Server Installation/Hetzner

Aus Opennet
Version vom 7. September 2019, 19:17 Uhr von MathiasMahnke (Diskussion | Beiträge)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

< Server Installation

Inhaltsverzeichnis

Teil 1 - Bestellung

Im Robot einloggen und seinen SSH Pubkey hochladen. Anschließend einen EX41S Server bestellen und Rescue-System sowie seinen Key auswählen.

Die IP Vergabe erfolgt für IPv4 und IPv6 statisch. Als Bestellung die notwendige Anzahl von IPv4 Adressen mit bestellen. Wir benötigen auch für jede IPv4 Adresse eine fest zugeordnete MAC Adresse (siehe unten).

Teil 2 - OS Installation

Nun bekommt man nach ein paar Minuten (Nur sehr selten dauert es mal länger. Den Grund findet man dann hier) die IP Adresse per Mail. Man kann sich per SSH in das Rescue System einloggen und den Server mit folgendem Script installieren:

tail -1 .ssh/authorized_keys > /tmp/id_rsa.pub
installimage -a -n MEINSERVERNAME -b grub -r yes -l 1 -i /root/.oldroot/nfs/install/../images/Debian-93-stretch-64-minimal.tar.gz -p swap:swap:8G,/boot:ext3:512M,/:ext4:100G,/tank:ext4:all -d sda,sdb -K /tmp/id_rsa.pub

Ggf. anschließend systemd als Init verwenden per: apt install systemd-sysv

IPv6 Weiterleitung muss bei Hetzner aktiviert werden (kein SLAAC):

/etc/sysctl.d/on-ipv6-forwarding.conf 
 # allow ipv6 forwarding
 net.ipv6.conf.all.forwarding=1

Teil 3 - ansible Konfiguration

Als Vorbereitung sind folgende Schritte notwendig:

  • Verzeichnis /etc/modules-load.d anlegen, modules.conf als Symlink
  • /root/.bashrc an Opennet Standard anpassen
  • Installation von python-minimal (apt install python-minimal)

Anschließend kann dem Host die Rolle virtualization-server von Server Installation/Ansible zuordnet werden und der initiale Ansible Lauf gestartet werden.

Teil 4 - VM Installation

  • virtuelle Maschinen (Server Installation/KVM) werden per Server Installation/vhost-admin angelegt
  • bei Hetzner muss jede VM die an der WAN-Bridge teilnehmen eine von Hetzner zugewiesene MAC Adresse erhalten
    • via Hetzner Robot eine passende IP bestellen und nach Aktivierung eine entsprechende MAC zuweisen lassen
    • diese auf dem Virtualisierungsserver per virsh edit <vm> dem Netzwerkinterface br-wan zuordnen
    • anschließend diese MAC auf der VM wieder dem passenden Interface eth1 (Internet/WAN) zuordnen; dabei unbedingt auf die Kleinschreibung der MAC Adresse achten (Buchstaben)
vi /etc/udev/rules.d/70-persistent-net.rules
update-initramfs -u
  • IPv4 Adressen werden dem einzelnen Bestellprozess entnommen, IPv6 Adressen werden aus dem /64 Präfix entnommen (Festlegung: letzte Stelle IPv4 ist analog IPv6)

Teil 5 - BIOS Aktualisierung

Hierzu ins Hetzner Rescue System booten. Folgende Befehle stehen dort zur Verfügung:

bios_info
check_spectre_bios_update

Beispielhafte Ausführung (05/2019 EX41):

Rescue System up since 2019-06-07 09:29 +02:00

Hardware data:

   CPU1: Intel(R) Core(TM) i7-7700 CPU @ 3.60GHz (Cores 8)
   Memory:  64214 MB
   Disk /dev/sda: 2000 GB (=> 1863 GiB) 
   Disk /dev/sdb: 2000 GB (=> 1863 GiB) 
   Total capacity 3726 GiB with 2 Disks

Network data:
   eth0  LINK: yes
         MAC:  90:1b:0e:f3:89:42
         IP:   46.4.100.242
         IPv6: 2a01:4f8:140:9250::2/64
         Intel(R) PRO/1000 Network Driver

root@rescue ~ # check_spectre_bios_update 
This script will check, if there are any BIOS updates for your mainboard available, that already include the MDS Attack (ZombieLoad) Microcode updates.
No MDS BIOS update available for this mainboard yet.
Checking for Spectre v4 and L1 Terminal Fault Microcode updates instead:
Found D3401-H2, starting BIOS update, please do not shutdown or reboot the server until the update is done!

Intel (R) Firmware Update Utility Version: 11.8.65.3590
Copyright (C) 2007 - 2019, Intel Corporation.  All rights reserved.

Communication Mode: MEI
Checking firmware parameters...

Warning: Do not exit the process or power off the machine before the firmware update process ends.
Sending the update image to FW for verification:  [ COMPLETE ] 



FW Update:  [ 100% (-)]Do not Interrupt
FW Update is completed successfully.
copy modules for kernel 4.19.45
updating bios from 1.14.0 to 1.19.0.SR.1

DeskFlash version 1.75.0064.0
Current action  . . . . . : Updating system BIOS
System  . . . . . . . . . : D3401.H2
Active BIOS . . . . . . . : V5.0.0.12 R1.14.0 for D3401-H2x
Current file. . . . . . . : /root/.oldroot/nfs/firmware_update/fujitsu/bios/D3401-H2x.R1.19.0.SR.1.BUP
Updating completed. . . . : 100 %        
WARN: Automatic reboot skipped. Manual reboot needed to activate new BIOS!

scheduling successfully done. Reboot to start update. If that does not work. Retry with init 0
root@rescue ~ # reboot
Meine Werkzeuge
Namensräume

Varianten
Aktionen
Start
Opennet
Kommunikation
Karten
Werkzeuge