invis_server_wiki:subinstallation:basesetup-10

Eine Schritt für Schritt Anleitung zur Installation eines openSUSE Leap sollte wohl nicht erforderlich sein. Daher hier nur ein paar Anmerkungen zum Festplatten-Management, der Software-Paket-Auswahl sowie der anschließenden Netzwerkkonfiguration.

Zur Installation eines invis-Filial-Servers ab Version 1.0 wird ein openSUSE Leap 15.x vorausgesetzt.

Für die Installation eines invis-Filial-Servers müssen Sie über die Auswahl des Installationsmusters (Systemrolle) „Server“ keine zusätzliche Software installieren, das erledigt unser Setup-Tool von selbst.

Das Setup mit YaST bietet die Möglichkeit, vor der eigentlichen Installation zur Verfügung stehende Online-Repositories einzubinden. Machen Sie davon Gebrauch, da in diesem Fall nach der Installation bereits alle anstehenden Updates eingespielt wurden. Klicken Sie zur Konfiguration der Online-Repositories einfach auf die entsprechende Schaltfläche. Die Voreingestellt Auswahl der einzubindenden Repositories muss nicht erweitert oder geändert werden.

Starten Sie die Installation des Servers von der Netz-Installations-CD und folgen Sie den Anweisungen bis zu dem Punkt, an dem Sie sich für eine Systemrolle entscheiden sollen. Wählen Sie wie in der Abbildung gezeigt „Server“ aus. Ein grafisches Desktop-System wird für den Betrieb eines invis-Servers nicht benötigt, ist aber möglich.

Hier empfehlen wir die gleiche Vorgehensweise, wie auch beim regulären invis-Server. Mit einem kombinierten Setup aus Linux-Software-RAID und Logical-Volume-Management fahren Sie sicher gut. Als Dateisystem für das Root-Volume kann gerne BtrFS zum Einsatz kommen. Für alle anderen Volumes nutzen wir weiterhin ext4 anstelle von XFS. Begründet liegt dies in einer Inkompatibilität zwischen XFS und der LVM-Snapshot-Funktionen. Mag sein, dass es diese Inkompatibilität inzwischen gar nicht mehr gibt, aber gebranntes Kind scheut das Feuer.

Weiterhin schalten wir „SecureBoot“ im EFI des Systems grundsätzlich ab, auch wenn Linux damit prinzipiell keine Probleme hat.

Bisher benötigt der invis-Filial-Server lediglich eines unserer Haupt-Repositories „stable“ oder „unstable“. Dabei sind die Software-Pakete in „stable“ für den Produktiveinsatz gedacht und „unstable“ enthält in Entwicklung befindliche Software-Pakete zum Testen.

Aktuell enthält lediglich das unstable-Repository ein installierbares „invis-sub-server“ Paket. Das wird sich mit der ersten produktiv nutzbaren Release natürlich ändern.

Fügen Sie das Repository manuell hinzu:

isub:~ # zypper ar https://download.opensuse.org/repositories/spins:/invis:/15:/unstable/openSUSE_Leap_15.2/spins:invis:15:unstable.repo

Beim anschließenden Einlesen des Repository-Inhalts müssen Sie den Repository-Key akzeptieren:

localhost:~ # zypper ref
...
Metadaten von Repository 'Unstable and experimental Packages for  leap 15 based invis-servers (openSUSE_Leap_15.2)' abrufen ---------------------------------------------[\]

Neuen Signierungsschlüssel für Repository oder Paket erhalten:

  Repository:               Unstable and experimental Packages for  leap 15 based invis-servers (openSUSE_Leap_15.2)
  Name des Schlüssels:      spins:invis OBS Project <spins:invis@build.opensuse.org>
  Schlüssel-Fingerabdruck:  ECF63C0E 757CE169 D7C2EF99 9CAF52CD 33D658AD
  Schlüssel erstellt:       Di 11 Feb 2020 19:57:54 CET
  Ablauf des Schlüssels:    Do 21 Apr 2022 20:57:54 CEST
  RPM-Name:                 gpg-pubkey-33d658ad-5e42f932


Wollen Sie den Schlüssel abweisen, ihm temporär oder immer vertrauen? [a/t/i/?] (a): i
Metadaten von Repository 'Unstable and experimental Packages for  leap 15 based invis-servers (openSUSE_Leap_15.2)' abrufen ........................................[fertig]
Cache für Repository 'Unstable and experimental Packages for  leap 15 based invis-servers (openSUSE_Leap_15.2)' erzeugen ...........................................[fertig]
Alle Repositorys wurden aktualisiert.

Im Anschluss daran kann das Setup-Paket installiert werden:

isub:~ # zypper in invis-sub-server-1

Jetzt muss die Netzwerkkonfiguration des Servers durchgeführt werden. Genau wie beim invis-Server wird dies mit dem Script netsetup vorbereitet:

isub:~ # netsetup
Es wurden Regeln zur Benennung der vorhandenen Netzwerkkarten erzeugt.

Bitte starten Sie den Server jetzt neu und konfigurieren
Sie Ihre Netzwerkkarten anschließend mit YaST.

Nach dem erforderlichen Neustart des Systems müssen Server-Name und Netzwerkkarte via YaST eingestellt werden:

isub:~ # yast lan

Hinweise

  • Der Hostname des Servers sollte ein vollständiger FQDN nach dem Schema host.domain.tld sein.
  • Domain und Top-Level-Domain müssen denen des Hauptservers entsprechen.
  • Da der invis-Sub-Server genau wie der Hauptserver vermutlich direkt hinter einem Router betrieben wird kann die IP-Adresse der externen Schnittstelle per DHCP vom Router bezogen werden. Sie sollten, so Ihr Router das erlaubt, die vergebene Adresse fixieren. Vernünftige Router (AVM, Lancom usw. können dies, Billiggeräte der gängigen Provider oft nicht.)
  • Die interne Schnittstelle sollte eine Adresse einer der privaten Adressklassen erhalten. Dabei zu beachten, dass sie nicht dem gleichen Netzwerk angehört wie die die der externen Schnittstelle. Idealerweise sollten Sie keines der von gängigen Router-Modellen verwendeten Netzwerke nutzen. (Klassische Netzwerkadressen die zu vermeiden sind: 192.168.0.0/24, 192.168.1.0/24, 192.168.2.0/24, 192.168.50.0/24, 192.168.100.0/24, 192.168.178.0/24 und 192.168.188.0/24.)

Abschließend ist noch die P12-Datei des VPN-Zugangs auf dem Server zu platzieren. Wo Sie die Datei ablegen spielt keine Rolle, das Setup-Script des Filialservers fragt den Pfad ab.

Damit ist das Basis-Setup abgeschlossen.

  • invis_server_wiki/subinstallation/basesetup-10.txt
  • Zuletzt geändert: 2020/10/16 10:50
  • von flacco