (VMs)
+## Virtuelle Server (VMs)
 Zur Realisierung des HumHub-Betriebs werden folgende virtuellen Server eingesetzt:
 
 ### humhub-vm
@@ -48,6 +48,6 @@ Die skalierbare Plattform auf Basis von Proxmox ve eignet sich sehr gut, um weit
 ###VM-IDs
 Im Standard schlägt Promox ve die interne ID beim Erstellen einer VM vor. Diese beginnt im Standard bei 100 und jede weitere VM wird um einen Zähler erhöht. Ist die VM einmal angelegt, ist diese ID fix, bis die VM gelöscht wird. Soll sie nachträglich geändert werden, gibt es noch die Möglichkeit die VM zu klonen und den Klon mit der Wunsch-ID zu versehen. Anschließend wird die ursprüngliche VM mit der unerwünschten ID gelöscht. Dieser Vorgang kann je nach hinterlegten virtuellen Festplatten aufwendig sein. Deshalb sollte sich die ID, wenn sie nicht Standard sein soll, gut überlegt werden. In diesem Setup sind die IDs als Hilfestellung mit den jeweils internen IP-Adressen identisch. IDs dürfen nur Zahlen und müssen eindeutig sein. Hier bedeutet die ID 1010106, dass die VM die interne IP-Adresse 10.10.10.6 hat. Weil Punkte bei IDs nicht erlaubt sind, wurden sie weggelassen. Natürlich sind IDs nicht dafür gedacht, um IP-Adressen abzubilden. Dies ist nur eine kleine Hilfestellung, in diesem Setup und muss so nicht gemacht werden.
 
-### Backup-Server
+## Backup-Server
 
 Ein oft vernachlässigtes Thema, sind tägliche automatisierte und im Ernstfall belastbare Backups, mit längerer Historie. Proxmox ve bietet mehrere Lösungen an, um Backups auf einem Storage abzulegen. Der Standort einer Backup-Lösung sollte immer außerhalb des Rechenzentrums sein, wo sich die produktiven Proxmox Nodes befinden. Die effizienteste und zuverlässigste Backup-Lösung für Proxmox ve ist das ebenfalls von Proxmox entwickelte Produkt „Proxmox-Backup-Server“. Es ist eine ebenfalls auf Debian basierende professionelle Lösung, um Backups zu automatisieren, effizient zu speichern (Delta-Abgleich) und auch zu validieren, ob diese konsistent sind. Die Lösung bietet eine eigene GUI mit Dashboards für Admins und sollte in gewisser Regelmäßigkeit überprüft werden, ob alle darauf befindlichen Backups täglich laufen und erfolgreich validiert wurden. Zeitlich sollten die Backups auf dem Proxmox-Node so eingestellt werden, dass sie täglich in der Nacht laufen, wenn nicht viel Betrieb auf den produktiven VMs zu erwarten ist. Außerdem sollte die Benachrichtigungsfunktion im Proxmox ve mit einem gültigen SMTP und eine Admin-E-Mail-Adresse hinterlegt werden, damit bei fehlgeschlagenen Backup-Versuchen ein Admin dies zeitnahe mitbekommt und eingreifen kann. Durch den Delta-Abgleich dieser effizienten Lösung, werden Folgebackups immer nur soweit übertragen, wie es Änderungen im Vergleich zum Vortag gab. Der Proxmox-Backup-Server sorgt dafür, dass alle Backups bei Bedarf wie Full-Backups abgerufen werden können und setzt die Teile beim Abruf zusammen. Physikalisch gespeichert werden allerdings immer nur die Differenzen und diese sind auch noch komprimiert. Dies spart sehr viel Speicherplatz und Bandbreite bei der Übertragung. Der Proxmox-Backup-Server sollte dennoch mit ausreichend Speicherplatz ausgelegt werden, um Backups mit möglichst langer Historie speichern zu können. Dieser Speicher sollte auf Größe und weniger auf Geschwindigkeit ausgelegt sein, was in der Regel das Gegenteil von Speicher auf einem Proxmox ve darstellt. Natürlich sollte auch die Storage-Lösung des Backup-Servers redundante Festplatten haben. Hier eignen sich gängige RAID-Systeme oder auch ein Ceph-Storage gut.