Proxmox VE: Ubuntu Server als Linux Container (LXC) installieren und einrichten

In den letzten Artikeln ging es um die Installation und Grundeinrichtung von Proxmox Virtual Environment und die Installation eines Ubuntu Servers als virtuelle Maschine. Neben der „normalen“ Virtualisierung mittels virtueller Maschinen unterstützt Proxmox VE darüber hinaus auch noch LXC-Container: Die Virtualisierung mittels LXC ist dabei viel ressourcenschonender als die Nutzung von virtuellen Maschinen – man kann sich eine LXC-Maschine also als „VM light“ denken. Ebenso bietet dieses Format auch weitere Vorteile, aber auch ein paar Nachteile, auf die ich näher im Artikel eingehen werde.

In diesem Beitrag soll nun die Einrichtung eines Ubuntu Servers als LXC-Containers auf Proxmox VE gezeigt werden.

LXC vs virtuelle Maschinen

Zunächst soll kurz auf die Unterschiede zwischen einem LXC-Container und einer virtuellen Maschine eingegangen werden.

Wie der Name schon sagt, handelt es sich bei LXC um eine Art der Virtualisierung, die auf Containern basiert. Bei diesem Begriff wird der eine oder andere sicherlich gleich an Docker denken, denn dadurch hat das Konzept der Container erst richtig Fahrt aufgenommen. Ziel dieser (Docker-)Container ist es meistens, eine spezielle Anwendung auf eine einfache Art und Weise deployen zu können.
Einen LXC-Container kann man sich nun in etwa wie einen Docker-Container vorstellen, nur dass LXC das Betriebssystem an sich nicht so strikt wegkapselt. Das Arbeiten per SSH auf einer LXC-Maschine ist im Gegensatz zu einem Docker-Container ganz normal und fühlt sich an wie auf einer echten Maschine – man arbeitet quasi direkt auf dem Betriebssystem des LXC-Containers. Dies grenzt diese Technologie von Docker ab.

Im Vergleich zu einer „echten“ VM ist ein LXC-Container sehr leichtgewichtig. Dies ist darin begründet, weil diese Container nativ auf dem Host-Betriebssystem laufen. D.h. vereinfacht ausgedrückt: Ein LXC-Container nutzt den Kernel des Host-Systems und bringt daher keinen eigenen Kernel mit. Für einen LXC-Container muss daher auch keine Hardware aufwändig emuliert werden (wie dies bei einer VM notwendig ist). Durch dieses Konzept entsteht kaum Overhead durch die Virtualisierung und ein LXC-Container benötigt viel weniger Ressourcen als eine schwergewichtige VM.

Warum virtualisiert man dann nicht gleich alle Maschinen über LXC?
Der VM-Host stellt für jeden LXC-Container eine Isolierte Umgebung bereit, jedoch ist der Grad der Isolation nicht so vollständig wie bei einer VM. Hier wird zunächst zwischen privilegierten und unprivilegierten LXC-Containern unterschieden. Bei unprivilegierten Containern ist die Isolationsstufe zwar höher, allerdings sind einige Features nicht verfügbar: Alle Komponenten, die bestimmte Kernel-Module benötigen sind auf einem unprivilegierten Container nicht lauffähig. Beispielsweise ist es bei hier nicht möglich, einen NFS-Server aufzusetzen, da das benötigte Paket (nfs-kernel-server) ein Kernel-Modul darstellt. Um hier z.B. trotzdem einen NFS-Server aufsetzen zu können, muss es sich um einen privilegierten LXC-Container handeln. Dies bricht allerdings die Isolation zwischen Host und LXC-Container etwas auf.

Wem also gerade die Isolierung des Systems wichtig ist, sollte eher eine virtuelle Maschine einsetzen.

Zu guter Letzt ist man bei der Nutzung von LXC-Containern – wie der Name ja bereits andeutet – auf die Linux-Welt beschränkt. Ein Windows lässt sich nicht mittels LXC virtualisieren.

