Proxmox proxmox ou retour à omv

[Nincha]

Ah ok, possible de remettre ton conteneur LXC en Privileged ?

Apparemment c'est possible en faisait une sauvegarde du container, puis en la restaurant avec une modif unprivileged->privileged
J'aurai voulu laisser le lxc en unprivileged mais ça semble assez complexe ou alors il faut faire beaucoup de contournements..

 

[Cram28]

Bonjour,

Tu peux peut-être trouver ton bonheur ici : https://forum.proxmox.com/threads/nfs-server-in-lxc.105073/
?? J'ai lu en diagonale...

@+

 

[Nincha]

Bonjour,

Tu peux peut-être trouver ton bonheur ici : https://forum.proxmox.com/threads/nfs-server-in-lxc.105073/
?? J'ai lu en diagonale...

@+

Hello,
de ce que je vois il le crée quand même en privileged. A partir du moment ou on est en privileged cela semble plus simple d'autoriser le nfs.
J'ai fini par y arriver mais j'avais encore des soucis avec les permissions sur le dossier partagé.

Solution finale qui fonctionne car Jellyfin est en train de scanner les films:

• Créer un container lxc privileged
• bind mount du dossier voulu
• ajouter le user jellyfin au group user dans le lxc (ou tout groupe propriétaire du dossier précédemment monté) pour qu'il puisse consulter ledit dossier
• that's all !

Mais pas eu le choix de faire un container lxc privileged

 

[Cram28]

Yep, y a des fois on peut pas tout isoler...

Bon, un container LXC privilégié ne semble pas pire qu'un.. Docker

Si ça reste du LAN avec des accès maîtrisés, ça reste jouable il me semble ?

Après, si le sujet est vraiment sensible, certains suggèrent d’ «utiliser une machine virtuelle si exposition des partages NFS à des utilisateurs finaux non fiables... »

Pourquoi pas: une VM dédiée - et minimale genre OS Alpine Linux - qui hébergerait tous les services avec besoin fort d'«étanchéité» et pour lesquels un LXC non privilégié n'est pas possible...

C'est jouable non ?

@+

 

[Bambusa29]

@Nincha Tes partages dans la VM OMV ont des BindMount venant de ton nœud proxmox ?

Si c'est le cas et que ton conteneur est "unpreviliged", il faut que tu change le propriétaire des répertoires et vérifier que les utilisateurs de tes conteneurs ont le même uid.

Concrètement :

Sur le nœud Proxmox ou sont physiquement les partage : 100000:100000 est la base, ce qui correspond au root:root (0:0)
Si ton utilisateur a un uid 1001 par exemple cote LXC pour tes partages, il faudra donc sur ton nœud Proxmox que le répertoire est comme propriétaire :
101001:101001 ce qui correspond à un répertoire 1001:1001 cote LXC ou VM.

En faite coté nœud proxmox les partages doivent avoir comme propriétaire 100000 + 'uid utilisateur'

 

[Nincha]

@Nincha Tes partages dans la VM OMV ont des BindMount venant de ton nœud proxmox ?

Si c'est le cas et que ton conteneur est "unpreviliged", il faut que tu change le propriétaire des répertoires et vérifier que les utilisateurs de tes conteneurs ont le même uid.

Concrètement :

Sur le nœud Proxmox ou sont physiquement les partage : 100000:100000 est la base, ce qui correspond au root:root (0:0)
Si ton utilisateur a un uid 1001 par exemple cote LXC pour tes partages, il faudra donc sur ton nœud Proxmox que le répertoire est comme propriétaire :
101001:101001 ce qui correspond à un répertoire 1001:1001 cote LXC ou VM.

En faite coté nœud proxmox les partages doivent avoir comme propriétaire 100000 + 'uid utilisateur'

Non pas de bindmount sur la VM OMV, elle dispose directement des disques en passthrough et c'est elle qui gère les partages samba et potentiellement NFS (que je vais probablement désactiver car pas l'usage).

