pve掛載NFS太慢,導致虛擬主機(vm)無法啟動
最近遇到pve重新啟動,所掛載的NFS連線太慢完成,導致pve找不到虛擬主機檔案,造成無法自動啟動錯誤。
解決方式就是讓pve的vm晚一點啟動,指令如下:(紅色為延遲多少秒vm才會開始啟動)
pvenode config set --startall-onboot-delay 60
最近遇到pve重新啟動,所掛載的NFS連線太慢完成,導致pve找不到虛擬主機檔案,造成無法自動啟動錯誤。
解決方式就是讓pve的vm晚一點啟動,指令如下:(紅色為延遲多少秒vm才會開始啟動)
pvenode config set --startall-onboot-delay 60
我上一篇文章 「很神奇的電腦公司,能配合安裝esxi、proxmox ve(pve) 」最後終於做好三顆硬碟zfs系統,也依照「 PVE 6 zfs 檢查硬碟狀況並且發通知 」設定好自動檢查程序,但此時我發現這台新主機並沒有地方可以放 ISO檔案以及備份存放區。(OS碟例外)
我希望此ZFS還能當作ISO檔案上載以及備份存放區,改如何做呢?
1、執行zpool list查看初始zfs名稱
root@host:~# zpool list
NAME SIZE ALLOC FREE CKPOINT EXPANDSZ FRAG CAP DEDUP HEALTH ALTROOT
RAIDZ 5.45T 1.59M 5.45T - - 0% 0% 1.00x ONLINE -
root@host:~#
2、在初始ZFS目錄底下,建立子zfs
#先前執行zpool list得到zfs名稱為RAIDZ,此時我們在RAIDZ底下再新增名為 ISO 子zfs,
#但此時還不能使用。(需以Directory方式掛載)
zfs create RAIDZ/ISO
3、回到pve web網址,在Datacenter新增Directory,並且將ISO子zfs掛載起來
--
設定完畢,系統將會掛載起來。
大功告成,此時不只能放image與container,還多個RAIDZ-ISO能放ISO檔案與備份檔案惹。
有一次要幫朋友的朋友弄一組新電腦,配置為pve 8(SSD)+3顆2T HDD,3顆HDD我打算做RAIDZ,沒想到他們配合的廠商能代為安裝pve 8且不額外收費 ,這樣我就能省去遠端教他們一步一步製作、安裝pve 8。
過了幾天,主機送來了,果真安裝好pve 8 , 我遠端連線過去一台筆電,再連線設定該台pve主機,沒想到要劃分zfs時候,卻發現電腦廠商已經很好心把3顆hdd主動用主機板內建的磁碟陣列功能設定成raid 5,這樣反而造成我的困擾,pve系統提示已有硬體raid(isw_raid_member),無法做zfs。
好險後來發現,pve重新wipe 那三顆hdd,電腦重開機之後,isw_raid_member(硬體raid5) 就自動不見了,真是幸運,否則還要跑去朋友的朋友那邊「遠得不要不要公司」處理,實在勞民傷財。
zfs很強,pve也支援,但很多要手動調整,例如zfs的快取。直到現在我才發現,pve設定好zfs,若硬碟壞了,是不會主動通知的,甚至使用pve介面查詢,一樣發現不了硬碟壞了,我真的有點驚訝到,或許其他系統如FreeNAS也是如此。
查詢zfs狀態
PVE設定好zfs之後,請定期執行zfs檢查
#zpool scrub <zfs名稱> #例如我在pve使用3顆1T硬碟,作成zfs,名稱取為Z1 #我就可以輸入以下指令,進行背景檢查 zpool scrub Z1 #若不想背景檢查,則改成 zpool scrub -S Z1
當執行完 zpool scrub指令後,可以再下zpool status -v ,此時會出現 scrub in progress(正在執行中)字樣
最後發現一顆硬碟壞了
此時使用pve gui介面,才會出現錯誤訊息
設定zfs 設定檔案,使其能正確發送email
vi /etc/zfs/zed.d/zed.rc ######################################################3 #請修改紅色部分 ZED_EMAIL_ADDR="it@test.com" ZED_NOTIFY_INTERVAL_SECS=3600 #若為1則任何zfs動作一律發email,懶得測試0,反正email多收比少收好 ZED_NOTIFY_VERBOSE=1 ######################################################3
設定crontab並且測試
收到email了,但硬碟壞一顆,不開心
其他指令
#若更換硬碟後,需要resilver zpool resilver <zpool名稱>
以資安角度, 24小時網路提供的服務, 風險極高. 若確認只在特定國家使用, 就可以使用MaxMind提供ip所在國家資訊, 限制其他國家ip連線,避免不必要的麻煩.
