应用发布服务器组策略,路径如下:
本地计算机策略-用户配置-管理模板-Windows组件-Internet Explorer
启用以下策略:
关闭加载项性能通知
自动激活新安装的加载项
禁止用户启用或禁用加载项
阻止运行“首次运行”向导,选择直接转到主页
应用发布服务器组策略,路径如下:
本地计算机策略-用户配置-管理模板-Windows组件-Internet Explorer
启用以下策略:
关闭加载项性能通知
自动激活新安装的加载项
禁止用户启用或禁用加载项
阻止运行“首次运行”向导,选择直接转到主页
用了四年的浪潮NF5270M3机架服务器、I8000刀箱和NX5440刀片服务器,总结一下碰到的管理问题
Method | I/O impact on destination storage |
---|---|
Forward incremental | 1x write I/O for incremental backup size |
Forward incremental, active full | 1x write I/O for total full backup size |
Forward incremental, transform | 2x I/O (1x read, 1x write) for incremental backup size |
Forward incremental, synthetic full | 2x I/O (1x read, 1x write) for entire backup chain |
Reversed incremental | 3x I/O (1x read, 2x write) for incremental backup size |
Synthetic full with transform to rollbacks | 4x I/O (2x read, 2x write) for entire backup chain |
Reversed Incremental Backup:每次备份对备份存储的IO压力很大,备份窗口时间长,但是备份空间占用最少,只有一个最新的完整备份。
Forward Incremental Backup:每次备份对备份存储的IO压力最小,备份窗口时间最短,可能会需要额外备份空间存储多个完整备份。
Forever forward incremental Backup:对源存储无压力,如果虚拟机变化很大,合并最后一个增量和完整备份可能压力大,只有一个最老的完整备份。
Synthetic Full Backup:对源存储无压力,对备份存储IO压力较大,因为不是备份过程所以没有备份窗口,一般会保留有多个完整备份。
Transforming Incremental Backup Chains into Reversed Incremental Backup Chains:对源存储无压力,对备份存储IO压力极大,因为不是备份过程所以没有备份窗口,只保留一个完整备份。
Active Full Backup:完全从源存储创建一个完整备份,需要从源读取所有数据,对备份存储是顺序IO写因此压力不大,但是备份窗口时间非常长,对生产系统源存储性能有负面影响,一般会保留有多个完整备份。
VCSA 6.5开始Update Manager被集成到VCSA中,所以需要迁移工具将原来独立的Update Manager迁移到VCSA 6.5中
迁移VCSA时到选择部署大小时,发现tiny/small等小的部署大小不现实,主要是因为原VCSA存储空间消耗过多
https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2148587
升级后登录VAMI时区显示空,并且无法设置,需要SSH登录到VCSA执行
cd /etc/ rm -rf localtime ln -s /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
这是Adobe Shockwave Flash version 27.0.0.170已知的问题,只能升级到更新的版本或者降级到老版本
https://kb.vmware.com/selfservice/microsites/search.do?cmd=displayKC&externalId=2151945
GPFS有两种NFS导出方式,一是Cluster Export Services (CES) NFS,二是clustered NFS (CNFS)。CNFS使用Linux内核的nfsd,提供了较好小文件操作性能,当然也只支持NFS。CES使用用户空间Ganesha的nfsd,连续读写性能较好,CES还支持SMB和Object存储。
CNFS通过动态的调整IP地址来提供NFS的HA,只能提供故障转移不支持负载均衡,下面以nfs1,nfs2两个节点配置CNFS为例
mmchfs fsyaoge123 -o syncnfs
/fsayaoge123/nfs 1.1.1.10(ro,fsid=11) 1.1.1.11(rw,fsid=11)
systemctl enable nfs-server
mmchconfig cnfsSharedRoot=/fs2yaoge123/cnfs
mmchnode --cnfs-interface=ip_address_list -N node mmchnode --cnfs-interface=1.1.1.1 -N nfs1 //配置nfs1使用1.1.1.1做为NFS专用IP
mmchconfig cnfsMountdPort=mountd_port -N node
mount -o sync,hard,intr 1.1.1.1:/fsyaoge123/nfs /mnt
查看CNFS节点
mmlscluster --cnfs
删除CNFS节点
mmchnode --cnfs-interface=DELETE -N "nfs1,nfs2"
目标是ldap1和ldap2做成高可用LDAP为集群中所有节点提供身份验证服务。
一、LDAP服务端,ldap1和ldap2均需安装配置
安装OpenLDAP并导入基本定义
yum install -y openldap openldap-clients openldap-servers cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG chown -R ldap:ldap /var/lib/ldap systemctl enable slapd.service systemctl start slapd.service ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/cosine.ldif ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/nis.ldif
修改LDAP基本配置
dn: olcDatabase={2}hdb,cn=config changetype: modify replace: olcSuffix olcSuffix: dc=yaoge123,dc=com dn: olcDatabase={2}hdb,cn=config changetype: modify replace: olcRootDN olcRootDN: cn=Manager,dc=yaoge123,dc=com dn: olcDatabase={2}hdb,cn=config changetype: modify replace: olcRootPW olcRootPW: {SSHA}lY3iu244B87mEjUzSyHboD3x0tjTRHCV dn: cn=config changetype: modify replace: olcLogLevel olcLogLevel: stats2 shell sync dn: olcDatabase={1}monitor,cn=config changetype: modify replace: olcAccess olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=Manager,dc=yaoge123,dc=com" read by * none