Nach diesem kleinen Exkurs über die Unterschiede zwischen LXC-Container und virtuellen Maschinen soll es nun an die Praxis gehen.

Vorbereitung: Container-Template herunterladen

Für eine LXC-Maschine benötigt man zunächst ein Container-Template. Diese Templates sind nichts anderes als tar-Archive, die alles beinhalten, um einen Container in Betrieb nehmen zu können.

Dazu wählen wir in der Weboberfläche von Proxmox einfach einen Storage, der zum Speichern von Templates genutzt werden kann. Hier findet man dann den Eintrag Container-Templates.
Mehr zum Thema Storages und wie diese angelegt und genutzt werden können, wurde bereits im Artikel über die Proxmox VE Installation behandelt.

Mit einem Klick auf Templates kann man sich die verfügbaren Templates anzeigen lassen. Zur Auswahl stehen hier verschiedene Templates, die auf den unterschiedlichsten Distributionen basieren. Da wir einen Ubuntu Server (20.04 LTS) als LXC-Container betreiben wollen, wählen wir hier den Eintrag ubuntu-20.04-standard:

Der Download geht dabei recht schnell, da das Template lediglich ca. 200 MB groß ist. Das Fenster mit der Fortschrittsanzeige des Downloads kann man auch schließen, der Download läuft dann im Hintergrund weiter.
Anschließend wird dieses Template dann in der Template-Übersicht angezeigt.

Diese Container-Templates werden von Zeit zu Zeit auch aktualisiert. Um die Liste mit den Templates zu aktualisieren, ist auch dem Proxmox-Host folgender Befehl in der Kommandozeile einzugeben:

pveam update

Danke an den Leser John für diesen Hinweis!

LXC-Maschine erstellen

Da nun ein LXC-Template verfügbar ist, können wir die Maschine nun anlegen. Der Einrichtungsprozess unterscheidet sich hierbei deutlich von der Einrichtung einer virtuellen Maschine und gestaltet sich viel einfacher.

Rechts oben findet man dazu den Button Erstelle CT:

Beim Erstellen einer LXC-Maschine gibt es wieder einige Optionen zu beachten. Im Folgenden werden wieder sämtliche relevanten Funktionen erklärt und ggf. eine Empfehlung genannt.

Im ersten Schritt werden die allgemeinen Einstellungen festgelegt. Hier sollten wieder die erweiterten Optionen (unten rechts) eingeschaltet werden:

• Knoten: Gibt die Proxmox-Instanz im Rechenzentrum an, auf dem die Maschine laufen soll.
• CT ID: Die ID des LXC-Containes. Diese kann beliebig gesetzt werden, muss aber eindeutig sein.
• Hostname: Der Hostname des LXC-Systems.
• Unprivilegierter Container: Dies ist ein Sicherheits-Feature, welches dafür sorgt, dass UID des Users root (im Container) auf einen unprivilegierten Benutzer (am Host) gemappt wird. Damit wird generell verhindert, dass der LXC-Gast auf irgendeine Art auf das Host-System zugreifen kann. Diese Option sollte eigentlich immer aktiviert werden, es sei denn, ein Programm/Feature innerhalb des Containers ist in einem solchen unprivilegierten Container nicht lauffähig.
  Hinweis: Diese Option ist einer der wenigen, die nach der Einrichtung eines LXC-Containers nicht mehr geändert werden kann. Weiter unten zeige ich allerdings eine Möglichkeit, wie man einen unprivilegiertem in einen privilegierten Container umwandeln kann.
• Nesting: Erlaubt es, im Container selbst wiederum Virtualisierungs-Features zu nutzen. Dies ist in der Regel nur sinnvoll, wenn man innerhalb eines LXC-Containers z.B. Docker-Container betreiben möchte. Hier wäre dann eine VM vermutlich aber die bessere Wahl, daher kann diese Option in den meisten Fällen deaktiviert werden.
• Kennwort: Das Passwort des root-Users der LXC-Maschine.
• Öffentlicher SSH-Schlüssel: Wenn man einen SSH-Key zum verbinden auf den Container nutzen möchte, kann man diesen hier angeben.