Peut-on "forcer" l'ID d'un nouvel utilisateur fraichement créé ? Je n'ai pas encore tenté cette manip'... A priori ça se fait avec

usermod -u <nouvel id> <nom du user>

Faut que je fasse en sorte également que Nextcloud (qui tourne sous docker) continue à pouvoir modifier les dossiers partagés.

Yep, y a des fois on peut pas tout isoler...

Bon, un container LXC privilégié ne semble pas pire qu'un.. Docker

Si ça reste du LAN avec des accès maîtrisés, ça reste jouable il me semble ?

Après, si le sujet est vraiment sensible, certains suggèrent d’ «utiliser une machine virtuelle si exposition des partages NFS à des utilisateurs finaux non fiables... »

Pourquoi pas: une VM dédiée - et minimale genre OS Alpine Linux - qui hébergerait tous les services avec besoin fort d'«étanchéité» et pour lesquels un LXC non privilégié n'est pas possible...

C'est jouable non ?

@+

Le container en mode "privileged" va juste avoir accès a quelques dossiers de médias, rien de très important si je les perds.

Le problème c'est plutôt l'éternel problème que l'on rencontre sur un système que l'on ne maitrise pas, c'est que je ne sais pas si c'est SI grave que ça d'avoir un lxc privileged ou non.

PS: je n'ai pas encore résolu mon souci de partages samba invisibles sur windows...

 

[Nincha]

Hello,
je voulais tester la solution de @Bambusa29 mais il s'avère que je n'ai plus de place pour faire une sauvegarde de lxc et la restaurer dans un autre lxc pour faire mes tests.
J'ai dû me rater quelque part, mon disque OS fait 1To mais je ne vois apparaitre que 160Gb au total... Il va donc falloir que je resize ça, mais j'ai un peu de mal à trouver dans la web ui....
Faut passer aussi par la ligne de commande pour ce genre d'opération ?

 

[Bambusa29]

Si tu vas dans l'onglet 'disks' de ton noeud Proxmox tu devrais avoir quelque chose comme ca et voir comment est découpé ton disk 1To :




S'il te manque de l'espace, c'est que ton noeud n'utilise pas tout l'espace de ton disque.

J'ai redimensionné il y a peu ma LVM '/dev/sda4' en supprimant la partition '/dev/sda5' et en réallouant tout l'espace pour la LVM '/dev/sda4'.
J'ai tout fait en ligne de commande, ce n'est pas possible via l'interface a ma connaissance. Il ne faut pas se louper dans la procédure
Je n'ai pas pris de notes (c'est pas bien), mais j'ai retrouvé les commandes que j'avais tapé dans l'historique...
J'ai installé le paquet 'parted' mais je ne sais plus si c'était indispensable...

En gros j'ai fais un :

sudo pvresize /dev/sda4
sudo lvresize --extents +100%FREE --resizefs /dev/sda4

 

[Nincha]

Merci pour ton retour
Je vais regarder ça ce soir, mais de mémoire les 1to n'apparaissent pas dans l'onglet disk du noeud.
Je pense devoir créer une partition sur l'espace restant ou alors faire directement un resize avec les commandes que tu as mis.

J'ai tout fait en ligne de commande, ce n'est pas possible via l'interface a ma connaissance. Il ne faut pas se louper dans la procédure

Tu as mis le doigt dessus... C'est justement le risque d'erreur qui me poussait à chercher dans l'ui...
Pour parer à une clean install involontaire, je vais essayer de raccorder mon mini PC proxmox (domotique, adguard) à ce proxmox principal et lui envoyer une backup des lxc/VM déjà en place. C'est la notion de clusters de ce que j'ai pu lire.

C'est très intéressant Proxmox, et puissant, mais il y a pas mal de choses à apptendre/mettre en place que je n'avais pas prévu. Résultat à la base je voulais juste faire une sauvegarde du lxc Jellyfin pour tenter le unprivileged avec bind mount et propriété correct, pas assez d'espace donc -> on redimensionne-> on brûle un cierge ah bah non on sauvegarde-> on met en place deux clusters pour sauvegarder en externe.

