Technik


Proxmox Virtualisierungsumgebung 4.x auf PCEngines APU2C2 / APU2C4

Bei diesem Beitrag handelt es sich um eine Aktualisierung des Artikels „Proxmox Virtualisierungsumgebung auf PCEngines APU“ aus dem Jahr 2014. Der Aufbau entspricht dabei dem bisherigen Artikel. Wo notwendig wurden Anpassungen an der eingesetzten Software vorgenommen sowie alle notwendigen Repositorys angepasst.

Was ist Proxmox?

Am besten lässt sich dies gleich mit einem Auszug von der Proxmox Webseite erklären:

Was ist Proxmox

Normalerweise wird Proxmox direkt ab der bereitgestellten ISO-Datei installiert. Da diese jedoch eine grafische Oberfläche benötigt, welche auf der APU2 nicht zur Verfügung steht muss für die Installation der Umweg über eine klassiches Debian Setup mit anschliessender Installation von Proxmox aus deren Repository genommen werden.

Benötigte Software / Hardware

Debian 8 auf der APU installieren

Der original Debian-Installer lässt leider keine Installation via Serieller Konsole zu. Daher habe ich auf Basis der Scripts von Stanislav Sinyagin ein für die Bedürfnisse von Proxmox angepasstes Installations-ISO erstellt (siehe Spezielles Debian Installations-Image). Dieses kann mit dem SUSE ImageWriter auf einen beliebigen USB Stick mit mindestens 4 GB Kapazität geladen werden. Die angepassten Profil-Dateien für alle die selbst ein entsprechendes Image nach der Anleitung von Stanlislav Sinyagin machen möchten können hier heruntergeladen werden.

USB Stick für die Installation vorbereiten

Zuerst ImageUSB und das angepasste Installations-Image herunterladen. Danach einen leeren USB Stick mit entsprechender Kapazität am System anschliessen und ImageUSB starten. In Step 1 den gewünschtne USB Stick wählen (lieber doppelt kontrollieren…), in Step 2 „Write image to USB Drive“ wählen, in Step 3 das zuvor heruntergeladene ISO auswählen und mit Klick auf Write auf den USB Stick übertragen.ImageUSB ImageUSB ImageUSBDie beiden Warnungen am Anfang können jeweils mit YES bestätigt werden. Nach Abschluss des Vorgangs sollte eine „Imaging Completed!“ Meldung erscheinen. Diese ebenfalls mit OK besättigne und ImageUSB mit einem Klick auf Exit beenden.

Installation auf der APU2 starten

Die Boot-Reihenfolge der APU sollte so eingestellt sein, dass zuerst ab mSATA SSD und als zweite Option ab USB Stick gestartet wird.Den USB Stick an die APU anschliessen, APU starten und im Boot-Prompt mittels F12 USB als Startoption auswählen. Die Installation erfolgt vollautomatisch. Die Fehlermeldung betreffend dem „Invalid Videomode“ kann ignoriert werden, die Installation startet automatisch nach wenigen Sekunden.Die Installation erfordert eine Internetverbindung weshalb ein Netzwerkkabel an der ersten Buchse (neben dem seriellen Anschluss) angeschlossen sein muss. Im Normalfall dauert die Installation ca. 10 Minuten in Abhängigkeit von der zur Verfügung stehenden Internet-Geschwindigkeit.ACHTUNG: Der Installer installiert automatisch Debian 8.5 amd64 auf die interne mSATA SSD! Alle Daten auf der SSD werden dabei automatisch gelöscht.

Wenn die Installation abgeschlossen ist wird die APU automatisch heruntergefahren.

Installation abgeschlossen

Dies erkennt man am „reboot: System halted“ welches sich in der untersten Zeile versteckt… Der USB Stick kann nun entfernt und die APU wieder gestartet werden. Dazu am besten das Stromkabel entfernen und nach ein paar Sekunden wieder anschliessen. Im Anschluss startet das frisch installierte Debian ab SSD.

Debian auf der APU

Bei der Installation handelt es sich um eine Standard Debian 8.5 amd64 Minimal-Installation mit wenigen Anpassungen / Optimierungen für den Betrieb einer SSD. Bei der Installation wird automatisch der Midnight Commander sowie SSH und htop eingerichtet. Dies sind aus meiner Sicht unverzichtbare Helfer im Alltag :)Folgende Konfiguration ist nach der Installation eingerichtet:Root-Kennwort: pcengines
IP-Adresse: Automatisch per DHCP
Hostname: apuAnpassen der SSHD Konfiguration

In Debian 8 (Jessie) ist aus Sicherheitsgründen kein SSH Login mit dem Benutzer root mehr möglich. Dies kann jedoch mit einer kleinen Anpassung der Datei /etc/ssh/sshd_config geändert werden. Die Datei mit einem Editor der freien Wahl (ich nutze dabei meist nano oder den im Midnight Commander integrierten Editor) öffnen und folgende Anpassung vornehmen:

VON:
PermitRootLogin without-password

AUF:
PermitRootLogin yes

Danach den SSH Dienst mit dem Kommando service sshd restart neu starten. Ab diesem Zeitpunkt ist es wieder möglich, sich mittels root Benutzer auf die APU zu verbinden.