最近想用軟體防火牆來取代公司老舊的硬體防火牆, 我考察很久捨棄PFsense, 改用OPNsense. OPNSense提供簡單MaxMind整合, 可以讓我們進行ip國家使用限制, 非常方便.
我們得先到 https://www.maxmind.com/en/geolite2/signup 註冊帳號,
註冊完畢登入網站, 接下來產生license key
https://dev.maxmind.com/geoip/geolite2-free-geolocation-data?lang=en
產生完license key之後, 就可以下載ip國家資料, 可以參考一下OPNsense提供的方式
https://docs.opnsense.org/manual/how-tos/maxmind_geo_ip.html
防火牆就可以自己定義國別, 進行限制工作
前陣子公司強化vpn登入方式, 密碼改用谷歌驗證器(google authenticator)驗證密碼,
原本覺得pfSense上設定實在太簡單了, 就懶得記錄下來, 不過想想還是截一下圖,做個紀錄.
System > Package Manager > Available Packages
搜尋FreeRADIUS並且安裝
Services > FreeRADIUS > Interfaces > Add
Services > FreeRADIUS > NAS/Clients > Add
System > User Manager > Authentication Servers > Add
VPN > OpenVPN > Servers > Edit
Services > FreeRADIUS > Users > Add
以下為官方寫的文件非常詳細, 建議參考官方的
微軟的網域主控站超級好用, 很適合用來管理, 甚至交給非IT人員,如管理部同仁協助作業
網域主控好用,若只用來群組權限控管, 帳號密碼控管, 建議安裝免費的網域管理伺服器Turnkey Domain Controller就好了.
另外, 像我使用自製的容器郵件伺服器(docker-postfix-ad) ,須綁定微軟網域伺服器認證 ,也很適合安裝Turnkey Domain Controller.
TurnkeyLinux 有一大堆免費的軟體, 且支援Proxmox VE , 有vm版本, lxc版本,及vmware版, 琳瑯滿目.
安裝Turnkey Domain Controller 相當簡單,只要下載iso檔案,安裝成一個vm就好了, 當然也有lxc版本,但我並沒有測試過.
詳細請參閱 https://www.youtube.com/watch?v=PMUUuXmtFc8
安裝完畢, 用我筆電的RSAT工具, 就能管理網域主控站了
以下為安裝之後, 要注意的部分
電腦dns設定正確, 就能成功找到網域主控站, 並且加入囉
目前安裝版本為 16.2 , 樹系2008R2, 經測試win11 22h2無法加網域, 將在17.0 樹系2012R2獲得解決.
公司從2010年開始就使用eset防毒軟體, 採用中央控管的方式,這對網管來說有很大的幫助,
但是最近要續約, 新版本9.x居然不支援windows 2008R2 server, 公司又沒有windows 2012R2以上的作業系統, 於是我到官網找了一下,發現有虛擬設備的安裝方式, 支援vmware,virtualbox, 與hyper-v, 只可惜沒有支援Proxmox VE.
不過沒關係, 我下載後,看到檔案是ova格式, 之前有過經驗,解開裡面是vmdk格式, 查了一下裡面的檔案, 使用的是 ide 驅動, 4 GB磁碟空間, 4 GB RAM, 2 CPU.
第一步我先將vmdk轉檔轉成qcow2格式, 作法請參考這裡
接下來到pve server新增一個vm, 然後將轉換後的qcow2檔案,直接覆蓋上去, 就可以啟動, 並且依照指示設定就完成eset安裝了,非常方便.