 

[Nincha]

Hello
Avancement de mes tentatives d'hier soir, j'ai pu créer le clusters sur le serveur principal, mais impossible d'ajouter un node qui correspond au proxmox du mini PC.
Comme il y a déjà des lxc/VM dur ce "mini proxmox", impossible de rejoindre un clusters.
De ce que je lis il faut sauvegarder tout, puis supprimer, puis rejoindre le clusters, puis recréer en adaptant les id de lxc/VM pour éviter les conflits entre nodes.
J'ai donc tenté d'ajouter un partage samba de backup sur le mini proxmox (qui correspond a un dossier smb openmediavault du Proxmox principal) mais je me prends une erreur.
Mount.cifs returned code -114.
Peut être un problème de machine virtuelle (omv) non pingable. J'ai bien tenté d'ouvrir le pare feu pour pouvoir la ping, mais ça change rien.
Bref, je me heurte à beaucoup de blocages, c'est frustrant...

 

[EVO]

Concernant les nodes ,.. J'avais eu des soucis car j'avais modifié le port ssh par défaut.
C'est ton cas ?

 

[Nincha]

Effect

Concernant les nodes ,.. J'avais eu des soucis car j'avais modifié le port ssh par défaut.
C'est ton cas ?

Effectivement. Port ssh modifié et compte root désactivé, mais le message d'erreur qui remonte dit clairement qu'il existe des "guests" sur le nouveau node, donc sur celui que l'on tente d'ajouter. C'est ce qui m'a fait entamer ma tentative de sauvegarde de tous les lxc/VM du mini proxmox

 

[Bambusa29]

Il vaut mieux créer les clusters Proxmox dés le début quand tu as aucune VM ou conteneurs LXC d'installer.
Créer un cluster sur Proxmox c'est facile, mais enlever un nœud de ce cluster c'est une autre paire de manche

As tu le détail de l'erreur samba retournée, car l'erreur 114, je ne trouve aucune info ?
Perso j'ai arrêté d'utiliser Samba (parfois des erreurs sur les gros fichiers) pour les partages entre OMV et Proxmox, j'utilise NFS maintenant, c'est plus facile à configurer et plus adapté.

 

[Nincha]

Il vaut mieux créer les clusters Proxmox dés le début quand tu as aucune VM ou conteneurs LXC d'installer.
Créer un cluster sur Proxmox c'est facile, mais enlever un nœud de ce cluster c'est une autre paire de manche

Je te rejoins sur ce point, ils le disent clairement dans la doc, en rejoignant un clusters avec de l'existant, ça nécessitera un redéploiement de tous les lxc/VM, voir même revoir la gestion du stockage...

As tu le détail de l'erreur samba retournée, car l'erreur 114, je ne trouve aucune info ?

Pas mieux que toi, j'ai passé du temps hier soir à chercher de la doc en fonction des codes erreurs, et nada... Suis tombé sur une piste qui disait que si le host du share smb n'est pas pingable ça peut parfois poser soucis, mais rien de sûr.
Pour info le même partage samba fonctionne sans PB sur mon ubuntu...

Perso j'ai arrêté d'utiliser Samba (parfois des erreurs sur les gros fichiers) pour les partages entre OMV et Proxmox, j'utilise NFS maintenant, c'est plus facile à configurer et plus adapté.

J'avais tenté nfs au début, je vais retenter. Par contre as tu les règles pare feu à appliquer pour que NFS soit autorisé ?

 

[Bambusa29]

Je te rejoins sur ce point, ils le disent clairement dans la doc, en rejoignant un clusters avec de l'existant, ça nécessitera un redéploiement de tous les lxc/VM, voir même revoir la gestion du stockage...

Pas mieux que toi, j'ai passé du temps hier soir à chercher de la doc en fonction des codes erreurs, et nada... Suis tombé sur une piste qui disait que si le host du share smb n'est pas pingable ça peut parfois poser soucis, mais rien de sûr.
Pour info le même partage samba fonctionne sans PB sur mon ubuntu...

