CentOS 7 下 OpenLDAP 安装配置

Posted on 2017 年 8 月 7 日 (Updated 2020 年 3 月 15 日) by yaoge123

目标是ldap1和ldap2做成高可用LDAP为集群中所有节点提供身份验证服务。

一、LDAP服务端，ldap1和ldap2均需安装配置

安装OpenLDAP并导入基本定义

yum install -y openldap openldap-clients openldap-servers
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown -R ldap:ldap /var/lib/ldap
systemctl enable slapd.service
systemctl start slapd.service
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/nis.ldif

修改LDAP基本配置

创建db.ldif，内容见后
olcRootDN就是LDAP的超级用户
用slappasswd生成密码的哈希填入olcRootPW中做为olcRootDN的密码
修改dc=为自己的域

monitor默认所有用户均可读取，通过添加olcAccess改为只有root和RootDN可以读取

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=yaoge123,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=Manager,dc=yaoge123,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {SSHA}lY3iu244B87mEjUzSyHboD3x0tjTRHCV

dn: cn=config
changetype: modify
replace: olcLogLevel
olcLogLevel: stats2 shell sync

dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read
  by dn.base="cn=Manager,dc=yaoge123,dc=com" read
  by * none

用ldapmodify导入

ldapmodify -Y EXTERNAL -H ldapi:/// -f db.ldif

生成证书并设置TLS

OpenLDAP默认使用明码传输，为了加密数据必须生成证书并配置TLS

在一个安全的服务器上生成CA的私钥和证书，有效期20年

openssl req -new -x509 -nodes -out ca-cert.pem -keyout ca-key.pem -days 7305

在LDAP服务器生成私钥和证书请求，证书CN需为客户端访问使用的地址（域名、机器名、IP）
```
openssl req -new -nodes -out cert.csr -keyout key.pem
```

用CA签发证书，有效期20年

openssl x509 -req -in cert.csr -CAkey ca-key.pem -CA ca-cert.pem -out cert.pem -set_serial 01 -days 7305

把CA证书、服务器私钥和证书放到/etc/openldap/certs下，并修改属主和权限

mv ca-cert.pem cert.pem key.pem /etc/openldap/certs/
chown -R ldap:ldap /etc/openldap/certs/{ca-cert,cert,key}.pem
chmod 644 /etc/openldap/certs/ca-cert.pem
chmod 644 /etc/openldap/certs/cert.pem
chmod 600 /etc/openldap/certs/key.pem

创建certs.ldif

dn: cn=config
changetype: modify
replace: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/openldap/certs/ca-cert.pem

dn: cn=config
changetype: modify
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/openldap/certs/cert.pem

dn: cn=config
changetype: modify
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/openldap/certs/key.pem

用ldapmodify导入

ldapmodify -Y EXTERNAL -H ldapi:/// -f certs.ldif

修改LDAP服务端配置/etc/sysconfig/slapd，只启用ldapi和ldaps
```
SLAPD_URLS="ldapi:/// ldaps:///"
```
重启LDAP服务
```
systemctl restart slapd.service
```
验证TLS，可以看到证书链中有CA和LDAP服务器两个证书，最后显示Verify return code: 0 (ok)
```
openssl s_client -connect ldap1:636 -showcerts -state -CAfile /etc/openldap/certs/ca-cert.pem
```
ldap1已完成，从3.生成私钥和证书请求开始为ldap2配置，注意签发证书时set_serial需要不同，签发证书有效期需在CA证书有效期内

检查证书

openssl req -in cert.csr -noout -text  //查看证书请求文件
openssl x509 -in cert.pem -noout -text  //查看证书

创建自己的域

创建一个文本文件base.ldif，内容见后

修改dc为自己的域名

dn: dc=yaoge123,dc=com
dc: yaoge123
objectClass: top
objectClass: domain

dn: ou=People,dc=yaoge123,dc=com
ou: People
objectClass: top
objectClass: organizationalUnit

dn: ou=Group,dc=yaoge123,dc=com
ou: Group
objectClass: top
objectClass: organizationalUnit

