Marco's questions

我正在将现有的 2 台主机 vSphere 6.7 集群迁移到新的 8.0 vCenter Server Appliance。两个集群的 vSphere 和 ESXi 主机均采用最新可用版本。

新集群：vSphere 8.0.3.00200（内部版本：24262322）

新主机：ESXi，8.0.3，24280767

旧集群：vSphere 6.7.0.55000（内部版本：22509723）

旧主机：ESXi，6.7.0，20497097

为了完成这项任务，我购买了一台新的基于 Raptor Lake（Xeon E-2468）的主机。旧主机完全相同，都是 Coffee Lake（Xeon E-2146G）。

我找不到与这两种主机类型匹配的 EVC 兼容性。Coffee Lake 主机已成功加入启用 Broadwell 代的集群，但当我尝试添加较新的主机时，出现以下错误：

The host's CPU hardware does not support the cluster's current Enhanced vMotion Compatibility mode. The host CPU lacks features required by that mode.

我原本以为只有老款处理器才会缺少新处理器的功能，但事实并非如此。老款 Broadwell Generation 模式需要一些新 Raptor Lake E-2468 显然缺乏的功能。

我发现有关此问题的文献非常少，包括 Broadcom 的知识库，令人惊讶的是，其中甚至没有提到“Coffee Lake”架构。此外，我无法寻求 VMware 支持，因为 6.7 支持合同已经到期，而 8.0 vSphere 仍在评估中。

我即将放弃使用 EVC 模式，因为我无法让它与这种主机组合一起工作，所以我在这里询问只是为了确保我没有遗漏任何重要的配置信息。无论如何，较旧的主机都将退役，但由于这将在 6-9 个月内发生，所以如果可能的话，我不想放弃 EVC。

相关说明：所有三台主机都是戴尔企业硬件，R340 和 R360。

我刚刚收到 VMware 为我的一位客户提供的上述许可。VCA 6.7 设备和两个 ESXi 主机在评估模式下运行。我输入 VCA 设备的许可证没有任何问题，但是在尝试许可其中一台主机时，我收到以下消息：

该许可证不支持许可资产当前正在使用的某些功能。

-vSphere FT

我没有在任何虚拟机中启用此类功能，据我所知，这不是集群或主机级别的东西，它只是虚拟机级别的功能。

我还尝试将任何虚拟机从主机中迁移出来，并将主机从集群中移除，但没有任何变化。

我还和他们开了一张票，很高兴稍后分享他们的解决方案。

设想：

这是一个 4 年以来的生产邮件服务器，在大约 50 个域上有大约 2000 个邮箱，并且几乎可以与任何其他邮件服务器配合使用。日志不断受到关注，最近出现了以下问题。

编辑 1：Ubutntu 16.04.6 - 后缀（3.1.0-3ubuntu0.3）

问题：

有一个邮件服务器似乎无法将邮件传递到该系统。

它失败，4.7.25 客户端主机被拒绝。

NOQUEUE: reject: RCPT from unknown[159.135.224.3]: 450 4.7.25 Client host rejected: cannot find your hostname, [159.135.224.3]

这就是我配置后缀的方式，因为我想避免没有反向 dns 记录的中继器。

root@mail:~# grep restrictions /etc/postfix/main.cf
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_rbl_client zen.spamhaus.org, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, check_recipient_access mysql:/etc/postfix/mysql-virtual_policy_greylist.cf, check_policy_service unix:private/policy-spf
smtpd_helo_restrictions = permit_sasl_authenticated, permit_mynetworks, check_helo_access regexp:/etc/postfix/helo_access, reject_invalid_hostname, reject_non_fqdn_hostname, reject_invalid_helo_hostname, reject_unknown_helo_hostname, check_helo_access regexp:/etc/postfix/blacklist_helo
smtpd_sender_restrictions = check_sender_access regexp:/etc/postfix/tag_as_originating.re , permit_mynetworks, permit_sasl_authenticated, check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf, check_sender_access regexp:/etc/postfix/tag_as_foreign.re, reject_unknown_sender_domain, reject_unknown_reverse_client_hostname, check_client_access hash:/etc/postfix/client_access, reject_unknown_client_hostname
smtpd_client_restrictions = check_client_access mysql:/etc/postfix/mysql-virtual_client.cf

但它有一个有效的，在邮件服务器上本地执行的测试：

159.135.224.3 上的 DNS 测试

root@mail:~# nslookup 159.135.224.3
Server:         1.1.1.1
Address:        1.1.1.1#53

Non-authoritative answer:
3.224.135.159.in-addr.arpa      name = relay.teamgioia.it.

