Erklärt und eingerichtet: Verschlüsselte Proxmox-Backups mit Hetzner Storage Box
Timo WevelsiepHinweis zum Inhalt: Versionen, Befehle und Preise können sich ändern. Bitte prüfen Sie kritische Schritte vor dem produktiven Einsatz eigenständig. Dieser Leitfaden ersetzt keine individuelle Beratung.
Unterstützung für Ihre Proxmox-Umgebung gesucht? WZ-IT übernimmt Beratung, Konzeption, Einrichtung, Betrieb, Support und Monitoring Ihrer Infrastruktur.
Jetzt kostenlosen Termin vereinbaren
Um sich vor Datenverlust zu schützen, ist es wichtig, regelmäßige Backups Ihrer Proxmox-Umgebung zu erstellen. Eine kostengünstige und sichere Möglichkeit, dies zu tun, ist die Verwendung einer Hetzner Storage Box. In diesem Beitrag zeigen wir Ihnen, wie Sie eine Hetzner Storage Box einrichten und verschlüsselte Backups Ihrer Proxmox-VMs erstellen können.
Inhaltsverzeichnis
- Was ist eine Hetzner Storage Box?
- Storage Box vorbereiten
- Proxmox Host vorbereiten
- Proxmox für Backups konfigurieren
- Fazit
Was ist eine Hetzner Storage Box?
Die Hetzner Storage Box ist ein kostengünstiger Speicher, der eine vielzahl von Protokollen unterstützt. Durch seine Größe von 1 TB bis 20 TB eignet er sich für eine Vielzahl an Anwendungsfällen, wie z.B. als Backup-Speicher. Wir zeigen Ihnen, wie Sie eine Hetzner Storage Box für verschlüsselte Proxmox Backups einrichten können.
Proxmox läuft - aber wer hält es am Laufen?
Updates, Backups, Monitoring und Sicherheit fressen Zeit, sobald geschäftskritische VMs darauf laufen. Wir übernehmen euren Proxmox-Cluster im Managed-Betrieb: proaktive Wartung, Hochverfügbarkeit, schnelle Reaktion.
Storage Box vorbereiten
Melden Sie sich bei der Hetzner Robot an und navigieren Sie zu der Storage Box, die Sie verwenden möchten. Aktivieren Sie dort "Samba support" und setzen Sie ein Passwort. Notieren Sie sich dieses, denn das benötigen wir später.
Proxmox Host vorbereiten
Melden Sie sich bei Ihrer Proxmox-Weboberfläche an und öffnen Sie die Shell zu Ihrem Proxmox Host über das Menü "Shell" oder per SSH.
Zuerst installieren wir die notwendigen Pakete gocryptfs und cifs-utils, um die Storage Box einzubinden und die Backups zu verschlüsseln:
apt update && apt install gocryptfs cifs-utils -y
Wir legen nun unsere Zugangsdaten zur Storage Box unter /root/.smbcredentials ab. Erstellen Sie die Datei mit folgendem Inhalt:
username=uxxxxxx
password=your_password
Ersetzen Sie uxxxxxx durch Ihren Benutzernamen und your_password durch das Passwort, das Sie in der Hetzner Robot gesetzt haben. Speichern Sie die Datei und setzen Sie die richtigen Berechtigungen:
chmod +600 /root/.smbcredentials
Wir erstellen nun ein Verzeichnis, in dem wir die Storage Box einbinden werden. In diesem Verzeichnis werden auch später die verschlüsselten Daten liegen, daher nennen wir es storagebox_crypt:
mkdir /mnt/storagebox_crypt
Wir legen nun einen Mount Point in fstab an, damit die Storage Box automatisch beim Booten eingebunden wird. Öffnen Sie die Datei /etc/fstab mit einem Texteditor Ihrer Wahl:
nano /etc/fstab
Fügen Sie die folgende Zeile am Ende der Datei hinzu, um die Storage Box einzubinden:
//uxxxxxx.your-storagebox.de/backup /mnt/storagebox_crypt cifs credentials=/root/.smbcredentials,iocharset=utf8,rw,_netdev,uid=0,gid=0,file_mode=0660,dir_mode=0770 0 0
Wir überprüfen nun, ob die Storage Box korrekt eingebunden wird, indem wir den folgenden Befehl ausführen:
mount -a -vvv
Alles wurde korrekt eingerichtet, wenn wir die Nachricht "successfully mounted" sehen.
Wir initialiseren nun das Verzeichnis für die Verschlüsselung mit gocryptfs:
gocryptfs -init /mnt/storagebox_crypt
Sie werden aufgefordert, ein Passwort für die Verschlüsselung einzugeben. Dieses Passwort wird später benötigt, um auf die verschlüsselten Daten zuzugreifen. Notieren Sie sich dieses Passwort gut, da es nicht wiederhergestellt werden kann.
Wir bereiten nun das Verzeichnis für die Verschlüsselung vor, indem wir zunächst ein Verzeichnis erstellen, in dem die entschlüsselten Daten liegen werden:
mkdir /mnt/storagebox
Wir legen das Passwort in einer Datei ab, damit wir es später nicht erneut eingeben müssen. Erstellen Sie die Datei /root/.gocryptfs mit folgendem Inhalt:
password=your_encryption_password
Ersetzen Sie your_encryption_password durch das Passwort, das Sie bei der Initialisierung von gocryptfs verwendet haben. Setzen Sie die richtigen Berechtigungen für die Datei:
chmod +600 /root/.gocryptfs
Wir fügen nun einen weiteren Eintrag in die Datei /etc/fstab hinzu, um das Verzeichnis für die Entschlüsselung automatisch einzubinden:
/mnt/storagebox_crypt /mnt/storagebox fuse./usr/bin/gocryptfs rw,nofail,auto,x-systemd.idle-timeout=10,x-systemd.automount,allow_other,quiet,passfile=/root/.gocryptfs 0 0
Wir überprüfen nun, ob das Verzeichnis korrekt eingebunden wird, indem wir den folgenden Befehl ausführen:
mount -a -vvv
Dort müssen wir die Nachricht "successfully mounted" sehen, wenn alles korrekt eingerichtet ist.