用ldapadd导入，输入RootDN密码

ldapadd -x -W -D cn=Manager,dc=yaoge123,dc=com -H ldapi:/// -f base.ldif

LDAP复制

OpenLDAP 2.4支持5种复制方式，其中MirrorMode提供LDAP读写高可用性，双机Active-Active Hot-Standby，前端写入一个服务器即可，双机互相同步复制，只有一个服务器的情况下也支持写入

创建mod_syncprov.ldif

dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib64/openldap
olcModuleLoad: syncprov.la

用ldapadd导入

ldapadd -Y EXTERNAL -H ldapi:/// -f mod_syncprov.ldif

创建syncprov.ldif

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcDbIndex
olcDbIndex: entryCSN,entryUUID eq

dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
changeType: add
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
olcSpCheckpoint: 100 10
olcSpSessionLog: 100

用ldapmodify导入

ldapmodify -Y EXTERNAL -H ldapi:/// -f syncprov.ldif

创建syncuser.ldif，创建用于同步的用户，用slappasswd生成密码的哈希填入userPassword中做为同步用户的密码

dn: cn=ldapreader,dc=yaoge123,dc=com
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: ldapreader
description: LDAP reader user 
userPassword: {SSHA}95M+f4bXaOF4DwJ5HdMY75kkqNXEFJRU

用ldapadd导入，输入RootDN密码

ldapadd -x -W -D cn=Manager,dc=yaoge123,dc=com -H ldapi:/// -f syncuser.ldif

创建ldap1sync.ldif，credentials需为同步用户的密码

dn: cn=config
changeType: modify
add: olcServerID
olcServerID: 1

dn: olcDatabase={2}hdb,cn=config
changeType: modify
add: olcSyncrepl
olcSyncrepl: rid=001 provider=ldaps://ldap2 bindmethod=simple binddn="cn=ldapreader,dc=yaoge123,dc=com" credentials=yaoge123 searchbase="dc=yaoge123,dc=com" schemachecking=on type=refreshAndPersist retry="60 +" tls_cacert=/etc/openldap/certs/ca-cert.pem
-
add: olcMirrorMode
olcMirrorMode: TRUE

在ldap1上用ldapmodify导入

ldapmodify -Y EXTERNAL -H ldapi:/// -f ldap1sync.ldif

创建ldap2sync.ldif，credentials需为同步用户的密码

dn: cn=config
changeType: modify
add: olcServerID
olcServerID: 2

dn: olcDatabase={2}hdb,cn=config
changeType: modify
add: olcSyncrepl
olcSyncrepl: rid=001 provider=ldaps://ldap1 bindmethod=simple binddn="cn=ldapreader,dc=yaoge123,dc=com" credentials=yaoge123 searchbase="dc=yaoge123,dc=com" schemachecking=on type=refreshAndPersist retry="60 +" tls_cacert=/etc/openldap/certs/ca-cert.pem
-
add: olcMirrorMode
olcMirrorMode: TRUE

在ldap2上用ldapmodify导入

ldapmodify -Y EXTERNAL -H ldapi:/// -f ldap2sync.ldif

修改其中一个服务器上的LDAP，查看另一个服务器是否自动同步。

如果同步有问题，用调试模式运行ldap

/usr/sbin/slapd -u ldap -g ldap -h "ldapi:// ldaps://" -d -1

迁移已有用户

安装迁移工具
```
yum install -y migrationtools
```

vi /usr/share/migrationtools/migrate_common.ph，修改默认dc

# Default DNS domain
$DEFAULT_MAIL_DOMAIN = "yaoge123.com";

# Default base
$DEFAULT_BASE = "dc=yaoge123,dc=com";

处理一下passwd和group，把系统账号都去掉，对于RHEL7/CentOS7来说，系统账号都是<1000的，migrate_passwd.pl会从/etc/shadow提取密码信息

grep ":10[0-9][0-9]" /etc/passwd > passwd
grep ":10[0-9][0-9]" /etc/group > group
/usr/share/migrationtools/migrate_passwd.pl passwd users.ldif
/usr/share/migrationtools/migrate_group.pl group groups.ldif

导入LDAP中，输入RootDN密码

ldapadd -x -W -D "cn=Manager,dc=yaoge123,dc=com" -H ldapi:/// -f users.ldif
ldapadd -x -W -D "cn=Manager,dc=yaoge123,dc=com" -H ldapi:/// -f groups.ldif