Authoritative answers can be found from:

root@mail:~# dig 159.135.224.3

; <<>> DiG 9.10.3-P4-Ubuntu <<>> 159.135.224.3
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 23656
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1452
;; QUESTION SECTION:
;159.135.224.3.                 IN      A

;; AUTHORITY SECTION:
.                       10165   IN      SOA     a.root-servers.net. nstld.verisign-grs.com. 2019083000 1800 900 604800 86400

;; Query time: 6 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Fri Aug 30 12:18:21 CEST 2019
;; MSG SIZE  rcvd: 117

在 resolv.conf 中：

nameserver 1.1.1.1
nameserver 1.0.0.1

问题：

为什么没有reject_unknown_client_hostname按我的预期工作？

如果这不是这台服务器的错，而是发件人的错，我怎样才能将一些发件人列入白名单以避免他们的邮件被拒绝？

你能否解释或推测他们的错是什么？

为了将一些 Linux 优势带给运行 Windows 10 的客户，我开发了一些 bash 脚本来自动化他们的一些日常任务。

我曾经让他们通过具有以下内容的 Windows 批处理运行脚本：

Ubuntu1804 run /usr/local/bin/script.sh

不幸的是，有些脚本需要很长时间，无论是大型 sql 查询还是缓慢的网络和 I/O 操作，在此等待期间，一些用户无法避免关闭“奇怪的黑色窗口”，从而终止了进程。

上面的命令即使在结尾加上 & 引号也会被杀死。

我尝试了以下操作，但没有进入testOK我的桌面。

Ubuntu1804 run "sleep 10 && touch /mnt/c/Users/myuser/Desktop/testOK &"

虽然这会使窗口保持打开状态并testOK改为创建文件。

Ubuntu1804 run "sleep 10 && touch /mnt/c/Users/myuser/Desktop/testOK"

我想知道是否有办法避免 Ubuntu WSL 中的进程在窗口关闭后立即被终止。

完全阻止窗口出现也会很棒。

阻止用户与之交互将是一种可接受的解决方法。

客户是具有最新安全和质量汇总的 Windows 10 专业版，我没有提供站点详细信息，因为这发生在不止一个客户身上，其中一些是大型 MS AD 域，另一些是只有一个工作组的小型办公室。

我正在尝试批处理计算远程 NFS 驱动器的给定子文件夹中的文件的操作。

NFS 客户端是 Ubuntu 16.04 LTS。我在远程 NFS 服务器上的信息很少。这是一个 NFS v3。它是匿名 rw 安装的，并且它的身份验证是基于 IP 的。客户端的带宽是 100/10，它可以上传大约 1.1 MB/s。提供商宣传其备份存储为 1Gbit/1Gbit 保证。卷的可用大小为 <4TB，预计文件数估计为 >600000 个单位。

--编辑#1：

存储宣传的保证 IOP 为 2000，但测试远程 fs 的结果为 7-800iops。

客户端使用的挂载选项由提供者建议：

rsize=8192,wsize=8192,timeo=14,intr

为了执行计数，我选择了这个脚本：

#!/bin/bash
if [[ $# -eq 0 ]] ; then
   echo 'no folder supplied, use $0 /path/to/folder'
   exit 0
else
   COUNT=$(find $1 -type f|wc -l)
   echo $1 contains $COUNT files.
fi
exit 0

我在家里试了一下，明显很快，输出：

/home/user contains 12 files.

当我尝试从远程 NFS 驱动器获取此类统计信息时，脚本“永远”坐下。

--编辑#2：

我尝试在末尾删除|wc -l并添加，但看起来它在 2 到 24 小时的时间范围内随机挂起，当它在很长一段时间后挂起时，列表远未完成。>> $LOGFILEfind

我认为我可以将查找分成几块，以防止这个问题，也许会产生所有子文件夹的列表......

for d in $FOLDERLIST;
do
   find $d -maxdepth 0 -type f|wc -l >> $TMPLOG
done

..然后将 $TMPLOG 中的所有数字相加，因此在较小的操作中脚本可能不会挂起。

问题：我是否正在使用尽可能节省资源的最佳方式来执行此计数？也许有比find获取文件计数更便宜的方法？

我正在考虑这可能是计算文件的错误方法，因为我看到远程驱动器需要多长时间应该有相当大的开销......我记得当我有一些通过 curlftpfs 挂载的远程文件系统的经验时。巨大的开销，巨大的延迟。

NFS 在这方面应该会好很多，但在这种情况下似乎不是！

场景： 我有一个运行 Win7 Pro 和 OpenVPN 客户端的客户；他们的一名员工使用此工作站将远程 cmds 发送到（Windows）OpenVPN 服务器，两者都使用 psexec 和 smb。