J'avais tenté nfs au début, je vais retenter. Par contre as tu les règles pare feu à appliquer pour que NFS soit autorisé ?

Je n'ai pas activé encore le firewall sous OMV car j'ai déjà IPFire en amont qui gère tous les accès.

Il faut ces 4 règles en 'INPUT' sous OMV :




ET sinon j'ai ces options là pour les partages NFS sur OMV :

rw,no_subtree_check,sync,no_root_squash,anonuid=1001,anongid=1000

Ce qui correspond au user et groupe 'nfs' que j'ai créé sur OMV :

 

[Nincha]

Merci, je vais tester ça dès que possible

 

[Nincha]

As tu le détail de l'erreur samba retournée, car l'erreur 114, je ne trouve aucune info ?

My bad c'était un code erreur 112...

 

[Nincha]

Bon j'ai réussi à monter le partage nfs sur le "mini-proxmox", mais je me prends un permission denied au moment de faire une sauvegarde.
J'ai l'impression que c'est l'execution de tar qui plante.
Voici un peu de détails sur les propriétaires/permissions


Donc pour résumer, de ce que tu m'as indiqué @Bambusa29, j'ai bien créé le user nfs et son groupe nfs, ce sont les propriétaires du dossier de backup partagés en nfs.




J'avoue que je sèche un peu.

EDIT: j'ai probablement trouvé la solution ici:
[NFS] Permission denied on second network during backup
il semblerait que ce soit la cible du dump temporaire qui pose problème si elle pointe vers le dossier de sauvegarde. Un peu tordu.
Mais la sauvegarde est passée !

 

[Bambusa29]

Bon j'ai réussi à monter le partage nfs sur le "mini-proxmox", mais je me prends un permission denied au moment de faire une sauvegarde.
J'ai l'impression que c'est l'execution de tar qui plante.
Voici un peu de détails sur les propriétaires/permissions
Voir la pièce jointe 10540

Donc pour résumer, de ce que tu m'as indiqué @Bambusa29, j'ai bien créé le user nfs et son groupe nfs, ce sont les propriétaires du dossier de backup partagés en nfs.
Voir la pièce jointe 10541
Voir la pièce jointe 10542
Voir la pièce jointe 10543

J'avoue que je sèche un peu.

EDIT: j'ai probablement trouvé la solution ici:
[NFS] Permission denied on second network during backup
il semblerait que ce soit la cible du dump temporaire qui pose problème si elle pointe vers le dossier de sauvegarde. Un peu tordu.
Mais la sauvegarde est passée !

Il me semble que j' ai déjà eu ce problème et que j'ai modifié fichier /etc/vzdump.conf en rajoutant la ligne 'tmpdir' :

# vzdump default settings

tmpdir: /media/share/tmp
#dumpdir: DIR
#storage: STORAGE_ID
#mode: snapshot|suspend|stop
#bwlimit: KBPS
#performance: max-workers=N
#ionice: PRI
#lockwait: MINUTES
#stopwait: MINUTES
#stdexcludes: BOOLEAN
#mailto: ADDRESSLIST
#prune-backups: keep-INTERVAL=N[,...]
#script: FILENAME
#exclude-path: PATHLIST
#pigz: N
#notes-template: {{guestname}

 

[Nincha]

Il me semble que j' ai déjà eu ce problème et que j'ai modifié fichier /etc/vzdump.conf en rajoutant la ligne 'tmpdir' :

# vzdump default settings

tmpdir: /media/share/tmp
#dumpdir: DIR
#storage: STORAGE_ID
#mode: snapshot|suspend|stop
#bwlimit: KBPS
#performance: max-workers=N
#ionice: PRI
#lockwait: MINUTES
#stopwait: MINUTES
#stdexcludes: BOOLEAN
#mailto: ADDRESSLIST
#prune-backups: keep-INTERVAL=N[,...]
#script: FILENAME
#exclude-path: PATHLIST
#pigz: N
#notes-template: {{guestname}

Yes, c'est ce que j'ai dû faire pour que la sauvegarde passe.
J'ai pointé sur /tmp