Letzte Arbeiten vor der Proxmox Installation

Damit die Installation von Proxmox richtig durchläuft müssen nun noch einige Anpassungen an der frisch installierten APU vorgenommen werden:

  • Feste IP Adresse für eth0 vergeben (siehe hier)
  • Anpassen des Hostnamens (siehe hier)
  • Sicherstellen, dass der Hostname richtig aufgelöst wird (siehe hier unter „Add an /etc/hosts entry for your IP address“)
  • Kennwort des root Benutzers anpassen (mittels passwd root)

Danach die APU mittels dem Befehl reboot neu zu starten.

WICHTIG: Wenn diese Anpassungen nicht sauber erledigt werden, kann die Installation von Proxmox nicht erfolgreich abgeschlossen werden. Sollte bei der Installation von Proxmox ein Fehler auftreten dann zuerst noch einmal die zuvor genannten Schritte überprüfen. Dann die APU neu starten und mittels dem Befehl apt-get upgrade die Installation nochmals anstossen.

Installation von Proxmox

Die Installation von Proxmox entspricht grundsätzlich der offiziellen Anleitung für die Installation von Proxmox auf einem bestehenden Debian System -> http://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Jessie

Vorbereiten von APT:

Die folgenden Befehle fügen das notwendige Repository zur hinzu, holen den notwendigen Repository-Schlüssel und aktualisieren im Anschluss die zur Verfügung stehenden Pakete.

Während dem dist-upgrade werden möglicherweise ein oder mehrere Dialoge mit Fragen zu bestehenden Konfigurationsdateien auftauchen. Dort jeweils „keep“ auswählen und mit OK bestätigen.

Proxmox installieren

Danach kann Proxmox mit folgendem Kommando installiert werden:

Während der Installation erscheint ein Auswahl Dialog für die Postfix Konfiguration. Dabei entweder Internet Site (Mail wird direkt versendet) oder Local only (kein Mail wird versendet) auswählen und mit OK bestätigen.

Die Installation dauert je nach zur Verfügung stehender Internet Geschwindigkeit ca. 10-20 Minuten. Wenn die Installation ohne Fehler durchgelaufen ist die APU erneut mittels dem Befehl reboot neu starten.

Enterprise Repository deaktivieren

Nach der Installation der Proxmox VE Packages empfiehlt es sich in der Datei  /etc/apt/sources.list.d/pve-enterprise.list das neue Repository für die Enterprise Updates zu deaktivieren:

Bleibt das repository aktiv kann es bei einem Update-Versuch zu Fehler kommen da keine gültige Enterprise-Subscription verfügbar ist.

Bei Bedarf: pvetest Repository aktivieren

Um an die jeweils neusten Versionen von Proxmox zu gelangen kann das pvetest Repository aktiviert werden. Dazu einmalig folgenden Befehl ausführen:

ACHTUNG: Das pvetest Repository ist lediglich für Testzwecke und nicht für die produktive Umgebung vorgesehen. Ohne Proxmox-Subscription ist es jedoch die einzige Variante um schnell an Updates zu gelangen. Für die produktive Umgebung empfiehlt es sich unbedingt, zumindest die COMMUNITY Subscription zu kaufen. Da die APU2 nur ein CPU hat, bewegen sich die Kosten dabei im akzeptablen Bereich.

Proxmox auf der PC Engines APU2

Wenn alles reibungslos klappt steht in weniger als 30 Minuten eine voll funktionsfähige Virtualisierungslösung auf Basis des neusten Proxmox-Releases – und erst noch bestehend aus freier Software – bereit für den Einsatz.

Proxmox LoginProxmox Summary

Viel Spass!

Die unproblematische Installation von Proxmox machen die APU2 zu einer optimalen Virtualisierungslösung für kleine Projekte. Natürlich ist die APU2 kein starker Leistungsbolide – je nach Einsatzzweck aber genau das richtige – und das erst noch auf Basis von freier Software.

Rückmeldungen, konstruktive Kritik oder auch Anregungen gehören wie immer in die Kommentare. Nun wünsche ich viel Spass mit der Proxmox-APU. :)


VMware ESXi 6.x auf PCEngines APU2

Nachdem der letzte Proof-of-Concept „VMWare ESXi auf Alix Nachfolger APU1c und APU1c4 installieren“ auf reges Interesse gestossen ist möchte ich es nicht unterlassen, dasselbe Konzept mit der neuen APU2 Version nochmals aufzugreifen.

