Produkt-Anleitung

Vom Account bis zum produktiv eingebundenen QDevice. Plane mit etwa 10 Minuten beim ersten Cluster.

1. Account anlegen

Registriere dich mit deiner Email. Du bekommst einen Bestätigungs-Link per Mail — klicke ihn und bestätige die Adresse auf der Seite mit einem Button. Danach kannst du dich einloggen.

2. Modus wählen

Zwei Optionen — wähle einen pro Cluster:

Public-Modus — Direkter TCP-Zugriff auf das QDevice. Du hinterlegst die öffentlichen IPs deiner Proxmox-Nodes als Whitelist; nur diese IPs dürfen verbinden. Empfohlen, wenn deine Nodes statische Public-IPs haben und du keinen VPN-Tunnel zwischenschalten willst.

WireGuard-Modus — Kein öffentlich erreichbarer Listener. Du installierst auf jedem Proxmox-Node eine WireGuard-Config, baust den Tunnel auf, und der pvecm-Befehl verbindet zur internen 10.200.x.1. Empfohlen für Nodes hinter NAT oder ohne statische IPs.

3. Cluster anlegen

Im Dashboard auf „Neuer Cluster“, Modus wählen, ggf. IPs eintragen, anlegen. Der Container und das Routing werden in unter 60 Sekunden bereitgestellt. Du bekommst danach den fertigen pvecm-Setup-Befehl angezeigt.

4. WireGuard-Tunnel (nur WG-Modus)

Im Cluster-Detail unter „WireGuard“ pro Proxmox-Node einen Peer anlegen. Du kannst die .conf herunterladen und auf dem Node installieren:

$ scp qaas-peer.conf root@pve-01:/etc/wireguard/qaas.conf

$ ssh root@pve-01 'wg-quick up qaas && systemctl enable wg-quick@qaas'

5. QDevice auf Proxmox einbinden

Auf allen Cluster-Nodes als root das corosync-qdevice-Paket installieren:

$ apt install corosync-qdevice

Danach auf einem einzigen Node den QDevice registrieren — pvecm rollt die Konfiguration anschließend selbst auf die anderen Nodes aus:

$ pvecm qdevice setup <ip>

Die <ip> ist die im Dashboard angezeigte Container-IP (Public-Mode: Quorumbase-Host; WG-Mode: 10.200.x.1).

Beim Anlegen erzeugt Quorumbase ein zufälliges Root-Passwort für den QDevice-Container und zeigt es im Dashboard unter „SSH-Zugang“ an. Wenn pvecm während des Setups nach dem Passwort fragt, kopierst du es von dort. Wichtig: nur dieses Initial-Passwort wird im Dashboard angezeigt — sobald du es unter „Aktionen → SSH-Passwort zurücksetzen“ änderst, liegt das neue Passwort nur noch bei dir und wird nicht im Portal gespeichert. Nach erfolgreichem `pvecm qdevice setup` tauscht Proxmox SSH-Keys aus — das Passwort wird im Normalbetrieb nicht mehr gebraucht und SSH kann unter „Aktionen → SSH sperren“ deaktiviert werden.

6. Verifizieren

Auf jedem Node:

$ pvecm status

Der Quorum-Block sollte „Qdevice“ mit 1 Stimme zeigen. Im Dashboard siehst du parallel Live-Logs und Stats des QDevice-Containers.

Weitere Aktionen

Im Cluster-Detail unter „Aktionen“ stehen vier Operationen zur Verfügung. Was sie machen und wann du sie brauchst:

Container stoppen / starten

Schaltet den QDevice-Container aus oder an, ohne die Konfiguration anzufassen. Im Regelbetrieb sollte der Container 24/7 laufen — der QDevice muss erreichbar sein, damit das Cluster im Fehlerfall sofort die Tiebreaker-Stimme bekommt. Solange der Container gestoppt ist, verliert das Cluster eine Stimme; bei zeitgleichem Node-Ausfall droht Quorum-Verlust. Wichtig zu wissen: der QaaS-Host fährt im Hintergrund eine Auto-Recovery (Check alle 60s) — ein abgestürzter Container wird automatisch wieder gestartet, ein manuell gestoppter genauso. Wer den Container dauerhaft loswerden will, nutzt „Cluster löschen“. Stoppen ist primär gedacht für „kurz neu hochfahren“: Klick auf Stop, kurz warten, Klick auf Start (oder warten, bis die Auto-Recovery das selbst macht).

SSH sperren / entsperren (Sicherheits-Feature)

Schaltet sshd im Container ein oder aus und ist gedacht als Härtungsmaßnahme nach dem Erst-Setup: sobald `pvecm qdevice setup` durchgelaufen ist, läuft das Quorum-Voting ausschließlich über Port 5403 (corosync-qnetd). SSH wird nicht mehr gebraucht und sollte deshalb gesperrt sein — das reduziert die Angriffsfläche des Containers auf genau den einen Port, den das QDevice tatsächlich braucht. Bei Bedarf (Setup auf einem neuen Node, Debugging, manuelle Wartung) kannst du SSH jederzeit per Klick wieder entsperren und anschließend wieder sperren.

SSH-Passwort zurücksetzen

Setzt das Root-Passwort des QDevice-Containers neu. Der QDevice selbst braucht im Normalbetrieb kein SSH — der Login dient nur dafür, im Notfall manuell in den Container zu schauen oder corosync-Logs einzusehen. Wenn du das Passwort verloren hast oder es gemäß deiner Policy regelmäßig rotieren willst, machst du das hier. Mindestens 8 Zeichen. Beachte: nur das automatisch generierte Initial-Passwort steht im Dashboard unter „SSH-Zugang“. Sobald du es einmal hier zurücksetzt, ist das gewählte Passwort allein bei dir — wir speichern es nicht und können es nicht für dich wiederherstellen.

Cluster löschen

Räumt alles auf, was bei der Anlage gebaut wurde: Container wird gestoppt und entfernt, HAProxy-Backend und Source-IP-Map werden bereinigt (Public-Modus) bzw. WireGuard-Interface und nftables-DNAT-Regeln werden abgebaut (WG-Modus), und der Eintrag verschwindet aus dem Portal. Achtung: nicht rückgängig machbar. Führe vorher auf jedem Proxmox-Node `pvecm qdevice remove` aus — sonst zeigt corosync den verlorenen QDevice in `pvecm status` weiter als „missing“ an und das Cluster verliert eine Stimme.