Als erstes bekommt jede VM eine statische IP Adresse:

sudo nano /etc/netplan/50-cloud-init.yaml

network:
  version: 2
  renderer: networkd
  ethernets:
    ens18:
      dhcp4: false
      addresses:
        - 10.10.0.10/24
      routes:
        - to: default
          via: 10.10.0.1
      nameservers:
        addresses:
          - 8.8.8.8
          - 8.8.4.4

sudo chmod 600 /etc/netplan/50-cloud-init.yaml
sudo rm -r /etc/netplan/00-installer-config.yaml
sudo netplan apply

Passwordless Login

Ich habe einen SSH Key auf meinem Notebook erstellt um mich ohne Passwort auf meinen Servern einzuloggen.

scp -R id_ed25519.pub mschneider@10.10.0.10:/home/mschneider/

Auf meiner PVE Maschine einloggen.

mkdir -p ~/.ssh
cat id_ed25519.pub >> .ssh/authorized_keys
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

Auf PVE VIM installieren und einige SSH Einstellungen durchführen

sudo vim /etc/ssh/sshd_config

Zum kopieren

PermitRootLogin prohibit-password
PasswordAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

sudo apt install -y ca-certificates curl gnupg

Updates durchführen

sudo apt update && sudo apt upgrade -y

Docker installieren

sudo apt install -y ca-certificates curl gnupg
sudo install -m 0755 -d /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | \
  sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
sudo chmod a+r /etc/apt/keyrings/docker.gpg

echo "deb [arch=$(dpkg --print-architecture) \
  signed-by=/etc/apt/keyrings/docker.gpg] \
  https://download.docker.com/linux/ubuntu \
  $(. /etc/os-release && echo "$VERSION_CODENAME") stable" | \
  sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

sudo apt update
sudo apt install -y docker-ce docker-ce-cli containerd.io docker-compose-plugin

sudo usermod -aG docker mschneider

4TB Datastorage einrichten

Mit diesen Befehlen wird nachgesehen welchen Laufwerksnamen der 4TB Storage hat und ein Filesystem damit erstellt.

lsblk

sudo mkfs.ext4 /dev/sdb

Ein Mount Verzeichnis und automatischer Mount wird nun erstellt.

sudo mkdir -p /mnt/nextcloud-data
sudo mount /dev/sdb /mnt/nextcloud-data

Die UUID kopieren

sudo blkid /dev/sdb

sudo nano /etc/fstab

Folgende Zeile mit der UUID versehen und in die FSTAB schreiben

UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx  /mnt/nextcloud-data  ext4  defaults  0  2

Kontrolliert kann es mit folgenden Befehl werden.

df -h | grep nextcloud

Nextcloud Data Verzeichnis erstellen

Nun wird alles für Docker vorbereitet.

sudo mkdir -p /mnt/nextcloud-data/data
sudo mkdir -p /mnt/nextcloud-data/db

sudo chown -R mschneider:mschneider /mnt/nextcloud-data

Docker Compose Verzeichnis erstellen

mkdir -p ~/nextcloud
nano ~/nextcloud/docker-compose.yml

services:
  db:
    image: mariadb:10.11
    container_name: nextcloud-db
    restart: always
    command: --transaction-isolation=READ-COMMITTED --log-bin=binlog --binlog-format=ROW
    volumes:
      - /mnt/nextcloud-data/db:/var/lib/mysql
    environment:
      - MYSQL_ROOT_PASSWORD=rootPasswortAendern
      - MYSQL_DATABASE=nextcloud
      - MYSQL_USER=nextcloud
      - MYSQL_PASSWORD=nextcloudPasswortAendern

  redis:
    image: redis:alpine
    container_name: nextcloud-redis
    restart: always

  app:
    image: nextcloud:latest
    container_name: nextcloud-app
    restart: always
    ports:
      - "8080:80"
    volumes:
      - /mnt/nextcloud-data/data:/var/www/html
    environment:
      - MYSQL_HOST=db
      - MYSQL_DATABASE=nextcloud
      - MYSQL_USER=nextcloud
      - MYSQL_PASSWORD=nextcloudPasswortAendern
      - REDIS_HOST=redis
      - NEXTCLOUD_TRUSTED_DOMAINS=cloud.techdoc.at 10.10.0.10
      - NEXTCLOUD_ADMIN_USER=admin
      - NEXTCLOUD_ADMIN_PASSWORD=adminPasswortAendern
    depends_on:
      - db
      - redis