创建index.ldif，做一些索引，最好日志中没有bdb_equality_candidates

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcDbIndex
olcDbIndex: uid,uidNumber,gidNumber,member,memberUid eq

导入LDAP中

ldapmodify -Y EXTERNAL -H ldapi:/// -f index.ldif

修改LDAP ACL：

密码和密码修改时间，RootDN可管理，自己可写，同步用户可读，匿名和普通用户只能Bind进行认证
其它所有RootDN可管理，匿名和普通用户可读

以上ACL保证了密码安全性，做成一个access.ldif文件

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to dn.children="dc=nnlmhpcc" attrs=userPassword,shadowLastChange
  by dn="cn=Manager,dc=nnlmhpcc" manage
  by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
  by dn="cn=ldapreader,dc=nnlmhpcc" read
  by self write
  by * auth
olcAccess: {1}to *
  by dn="cn=Manager,dc=nnlmhpcc" manage
  by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
  by * read

导入LDAP中，输入RootDN密码

ldapmodify -Y EXTERNAL -H ldapi:/// -f access.ldif

确认匿名和普通用户无法查看密码，两台LDAP同步正常(含密码)，用户自己可以自己修改密码
如果有问题，用ldapmodify -Y EXTERNAL -H ldapi:/// -f导入下面的文件打开ACL的日志检查，检查完别忘了把ACL日志关掉
```
dn: cn=config
changetype: modify
replace: olcLogLevel
olcLogLevel: acl stats stats2 shell sync
```

LDAP认证的客户端：

安装nss-pam-ldapd
```
yum install -y nss-pam-ldapd
```

配置普通用户使用LDAP认证，因为已经使用ldaps故需disableldaptls，bashdn下必须包含People和Group

authconfig --enableldap --enableldapauth --ldapserver="ldaps://ldap1,ldaps://ldap2" --ldapbasedn="dc=yaoge123,dc=com" --disableldaptls --ldaploadcacert=http://www.yaoge123.com/ca-cert.pem --updateall

测试用户登录、修改密码是否正常。

对于虚拟化部署的ldap1和ldap2，需要添加规则让两个虚机不在同一个主机上运行。

集群节点较多时，slapd会报错Too many open files。参考http://smilejay.com/2016/06/centos-7-systemd-conf-limits/和http://www.cnblogs.com/chris-cp/p/6667753.html，修改slapd的Max open files限制，查看限制：

grep files /proc/`pidof slapd`/limits

xCAT 安装迁移

Posted on 2017 年 6 月 15 日 (Updated 2020 年 3 月 15 日) by yaoge123

新机器安装系统，配置yun源、Hostname、Timezone、resolv.conf、路由和每个网卡的IP，yum upgrade，禁用SELinux和Firewall，hosts中配置本机主机名和ip，如公网网卡采取DHCP 配置中需添加PEERDNS=no 和 IPV6_PEERDNS=no

VM虚拟机中安装vmware tools，vmware-toolbox-cmd timesync status确认时间同步是否启用，vmware-toolbox-cmd timesync enable启用虚拟机和主机的时间同步

yum install rsync net-snmp-utils

重启后使用go-xcat install 自动化安装xcat

tabedit site：添加修改dhcpinterfaces、managedaddressmode、domain、master、dnsinterfaces、extntpservers；确认forwarders、nameservers。

tabedit networks：确认修改mgtifname、gateway、dhcpserver、tftpserver、ntpservers

修改/etc/resolv.conf，search为site表中的domain，nameserver为xcat自身

makedns，测试dns是否正常

修改/etc/chrony.conf，测试ntp是否正常

修改/etc/exports，限定IP地址范围

修改/etc/httpd/conf/httpd.conf，限定只监听内网的80端口

修改/etc/logrotate.conf，满足合规性要求，增加日志保留时间并启用压缩

迁移/etc/hosts.deny和hosts.all，配置只允许指定IP进行远程登录

修改/etc/postfix/main.cf中的myhostname和inet_interfaces

拷贝旧机器/install下的os image、自定义脚本等到新机器下

tabedit passwd：添加system的用户名密码，密码可以用openssl passwd -1加密

旧机器导出xCAT数据库dumpxCATdb -p /tmp/db，至少将nodelist chain bootparams nodetype mac hosts postscripts noderes nodehm osimage linuximage osdistro ipmi mp mpa等自定义表在新机器上restorexCATdb -p导入

