網通與資安發展促進結社

網通與資安發展促進結社 之

Pogo Tsai 的 "新" 異空間

Pogo Tsai 的 "新" 異空間

FB

現在, 也可以在 Facebook follow 了, 歡迎加入 It苦命xx團
或著, 按我回首頁 來看更多訊息

2018年2月21日

PVE 的 VM 移除

過完年後, 我去年送修過的 QNAP 再一次爆死, 正好是拿來測試 PVE NFS 的掛載

NFS 離線後, 原在 NFS Storage 上的 VM 會發生無法正確移除的狀況

這時必需人手入

/etc/pve/nodes/ 主機名 /qemu-server/

rm 要殺的VM ID.conf




2018年2月15日

Proxmox VE 心得二三事

年前一直在評估把 LAB 由 VMWare 轉換成 PVE 的事, 分享一下心得, 日後會在補細節技術 Note

先說感想

PVE 就像 VM界的 小米手機, 堪用 不完美 但價格讓一切的問題都不是問題了

來談談為什麼要放棄使用多年的 VMWare

1. 致命的 Web UI

自 6.0 後, 開始有的難用到不能用的 WebUI, 6.5 雖小有改善, 但強制只能用這該死的 WebUI, Flash 帶來的各種安全性問題不談, 如不強制切換到英文介面, 就要面臨各種莫命奇妙的 crash , 即使用英文介面, 反應速度不佳, 操作遠不如 vsphere client 順暢, 雖有 HTML5 的模式可選, 但功能半殘, 真正的操作還是得入 Flash 介面, 我要是 VMWare 的 PM 我應會先槍斃 2 組人, 第一名就是決定癈掉 vsphere client 的傢伙, 第二名就是開發 web UI 的😡


2. VMWare 長得太大了

我目前還是最愛 5.5 的版本, 差不多功能 效能 便利性 在一個平衡點, VMWare 產品線一直又廣又大, 但各個線都還單純, 不太干涉, 可能是基於銷售的考量, VMWare 的 package 現己經長大到很多元件不知要幹嘛, 試還是不試? 總要花時間進行了解, 有時真會懷疑, 這些功能或 package 真的有人在用? 更不用說每個改版又要重新了解, 6.5 的確在穩定性上有改進, 但片面強姦式的給一個爛操作介面, 取消部分舊 HW 支援, 如一些 realtek 網卡, 帶來的問題把好處相抵消了


PVE 的評估

1. $

對, 不要錢, 完全


2. 根本的結決 KVM 的操作管理問題

早幾年評估過使用 KVM, 操作的問題是很大的門檻, 基本上要有一定程度的 Linux 熟悉度才能 入門, 上手嗎... 要有命.. 當年測試完放棄的原因很簡單, LAB 不是光有我一個人使用, 要全體成員都要花相當的時間才能上手的系統, 基本上是不可行的

PVE 不管由安裝至操作管理, 根本上的解決 KVM 的問題, 還簡易整合了 OVS, 這樣的操作難度可以讓系統的轉換更簡易, 與操作成員的適應期間更短, 不用幾天, 大部分的人都能基於 VMWare 的使用經驗上手


3. Cluster 的簡易架構

VMWare 的 Cluster 與中央管理, 基於 vCenter , 這是一個非常好用但致命的大系統, 要有個 VM 或 真實 Server 獨立運作, 這系統很大, 有自有的資料庫各種工具, 所以必需要有良好的維護與備份, 我曾經經歷過 vCenter 的無備份爆死, 可能資料自殺或怎麼回事, 結果就是重作

老實說, 我常在想, 只是希望同時管理多台而己, 要搞個這大傢伙做什麼, 其實只用到 Migration 這些不到 vCenter 功能 1/10 的操作, PVE 多台即可相互 Cluster , 概念上比較像 Switch 的 Cluster 方式我比較愛

