04 Proxmox-Plan¶
Ziel¶
Proxmox bleibt während der Migration erreichbar. VLAN-Trennung wird über eine VLAN-aware Bridge vorbereitet und danach pro VM/LXC einzeln umgesetzt.
Aktueller Zustand¶
- Host
pve:10.0.0.220/20 - Bridge:
vmbr0aufeno5np0 - Gateway:
10.0.0.1 - Aktive VLAN-Tags bereits bei einzelnen Guests:
5,244,252,253,254 - Keine Änderung an laufenden Guests ohne Freigabe.
Ziel-Bridge-Konzept¶
vmbr0bleibt primäre Bridge.vmbr0wird in einem Wartungsfenster VLAN-aware.- Uplink-Port am UniFi-Core wird als Trunk mit erlaubten Ziel-VLANs geführt.
- Proxmox-Host-Management zieht von
10.0.0.220/20auf10.222.20.10/24. - Legacy-Erreichbarkeit über Übergangsroute oder Wartungsfenster-Plan sicherstellen.
Ziel-Zuordnung¶
| VM/LXC | Ziel-VLAN | Ziel-IP | Reihenfolge |
|---|---|---|---|
| Test-/Lab-VMs | 220 | DHCP/statisch | 1 |
| Wazuh/Zabbix/Grafana/Prometheus | 60 | 10.222.60.x |
2 |
| NetBox | 40 | 10.222.40.34 |
3 |
| Gitea/Wiki/n8n/Vaultwarden | 40 | 10.222.40.x |
4 |
| NPM | 50 | 10.222.50.10 |
5 |
| Open WebUI/Ollama-nahe Dienste | 70 | 10.222.70.10+ |
6 |
| AD/DNS LANDC1/2 | 40 | 10.222.40.10-.11 |
7 |
| Home Assistant/HKKNX | 160 | 10.222.160.x |
8 |
| Medien-Container | 150 | 10.222.150.x |
9 |
| Kunden-/Projekt-VMs | 230+ | je Projekt | separat |
Monitoring Zielzuordnung Phase 3¶
| Dienst | Aktuell | Ziel | Hinweis |
|---|---|---|---|
| Wazuh | 10.222.60.10 |
10.222.60.10 |
migriert 2026-05-25; Snapshot pre-vlan60-wazuh-20260525_211936; NPM getestet |
| Zabbix | 10.222.60.11 |
10.222.60.11 |
migriert 2026-05-25; Snapshot pre-vlan60-zabbix-20260525_211103; Agent-/Server-Kommunikation nachziehen |
| Grafana | 10.222.60.12 |
10.222.60.12 |
migriert 2026-05-25; Snapshot pre-vlan60-grafana-20260525_204410 |
| Prometheus | 10.222.60.13 |
10.222.60.13 |
migriert 2026-05-25; Snapshot pre-vlan60-prometheus-20260525_210404 |
| PVE Exporter | 10.222.60.14 |
10.222.60.14 |
migriert 2026-05-25; Snapshot pre-vlan60-pve-exporter-20260525_210404 |
| Proxmox Datacenter Manager | 10.222.20.20 |
10.222.20.20 |
migriert 2026-05-25; Snapshot pre-vlan20-pdm-20260525_212736 |
Keine Massenmigration¶
Die VLAN/IP-Umstellung erfolgt je Guest oder je eng gekoppelter Dienstgruppe. NPM, AD/DNS, Storage, Medien, AI-Suite und Paperless/Paperless-AI werden nicht als Einzel-IP-Aenderung ohne Abhaengigkeitsbereinigung migriert.
Sichere Migrationsreihenfolge je Guest¶
- Backup/Snapshot prüfen oder erstellen.
- Aktuelle Proxmox-Konfiguration exportieren.
- Ziel-IP in NetBox reservieren.
- DNS-Eintrag mit niedriger TTL vorbereiten.
- VLAN-Tag und IP nur im Wartungsfenster ändern.
- Dienst lokal testen.
- Reverse Proxy/DNS umstellen.
- Monitoring prüfen.
- Alt-IP temporär dokumentiert lassen.
Rollback je Guest¶
- Proxmox Netzwerkkonfiguration auf vorherigen VLAN-Tag/Bridge zurück.
- Alte IP/Gateway/DNS wiederherstellen.
- DNS-A-Record zurücksetzen.
- NPM Backend zurücksetzen.
- Funktionstest über Alt-IP.
Offene Punkte¶
- Guest-Agent-Daten und interne IPs je VM per Proxmox API/Agent ergänzen, wo Windows/Linux-Agent sauber antwortet.
- Mountpoints und Storage-Abhängigkeiten für NAS/Plex/Paperless prüfen.
- Windows-Gäste per PowerShell inventarisieren.
Discovery-Refresh 2026-05-25¶
Exportablage: .backups/phase2_validation_20260525_014231
Ergebnis:
- Proxmox neu ausgelesen: 22 VMs und 56 LXCs in qm list/pct list.
- LXC-IP-Adressen wurden ueber pct config ermittelt.
- VM-IP-Adressen wurden primaer ueber UniFi-Clientdaten anhand der MAC-Adressen ermittelt.