Anschließend wird das zu verwendende Template angegeben:

Hier wählt man einfach den Storage, auf dem das gewünschte Template gespeichert ist und wählt anschließend das Template selbst aus.

Im nächsten Schritt werden die Festplatten des Systems konfiguriert:

• Storage: Gibt den Storage an, auf dem die virtuelle Festplatte gespeichert werden soll.
• Disk-Größe: Die Größe der Festplatte. Hier können sehr viel kleinere Größen als bei VMs gewählt werden, da die Grundinstallation eines LXC-Containers meist sehr klein ist.
  Hinwies: Die Disk-Größe kann auch nach der Erstellung des LXC-Containers ganz einfach angepasst werden (s.u.).
• Mount Optionen: Legt die Optionen fest, mit der die Festplatte im LXC-Container gemountet wird. Hier spielt das Speichermedium, auf dem die virtuelle Festplatte gespeichert ist, eine entscheidende Rolle. Handelt es sich dabei um einen Flash-Speicher (SSD, MVMe, etc.), dann kann man hier die Option noatime setzen. Dies reduziert in der Theorie deutlich die Schreibzugriffe auf das Medium, da die Zugriffszeiten nicht bei jedem Dateizugriff gespeichert sind. Jedoch funktionieren damit u.U. einige Programme nicht richtig. Meine Empfehlung ist hier die Option lazytime, bei der Zugriffe gespeichert werden, dies allerdings im RAM geschieht und damit den Flash-Speicher nicht belasten sollte.
  Die dritte Option nosuid sorgt dafür, dass SUID und SGID nicht berücksichtigt werden. Diese Option wird meistens nicht benötigt.
• ACLs: Wenn ACLs (Access Control Lists) im Container zum Einsatz kommen sollen, kann diese Option hier explizit aktiviert werden.

Anschließend werden die CPU-Optionen festgelegt:

Hier ist eigentlich nur die Anzahl der virtualisierten CPU-Kerne wichtig. Dies ist in den meisten Fällen von den Anforderungen der LXC-Maschine abhängig.

Es folgt die Festlegung des Speichers des LXC-Systems:

Hier wird die Größe von Speicher und Swap-File angegeben. Dies ist wiederum sehr vom Einsatzzweck des Systems abhängig. Dennoch gilt auch hier: Ein LXC-Container benötigt in der Regel sehr viel weniger Systemressourcen, daher kann der Speicher hier auch eher knapp bemessen werden. Bei Bedarf kann der zur Verfügung stehende Speicher jederzeit erhöht werden.

Nun werden die Netzwerk-Einstellungen konfiguriert:

Hier gibt es im Normalfall auch nicht viel zu beachten, es sollte lediglich eine statische IPv4-Adresse vergeben werden. Diese muss hier in der CIDR-Notation angegeben werden. Ebenfalls muss die IP des Gateways hinterlegt werden (meist die IP des Routers).
Alternativ kann man hier DHCP verwenden, was aber dafür sorgen kann, dass die IP-Adresse des Systems nach einem Neustart ändert (für Webanwendungen o.ä. eher nicht zu empfehlen).
Die Einstellungen für IPv6 können im Allgemeinen einfach leer gelassen werden, es sei denn, man braucht für den LXC-Container eine IPv6-Adresse.

Im letzten Schritt können noch DNS-Einstellungen festgelegt werden:

Hier ist die Voreinstellung verwende Werte vom Host meist schon korrekt. Man kann hier aber auch einen anderen DNS-Server eintragen, um beispielsweise einen im Netzwerk verfügbaren Pi-hole explizit nicht zu verwenden.

Ganz am Ende werden die gewählten Einstellungen des Containers noch einmal aufgelistet und man kann die Erstellung mit einem Klick auf Abschließen fertig stellen.