Proxmox für Backups konfigurieren
Melden Sie sich bei Ihrer Proxmox-Weboberfläche an und navigieren Sie zu "Datacenter" > "Storage". Klicken Sie auf "Add" und wählen Sie "Directory".
Dort setzen wir dann eine ID, in unserem Beispiel einfach "StorageBox". Als Verzeichnis geben wir /mnt/storagebox an, da dies das Verzeichnis ist, in dem die Storage Box unverschlüsselt anliegt. Also Content wählen wir "Backup" aus, da wir hier unsere Backups speichern möchten.
Nun sehen wir in der Übersicht unseren neuen Storage. Wir können nun Backup Jobs erstellen, die auf diesen Storage zugreifen. Dazu gehen wir zu "Datacenter" > "Backup" und klicken auf "Add".
Wir haben für unser Beispiel eine VM mit der ID 100 angelegt. Bei Schedule wählen wir beispielsweise "Daily" aus, um täglich ein Backup zu erstellen. Bei Storage wählen wir unseren neuen Storage "StorageBox" aus. Die restlichen Einstellungen können wir auf den Standardwerten belassen. Wichtig ist noch, dass falls es sich beispielsweise um eine Datenbank handelt, wir bei Mode "Stop" auswählen, damit wir einen konsistenten Zustand der Datenbank haben.
Fazit
Die Einrichtung einer Hetzner Storage Box für verschlüsselte Proxmox-Backups ist eine kostengünstige und sichere Möglichkeit, Ihre Daten zu schützen. Mit den oben beschriebenen Schritten können Sie schnell und einfach eine Hetzner Storage Box einrichten und verschlüsselte Backups Ihrer Proxmox-VMs erstellen.
Credits gegen raus an ApfelCast, der das ganze auch schon auf seinem Blog beschrieben hat: ApfelCast Blog
Nächster Schritt
Proxmox-Wartung auslagern?
Wir planen, betreiben und überwachen virtualisierte Infrastruktur auf Proxmox VE - auf dedizierter Hardware, in der Cloud oder hybrid. Inklusive Patch-Management, Backups und CVE-Monitoring.
Weiterlesen: VMware zu Proxmox migrieren · Proxmox Backup Server richtig aufsetzen · Private Cloud für KMU
Sie möchten Proxmox nicht selbst betreiben? WZ-IT übernimmt Einrichtung, Betrieb und Wartung – DSGVO-konform aus Deutschland.
Häufig gestellte Fragen
Antworten auf die wichtigsten Fragen
Die Storage Box bietet von sich aus keine clientseitige Verschlüsselung Ihrer Backups. Erst durch gocryptfs werden die Daten bereits auf dem Proxmox-Host verschlüsselt, bevor sie übertragen werden - bei Hetzner liegen dann nur unlesbare Chiffrate.
At-rest-Verschlüsselung schützt Daten erst auf dem Speichersystem des Anbieters, der den Schlüssel kontrolliert. Clientseitige Verschlüsselung mit gocryptfs erfolgt vorher lokal auf Ihrem Host, sodass der Anbieter die Klartextdaten nie zu sehen bekommt.
Sorgen Sie dafür, dass das gocryptfs-Verzeichnis unter /mnt/storagebox eingehängt und damit entschlüsselt ist. Proxmox sieht die Backups dann im Storage StorageBox, und Sie stellen die VM wie gewohnt über die Weboberfläche wieder her. Ohne das gocryptfs-Passwort sind die Daten nicht lesbar.
Hetzner Storage Boxes gibt es von 1 TB bis 20 TB. Das kleinste 1-TB-Paket kostet nur wenige Euro pro Monat, was die Storage Box zu einem sehr günstigen Offsite-Backup-Ziel macht.
Ja. Sie können die Storage Box per CIFS oder SSHFS einhängen und darauf einen PBS-Datastore anlegen. PBS bringt zudem eine eigene clientseitige Verschlüsselung (AES-256-GCM) mit, sodass die zusätzliche gocryptfs-Schicht in diesem Fall optional ist.
Das bei der gocryptfs-Initialisierung vergebene Passwort kann nicht wiederhergestellt werden. Ohne dieses Passwort sind die Backups dauerhaft unlesbar. Bewahren Sie es daher sicher in einem Passwortmanager auf.
Mehr zu Proxmox
- Was ist Proxmox?
- LXC vs KVM
- Proxmox vs Docker
- Storage: ZFS, Ceph & LVM
- Was kostet Proxmox?
- Proxmox vs VMware
- Von VMware zu Proxmox migrieren
- Nachteile & Eignung
- Proxmox installieren
- Proxmox auf Hetzner einrichten
- Hardware & Sizing
- Proxmox VE 8 auf 9 upgraden
- Subscription-Warnung entfernen
- Proxmox Troubleshooting (in Arbeit)
- HA-Cluster mit Proxmox aufbauen
- Cluster-Netzwerk auf Hetzner (vSwitch)
- Cluster-Netzwerk auf OVH (vRack)
- Cluster-Netzwerk auf IONOS (VLAN)
- Was ist Proxmox Backup Server?
- Proxmox Backup Server offsite (Pull-Architektur)
- Verschlüsselte Backups mit Hetzner Storage Box
- Was ist Datacenter Manager?
- Was ist Mail Gateway?
- Server mieten & Hosting