ldapmodify -Y EXTERNAL -H ldapi:/// -f db.ldif
生成证书并设置TLS
openssl req -new -x509 -nodes -out ca-cert.pem -keyout ca-key.pem -days 7305
openssl req -new -nodes -out cert.csr -keyout key.pem
openssl x509 -req -in cert.csr -CAkey ca-key.pem -CA ca-cert.pem -out cert.pem -set_serial 01 -days 7305
mv ca-cert.pem cert.pem key.pem /etc/openldap/certs/ chown -R ldap:ldap /etc/openldap/certs/{ca-cert,cert,key}.pem chmod 644 /etc/openldap/certs/ca-cert.pem chmod 644 /etc/openldap/certs/cert.pem chmod 600 /etc/openldap/certs/key.pem
dn: cn=config changetype: modify replace: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/openldap/certs/ca-cert.pem dn: cn=config changetype: modify replace: olcTLSCertificateFile olcTLSCertificateFile: /etc/openldap/certs/cert.pem dn: cn=config changetype: modify replace: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/openldap/certs/key.pem
ldapmodify -Y EXTERNAL -H ldapi:/// -f certs.ldif
SLAPD_URLS="ldapi:/// ldaps:///"
systemctl restart slapd.service
openssl s_client -connect ldap1:636 -showcerts -state -CAfile /etc/openldap/certs/ca-cert.pem
openssl req -in cert.csr -noout -text //查看证书请求文件 openssl x509 -in cert.pem -noout -text //查看证书
创建自己的域
dn: dc=yaoge123,dc=com dc: yaoge123 objectClass: top objectClass: domain dn: ou=People,dc=yaoge123,dc=com ou: People objectClass: top objectClass: organizationalUnit dn: ou=Group,dc=yaoge123,dc=com ou: Group objectClass: top objectClass: organizationalUnit
ldapadd -x -W -D cn=Manager,dc=yaoge123,dc=com -H ldapi:/// -f base.ldif
LDAP复制
dn: cn=module,cn=config objectClass: olcModuleList cn: module olcModulePath: /usr/lib64/openldap olcModuleLoad: syncprov.la
ldapadd -Y EXTERNAL -H ldapi:/// -f mod_syncprov.ldif
dn: olcDatabase={2}hdb,cn=config changetype: modify add: olcDbIndex olcDbIndex: entryCSN,entryUUID eq dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config changeType: add objectClass: olcOverlayConfig objectClass: olcSyncProvConfig olcOverlay: syncprov olcSpCheckpoint: 100 10 olcSpSessionLog: 100
ldapmodify -Y EXTERNAL -H ldapi:/// -f syncprov.ldif
dn: cn=ldapreader,dc=yaoge123,dc=com objectClass: simpleSecurityObject objectClass: organizationalRole cn: ldapreader description: LDAP reader user userPassword: {SSHA}95M+f4bXaOF4DwJ5HdMY75kkqNXEFJRU
ldapadd -x -W -D cn=Manager,dc=yaoge123,dc=com -H ldapi:/// -f syncuser.ldif
dn: cn=config changeType: modify add: olcServerID olcServerID: 1 dn: olcDatabase={2}hdb,cn=config changeType: modify add: olcSyncrepl olcSyncrepl: rid=001 provider=ldaps://ldap2 bindmethod=simple binddn="cn=ldapreader,dc=yaoge123,dc=com" credentials=yaoge123 searchbase="dc=yaoge123,dc=com" schemachecking=on type=refreshAndPersist retry="60 +" tls_cacert=/etc/openldap/certs/ca-cert.pem - add: olcMirrorMode olcMirrorMode: TRUE
ldapmodify -Y EXTERNAL -H ldapi:/// -f ldap1sync.ldif
dn: cn=config changeType: modify add: olcServerID olcServerID: 2 dn: olcDatabase={2}hdb,cn=config changeType: modify add: olcSyncrepl olcSyncrepl: rid=001 provider=ldaps://ldap1 bindmethod=simple binddn="cn=ldapreader,dc=yaoge123,dc=com" credentials=yaoge123 searchbase="dc=yaoge123,dc=com" schemachecking=on type=refreshAndPersist retry="60 +" tls_cacert=/etc/openldap/certs/ca-cert.pem - add: olcMirrorMode olcMirrorMode: TRUE
ldapmodify -Y EXTERNAL -H ldapi:/// -f ldap2sync.ldif
