Server Installation/Hetzner
Inhaltsverzeichnis |
Teil 1 - Bestellung
Im Robot einloggen und seinen SSH Pubkey hochladen. Anschließend einen EX41S Server bestellen und Rescue-System sowie seinen Key auswählen.
Die IP Vergabe erfolgt für IPv4 und IPv6 statisch. Als Bestellung die notwendige Anzahl von IPv4 Adressen mit bestellen. Wir benötigen auch für jede IPv4 Adresse eine fest zugeordnete MAC Adresse (siehe unten).
Teil 2 - OS Installation
Nun bekommt man nach ein paar Minuten (Nur sehr selten dauert es mal länger. Den Grund findet man dann hier) die IP Adresse per Mail. Man kann sich per SSH in das Rescue System einloggen und den Server mit folgendem Script installieren:
tail -1 .ssh/authorized_keys > /tmp/id_rsa.pub installimage -a -n MEINSERVERNAME -b grub -r yes -l 1 -i /root/.oldroot/nfs/install/../images/Debian-93-stretch-64-minimal.tar.gz -p swap:swap:8G,/boot:ext3:512M,/:ext4:100G,/tank:ext4:all -d sda,sdb -K /tmp/id_rsa.pub
Ggf. anschließend systemd als Init verwenden per: apt install systemd-sysv
IPv6 Weiterleitung muss bei Hetzner aktiviert werden (kein SLAAC):
/etc/sysctl.d/on-ipv6-forwarding.conf # allow ipv6 forwarding net.ipv6.conf.all.forwarding=1
Teil 3 - ansible Konfiguration
Als Vorbereitung sind folgende Schritte notwendig:
- Verzeichnis /etc/modules-load.d anlegen, modules.conf als Symlink
- /root/.bashrc an Opennet Standard anpassen
- Installation von python-minimal (apt install python-minimal)
Anschließend kann dem Host die Rolle virtualization-server von Server Installation/Ansible zuordnet werden und der initiale Ansible Lauf gestartet werden.
Teil 4 - VM Installation
- virtuelle Maschinen (Server Installation/KVM) werden per Server Installation/vhost-admin angelegt
- bei Hetzner muss jede VM die an der WAN-Bridge teilnehmen eine von Hetzner zugewiesene MAC Adresse erhalten
- via Hetzner Robot eine passende IP bestellen und nach Aktivierung eine entsprechende MAC zuweisen lassen
- diese auf dem Virtualisierungsserver per virsh edit <vm> dem Netzwerkinterface br-wan zuordnen
- anschließend diese MAC auf der VM wieder dem passenden Interface eth1 (Internet/WAN) zuordnen; dabei unbedingt auf die Kleinschreibung der MAC Adresse achten (Buchstaben)
vi /etc/udev/rules.d/70-persistent-net.rules update-initramfs -u
- IPv4 Adressen werden dem einzelnen Bestellprozess entnommen, IPv6 Adressen werden aus dem /64 Präfix entnommen (Festlegung: letzte Stelle IPv4 ist analog IPv6)
Teil 5 - BIOS Aktualisierung
Hierzu ins Hetzner Rescue System booten. Folgende Befehle stehen dort zur Verfügung:
bios_info check_spectre_bios_update
Beispielhafte Ausführung (05/2019 EX41):
Rescue System up since 2019-06-07 09:29 +02:00 Hardware data: CPU1: Intel(R) Core(TM) i7-7700 CPU @ 3.60GHz (Cores 8) Memory: 64214 MB Disk /dev/sda: 2000 GB (=> 1863 GiB) Disk /dev/sdb: 2000 GB (=> 1863 GiB) Total capacity 3726 GiB with 2 Disks Network data: eth0 LINK: yes MAC: 90:1b:0e:f3:89:42 IP: 46.4.100.242 IPv6: 2a01:4f8:140:9250::2/64 Intel(R) PRO/1000 Network Driver root@rescue ~ # check_spectre_bios_update This script will check, if there are any BIOS updates for your mainboard available, that already include the MDS Attack (ZombieLoad) Microcode updates. No MDS BIOS update available for this mainboard yet. Checking for Spectre v4 and L1 Terminal Fault Microcode updates instead: Found D3401-H2, starting BIOS update, please do not shutdown or reboot the server until the update is done! Intel (R) Firmware Update Utility Version: 11.8.65.3590 Copyright (C) 2007 - 2019, Intel Corporation. All rights reserved. Communication Mode: MEI Checking firmware parameters... Warning: Do not exit the process or power off the machine before the firmware update process ends. Sending the update image to FW for verification: [ COMPLETE ] FW Update: [ 100% (-)]Do not Interrupt FW Update is completed successfully. copy modules for kernel 4.19.45 updating bios from 1.14.0 to 1.19.0.SR.1 DeskFlash version 1.75.0064.0 Current action . . . . . : Updating system BIOS System . . . . . . . . . : D3401.H2 Active BIOS . . . . . . . : V5.0.0.12 R1.14.0 for D3401-H2x Current file. . . . . . . : /root/.oldroot/nfs/firmware_update/fujitsu/bios/D3401-H2x.R1.19.0.SR.1.BUP Updating completed. . . . : 100 % WARN: Automatic reboot skipped. Manual reboot needed to activate new BIOS! scheduling successfully done. Reboot to start update. If that does not work. Retry with init 0 root@rescue ~ # reboot