如果需要迁移eventlog和auditlog，导入导出需添加-a参数，auditlog因为比较大导入非常慢

迁移/var/log下的日志

替换root ssh key为新的

迁移/etc/cron.d下的自定义定时任务

VMware 迁移步骤

Posted on 2017 年 5 月 14 日 by yaoge123

因原虚拟化平台设备已使用约9年，已经带病运行，且性能上已无法满足，因此购置了全新的一套设备准备替换。

首先对新平台设备进行安装调试，作为一个新的集群加入到原VCSA中。

如两个集群的存储互通，则虚拟机关机在新集群启动后，可以在线迁移存储，这样停机时间很短。如两个集群的存储不互通，则需要虚拟机关机才能迁移存储，停机时间较长。

新的集群采用了DVS，但是DVS需要VCSA才能管理，所以VC绝不能通过其自身管理的DVS进行通讯。DVS接管万兆网跑业务、vMotion、VSAN等流量，VCSA通过标准虚拟交换机用千兆网进行管理。

VCSA关机，用Client登录老集群VCSA所在ESXi导出VCSA，等完成后用Client登录新集群任意一台ESXi导入VCSA，会发现不能选择任何DVS中的端口组，只能选择标准交换机

VMware 下 Linux 虚拟机硬盘扩容

Posted on 2017 年 5 月 4 日 (Updated 2025 年 3 月 27 日) by yaoge123

对VMware下CentOS7虚拟机，根分区进行扩容

VMware编辑虚拟机硬件，扩容硬盘，做快照
echo 1 >/sys/block/sda/device/rescan
parted /dev/sda，resizepart LVM分区
pvresize /dev/sda3，扩充pv，sda3是LVM的分区
pvs，确认pv已扩容
lvextend -l +100%FREE /dev/system/root，扩充lv，/dev/system/root是lv的路径，也可能是/dev/mapper/VolGroup-lv_root
vgs确认容量已扩容
对于XFS：xfs_growfs /dev/mapper/system-root
对于EXT4：resize2fs /dev/mapper/system-root

使用 rrdcached 解决 Ganglia 高 IOPS

Posted on 2017 年 5 月 3 日 (Updated 2017 年 5 月 3 日) by yaoge123

用Ganglia监控一个近300个节点的集群，采样时间为默认的15s，加了一些自定义的参数，rrds目录容量74GB，12万个rrd文件。这样的一个规模下，平均每秒写入32MB、8k IOPS，平均每次写入只有4K数据，基本都是gmetad将采样的数据写入rrd文件中。这样高的IOPS对存储还是有明显的压力的，RRDtool中的rrdcached可以将对rrd的updates操作缓存到内存中然后在合并写入硬盘，显著降低了对硬盘的压力。

创建一个rrdcached的服务，编辑文件 /usr/lib/systemd/system/rrdcached.service，内容如下

[Unit]
Description=Data caching daemon for rrdtool
After=network.service
Before=gmetad.service httpd.service

[Service]
Type=forking
PIDFile=/run/rrdcached.pid
ExecStart=/usr/bin/rrdcached -s ganglia -m 664 -l unix:/var/lib/ganglia/rrdcached.sock -s apache -m 777 -P FLUSH,STATS,HELP -l unix:/var/lib/ganglia/rrdcached_limited.sock -b /var/lib/ganglia/rrds -B -p /run/rrdcached.pid

[Install]
WantedBy=multi-user.target

rrdcached.sock给gmetad用的、rrdcached_limited.sock限制了可用的操作给WEB前台用
-b指定工作目录，-B限制在工作目录下
-w指定缓存时间，如果更新时发现超过本文件已经缓存了超过此缓存时间，就放到写入队列中等待写入，默认300s
-z指定随机延迟，每一个rrd写入时都插入一个随机延迟，此值不能比-w，默认为0
-f指定超时，如果rrd超过此时间还没有更新则写入硬盘