Nextcloud verwalten

Nun wird Nextcloud gestartet

cd ~/nextcloud
docker compose up -d

Logs auslesen

docker compose logs -f

docker compose logs db

docker compose logs app

Docker abdrehen

docker compose down

Traefik einrichten

Traefik einrichten um Letsencrypt und HA Proxy funktionen für Docker zu haben

cd ~/nextcloud

Nextcloud stoppen da wir verwaltung zukünftig nur über Traefik läuft.

docker compose down

Alle Daten löschen da noch nichts eingerichtet wurde.

sudo rm -rf /mnt/nextcloud-data/db/*
sudo rm -rf /mnt/nextcloud-data/data/*
sudo mv docker-compose.yml ..

Nun wird eine neue Datei erstellt.

sudo vi docker-compose.yml

Hier müssen folgende Werte angepasst werden.
deine@email.at → deine echte Email für Let’s Encrypt
rootPasswortAendern → sicheres Passwort
nextcloudPasswortAendern → sicheres Passwort
adminPasswortAendern → dein Nextcloud Admin Passwort

services:
  traefik:
    image: traefik:v2.11
    container_name: traefik
    restart: always
    command:
      - "--api.insecure=false"
      - "--providers.docker=true"
      - "--providers.docker.exposedbydefault=false"
      - "--entrypoints.web.address=:80"
      - "--entrypoints.websecure.address=:443"
      - "--entrypoints.web.http.redirections.entrypoint.to=websecure"
      - "--entrypoints.web.http.redirections.entrypoint.scheme=https"
      - "--certificatesresolvers.letsencrypt.acme.httpchallenge=true"
      - "--certificatesresolvers.letsencrypt.acme.httpchallenge.entrypoint=web"
      - "--certificatesresolvers.letsencrypt.acme.email=deine@email.at"
      - "--certificatesresolvers.letsencrypt.acme.storage=/letsencrypt/acme.json"
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock:ro
      - traefik-letsencrypt:/letsencrypt
    networks:
      - proxy

  db:
    image: mariadb:10.11
    container_name: nextcloud-db
    restart: always
    command: --transaction-isolation=READ-COMMITTED --log-bin=binlog --binlog-format=ROW
    volumes:
      - /mnt/nextcloud-data/db:/var/lib/mysql
    environment:
      - MYSQL_ROOT_PASSWORD=rootPasswortAendern
      - MYSQL_DATABASE=nextcloud
      - MYSQL_USER=nextcloud
      - MYSQL_PASSWORD=nextcloudPasswortAendern
    networks:
      - internal

  redis:
    image: redis:alpine
    container_name: nextcloud-redis
    restart: always
    networks:
      - internal

