ProxmoxDebianCloudInit » Cronologia » Versione 14
Versione 13 (Simone Piccardi, 16-05-2019 19:12) → Versione 14/23 (Simone Piccardi, 02-12-2019 15:17)
h1. Debian su Proxmox con cloud-init Con la versione 5.x Proxmox ha aggiunto il supporto per la creazione e la configurazione automatica delle macchine virtuali utilizzando @cloud-init@. Vedremo come utilizzarlo per la gestione di macchine virtuali con Debian (quando non indicato diversamente le istruzioni si applicano sia a Stretch che a Buster). Stretch. Il primo passo è scaricare una immagine pronta per il cloud di Debian, sono disponibili delle versioni non ufficiali a partire su https://cdimage.debian.org/cdimage ed in particolare per Proxmox servono quelle di OpenStack, pertanto si dovranno prendere da https://cdimage.debian.org/cdimage/openstack, https://cdimage.debian.org/cdimage/openstack/current, selezionando quella per amd64, nel formato raw o qcow2 (quest'ultima è preferibile per le minori dimensioni), scaricandole ad esempio qcow2, e scaricandola con: <pre> wget https://cdimage.debian.org/cdimage/openstack/current/debian-10.2.0-openstack-amd64.qcow2 https://cdimage.debian.org/cdimage/openstack/current/debian-9.7.0-openstack-amd64.raw </pre> insieme all'immagine si scarichino e le relative checksum e firme con cui verificarne l'integrità: <pre> wget https://cdimage.debian.org/cdimage/openstack/current/SHA512SUMS wget https://cdimage.debian.org/cdimage/openstack/current/SHA512SUMS.sign </pre> e si passi a verificare verificando il tutto con i comandi: con: <pre> sha512sum -c SHA512SUMS --ignore-missing gpg --verify SHA512SUMS.sign SHA512SUMS sha512sum -c SHA512SUMS --ignore-missing </pre> Se @gpg@ dice che è impossibile controllare la firma perché non c'è la chiave pubblica, questa deve essere importata dal keyring di Debian con qualcosa come @gpg --keyserver keyring.debian.org --recv-keys DF9B9C49EAA9298432589D76DA87E80D6294BE9B@ (dove il numero della chiave è quello riportato dal comando in caso di fallimento). Si tenga presente che comunque, a meno di non averne impostato un livello di fiducia, @gpg@ avvertirà che non c'è nessuna sicurezza relativa al fatto che la chiave appartenga davvero al proprietario, quello che comunque si deve verificare è che il comando indichi una firma valida. precedente comando). Come primo passo occorre creare una macchina virtuale da cui si genererà il template, ne vanno impostate anzitutto memoria e tipo di rete, facendo riferimento ad una (o più) delle interfacce di bridge disponibili (a seconda di dove la si vuole creare di default, il bridge potrà comunque essere cambiato in seguito, e se ne possono indicare più di uno se servono più interfacce), seguito), questo si fa, utilizzando un VMID non allocato, con: <pre> qm create 4242 --memory 512 --net0 virtio,bridge=vmbr0 # --net1 virtio,bridge=vmbr1 #, etc. </pre> poi si potrà ottenere il disco della nostra importando nello storage l'immagine scaricata, in questo caso se si sta usando LVM come backend per i dischi associato allo storage @local-lvm@ (come avviene in una installazione di default) lo si potrà fare eseguendo: <pre> root@proxmox ~ # qm importdisk 4242 debian-9.7.0-openstack-amd64.qcow2 local-lvm Using default stripesize 64.00 KiB. Logical volume "vm-4242-disk-0" created. (100.00/100%) </pre> (si usi al posto di @local-lvm@ un eventuale altro tipo di storage), questo creerà l'immagine del disco con lo stesso schema di denominazione usato nella creazione delle macchine virtuali dall'interfaccia web (@vm-4242-disk-0@), convertendo il contenuto del file scaricato (si possono convertire covertire tutti i formati supportati da @qemu-img@, primi fa tutti @.raw@ e @.qcow2@), per poter usare il disco nella macchina virtuale precedentemente creata occorrerà poi collegarcelo, con il comando: <pre> root@proxmox ~ # qm set 4242 --scsihw virtio-scsi-pci --scsi0 local-lvm:vm-4242-disk-0,discard=on update VM 4242: -scsi0 