启动服务

systemctl daemon-reload
systemctl enable --now rrdcached.service

修改 /usr/lib/systemd/system/gmetad.service ，在[Unit]和[Service]段修改和添加，并重启gmetad服务

[Unit]
…………
After=network.target rrdcached.service
Requires=rrdcached.service

[Service]
Environment=RRDCACHED_ADDRESS=/var/lib/ganglia/rrdcached.sock
…………
…………

修改前台网页的配置 /etc/ganglia/conf.php 添加一行，并重启httpd服务

$conf['rrdcached_socket'] = "unix:/var/lib/ganglia/rrdcached_limited.sock";

Ubuntu 16.04 改变 Transmission 运行用户

Posted on 2017 年 5 月 1 日 by yaoge123

//先停止服务
sudo systemctl stop transmission-daemon.service

//修改文件
vim /etc/init/transmission-daemon.conf
setuid yaoge123
setgid yaoge123

//添加信息
sudo systemctl edit transmission-daemon.service
[Service]
User=yaoge123

//重启服务
sudo systemctl daemon-reload
sudo systemctl start transmission-daemon.service

Huawei 5500 v3 VMware 环境部署要点

Posted on 2017 年 4 月 23 日 (Updated 2017 年 5 月 21 日) by yaoge123

以下各类版本如无特殊说明均指2017年4月时的情况。

在硬盘域中创建存储池和在存储池中创建LUN/文件系统，都不要把全部空间用尽，否则将来进行扩容等操作时可能会报错。

DIF需要在LUN映射前通过CLI开启。

在最新的V300R003C20SPC200版本中，SAN的重删压缩虽然已经与大多数增值业务不冲突了，但是仍旧和自动分层冲突，启用了重删压缩的LUN的SmartTier必须设定为不迁移。因此可以单独建立一个启用了重删压缩的LUN，并且设定好容量初始分配策略（如优先从容量层分配），这样的LUN用来做存档备份很好。重删默认不会进行逐个字节对比，压缩默认为高性能压缩算法，如需要启用逐个字节对比或高压缩率算法需通过CLI进行配置。

对于LUN

show lun dedup_compress 确认LUN的ID
change lun lun_id=2 dedup_enabled=yes bytecomparison_enabled=yes 打开ID为2的LUN重删逐字节比较
change lun lun_id=2 compression_enabled=yes compression_method=deep 设置ID为2的LUN压缩策略为压缩率优先

对于文件系统

show file_system general 确认文件系统的ID
change file_system dedup_compress file_system_id=3 dedup_enabled=yes bytecomparison_enabled=yes 打开ID为3的文件系统重删逐字节比较
change file_system dedup_compress file_system_id=3 compression_enabled=yes compression_method=deep 设置ID为3的文件系统压缩策略为压缩率优先

ACC重删压缩卡介入卸载CPU负载的条件是，每两分钟检查一次，如果CPU负载高于50%则卸载。

NAS不支持SmartTier，因此给文件系统存储池分配多个层级的存储介质是没有太大意义的。

此存储支持 VMware VAAI，从V300R003C20开始重删压缩LUN也支持VAAI，在ESXi的存储设备中可以看到相应的LUN硬件加速状态为支持。

VVol是VMware 6.0新的功能，让存储了解每一个虚拟机，需要eSDK Storage VASA 2.0支持，当前最新V100R005C60SPC006只支持VMware 6.0u2，存储固件只支持V300R003C00，这显然落后太多了。即便是最新尚未正式推出的eSDK Storage Plugins V200R001 1.0 RC4，VVol和vCenter的插件也只支持VMware 6.0。VVol和自动分层也是冲突的，综上故不建议使用。

vCenter的插件允许在vCenter中查看和配置存储，最新的eSDK Storage V100R005C70不支持最新的存储固件V300R003C20，只支持VMware 5.0/5.1/5.5/6.0，后面肯定是升级到eSDK Storage Plugins，故不建议使用。