Nun werden die Inhalte des LXC-Templates extrahiert und nach einer kurzen Wartezeit ist der LXC-Container verfügbar.

Sämtliche Optionen können (wie auch schon bei VMs) noch nachträglich in den Optionen des LXC-Containers geändert werden.

Start des LXC-Containers und Zugriff per SSH

Nach der Einrichtung kann der LXC-Container auch gleich gestartet werden. Dies funktioniert wieder analog zu virtuellen Maschinen mit einem Klick auf Start:

Der Button Konsole öffnet nach dem Start eine Konsole in einem neuen Browser-Fenster:

Der Benutzername lautet hier übrigens immer root (diesen konnten wir ja beim Erstellen des LXC-Containers gar nicht explizit angeben).

Da man aber nicht immer über die „Browser-Konsole“ gehen, sondern die SSH-Verbindung direkt im Terminal aufbauen möchte, ist hier noch etwas Nacharbeit notwendig. Denn beim Versuch, sich direkt per SSH mit der Maschine zu verbinden, erhalten wir eine Fehlermeldung „Permission denied“.

Begründet liegt dies darin, dass der SSH-Zugriff mit dem User root standardmäßig unterbunden wird. Hier haben wir nun zwei Möglichkeiten (beides muss zunächst über die Browser-Konsole durchgeführt werden):
Empfohlen ist die Anlage eines neuen Benutzers und ggf. das Hinzufügen dieses Users in die sudo-Gruppe.

adduser jan

Nach der Festlegung des User-Passworts werden noch einige Informationen zum User abgefragt.
Anschließend kann der User dann noch in die „sudoers“ mit aufgenommen werden, damit dieser dann Befehle mit Root-Rechten ausführen kann:

usermod -aG sudo jan

Anschließend kann sich der User „jan“ auch über das Terminal mit dem LXC-Container verbinden.

Alternativ kann man den SSH-Zugriff für den User root zulassen. Dazu muss die Konfiguration des SSH-Dienstes angepasst werden:

nano /etc/ssh/sshd_config

Hier wird die Option PermitRootLogin folgendermaßen angepasst:

PermitRootLogin yes

Es fehlt noch ein Neustart des SSH-Dienstes, anschließend kann man sich auch direkt per root-User auf der Maschine anmelden:

service sshd restart

Nun kann man ganz gewohnt per SSH auf der Maschine arbeiten, ganz so, als wäre es eine echte virtuelle Maschine – eben nur mit den eingangs erwähnten Unterschieden.

Das Arbeiten mit LXC-Containern

Wir haben nun einen ersten LXC-Container erfolgreich in Betrieb genommen. Es folgen nun ein paar Punkte, die man beim Arbeiten mit LXC-Containern beachten sollte. Ebenso werden einige Tätigkeiten beschrieben, die beim Umgang mit LXC-Containern interessant sein könnten.

Update des LXC-Containers

Nach der Installation und dem Start des Containers sollte dieser erst einmal mit Updates versehen werden. Die wird genau so wie bei einer normalen Ubuntu-Installation durchgeführt:

apt update && apt upgrade -V && apt autoremove

Das erste Update dürfte dabei etwas länger dauern, da vermutlich viele Pakete ein Update bereits stellen.

Wenn ein Distributions-Update ansteht (z.B. von Ubuntu 20.04 auf 22.04), kann dieses Update auch auch die gewohnt Art und Weise durchgeführt werden:

do-release-upgrade

Da es sich „nur“ im einen LXC-Container handelt, laufen diese Updates in der Regel auch deutlich schneller als auf einer echten Maschine ab.

Festplatte eines LXC-Containers nachträglich vergrößern

Wie weiter oben bereits erwähnt, kann man die Größe der Festplatte eines LXC-Containers nachträglich noch anpassen. Daher ist es auch nicht weiter schlimm, wenn man sich bei der initialen Festplatten-Größe etwas verschätzt hat und der Container nun deutlich mehr Platz brauchen sollte.
Das Ganze funktioniert übrigens im laufenden Betrieb, d.h. die LXC-Maschine muss dazu nicht einmal herunter gefahren werden.