Die neue APU2 setzt auf einen AMD Embedded G series GX-412TC CPU und verfügt wieder über 2GB respektive 4GB RAM. Als Netzwerkkarte kommt in der neuen Version entweder eine Intel i211AT oder eine i210AT zum Einsatz. Dies hat den Vorteil, dass die Netzwerkkarte direkt von ESXi unterstützt wird (dank des igb Treibers). Es ist also kein mühsames Nachinstallieren des NIC-Treibers notwendig.

Teile dieses Tutorials basieren auf dem ursprünglichen Artikel und sind mit neuen Inputs (z.B. dem Embedded Host Client) ergänzt.

Benötigte Software / Hardware

ESXi Installation auf USB Stick mit VMWare Workstation

Für die Erstellung des ESXi USB Sticks verwende ich in diesem Tutorial VMWare Workstation. Unter Umständen kann die Installation auch mit dem kostenlosen VMWare Player vorgenommen werden. Dazu ist jedoch ein VM Template notwendig. Die Erstellung des notwendigen Templates kann auch online erfolgen. Google ist hierbei die beste Unterstützung.

VMWare ESXi installieren

Die virtuelle Maschine benötigt keine Festplatte, da die Installation auf einen USB Stick erfolgt. Beim Starten der virtuellen Maschine muss nun noch der USB Stick verbunden werden:

ESXi Setup  USB Stick

Wichtig ist hierbei, dass der angesteckte USB Stick an die virtuelle Maschine durchgereicht wird.

ESXi Setup ESXi Setup

ESXi Setup ESXi Setup

Ist der USB Stick korrekt angeschlossen steht dieser entsprechend zur Auswahl.

ESXi Setup

Im Anschluss das gewünschte Tastaturlayout auswählen und das root-Kennwort definieren:

ESXi Setup ESXi Setup

Für die Basis-Installation sind nun alle Informationen vorhanden. Die Installation kann gestartet werden.

ESXi Setup ESXi Setup

ESXi Setup ESXi Setup

ESXi Setup

ESXi starten

VMWare Workstation kann über die neu verfügbare EFI-Boot-Option auch ab USB Stick starten. Ich bevorzuge hierbei jedoch den Plop Boot Manager.
Dazu wird der virtuellen Maschine die CD plpbt.iso zugewiesen und anschliessend gestartet. Um den ESXi zu starten kann nun im Auswahlmenü USB ausgewählt werden.

Plop Boot Manager

Nach dem Start und der entsprechenden Konfiguration der Management IP Adresse kann direkt auf den seit ESXi 6.0 U2 integrierten „Host Embedded Client“ zugegriffen werden. Der Zugriff erfolgt dabei ohne installierten vSphere Client direkt via Webbrowser. Über die Adresse https://ip-des-esxi-servers/ui/ kann auf den neu installierten ESXi zugegriffen werden.

Host Embedded Client

ESXi Konsole auf seriellen Port umleiten

Da die PCEngines APU keine Grafikkarte besitzt muss auf dem neuen ESXi entsprechend die serielle Ausgabe auf com1 konfiguriert werden. Die serielle Ausgabe kann wie folgt aktiviert werden:

 

  • Stellen Sie eine Verbindung mit dem ESXi Server UI her (Host Embedded Client)
  • Klicken Sie links auf die Registerkarte Verwalten
  • Klicken Sie rechts auf Erweiterte Einstellungen
  • Wählen sie den Eintrag VMkernel.Boot.tty2Port aus und klicken sie auf Option bearbeiten
  • Unter Neuer Wert nun com1 eintragen und mit Speichern bestätigen

Serielle Ausgabe aktivieren  Serielle Ausgabe aktivieren

Weitere Details zu dieser Einstellung finden sie im VMWare Dokumentationscenter.

Die virtuelle Maschine kann nun heruntergefahren werden. Alle für den Betrieb auf der APU2 notwendigen Anpassungen sind gemacht.

 

PCEngines APU2 vorbereiten

Zu Beginn empfiehlt es sich, das aktuellste BIOS auf die APU aufzuspielen. Die Anleitung dazu findet sich auf der PC Engines Webseite unter TinyCore.

Wichtig ist ebenfalls, dass die Boot-Reihenfolge auf der APU richtig konfiguriert ist.
Um die Boot-Reihenfolge anzupassen kann beim Start der APU auf der Konsole mittels F10 -> 3. Payload [setup] die gewünschte Reihenfolge konfiguriert werden.

Boot-Reihenfolge

ESXi auf der APU starten

Dank der umgeleiteten Datenausgabe wird nun während dem Startvorgang der komplette Output auf die serielle Konsole umgeleitet. Der Startvorgang kann je nach verwendetem USB Stick durchaus ein paar Minuten in Anspruch nehmen.