华为存储有自己的多路径软件OceanStor UltraPath，需要在ESXi和VCSA上安装相同的版本，ESXi上可以通过命令行或者Update Manager安装，VCSA需要通过命令行安装，UltraPath可以查看和监控很多链路信息。但是VMware已经出6.5d了，UltraPath支持6.5的V200R001还没有正式推出（还在RC3），当前最新的V100R008C50SPC500只支持VMware 5.0/5.1/5.5/6.0，也不支持RHEL 6.9/7.3；多路径做为基本重要的服务，UltraPath和VMware的版本紧密相关，一旦VMware升级UltraPath也必须跟着升级，其过程要参考升级指导书，增加了整个系统后期的维护成本，因此不太建议使用。

使用VMware NMP多路径需要额外配置：

对于ESXi 5.5/6.0/6.5，T V1 Series, Dorado5100, Dorado2100 G2, T V2 Series, 18000 V1 Series, V3 Series系列存储，仅为双控且未来也没有扩控计划的，推荐启用ALUA，配置ESXi SATP为VMW_SATP_ALUA，PSP为VMW_PSP_RR；
ESXi进入维护模式
存储端：修改每个主机的每个启动器，勾选使用第三方多路径，切换模式选择ALUA；
SSH登录ESXi
1. esxcli storage core device list 查看一下存储的Vendor和Model
2. esxcli storage nmp satp rule add -V HUAWEI -M XSG1 -s VMW_SATP_ALUA -P VMW_PSP_RR -c tpgs_on 添加多路径规则
3. esxcli storage nmp satp rule list | grep HUAWEI 看一下刚刚添加的规则
ESXi上面修改存储的LUN多路径策略为循环
重启ESXi，确认存储LUN为VMW_SATP_ALUA和循环
退出维护模式

Windows Server 2016 安装 vShpere Web Client 集成插件

Posted on 2017 年 4 月 21 日 (Updated 2017 年 4 月 21 日) by yaoge123

关闭IE增强安全配置

右键用管理员模式运行安装程序VMware-ClientIntegrationPlugin*.exe

右键用管理员模式运行IE

将vCenter的域名加入本地Intranet 中

登录时可选Windows会话身份认证，可以部署OVF模板，说明集成插件正常

定制ESXi安装包

Posted on 2016 年 10 月 7 日 by yaoge123

比如Intel J1900 四千兆的无风扇迷你电脑，AHCI（Intel Atom Processor E3800 Series SATA AHCI Controller 8086:0f23）不受ESXi支持，因此需要在ESXi的安装包中添加驱动。

准备工作：

下载安装VMware PowerCLI
下载ESXi Offline Bundle放到D:\VMware
从http://www.v-front.de/p/esxi-customizer-ps.html下载ESXi-Customizer-PS放到D:\vm
从https://vibsdepot.v-front.de/wiki/index.php/Sata-xahci下载sata-xahci Offline Bundle放到D:\vm

启动VMware PowerCLI，执行下面的命令

Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CURRENTUSER

重启计算机，再打开VMware PowerCLI

PowerCLI C:\> d:
PowerCLI D:\> cd vm
PowerCLI D:\vm> .\ESXi-Customizer-PS-v2.4.ps1 -v60 -pkgDir d:\vm -log d:\vm\log.txt -izip 'D:\VMware\update-from-esxi6.0-6.0_update02.zip'
Set-ExecutionPolicy Undefined -Scope CURRENTUSER
PowerCLI D:\vm> Set-ExecutionPolicy Undefined -Scope CURRENTUSER

用D:\vm下面新生成的iso安装ESXi

LSF资源限制配置lsb.resources中的USERS和PER_USER

Posted on 2016 年 7 月 17 日 (Updated 2016 年 7 月 17 日) by yaoge123

LSF的lsb.resources文件中可以针对用户进行资源使用限制，用户可以用USERS和PER_USER设置，这里列出不同设置下的意义。

USERS=all：所有用户使用资源总和不能超过限制
USERS=A B C：A B C三个用户（组）使用资源总和不能超过限制
PER_USER=all：每个用户使用资源不能超过限制，按照每个用户计算不管用户组
PER_USER=A B C：A B C三个用户（组）的每个用户使用资源不能超过限制，哪怕这里的A B C是用户组，但是还是按照每个用户计算