基他部分, 中國年後再補完囉 😋

新年快樂

2018年2月8日

Proxmox VE LDAP 配置記錄

最近研究轉換 VMWare 至 PVE 上 , 記錄一下幾個配置要點

如果, LDAP 丕需要認証的話 , UI 就能完成配置

正常來說, 基於安全考量, LDAP 應不會這樣用, 會需要 bind 認証訊息
但目前 PVE UI 並不支援這樣的配置

參考官方文件說明 https://pve.proxmox.com/wiki/User_Management

1. 需要修改 /etc/pve/domains.cfg 
    以我用 QNAP LDAP Server 為例 需要加入 bind_dn cn=admin,dc=xxxxx,dc=com

2. 需要增加 /etc/pve/priv/ldap/realm同名.pw
    把 bind 需用的密碼以純文字放在這個檔, 記得檔名要和 ldap 配置的 realm 同名

接下來, 帳號與權限的配置就比較詭異了 (以下我還要再研究確定)

PVE 看來無法直接由 LDAP 讀取帳戶後 Mapping 權限, 所以必需一個個建立 User Account 
realm 要指到剛剛配罝的 LDAP 那個, Group 配置後述

為方便權限分配, 我多建了一組 Group , 如要某些 LDAP 用戶有 Admin 權限, 就要像下圖這樣

這樣可以完成初步的 LDAP 用戶與權限的配置了



2017年9月15日

vCenter6.5啟用 VMRC 的 Copy & Past 功能

在操作VMWare 的多個 GuestOS 的設定時, 很多時候需要跨 GuestOS 的複製貼上的操作, 預設是不行的, 但事實上可以解開限制

首先, 要設定的 VM GuestOS 必需關機狀態

進入下圖的

設定 -> 虛擬機器選項 -> 編輯


再進入 進階-> 編輯組態


在跳出如下圖的位置加入以下2組參數


NameValue
isolation.tools.copy.disableFALSE
isolation.tools.paste.disableFALSE



GuestOS 啟動後就能開心使用了

官方說法是基於安全考量才預設關閉, 所以啟用的風險請自行評估


2017年8月15日

我反對助理職位的設立 續


不時會有朋友抱怨說, 公司的xxx犯了應是很容易發現的錯造成損失, 神奇的是, 還都不用負責
通常, 我都會確認一下, 那個xxx有沒有助理?

這是很有趣的職場現像

通常, 老闆為了提升某人或某部門的效率, 多會請低價助理來分攤工作, 希望高價的員工做更多產值的事

事實上, 這是災難的根源

人性本賤, 在那個公司都適用, 會有以下狀況

第一階段: 工作分 '重要' & '不重要' , 造成分類不重要的工作越來越多, 助理忙到死, 原來被分攤工作的人工作品質一路下降, 當你工作不重視細節, 那兒來的品質?

第二階段: 盲目的分工擴及部門對部門, 這時不只與助理間的分工造成的責任不明, 更擴大到像是只要技術沾到邊的就是SE的責任, 和錢沾到的就是財會的責任, 自己工作沒作好是助理沒follow 好, 都是別人的錯

第三階段: 錯誤的分工, 不明的混亂的責任規屬, 最後就是造成大家能閃則閃, 不幫沒事, 不做沒事, 多做多錯, 主管通常這時還搞不清為什麼公司的工作氣氛不佳, 再多搞一些五四三的火上加油

身為員工的你, 有辦法改變嗎?

NO, 做好做多做到死, 能者多勞, 要多幫share, 要嘛做死 要嘛心死

你只能接受這現狀或離開, 但這己是台灣職場通病了, 很可能下個公司狀況更糟

台灣的職場真的很怪, 這種例子比比皆是, 詭異的分工與權責問題, 就是沒人願意好好分析處理
助理便宜, 陣亡就再換一個, 不斷的訓練->陣亡, 再來怪助理的能力不足?

其實, 在台灣職場

要害一個人, 給他個助理 share 工作是最快的, 很快就爛了... 😈
要害一個公司, 就建議他多請些助理, 分擔重要人員的工作, 提升效率

有效, 大部分都會接受, 還很高興


前篇文章在此 我反對助理職位的設立