ESXi starten ESXi starten

Design-Technisch nicht das schönste, aber normalerweise sieht man die ESXi-Konsole genau einmal – bei der initialen Konfiguration des Management Netzwerks.

ESXi Konsole ESXi Konsole

Alles weitere erfolgt mittels vSphere Client oder neuerdings Host Embedded Client

Host Embedded Client

Wie ESXi konfiguriert und der vSphere Client / Host Embedded Client bedient wird, ist nicht teil dieses Beitrages. Alles notwendige wird jedoch ausführlich im Dokumentationscenter von VMWare beschreiben.

Viel Spass!

Die problemlose Installation von ESXi 6 dank der nun unterstützten Intel-NICs und der stärkeren CPU machen die APU zu einem optimalen Virtualisierungsserver für kleine Serveraufgaben. Natürlich ist die APU nicht ein Leistungsbolide – je nach Einsatzzweck aber genau das richtige :)


Windows Updates integrieren mit DISM

Für die Installation unserer Clients setzen wir auf Baramundi. Die Windows Installationsdateien liegen dabei auf einer Netzwerkfreigabe. Wer schon einmal ein „frisches“ Windows installiert hat versteht warum die Integration von Windows Updates direkt in die Installationsdateien Sinn ergibt. Man spart sich somit einen grossen Teil der lange dauernden Windows-Updates direkt nach der Installation.

Dabei lassen sich Windows Updates (jedenfalls ein grosser Teil davon) mit geringem Aufwand direkt in die Installationsdateien (install.wim) integrieren.

Vorbereitung

Zuerst benötigt man die passenden Update-Dateien (msu Dateien) der einzelnen Windows Updates. An diese gelangt man entweder via WSUS Offline Update oder man besorgt sich die aktuellste Vollversion des entsprechenden WinFuture Update-Packs. In diesem How-To werden die Update-Dateien aus dem WinFuture Update-Pack verwendet.

Zudem wird eine Windows Installations-DVD (in diesem Beispiel Windows 8.1) benötigt.

Nach dem herunterladen des Update-Packs muss dieses zuerst entpackt werden. Am einfachsten klappt das mittels 7-Zip oder einem anderen Packer. Die benötigten Installationsdateien liegen im Ordner „data“ bereit.

Ordnerstruktur

Es empfiehlt sich eine einfache Ordnerstruktur zu verweden. Dieses How-To geht von folgender Ordnerstruktur aus:

Die Windows Installationsdateien liegen unter C:\win8source
Die Updates (Inhalt des „data“ Ordners) liegen unter C:\win8updates
Unter C:\ existiert ein leerer Ordner win8mount (C:\win8mount)

Den Inhalt der Windows Installations-DVD wird nun nach C:\win8source sowie alle Updates aus dem „data“ Ordner werden nach C:\win8updates kopiert.

Updates integrieren

Mit dem nachfolgenden Befehl kann nun überprüft werden, welche Windows-Editionen die kopierten Installationsdateien unterstützen:

Sind verschiedene Versionen in der install.wim vorhanden, werden diese nun ausgegeben:

Nun gilt es das richtige Windows-Image einzubinden. In diesem Fall binden wir das Windows 8.1 Pro Image ein in dem wir den entsprechenden Index (hier 1) angeben:

Nach dem einbinden der WIM-Datei kann nun die eigentliche Integration der Updates beginnen:

Wenn der Integrationsprozess abgeschlossen ist müssen die gemachten Änderungen wieder in die install.wim geschrieben werden. Dies geschieht mit folgendem Befehl:

WICHTIG: Sollen die Updates in alle vorhandenen Windows-Versionen integriert werden (hier im Beispiel „Windows 8.1“ sowie „Windows 8.1 Pro“), so muss der Vorgang für jede Version einzeln ausgeführt werden. Das korrekte Image lässt sich durch den /index: Parameter des /mount-wim Befehls auswählen.

Installation starten

Die Installation des Betriebssystems kann nun unter Verwendung des aktualisierten install.wim Images gestartet werden. Das entsprechend installierte System verfügt somit direkt über die aktuellsten Updates. Trotzdem empfiehlt es sich natürlich, nach der Installation des Geräts nochmals ein Windows Update Durchgang zu starten. Die dafür notwendige Zeit verkürzt sich aber enorm da nicht mehr über 100 Updates eingespielt werden müssen sondern lediglich die in der Zwischenzeit neu erschienenen Updates.


Proxmox Virtualisierungsumgebung auf PCEngines APU

Vor kurzem habe ich einen Artikel veröffentlicht, wie man eine ESXi Virtualisierungsumgebung auf der PCEngines APU zum laufen bekommt.

Eine alternative Virtualisierungsumgebung, welche im Gegensatz zu VMWare ESXi komplett auf Open-Source basiert und keine Zusatzkosten verursacht (ausser man möchte gerne eine Subscription lösen) nennt sich Proxmox.