/usr/sbin/slapd -u ldap -g ldap -h "ldapi:// ldaps://" -d -1
迁移已有用户
yum install -y migrationtools
# Default DNS domain $DEFAULT_MAIL_DOMAIN = "yaoge123.com"; # Default base $DEFAULT_BASE = "dc=yaoge123,dc=com";
grep ":10[0-9][0-9]" /etc/passwd > passwd grep ":10[0-9][0-9]" /etc/group > group /usr/share/migrationtools/migrate_passwd.pl passwd users.ldif /usr/share/migrationtools/migrate_group.pl group groups.ldif
ldapadd -x -W -D "cn=Manager,dc=yaoge123,dc=com" -H ldapi:/// -f users.ldif ldapadd -x -W -D "cn=Manager,dc=yaoge123,dc=com" -H ldapi:/// -f groups.ldif
dn: olcDatabase={2}hdb,cn=config changetype: modify add: olcDbIndex olcDbIndex: uid,uidNumber,gidNumber,member,memberUid eq
ldapmodify -Y EXTERNAL -H ldapi:/// -f index.ldif
修改LDAP ACL:
dn: olcDatabase={2}hdb,cn=config changetype: modify replace: olcAccess olcAccess: {0}to dn.children="dc=nnlmhpcc" attrs=userPassword,shadowLastChange by dn="cn=Manager,dc=nnlmhpcc" manage by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage by dn="cn=ldapreader,dc=nnlmhpcc" read by self write by * auth olcAccess: {1}to * by dn="cn=Manager,dc=nnlmhpcc" manage by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage by * read
ldapmodify -Y EXTERNAL -H ldapi:/// -f access.ldif
dn: cn=config changetype: modify replace: olcLogLevel olcLogLevel: acl stats stats2 shell sync
LDAP认证的客户端:
yum install -y nss-pam-ldapd
authconfig --enableldap --enableldapauth --ldapserver="ldaps://ldap1,ldaps://ldap2" --ldapbasedn="dc=yaoge123,dc=com" --disableldaptls --ldaploadcacert=http://www.yaoge123.com/ca-cert.pem --updateall
对于虚拟化部署的ldap1和ldap2,需要添加规则让两个虚机不在同一个主机上运行。
集群节点较多时,slapd会报错Too many open files。参考http://smilejay.com/2016/06/centos-7-systemd-conf-limits/和http://www.cnblogs.com/chris-cp/p/6667753.html,修改slapd的Max open files限制, 查看限制:
grep files /proc/`pidof slapd`/limits
新机器安装系统,配置yun源、Hostname、Timezone、resolv.conf、路由和每个网卡的IP,yum upgrade,禁用SELinux和Firewall,hosts中配置本机主机名和ip,如公网网卡采取DHCP 配置中需添加PEERDNS=no 和 IPV6_PEERDNS=no
VM虚拟机中安装vmware tools,vmware-toolbox-cmd timesync status确认时间同步是否启用,vmware-toolbox-cmd timesync enable启用虚拟机和主机的时间同步
yum install rsync net-snmp-utils
重启后使用go-xcat install 自动化安装xcat
tabedit site:添加修改dhcpinterfaces、managedaddressmode、domain、master、dnsinterfaces、extntpservers;确认forwarders、nameservers。
tabedit networks:确认修改mgtifname、gateway、dhcpserver、tftpserver、ntpservers
修改/etc/resolv.conf,search为site表中的domain,nameserver为xcat自身
makedns,测试dns是否正常
修改/etc/chrony.conf,测试ntp是否正常
修改/etc/exports,限定IP地址范围
修改/etc/httpd/conf/httpd.conf,限定只监听内网的80端口
修改/etc/logrotate.conf,满足合规性要求,增加日志保留时间并启用压缩
迁移/etc/hosts.deny和hosts.all,配置只允许指定IP进行远程登录
修改/etc/postfix/main.cf中的myhostname和inet_interfaces
拷贝旧机器/install下的os image、自定义脚本等到新机器下
tabedit passwd:添加system的用户名密码,密码可以用openssl passwd -1加密
旧机器导出xCAT数据库dumpxCATdb -p /tmp/db,至少将nodelist chain bootparams nodetype mac hosts postscripts noderes nodehm osimage linuximage osdistro ipmi mp mpa等自定义表在新机器上restorexCATdb -p导入
如果需要迁移eventlog和auditlog,导入导出需添加-a参数,auditlog因为比较大导入非常慢
迁移/var/log下的日志
替换root ssh key为新的
迁移/etc/cron.d下的自定义定时任务
因原虚拟化平台设备已使用约9年,已经带病运行,且性能上已无法满足,因此购置了全新的一套设备准备替换。
首先对新平台设备进行安装调试,作为一个新的集群加入到原VCSA中。
如两个集群的存储互通,则虚拟机关机在新集群启动后,可以在线迁移存储,这样停机时间很短。如两个集群的存储不互通,则需要虚拟机关机才能迁移存储,停机时间较长。
新的集群采用了DVS,但是DVS需要VCSA才能管理,所以VC绝不能通过其自身管理的DVS进行通讯。DVS接管万兆网跑业务、vMotion、VSAN等流量,VCSA通过标准虚拟交换机用千兆网进行管理。
VCSA关机,用Client登录老集群VCSA所在ESXi导出VCSA,等完成后用Client登录新集群任意一台ESXi导入VCSA,会发现不能选择任何DVS中的端口组,只能选择标准交换机
对VMware下CentOS7虚拟机,根分区进行扩容