  app:
    image: nextcloud:latest
    container_name: nextcloud-app
    restart: always
    volumes:
      - /mnt/nextcloud-data/data:/var/www/html
    environment:
      - MYSQL_HOST=db
      - MYSQL_DATABASE=nextcloud
      - MYSQL_USER=nextcloud
      - MYSQL_PASSWORD=nextcloudPasswortAendern
      - REDIS_HOST=redis
      - NEXTCLOUD_TRUSTED_DOMAINS=cloud.techdoc.at
      - NEXTCLOUD_ADMIN_USER=admin
      - NEXTCLOUD_ADMIN_PASSWORD=adminPasswortAendern
      - OVERWRITEPROTOCOL=https
      - OVERWRITECLIURL=https://cloud.techdoc.at
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.nextcloud.rule=Host(`cloud.techdoc.at`)"
      - "traefik.http.routers.nextcloud.entrypoints=websecure"
      - "traefik.http.routers.nextcloud.tls.certresolver=letsencrypt"
      - "traefik.http.services.nextcloud.loadbalancer.server.port=80"
      - "traefik.http.routers.nextcloud.middlewares=nextcloud-headers"
      - "traefik.http.middlewares.nextcloud-headers.headers.stsSeconds=31536000"
      - "traefik.http.middlewares.nextcloud-headers.headers.stsIncludeSubdomains=true"
    depends_on:
      - db
      - redis
      - traefik
    networks:
      - proxy
      - internal

volumes:
  traefik-letsencrypt:

networks:
  proxy:
    external: false
  internal:
    external: false

Nun den Service starten

docker compose up -d

Die Logs kontrollieren

docker compose logs -f traefik

Zuerst muss am externsten Router der Port 80 und 443 auf opnSense weitergeleitet werden. Danach unter Firewall > NAT > Destination NAT folgendes einrichten.

Wichtig ist dabei, dass unten bei Firewall rule Erlauben ausgewählt wird.

Ich habe einen SSH Key auf meinem Notebook erstellt um mich ohne Passwort auf meinen Servern einzuloggen.

scp -R id_ed25519.pub mschneider@192.168.68.252:/home/mschneider/

Auf meiner PVE Maschine einloggen.

mkdir -p ~/.ssh
cat id_ed25519.pub >> .ssh/authorized_keys
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

Auf PVE VIM installieren und einige SSH Einstellungen durchführen

sudo vim /etc/ssh/sshd_config

sudo systemctl restart sshd

Updates durchführen

sudo apt update && sudo apt upgrade -y

Passwordless Login

Ich habe einen SSH Key auf meinem Notebook erstellt um mich ohne Passwort auf meinen Servern einzuloggen.

scp -R id_ed25519.pub root@192.168.68.254:/root/

Auf meiner PVE Maschine einloggen.

mkdir -p ~/.ssh
cat id_ed25519.pub >> .ssh/authorized_keys
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

Auf PVE VIM installieren und einige SSH Einstellungen durchführen

vim /etc/ssh/sshd_config

systemctl restart sshd

No subscription Meldung deaktivieren

sed -i "s/Ext.Msg.show({/void({/g" \
  /usr/share/javascript/proxmox-widget-toolkit/proxmoxlib.js

systemctl restart pveproxy

Da es nach jedem Update neu überschrieben wird. Ein kleiner Fix

cat > /etc/apt/apt.conf.d/99-pve-nag-fix << 'EOF'
DPkg::Post-Invoke {
  "sed -i 's/Ext.Msg.show({/void({/g' \
  /usr/share/javascript/proxmox-widget-toolkit/proxmoxlib.js || true";
  "systemctl restart pveproxy || true";
};
EOF

ZFS Dataset für Nextcloud einrichten

Mittels diesen Befehlen wird erstmal nur die aktuelle Speichergröße und die Gesundheit des ZFS ermittelt.

zpool list
zfs list

Nun wird der Dataset für Nextcloud erstellt.

zfs create -o quota=4T ZFS/nextcloud-data

Nun wird nochmal kontrolliert ob der Dataset erstellt wurde.

zfs list

ZFS Dataset als Storage in Proxmox registrieren

pvesm add zfspool nextcloud-storage \
  --pool ZFS \
  --content images \
  --nodes pve

Mit diesem Befehl können VMs und ihr
Status kontrolliert werden

qm list

Nun im neuen Dataset ein neues Disk Volume erstellen

pvesm alloc nextcloud-storage 101 vm-101-nextcloud 4000G

Nun wird der neue Storage der VM hinzugefügt

qm set 101 --scsi1 nextcloud-storage:vm-101-nextcloud