2014-06-15 16_08_38

Proxmox Virtual Einvironment

Proxmox ist eine auf Debian basierte Virtualisierungsumgebung welche sowohl mit Windows- wie auch mit Linux-Gastsystemen klar kommt und mit einigen Nettigkeiten im Bereich der Verwaltung aufwartet.

Benötigte Software / Hardware

Debian installieren

Der original Debian-Installer lässt leider keine Installation via Serieller Konsole zu. Daher habe ich auf Basis der Scripts von Stanislav Sinyagin ein für die Bedürfnisse von Proxmox angepasstes Installations-ISO erstellt (siehe Spezielles Debian Installations-Image). Dieses kann mit dem SUSE ImageWriter auf einen beliebigen USB Stick mit mindestens 1 GB Kapazität geladen werden. Die angepassten Profil-Dateien für alle die selbst ein entsprechendes Image nach der Anleitung von Stanlislav Sinyagin machen möchten können hier heruntergeladen werden.

USB Stick für die Installation erstellen

Dazu das ISO herunterladen und die Endung von .iso auf .raw umbenennen. Anschliessend den ImageWriter starten, gewünschtes Image sowie Ziel wählen und das Image auf den USB Stick übertragen.

SUSE Image Writer

ACHTUNG: Der USB Stick wird dabei komplett überschrieben. Es sollten sich also keine benötigten Daten auf dem USB Stick befinden.

Installation starten

Die Boot-Reihenfolge der APU sollte so eingestellt sein, dass zuerst ab mSATA SSD und als zweite Option ab USB Stick gestartet wird.

Den USB Stick an die APU anschliessen, APU starten und im Boot-Prompt mittels F12 USB als Startoption auswählen. Die Installation erfolgt vollautomatisch. Die Fehlermeldung betreffend dem „Invalid Videomode“ kann ignoriert werden, die Installation startet automatisch nach den erwähnten 30 Sekunden.  Die Installation erfordert eine Internetverbindung weshalb ein Netzwerkkabel an der ersten Buchse (neben dem seriellen Anschluss) angeschlossen sein muss. Die Installation dauert ca. 10 Minuten in Abhängigkeit von der Internet-Geschwindigkeit.

ACHTUNG: Der Installer installiert automatisch Debian 7.5 amd64 auf die interne mSATA SSD! Alle Daten auf der SSD werden zuvor gelöscht.

Nach der Installation startet die APU automatisch neu und Debian ist einsatzbereit.

Bei der Installation handelt es sich um eine Standard Debian 7.5 amd64 Minimal-Installation mit wenigen Anpassungen / Optimierungen für den Betrieb einer SSD. Bei der Installation wird automatisch der Midnight Commander sowie SSH eingerichtet.

Nach dem ersten Start

Nach dem Start kann sofort via SSH auf die neue Installation zugegriffen werden. Als erstes sollte man eine feste IP Adresse vergeben und das Kennwort (mittels Befehl passwd) ändern.

Installation von Proxmox

Die Installation von Proxmox entspricht grundsätzlich der offiziellen Anleitung zur Installation von Proxmox auf einem Debian Wheezy System -> http://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Wheezy

Einige Tipps…

Nachfolgend ein paar Abweichungen von der offiziellen Anleitung damit direkt die neuste Version installiert wird plus ein paar Stolpersteine im Umgang mit der APU umgangen werden können.

Direkt die neuste Version installieren:

Um direkt die neuste Proxmox-Version (3.2.x) zu erhalten kann anstelle des in der Anleitung erwähnten Repositorys  :

direkt das No-Subscription-Repository verwendet werden:

Durch das veränderte Repository muss der Befehl für die Installation des Proxmox VE Kernels angepasst werden.

Beim anschliessenden Neustart gemäss Anleitung ist zu beachten, dass via serieller Konsole die Pfeiltasten unter Umständne nicht wie gewünscht funktionieren. Um den richtigen Kernel auszuwählen (den neu installierten PVE Kernel) kann mit der Taste v und ^ der richtige Kernel ausgewählt werden.

Deaktivieren des Enterprise-Repositorys

Nach der Installation der Proxmox VE Packages empfiehlt es sich in der Datei  /etc/apt/sources.list.d/pve-enterprise.list das neue Repository für die Enterprise Updates zu deaktivieren:

Bleibt das repository aktiv kann es bei einem Update-Versuch zu Fehler kommen da keine gültige Enterprise-Subscription verfügbar ist.

 

Proxmox auf der PC Engines APU

Wenn alles klappt hat man in weniger als 30 Minuten eine voll funktionsfähige Virtualisierungsumgebung auf Basis von freier Software.

