|
|
|
## Restauración de un backup
|
|
|
|
|
|
|
|
Para armar un clon el procedimiento en general a seguir es reconstruir un backup Proxmox realizado previamente. Para eso hacemos lo siguiente:
|
|
|
|
|
|
|
|
* Desde la interfaz web de adminstración de Proxmox, elegimos el nodo `mate`, luego el volumen NFS `RespaldosRedota1GB`.
|
|
|
|
> Es muy importante elegir correctamente el nodo porque de eso depende donde se cree el clon.
|
|
|
|
* Luego seleccionamos el backup que queremos restaurar dentro de la lista de archivos presentados y hacemos click en el botón Restore.
|
|
|
|
* En el cuadro de dialogo que aparece las opciones importantes:
|
|
|
|
* Id: es autogenerado y único (mejor no cambiarlo)
|
|
|
|
* Storage: ponemos local-lvm (es el único VG para discos de LXC y virtuales).
|
|
|
|
* Contenedor sin privilegios: desactivarlo.
|
|
|
|
* Finalmente click en el botón Restore.
|
|
|
|
|
|
|
|
## Reconfiguración del clon
|
|
|
|
|
|
|
|
Aquí se detallan los pasos de configuración de un LXC/Vm cuando este es un clon de otro servidor (de produccion).
|
|
|
|
|
|
|
|
### Desde el Proxmox
|
|
|
|
|
|
|
|
Antes de encender la máquina hay varias cosas que debemos hacer desde la interfaz web del Proxmox.
|
|
|
|
|
|
|
|
#### Configuraciones de red
|
|
|
|
|
|
|
|
* Seleccionamos el clon (LXC/Vm) y en Network (o Hardware, Network devices para Vms):
|
|
|
|
* Borramos la Mac
|
|
|
|
* Le ponemos una TAG de VLAN (por ejemplo 6)
|
|
|
|
* Cambiamos la IP por otra. Buscar alguna IP y nombre libre en el archivo de zona interior.edu.uy
|
|
|
|
* En DNS cambiar el nombre (ej.: candombe) por otro (clon-candombe).
|
|
|
|
|
|
|
|
#### Cerrar puertos de correo
|
|
|
|
|
|
|
|
En el firewall de Proxmox para el LXC/Vm:
|
|
|
|
|
|
|
|
* Desactivamos reglas de firewall activas para el chain INPUT (ej.: puerto 80 para un servicio web). Por ejemplo, en un caso estándar, desactivamos todas las reglas (basic, webserver y zabbixagent) menos la última.
|
|
|
|
* Agregamos una primer regla para la chain OUT que haga DROP cuando quiera salir a puertos que haya que cerrar en salida (ej.: puertos smtp para servidores de correo).
|
|
|
|
|
|
|
|
*Nota:*
|
|
|
|
|
|
|
|
Podemos ser mas restrictivo incluso. Podemos cerrar toda la salida y solo abrirla para que el servidor acceda a los resolvedores y el repositorio de la plataforma, los repositorios de Debian y Ubuntu y de los servicios en cuestión, que acceda a keys.ubuntu.com, etc. Para eso pondríamos una regla para el chain OUT que haga ACCEPT para los paquetes que salen hacia las IPs:
|
|
|
|
|
|
|
|
`164.73.98.44,164.73.98.8,164.73.98.88,13.227.92.105,13.227.92.45,13.227.92.55,13.227.92.129,91.189.88.183,91.189.91.46,91.189.88.182,185.125.190.24,185.125.190.23,91.189.91.47,162.213.33.9,162.213.33.8`
|
|
|
|
|
|
|
|
seguida de otra regla OUT que haga DROP de todo.
|
|
|
|
|
|
|
|
A continaución un ejemplo de como quedarían estas reglas:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
### Desde el propio clon
|
|
|
|
|
|
|
|
Una vez completado lo anterior, encendemos la máquina y continuamos revisando su configuración.
|
|
|
|
Podemos encenderla sin problemas porque la tenemos aislada del exterior.
|
|
|
|
|
|
|
|
#### Acceso inicial al clon
|
|
|
|
|
|
|
|
* Como no tenemos red, tendremos que loguearnos con usuario y password desde el VNC del Proxmox. Podemos consultar la de root desde los vautls del proyecto config aunque puede ser engorroso dificil ingresarla vía consola Proxmox.
|
|
|
|
* En el caso de una VM, si no podemos acceder de la manera anterior, podemos recurrir a butear desde un disco buteable (ej.: rescue cd).
|
|
|
|
* En cualquier caso si no pudimos de otra manera, podremos agregar reglas de firewall Proxmox para habilitar el acceso al servidor unicamente desde nuestra máquina.
|
|
|
|
|
|
|
|
#### Mas configuraciones
|
|
|
|
|
|
|
|
* Solo para VM:
|
|
|
|
* Cambiar la IP del servidor en `/etc/network/interfaces`
|
|
|
|
* Ajustar el nombre del host en el archivo `/etc/hostname` y reiniciar el servidor
|
|
|
|
* Resoluciones locales para correcto funcionamiento del servicio. Editar el `/etc/hosts` para que el clon "crea" que el es el servidor en producción, por ejemplo para `dirac`:
|
|
|
|
|
|
|
|
```
|
|
|
|
164.73.98.26 dirac-test.interior.edu.uy dirac.csic.edu.uy dirac
|
|
|
|
164.73.98.26 correo.csic.edu.uy correo.cci.edu.uy correo.chea.udelar.edu.uy correo.ei.udelar.edu.uy correo.ei.ur.edu.uy
|
|
|
|
2001:1328:6a::26 correo.csic.edu.uy correo.cci.edu.uy correo.chea.udelar.edu.uy correo.ei.udelar.edu.uy correo.ei.ur.edu.uy
|
|
|
|
```
|
|
|
|
|
|
|
|
Por ejemplo, en `salado` configuro que el es `candombe`:
|
|
|
|
```
|
|
|
|
164.73.98.92 nube.interior.edu.uy nube candombe candombe.interior.edu.uy
|
|
|
|
```
|
|
|
|
|
|
|
|
* Luego dependiendo del caso puede ser necesario editar configuración propia de los servicios/demonios que funcionan en ese clon, como por ejemplo Virtual hosts de Apache.
|
|
|
|
|
|
|
|
#### Actualizaciones
|
|
|
|
|
|
|
|
Si el backup es viejo, es probablemte que el clon requiera un apt update y apt upgrade. Lo cual puede llegar a solucionar problemas de funcionamiento del servicio.
|
|
|
|
|
|
|
|
#### Reconstrucción de certificados Let's encrypt.
|
|
|
|
|
|
|
|
Como cambiamos de nombre e Ip de servidor, los certificados Let's encrypt existentes ya no son válidos y conviene eliminarlos y descargar los correspondientes al dominio actual. Para eso será necesario hacer uso del comando `certbot` o del rol correspondiente.
|
|
|
|
|
|
|
|
### Finalizando
|
|
|
|
|
|
|
|
* Finalmente, desde el Proxmox quitamos la marca de VLAN para que pueda hablar con el exterior.
|
|
|
|
* Volvemos a activar grupos reglas que hayan sido desactivadas para que el servicio sea accesible desde el exterior (ej.: webserver, basic) |