发生了什么： 多年来一切都很好，直到他们的系统管理员将工作站升级到 Windows 10 Pro。他依靠 Windows 升级顾问，只是卸载了标记为不兼容的旧防病毒软件。升级后，他真诚地进行了以下测试：

-检查客户端上的openvpn服务->正在运行

-ping 10.8.0.1（服务器的 ip）-> OK

所以他显然认为一切都很好。

由于该工作站由员工在夜间使用，在我被他们的内部系统管理员参与后的第二天早上，因为员工无法发送更新。他说没有任何服务确实通过 vpn 发送回复，只有 icmp 正在工作。首先，我对我希望可以访问的端口进行了一些 telnet，发现我的即时连接被拒绝。我ping了一下，在250的回复中发现了一个TTL值！？！？我做了以下跟踪：

C:\>tracert -w 100 10.8.0.1

Traccia instradamento verso 10.8.0.1 su un massimo di 30 punti di passaggio

  1     3 ms     2 ms     2 ms  192.168.0.4
  2     1 ms     2 ms     2 ms  192.168.22.41
  3     1 ms     3 ms     1 ms  10.139.59.130
  4     5 ms     3 ms     3 ms  10.3.132.113
  5    15 ms    13 ms    15 ms  10.254.12.202
  6    15 ms    15 ms    15 ms  10.254.1.245
  7    27 ms    25 ms    23 ms  10.8.0.1

我第一次看到这个是难以置信的，但是 0.4 是他们内部的默认 GW，22.41 是他们的一个路由器，而且这个路由器只连接到 ISP。

修复 Openvpn 问题： 我很快发现关于 Win10 升级和 openvpn 客户端这只是路线混乱的问题，openvpn 日志证实了这一点，并且解决方案（升级到最新的 openvpn）修复了它。如果策略路由在此 22.41 上行链路上建立连接，我仍然可以从其网络中未运行 OpenVPN的任何其他计算机 ping 10.8.0.1。如果我将连接路由到他们的 4 个（总共 5 个）上行链路中的任何一个，问题就不会发生。由于这个“说海盗”10.8.0.1 在每个端口上都会立即拒绝并且一切都已关闭，我认为它可能是一个路由器。我只是想知道 ISP 是否违反了RFC 1918，否则我怎么可能从公共网络中的私有地址空间 ping 一个 ip！？

--- 编辑 2

问题： 由于客户认为这种意外行为损害了他们的业务，他们能否提及任何文件，例如 RFC，说明 ISP 违反了任何提供互联网服务的服务规则？

系统：全新更新的 ubuntu Xenial Xerus 16.04.2。从只安装了 openssh 的干净的最小系统开始。为了安装 backuppc 3.3.2，我执行了以下操作：

apt-get install backuppc rsync libfile-rsyncp-perl par2 smbfs

Apt 完成了其余的工作，安装了 apache2 和 perl 等依赖项。如果您认为这可能很重要，我将编辑问题并粘贴 apt 日志中的相关行。

之后，我完成了备份第一台主机所需的所有配置，几天后我回到测试实验室检查它的运行情况。我不得不说，backuppc 是一款漂亮的软件，它的表现完全符合我的预期——甚至比我预期的还要好！

我只是注意到在主屏幕上没有显示池的图表；故障排除仅从 apache 日志中返回了一条信息：

ERROR: opening '/var/lib/backuppc/log/pool.rrd': Permission denied

绝对是权限问题： /var/lib/backuppc 归 backuppc:backuppc 所有，而 apache 在 www-data 帐户下运行。

谷歌搜索错误返回了这样的修复：

Resource | Actual perms | Solution's perms
/var/lib/backuppc | 2750 | 2751
/var/lib/backuppc/log | 750 | 751
/var/lib/backuppc/log/pool.rrd | 640 | 754

这些权限更改修复了问题，现在显示图表。无论如何，我仍然担心权限更改后暴露服务的安全性。在这种情况下，我计划在安全和隔离的环境中实施，但如果客户要求公开服务，或者更糟糕的是，如果他自己公开服务怎么办？如果生产环境中出现问题，我不想在他们将去恢复的地方留下潜在的安全漏洞。

另一种解决方案可能是将 backuppc 的用户添加到 www-data 组，但从安全角度来看，这可能会更糟。

另一种解决方案可能是修补由 backuppc 运行的代码以处理此类问题（可能还有 sudoers 文件中的某些行），但我没有编程技能，除了 bash 脚本之外我什么也看不懂。

所以我的问题是： 为了实现图形显示，哪一个是最安全的解决方案？