Im Vergleich zu ESXi sparsamer Ressourcenverbrauch Proxmox Konsole auf der APU

Voll funktionsfähige Proxmox Installation auf der APU Proxmox 3.2 auf der APU - die Paketversionen

Im Vergleich zu VMWare ESXi läuft Proxmox gefühlt schneller und ressourcensparender auf der APU. Gerade der RAM-Verbrauch hat mich äusserst positiv überrascht. Das System reagiert schnell auf Eingaben und die Performance der Gastsysteme reicht für die meisten Anwendungen einwandfrei aus.


VMWare ESXi 5.5 Image für PC Engines APU1c und APU1c4

pfSense, ipFire, Endian UTM, Sophos UTM…

Bekanntlich verfügen die Geräte der APU Reihe über keine Grafikkarte. Für einige Firewall-Lösungen wie pfSense oder ipFire ist dies kein Hindernis. Andere Lösungen wie Endian UTM oder Sophos UTM lassen sich jedoch nicht ohne weiteres über eine serielle Schnittstelle installieren / konfigurieren. Für all diejenigen habe ich ein Tutorial geschrieben, wie man eine komplette Virtualisierungsumgebung auf einer PC Engines APU installieren kann.

Anmerkung zur Sicherheit beim Betrieb einer virtualisierten Firewall-Lösung

Beim Betrieb einer Firewall-Lösung auf einer virtualisierten Umgebung ist zu beachten, dass im Gegensatz zu einer direkt installierten Lösung mehr Angriffsfläche geboten wird. Obwohl die Hersteller der Virtualisierungslösungen alles daran setzen ihre Lösungen gegen Fehler und Sicherheitslücken abzusichern, so bleibt trotzdem ein geringes Restrisiko bestehen.

Inzwischen kann jedoch davon ausgegangen werden, dass der Betrieb einer virtualisierten Firewall durchaus als „sicher“ zu betrachten ist. Vorausgesetzt, auf dem Virtualisierungshost (in diesem Fall der PC Engines APU) wird nur die Firewall betrieben. Nicht zuletzt bieten alle namhaften Anbieter von Sicherheitslösungen mittlerweile direkt virtuelle Versionen ihrer Lösungen an.

Vorbereitung

Folgende Software und Hardware wird benötigt:

Fertiges ESXi 5.5 Image für die PC Engines APU herunterladen

Wer sich den ganzen Aufwand für die Installation von VMWare ESXi auf der PC Engines APU ersparen möchte, für den habe ich das im Tutorial entstandene Image nachfolgend zum Download.

Image Konfiguration:

Benutzername:
root

Kennwort:
vmwareesxi

IP-Adresse:
Automatisch via DHCP

-> Download ESXi 5.5 Image für die PC Engines APU – 8GB Image (USB Image Tool-Edition)

Image auf den USB Stick übertragen

Mit dem „USB Image Tool“ kann das heruntergeladene und entpackte Image auf einen beliebigen USB Stick mit mindestens 8GB Kapazität übertragen werden.

Dazu öffnen im geöffneten „USB Image Tool“ den gewünschten USB Stick auswählen und anschliessend auf „Restore“ klicken. Dann das heruntergeladene und entpackte Image auswählen (PCEngines_APU_ESXi_5-5_8GB-SDCARD-UBIT.img), den folgenden Dialog nach genauer Prüfung des Zieldatenträgers bestätigen und schon läuft der Restore.

Sollte eine Warnung betreffend zu geringem Speicherplatz erscheinen, empfiehlt es sich einen grösseren  USB Stick zu verwenden. Nicht jeder USB Stick (auch wenn 8GB Kapazität angegeben wird) hat auch wirklich die angegebene Kapazität :)

 

USB Image Tool

ACHTUNG: Wird der falsche Ziel-Datenträger angeklickt sind die auf dem Datenträger gespeicherten Daten unwiderruflich gelöscht. Daher lieber doppelt überprüfen, ob der richtige Datenträger ausgewählt ist!

Starten der ESXi Plattform auf der APU

Dazu den USB Stick an die APU anstecken, einschalten und falls notwendig die Startreihenfolge im APU-Bios konfigurieren. Damit ESXi automatisch ab USB Stick gestartet wird muss auch der USB1/USB2 als erste Startoption konfiguriert sein:

APU Bootreihenfolge

Ist die Startkonfiguration korrekt, kann ESXi gestartet werden.

Management IP anpassen

Sobald der ESXi gestartet ist, kann in der Konsole mittels F2 die Konfiguration aufgerufen werden. Es empfiehlt sich hierbei, für das Management eine fixe IP Adresse einzutragen.

Wenn die gewünschte Management-IP gesetzt ist, kann auch via vSphere Client zugegriffen werden.

ROOT Kennwort ändern

Der einfachste Weg zum ändern des Root-Kennworts ist die Konsole. Wiederum mittels F2 anmelden und den ersten Punkt „Configure Password“ auswählen. Anschliessend das aktuelle Kennwort (vmwareesxi) sowie das gewünschte neue Kennwort eingeben. Mit OK bestätigen und schon ist das gewünschte Kennwort gesetzt.