local-lvm:vm-4242-disk-0,discard=on -scsihw virtio-scsi-pci </pre> (si ometta il @,discard=on@ se lo storage utilizzato non supporta l'uso di discard). Si potranno poi impostare le ulteriori caratteristiche della macchina virtuale per l'uso di @cloud-init@ con: <pre> qm set 4242 --ide2 local-lvm:cloudinit qm set 4242 --boot c --bootdisk scsi0 qm set 4242 --serial0 socket --vga serial0 </pre> che predispone l'avvio dall'immagine CD usata da cloud-init per passare le configurazioni alla macchina, forza l'uso dello stesso e del disco appena collegato per l'avvio e riporta la console via seriale (dato che questa è la configurazione adottate nelle immagini preparate per OpenStack come quella che abbiamo usato). Si può anche assegnare un nome alla macchina con @qm set 4242 --name templimg@, questo può essere impostato anche in sede di creazione aggiungendo a @qm create@ l'opzione @--name templimg@. stretchimg@. A questo punto dall'interfaccia web si potrà utilizzare la sezione _Cloud-Init_ relativa alla macchina, e caricare una chiave SSH per l'accesso (_Cloud-Init->SSH-Public-Key->Edit->Load SSH Key File_). Se poi, come nel nostro caso, si vogliono fare delle modifiche all'immagine prima di trasformarla in template, le si dovrà assegnare un IP e farla partire, l'immagine fornita da Debian infatti non consente un accesso dalla console (tutti gli utenti sono bloccati senza password) per cui la console può essere utilizzata solo per accertarsi di quando il processo di boot è finito e si può provare a collegarsi con SSH. L'unico possibile accesso alla macchina infatti è via SSH con autenticazione a chiavi, usando la chiave corrispondente a quella che si è caricata come descritto in precedenza. Inoltre l'accesso a @root@ è bloccato (la chiave viene riconosciuta, ma usata per stampare il messaggio di collegarsi con utente debian) e l'unico utente disponibile è @debian@ (anche se questo può essere cambiato nella sezione _Cloud-Init_ relativa alla macchina). Si potrà pertanto entrare sulla macchina con @ssh debian@ID.DE.LA.MACCHINA@ e poi eseguire @sudo -s@ per ottenere una shell di root. Dato che questa politica prevede un inutile passaggio attraverso un utente intermedio che ha comunque accesso illimitato via @sudo@, non dà di per sé nessuna garanzia di sicurezza maggiore rispetto ad un accesso diretto a @root@, al prezzo di complicare le cose per fare operazioni remote (ad esempio degli @scp@) qualora questi debbano essere effettuati coi privilegi di amministratore sulla macchina stessa. Pertanto si provvederà a ripristinare una configurazione che consenta l'accesso a @root@ con autenticazione a chiavi, eliminando l'utente superfluo. Per far questo una volta collegati e ottenuta la shell di @root@ il primo passo sarà quello modificare la configurazione di @cloud-init@ in @/etc/cloud/cloud.cfg@, modificando la riga con @disable_root@ da @true@ a @false@ (il file è in formato YML) in modo che questo diventi: <pre> # If this is set, 'root' will not be able to ssh in and they # will get a message to login instead as the above $user (debian) disable_root: false </pre> inoltre occorrerà eliminare dall'@authorized_keys@ di root il prefisso che ne blocca l'accesso, cancellando tutta la parte: <pre> no-port-forwarding,no-agent-forwarding,no-X11-forwarding,command="echo 'Please login as the user \"debian\" rather than the user \"root\".';echo;sleep 10" </pre> lasciando solo i dati della chiave a partire da @ssh-rsa@; si verifichi poi il funzionamento della modifica eseguendo un accesso diretto collegandosi con @ssh root@ID.DE.LA.MACCHINA@. Una volta che ci si sia ricollegati con successo usando direttamente @root@, si potrà cancellare l'utente @debian@ usato per l'accesso e la relativa configurazione in @/etc/sudoers.d/@ con: <pre> userdel -r debian rm /etc/sudoers.d/debian-cloud-init /etc/sudoers.d/90-cloud-init-users </pre> Su Buster inoltre, per evitare che venga ricreato ad ogni riavvio, occorre