Dazu geht man einfach in die Ressourcen-Übersicht eines LXC-Containers:

Hier wählt man nun die zu ändernde Festplatte aus und Klick anschließend auf Resize Disk. Im daraufhin erscheinenden Dialog kann man nun die Größe wählen, um die die Festplatte geändert werden soll:

Mit der Bestätigung der Größen-Änderung ist der Prozess auch schon abgeschlossen und die Maschine verfügt sofort über mehr Platz auf der Festplatte.

Einen unprivilegierten LXC-Container in einen privilegierten Container umwandeln

Wie gesagt sollte man einen LXC-Container eigentlich immer als unprivilegierten Container laufen lassen. Nun kann es aber vorkommen, dass man nachträglich nun doch z.B. einen NFS-Server auf den Container betreiben möchte. Hier braucht man normalerweise nur das Paket nfs-sever installieren:

apt install nfs-server

Wenn man dies jedoch in einem unprivilegiertem Container versucht, bekommt man die recht seltsame Fehlermeldung „Dependency failed for RPC security service for NFS client and server“ (oben sieht man noch den Inhalt des Syslogs):

Dies liegt nun einfach daran, dass der NFS-Server über ein Kernel-Modul bereit gestellt wird. Und dies ist bei einem unprivilegiertem Container nun mal nicht möglich.

Als müsste man auf diesem Container nun einen privilegierten Container machen. Das Flag unprivilegiert/privilegiert kann allerdings nicht einfach in den Optionen eines LXC-Container umgestellt werden.
Es gibt allerdings doch eine Möglichkeit, diese Umwandlung vorzunehmen. Diese ist jedoch nicht gerade einleuchtend, daher möchte ich euch die Schritte zeigen, die dazu notwendig sind.

Dazu muss zunächst ein Backup des umzuwandelnden Containers erstellt werden. Der Storage, auf dem dieses Backup angefertigt wird, ist dabei egal.
Nun kann bei der Wiederherstellung des Backups die Privilegienstufe ausgewählt werden:

Auf diese Weise kann man einen unprivilegierten Container schnell und einfach einen privilegierten Container umwandeln.

Hat man nun einen privilegierten Container, kann man hier nun einfach in den Optionen unter Features die Option NFS setzen und schon kann auch auf einem LXC-Container ein NFS-Server installiert werden (s.o. – hier wird nun aber keine Fehlermeldung mehr erscheinen).

Eigene LXC-Templates erstellen

Wenn man nun häufiger LXC-Container mit einem bestimmten Feature-Umfang benötigt, besteht die Möglichkeit, eigene LXC-Templates zu erstellen. Als Beispiel nehme ich hier den oben genutzten Container mit Ubuntu 20.04 als Basis. Auf diesen wurde nun ein LEMP-Stack (Linux, nginx, MariaDB, PHP) installiert, damit verschiedene Webanwendungen schnell deployt und getestet werden können.
Nun gibt es zwei Möglichkeiten, aus diesem Container ein Template zu erzeugen, welches als Basis von weiteren Containern dienen kann.

Variante 1: Der bestehende Container kann über einen Rechtsklick einfach in ein Template umgewandelt werden.

Das so erzeugte Template bleibt im Rechenzentrum bestehen und sieht hier erst einmal aus wie ein normaler LXC-Container. Jedoch kann man das Template nicht mehr starten, da es nun ja kein Container mehr ist.
Um aus diesem Template nun einen neuen Container zu erstellen, kann man dieses Template klonen (wieder mit einem Rechtsklick auf das Template).

Hier wird dann hauptsächlich eine neue ID und ein Hostname für den zu erstellenden LXC-Container vergeben. Unter Modus kann man wählen, ob es sich um einen komplett unabhängigen Klon handelt (Option vollständiger Klon), oder um einen verknüpften Klon. Ein verknüpfter Klon ist in der Regel schneller erstellt, denn es müssen nicht sämtliche Daten kopiert werden. Wenn man den neuen Container allerdings auf einem anderen Storage speichern möchte, sollte man die Option vollständiger Klon wählen.

