Proxmox

Best Practices für Container (LXC) unter Proxmox

Die wichtigsten Best Practices für LXC-Container unter Proxmox: Sicherheit, Storage, Limits, Netzwerk, Snapshots und mehr.

Pascal
· 2 Minuten zu lesen
Best Practices für Container (LXC) unter Proxmox

Warum LXC-Container unter Proxmox?

LXC-Container sind extrem leichtgewichtig, starten schnell und integrieren sich nahtlos in Proxmox VE. Sie benötigen weniger Overhead als vollwertige VMs – eignen sich aber nicht für jeden Anwendungsfall. Dieser Guide zeigt die wichtigsten Best Practices für LXC unter Proxmox.

1. Unprivileged statt Privileged Container nutzen

Standard: Unprivileged. Diese nutzen UID/GID-Mappings und reduzieren das Risiko eines Container Escapes.

  • Privileged nur verwenden, wenn eine Anwendung zwingend Root auf Host-Ebene braucht.
  • Beispiel: Docker im LXC → immer privilegiert (oder als VM betreiben).

2. Storage sorgfältig auswählen

ZFS ist für LXC sehr performant, aber beachte:

  • ZFS + LXC → empfohlene Einstellung: “Discard” aktivieren
  • Thin LVM funktioniert gut, aber ohne ZFS-Snapshots
  • Directory-Storage ist flexibel, aber langsamer

3. Ressourcenlimits sinnvoll setzen

Limits verhindern, dass ein Container den Host blockiert:

  • Memory Limit: z. B. 2G
  • Swap deaktivieren oder minimal halten
  • CPU Limit (cores und cpuunits)
  • Disk-Quota auf ZFS
pct set 101 -memory 2048 -swap 0 -cores 2

4. Nesting nur bei Bedarf aktivieren

Nesting erlaubt Systemd- oder Docker-ähnliche Workloads. Aber:

  • Erhöht Angriffsfläche
  • Erlaubt mehr Kernel-Funktionen → potenzielle Sicherheitsrisiken

5. Backups & Snapshots richtig nutzen

LXC-Container unterstützen:

  • Snapshots (bei ZFS / Btrfs)
  • Backups (vzdump)

Backup erstellen

vzdump 101 --storage pbs --mode snapshot

6. Templates nutzen

Basis-Templates reduzieren Aufwand und stellen konsistente Container sicher:

  • Ubuntu Server
  • Debian Minimal
  • Alpine – extrem klein

Beispiel Template erstellen

pct create 900 local:vztmpl/debian-12-standard_12.0-1_amd64.tar.zst

7. Netzwerk richtig konfigurieren

Empfehlungen:

  • Linux Bridge statt OVS wenn nicht nötig
  • VLANs direkt im Container definieren oder via Proxmox NIC
  • Firewall auf Host + Container aktivieren

Beispiel Netzwerk

pct set 101 -net0 name=eth0,bridge=vmbr0,ip=dhcp

8. Sicherheit

  • SSH nur per Key
  • Fail2ban im Container oder Host
  • AppArmor Profile aktiv lassen
  • Keine unnötigen Dienste im Container

9. Logs & Monitoring

LXC bietet eigene Logs:

pct console 101
pct logs 101

Host-seitig: node-exporter, syslog, Proxmox Metrics.

10. Wann lieber eine VM nutzen?

  • Docker / Kubernetes
  • VMware Migrationen
  • Kernel-basierte Software (z. B. WireGuard, Ceph OSD)
  • Full Isolation benötigt

Fazit

LXC ist perfekt für leichtgewichtige Dienste, Webserver, Anwendungen, kleine Datenbanken und Automatisierungs-Tools. Mit den richtigen Best Practices erreichst du hohe Performance, gute Sicherheit und eine stabile Umgebung in Proxmox VE.

Ähnliche Artkel

Proxmox 8.x Performance Tuning für VMs – CPU-Type, IO-Threads, Ballooning, Disk-Cache

Proxmox 8.x Performance Tuning für VMs – CPU-Type, IO-Threads, Ballooning, Disk-Cache

· 2 Minuten zu lesen
Proxmox + Cloudflare Tunnel / Zero Trust – Sicherer Remote-Zugriff 2025

Proxmox + Cloudflare Tunnel / Zero Trust – Sicherer Remote-Zugriff 2025

· 1 Minute zu lesen
Linux Backup Strategien – rsync, borgbackup, restic

Linux Backup Strategien – rsync, borgbackup, restic

· 2 Minuten zu lesen
Docker Hardening Guide für Linux-Server

Docker Hardening Guide für Linux-Server

· 3 Minuten zu lesen
Von iptables zu nftables – Migrations-Guide für Linux-Server

Von iptables zu nftables – Migrations-Guide für Linux-Server

· 2 Minuten zu lesen
Fail2ban richtig konfigurieren – inkl. eigenen Filtern

Fail2ban richtig konfigurieren – inkl. eigenen Filtern

· 1 Minute zu lesen

Kommentare