anche disabilitarne l'uso nella configurazione di cloud-init in @/etc/cloud/cloud.cfg@ commentando le ultime due delle righe seguenti: <pre> # A set of users which may be applied and/or used by various modules # when a 'default' entry is found it will reference the 'default_user' # from the distro configuration specified below #users: # - default </pre> Infine l'immagine scaricata contiene un file @/etc/network/interfaces@ che cerca di effettuare una configurazione in DHCP di @eth0@ ed eventuali altre interfacce, e @ens3@, che deve andare in timeout prima che venga utilizzata la configurazione creata via @cloud-init@ in @/etc/network/interfaces.d/50-cloud-init.cfg@. Inoltre @/etc/network/interfaces.d/50-cloud-init.cfg@, inoltre la lettura della configurazione aggiuntiva viene fatta prima delle ulteriori configurazioni, con il risultato che queste (in particolare quella per @lo@) sovrascrivono quanto in essa contenuto (nel caso l'impostazione dei server DNS con @resolvconf@). Per questo occorre modificarne il contenuto in modo che il file contenga soltanto: <pre> # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback source /etc/network/interfaces.d/* </pre> inoltre dato che il contenuto generato in @/etc/network/interfaces.d/50-cloud-init.cfg@ imposta i DNS con la direttiva @dns-nameservers@, perché abbia effetto deve essere installato @resolvconf@, che invece non è presente e deve essere deve essere inserito nell'immagine con: <pre> apt apt-get install resolvconf </pre> Si tenga conto che per poterlo installare la rete deve essere accessibile quindi la macchina deve essere stata configurate correttamente per avere un gateway di uscita, ed inoltre, avendo l'immagine come default per il DNS (che viene mantenuto, a meno di non @120.0.0.1@, senza avere un DHCP sulla rete che configura le interfacce) @120.0.0.1@ in @resolv.conf@, senza che il relativo servizio sia disponibile, si dovrà impostare un server DNS valido manualmente in @/etc/resolv.conf@ (ad esempio con @echo nameserver 1.1.1.1 > /etc/resolv.conf@). A questo punto si potranno effettuare eventuali altre ulteriori personalizzazioni della macchina che poi trasformeremo in template, come l'installazione di pacchetti aggiuntivi, creazione di utenti (questi potrebbero comunque essere gestiti anche tramite cloud-init), utenti, cambi di configurazione. Completate le personalizzazioni si ricordi di eliminare ogni rimasuglio, pulire la cache di APT, svuotare i file di log, ecc. Un possibile esempio di operazioni di pulizia potrebbero essere le seguenti: <pre> apt clean cd /var/log/ > syslog > auth.log > cloud-init.log > cloud-init-output.log > debug > dpkg.log > messages > kern.log > user.log > daemon.log </pre> Infine si fermi la macchina virtuale. Una volta tolta la configurazione della rete aggiunta per poterla personalizzare, la si potrà trasformare in template dall'interfaccia web o con il comando: <pre> qm template 4242 </pre> A questo punto se ne potranno generare delle nuove macchine virtuali creando un clone, o dall'interfaccia web o con il comando: <pre> qm clone 4242 308 --name test </pre> da riconfigurare a piacere per l'uso delle risorse sia via web (reimpostando RAM e dimensione del disco dalla sezione _Hardware_) che da linea di comando con qualcosa del tipo: <pre> qm resize 308 scsi0 50G qm set 308 --memory 1024 </pre> e poi impostandone le caratteristiche pilotate da @cloud-init@, sia via web (dalla sezione _Cloud-Init_) che da riga di comando con qualcosa del tipo: <pre> qm set 308 --ipconfig0 ip=192.168.XX.YY/24,gw=192.168.XX.1 </pre> si potranno inoltre installare ulteriori chiavi SSH con: <pre> qm set 308 --sshkey elencochiavissh.pub </pre> dove @elencochiavissh.pub@ è un file contenente un elenco di chiavi pubbliche (una per riga) che verranno abilitate per la macchina in questione (lo si può generare da un elenco di file di chiavi con qualcosa tipo @cat *.pub > elencochiavissh.pub@).