Kennwort ändern Kennwort ändern

Weiteres Vorgehen

Die nächsten Schritte sind natürlich das einrichten eines Datastores (entweder eine lokale mSATA Festplatte oder ein NFS Laufwerk), die korrekte Konfiguration des Log-Verzeichnisses sowie das definitive konfigurieren der Netzwerkkarten.

Wie diese Schritte funktionieren ist am besten der ausführlichen Dokumentation auf der VMWare Seite zu entnehmen.

Viel Spass

Die ESXi Plattform ist einsatzbereit. Auch wenn die APU sicherlich nicht mit enormer Leistung punkten kann, so eröffnet die Möglichkeit der Virtualisierung doch viele weitere Einsatzmöglichkeiten. Gerade für Firewalls oder Serveranwendungen im Home und Small-Business Bereich reicht die gebotene Leistung meist bestens aus.

Zudem , ein Virtualisierungsserver welcher gerade einmal maximal 12W Strom verbraucht, muss sich nicht verstecken und ist für den einen oder anderen Interessierten genau das richtige Gadget, um im Dauerbetrieb genutzt zu werden.

 

Betrieb des Images nur auf der APU1c4

Für den Betrieb des Images empfiehlt sich die 4GB RAM Variante der APU zu verwenden. Bei der 2GB RAM Variante startet das von mir zur Verfügung gestellte Image nicht einwandfrei.

 

**Nachtrag vom 10. Juni 2014**

Danke an Holger Bauer für die Erstellung und das zur Verfügung stellen eines neuen Images mit „USB Image Tool“. Dieses Image sollte nun sowohl auf USB Stick wie auch auf SD-Karten mit mindestens 8GB Speicherkapazität funktionieren. Das Image steht ab sofort zum Download bereit und die Anleitung wurde entsprechend überarbeitet.

Der bekannte Fehler „No Hypervisor found“ sollte somit der Vergangenheit angehören.

 

Sollte das wiederherstellen fehlschlagen empfiehlt es sich mittels Diskpart vorgängig den Zieldatenträger zu löschen.


VMWare ESXi auf Alix Nachfolger APU1c und APU1c4 installieren

Die neue Version der Alix (APU1c und APU1c4) verfügt nebst schnelleren Netzwerkanschlüssen nun auch über einen AMD G series T40E Prozessor, welcher die gängigen Virtualisierungen (beispielsweise VMWare ESXi oder Proxmox) unterstützt. Der Betrieb einer Virtualisierungslösung ermöglicht zudem die Installation beliebiger Betriebssysteme / Firewall-Lösungen und ist flexibler in der Verwaltung.

Benötigte Software / Hardware

Image mit VMWare Workstation erstellen

Für die Erstellung des ESXi Images verwende ich in diesem Tutorial VMWare Workstation. Natürlich kann auch VirtualBox verwendet werden :)

Konfiguration der virtuellen Maschine

Einstellungen der virtuellen Maschine3

VMWare ESXi installieren

Die virtuelle Maschine benötigt keine Festplatte, da die Installation auf einen USB Stick erfolgt. Beim Startne der virtuellen Maschine muss nun noch der USB Stick verbunden werden:

USB Stick verbinden

Wenn der USB Stick korrekt verbunden ist erscheint ein grüner Punkt auf dem Icon:

USB Stick ist verbunden

Anschliessend kann die ESXi Installation gestartet werden:

ESXi Installation starten ESXi Installation starten

ESXi Installation starten ESXi Installation starten

Ist der USB Stick korrekt angeschlossen steht dieser entsprechend zur Auswahl:

Disk Auswahl

Da wir eine neue Installation vornehmen wählen wir entsprechend „(X) Install“ aus:

Install auswählen

Anschliessend Tastaturlayout und Kennwort eintragen:

Gewünschtes Tastaturlayout wählen Gewünschtes Kennwort eingeben

 

Nun kann die Installation gestartet werden:

Installation starten Installation läuft

Installation abgeschlossenNeustart

ESXi starten

VMWare Workstation kann nicht direkt ab einem USB Stick starten. Um dieses Manko zu umgehen kommt der „Plop Boot Manager“ zum Einsatz. Dazu wird die virtuelle Maschine ab dem plpbt.iso gestartet. Im Auswahlmenü kann nun USB ausgewählt werden und die virtuelle Maschine startet ab dem zuvor verbundenen USB Stick.

Ab USB Stick starten

Nach dem Start und der entsprechenden Konfiguration der IP Adresse (Management Interface) kann via vSphere Client auf den ESXi zugegriffen werden.

Realtek Treiber installieren

Damit die Netzwerkkarten der PC Engines APU funktionieren müssen zuerst die entsprechenden Treiber installiert werden.