- SSH-Portcheck auf bekannten IPs: 49 IPs mit TCP/22 offen, 16 IPs ohne TCP/22.
- Mehrere Guest-Agent-Massenabfragen haben einzelne nicht antwortende Guests blockiert; fuer weitere Detaildaten nur noch gezielte Einzelabfragen mit kurzem Timeout verwenden.
Wichtige IP-Erkenntnisse:
| Objekt | IP | Quelle | Ziel-VLAN |
|---|---|---|---|
| LANDC1 | 10.0.0.201 |
UniFi MAC | 40 |
| LANDC2 | 10.0.0.202 |
UniFi MAC | 40 |
| Mailstore | 10.0.0.204 |
UniFi MAC | 40 |
| RemoteApps | 10.0.0.205 |
UniFi MAC | 40 |
| Open WebUI | 10.0.0.250 |
LXC Config | 70 |
| Gitea | 10.0.1.251 |
LXC Config | 40 |
| Docs/MkDocs | 10.0.0.252 |
LXC Config | 40 |
| Docmost | 10.0.1.252 |
LXC Config | 40 |
| Open Terminal | 10.0.1.253 |
LXC Config | 70 |
| SearXNG | 10.0.1.240 |
LXC Config | 70 |
| n8n | 10.0.1.241 |
LXC Config | 40 |
| Vaultwarden | 10.0.1.242 |
LXC Config | 40 |
| NPM | 10.0.0.5 |
LXC Config | 50 |
| NetBox | 10.0.0.207 |
LXC Config | 40 |
| Home Assistant Eberhardt | 10.0.0.230 |
UniFi MAC | 160 |
| HKKNX | 10.0.0.231 |
LXC Config | 160 |
| Plex | 10.0.0.190 |
LXC Config | 150 |
| GB10/Ollama | 10.0.14.43, 10.0.0.249 |
DNS/API-Test | 70 |
Die vollstaendige maschinenlesbare Matrix liegt lokal im Exportordner und wird nicht committed.
Service-Dependency-Refresh 2026-05-25¶
Exportablage: .backups/service_dependency_discovery_20260525_092323
Zusaetzlich wurden n8n, Paperless/Paperless-AI und der Medien-Stack read-only auf Listening Ports, lokale Komponenten und erkennbare interne Zielverweise geprueft. Ergebnis:
- n8n: TCP 5678 produktiver Webhook/API-Port; weitere Workflow-Ziele muessen gezielt ueber n8n Export/API erfasst werden.
- Paperless klassisch: je Instanz Web 80/8000, Postgres/Redis lokal, SMTP lokal.
- Paperless-AI: je Instanz TCP 8000 und 3000; paperless-ai-lanstyle zeigt auf 10.0.0.236:8000/api, paperless-ai-epxm auf 10.0.0.237:8000/api, paperless-ai-bis2024 ist unvollstaendig konfiguriert.
- Medien-Stack: starke interne Abhaengigkeiten zwischen SABnzbd, Radarr, Sonarr, Readarr, Prowlarr, Profilarr, Huntarr, Cleanuparr, Tautulli und Plex.
- AD/DCs: WinRM 5985, DNS 53, Kerberos 88, LDAP 389 erreichbar; SSH geschlossen.
Proxmox-Refresh 2026-05-25 Nachtrag¶
Exportablage: .backups/phase0_readonly_followup_20260525_132455
Ergebnis:
- qm list/pct list erneut gelesen.
- Pro VM wurden qm config und, wo verfuegbar, qm agent network-get-interfaces mit Timeout abgefragt.
- Pro LXC wurden pct config, ip -br addr und ein gekuerzter ss -lntup-Auszug gelesen.
- Erkannte IPv4-Adressen aus Proxmox/Guest-Agent: 69.
- SSH-Portcheck auf diesen IPs: 55 offen, 14 geschlossen.
VM-Erkenntnisse:
- Guest Agent liefert brauchbare IPs fuer u. a. HAxEberhardt 10.0.0.230, HAxStein 10.0.10.128, Aruba-NetEdit-2.16.0 10.0.0.187, LANDC1 10.0.0.201, LANDC2 10.0.0.202, Mailstore 10.0.0.204, RemoteApps 10.0.0.205, kevConanExiles 10.244.0.2, sgo-radius 10.0.0.251, SMS-MGMT 10.0.10.12, hcr-gameserver 10.254.0.2.
- Kein laufender QEMU Guest Agent bei mindestens FOGServer, FOGTestHTML und lanstyle-win11-proxmox-test.
- Mehrere VMs haben nur Bridge-/MAC-Daten im Proxmox-Config-Auszug; fuer diese bleibt UniFi-Client-Mapping oder direkter OS-Zugriff noetig.
LXC-Erkenntnisse:
- Die wichtigsten LXCs liefern IPs direkt ueber pct config/ip -br addr.
- Viele Server-Container hoeren auf SSH, was eine gezielte, spaetere Dienstinventarisierung erlaubt.
- Nicht laufend: kiesapp LXC 1001 meldet container not running.
Hinweis:
- Die Rohdaten enthalten keine API-Tokens, koennen aber interne Hostnamen/IPs enthalten und bleiben deshalb lokal unter .backups.