Variante 2: Das gezeigte Vorgehen unterscheidet sich nun ein wenig von der Erstellung eines LXC-Containers auf einem „offiziellen Template“. Jedoch kann man auch ein eigenständiges Template erstellen, was sich dann wie ein normales Template verhält.

Dazu muss von einem bestehenden LXC-Container zunächst ein Backup erstellt werden. Dazu wählt man mit aktiviertem LXC-Container die Option Backup. Wichtig ist hier unter Kompression die Option GZIP zu wählen. Da man das Backup anschließend herunter laden muss, habe ich hier der Einfachheit halber das Backup auf einem Samba-Share erstellt, welches zuvor in Proxmox als Storage eingebunden wurde. Hier ist es aber auch möglich, das Backup aus Proxmox selbst herunter zu laden. Dies kann man z.B. mit SFTP bewerkstelligen (der konkrete Speicherort des Backups wird während der Erstellung des Backups angezeigt).

Da ich das Backup hier auf einem NAS erstellt habe, kann ich dieses nun einfach von hier herunter laden.
Nun wählt man in Proxmox einen Storage, auf dem Templates gespeichert werden können. Hier gibt es nun einfach Hochladen und gibt das heruntergeladene Backup an. An dieser Stelle kann man gleich noch einen individuellen Dateinamen vergeben.

Nun befindet sich das Template in der Liste der bekannten Templates und kann einfach beim Erstellen eines LXC-Containers gewählt werden:

Mit beiden gezeigten Varianten kann man nun schnell und einfach neue LXC-Container aus eigenen Templates erstellen. Die zweite Variante ist zwar etwas aufwändiger, fügt sich aber nahtlos in den Prozess der Erstellung von LXC-Containern ein.

Fazit

Oftmals benötigt man für kleinere Aufgaben/Programme keine eigenständige virtuelle Maschine, sondern kann dazu einen leichtgewichtigen LXC-Container in Proxmox VE aufsetzen. Durch den äußerst geringen Ressourcenverbrauch einer LXC-Maschine können auch auf einem kleineren Host-System eine große Anzahl LXC-Container gleichzeitig betrieben werden.

Der Artikel hat nun am Beispiel eines Ubuntu Servers gezeigt, wie man einen solchen LXC-Container schnell aufsetzen und konfigurieren kann. Ebenfalls wurden ein paar Tipps und Tricks beim Umgang mit LXC-Containern gezeigt.

Was sind eure Erfahrungen zu LXC-Containern auf einem Proxmox VE? Habt ihr vielleicht noch entscheidende Hinweise, die euch in diesem Artikel noch fehlen? Hinterlasst mir dazu doch einfach einen Kommentar.

Weiterführende Artikel

• Proxmox VE: Installation und Grundkonfiguration
• Proxmox VE: Ubuntu Server als virtuelle Maschine installieren und einrichten
• Proxmox VE: Windows 11 als virtuelle Maschine installieren und einrichten

Links

• Proxmox (offizielle Homepage)
• Proxmox VE (Wikipedia)
• Virtualisierung (Informatik) (Wikipedia)
• LXC (Wikipedia)
• Linux Container (Proxmox Wiki)
• Access Control List (Wikipedia)
• Setuid (Wikipedia)
• Setgid (Wikipedia)
• Classless Inter-Domain Routing (Wikipedia)
• Dynamic Host Configuration Protocol (Wikipedia)

Ähnliche Artikel:

Proxmox VE: Installation und Grundkonfiguration Proxmox VE: Ubuntu Server als virtuelle Maschine installieren und einrichten Ubuntu Server als Hyper-V Gastsystem installieren und optimal einrichten Metasuchmaschine SearXNG mit docker-compose und nginx