SSH und ESXi Shell aktivieren

Dazu auf der ESXi Konsole anmelden und in den Einstellungen unter „Troubleshooting Mode Options“ sowohl ESXi Shell als auch SSH aktivieren:

SSH und ESXi Shell aktivieren

Treiber Pakete auf ESXi übertragen

Mittels WinSCP lassen sich die Treiberdateien auf den ESXi übertragen:

WinSCP VIB Dateien kopieren

 

Die Treiber liegen also im Verzeichnis /vib-pakete/

Installieren der VIB Dateien

Mittels Putty eine SSH Verbindung zum ESXi aufbauen:

SSH Verbindung aufbauen ESXi Shell

Anschliessend muss der Software Acceptance Level auf CommunitySupported umgestellt werden, ansonsten können die Netzwerktreiber nicht installiert werden.

Nun können die Treiber mit folgenden Befehlen installiert werden:

Ab dem nächsten Neustart werden die in der PC Engines verbauten Netzwerkkarten zur Verfügung stehen.

ESXi Konsole auf seriellen Port umleiten

Da die PC Engines APU keine Grafikkarte besitzt muss der gesamte Konsolen-Output auf den seriellen Port umgeleitet werden.  Dazu sind folgende Schritte notwendig

  1. Stellen Sie vom vSphere-Client aus eine Verbindung mit vCenter Server her und wählen Sie den Host in der Bestandsliste aus
  2. Klicken Sie auf die Registerkarte Konfiguration
  3. Klicken Sie unter „Software“ auf Erweiterte Einstellungen
  4. Erweitern Sie im linken Bereich die VMkernel-Liste und wählen Sie Starten
  5. Stellen Sie sicher, das die Felder VMkernel.Boot.logPort und VMkernel.Boot.gdbPort nicht für die Verwendung des COM-Ports eingestellt sind, an die Sie die direkte Konsole umleiten möchten
  6. Legen Sie VMkernel.Boot.tty2Port auf den seriellen Port fest, an die Sie die direkte Konsole umleiten möchten: com1
  7. Klicken Sie auf OK

VMkernel.Boot.tty2Port

Weitere Details dazu finden sich im VMWare Dokumentationscenter.

Die virtuelle Maschine kann nun heruntergefahren werden. Alle für den Betrieb auf der PC Engines APU notwendigen Anpassungen sind gemacht.

PC Engines APU vorbereiten

Damit der ESXi auf der PC Engines APU automatisch korrekt startet muss zuerst das BIOS auf den neusten Stand gebracht werden. Die Anleitung dazu findet sich auf der PC Engines Webseite unter TinyCore.

Anschliessend muss die APU so konfiguriert werden, dass direkt ab USB Stick gestartet wird. Dazu beim Start der APU auf der Konsole mittels F12 -> 3. Payload [setup] die Startreihenfolge wie folgt anpassen:

APU Bootreihenfolge

Nun kann der ESXi Boot-Stick an die APU angeschlossen werden.

ESXi auf PC Engines APU starten

Wird die APU nun gestartet, wird der gesamte Startvorgang und anschliessend die ESXi Konsole über den seriellen Port ausgegeben.

Der Startvorgang kann durchaus ein paar Minuten in Anspruch nehmen…

ESXi Boot auf APU ESXi Boot auf APU

Design-Technisch nicht das schönste, aber normalerweise sieht man die ESXi Konsole genau einmal – bei der initialen Konfiguration des Management Netzwerks.

ESXi Konsole ESXi Konsole

Alles weitere erfolgt mittels vSphere Client:

Zugriff mit vSphere Client Zugriff mit vSphere Client

Zugriff mit vSphere Client Zugriff mit vSphere Client

 

Wie ESXi konfiguriert und der vSphere Client bedient wird, ist nicht teil dieses Beitrages. Alles notwendige wird jedoch ausführlich im Dokumentationscenter von VMWare beschreiben.

Viel Spass!

Dank dem Einsatz von Virtualisierung – erst noch kostenlos – eröffnen sich einige neu Anwendungsmöglichkeiten für die neuen PC Engines APU’s. Viel Spass beim ausprobieren, testen und einsetzen.


ALIX Nachfolger kommt bald!

Für alle technisch begeisterten welche bisher mit der ALIX Plattform eigene Router / Firewalls oder sonstige Lösungen aufgebaut haben gibt es interessante Neuigkeiten.

Ein Nachfolger mit mehr Leistung ist bereits in Planung und bald schon in der Produktion. Nachfolgend die groben Spezifikationen:

Es sieht ganz danach aus, als ob eine bereits existierende Erfolgsgeschichte um ein neues Kapitel erweitert wird. Alles weitere findet sich auf der Webseite von PCEngines unter http://www.pcengines.ch/apu.htm

apu1a1

apu1a2