[系统运维]UCS（统一计算系统）[3]

7 创建Service Profiles

Server组成

service profile
cisco UCS的service profile提供了一种无状态（stateless）的服务器。
一个service profile就是一个服务器，而不是硬件的刀片。
1.service profile用于供给给物理服务器
2.很多的标识属性都提取自Pools，而不是硬件
同一时间，一个service profile只能关联到一个刀片服务器
1.可以先取消关联，然后再关联到其他刀片
2.甚至可以再关联到其他型号的刀片服务器，和刀片型号没有关系。

service profile包含的内容

• NIC MACs
• HBA WWNs
• Server UUID
• VLANs
• VLAN Tagging
• FC Fabrics
• FC Boot Parameters
• Number of vNICs
• vNIC Transmit Speed
• Boot order
• PXE settings
• IPMI Settings
• Number of vHBAs
• QoS
• Call Home
• Template Association
• Org & Sub Org Assoc.
• Server Pool Association
• Statistic Thresholds
• BIOS scrub actions
• Disk scrub actions
• BIOS firmware
• Adapter firmware
• BMC firmware
• RAID settings
• Advanced NIC settings
• Serial over LAN settings

Opt-In Models
cisco UCS支持两种主要的opt-in models（配置方式）
Basic opt-in model基本模式类似于传统服务器的部署方式：
1.使用服务器默认的硬件标识属性
2.service profile可以被移动，但是标识属性随之改变
**Logical server opt-in model逻辑模式（多）**使用虚拟的标识属性
1.从Pool提取标识属性，提供了profile的可移动性

创建service profile

先创建4个pool 把template关联到POOL（左下）里
这样从template产生多少server都会自动到pool里面找到对应的刀片

手动关联步骤

1.UUID
UUID可以选pool
也可以手敲

2.Storage
HBA，即主机总线适配器英文“Host Bus Adapter”缩写。是一个在服务器和存储装置间提供输入/输出(I/O)处理和物理连接的电路板或集成电路适配器。

HBA网卡是用于连接计算机和计算机网络。一般插在计算机大总线扩展槽上，卡上有连接计算机网络的接口。网卡物理上连接计算机内部总线。



3.networking

native vlan：从这个网卡出来的流量不用打tag就近到相应的vlan里去了

定义交换机的上连接口，什么vlan都走，active vlan是default vlan 1

4.vNIC/vHBA placement顺序
内部系统总线的顺序

5.server boot order起机顺序


show flogi database看Dell FC port name

使用启动顺序

6.maintenance policy维护策略
immediate：改了service profile马上更改
user ack：用户确认后更改

7.server assignment关联服务器

assign later：一会再说
admin up：关联之后马上开机
admin down：关联之后不马上开机，手开

8.operational policies

创建完成

将服务器关联到service profile


创建service profile template
template：模板
相较于手动创建service profile更快
两种类型template
1.initial：修改template，不会修改从这个template产生的profile
2.updating：修改template，也会修改从这个template产生的所有profile

1.identity service profile template

2.storage


3.networking


4.vNIC/vHBA placement

下面步骤类似于手动的

创建完成

将template跟server pool关联

9 安装vsphere5环境

RAID控制器模块网络配置默认需要使用DHCP自动获得IP地址，如果150s内获取不到ip地址，RAID控制器模块会使用静态IP地址，controller0会使用192.168.128.101，controller1会使用192.168.128.102
1.添加存储阵列

2.创建磁盘组

RAID 6 两硬盘丢失都不会挂
RAID 5 一个硬盘丢失不会挂
RAID 0 任何丢失就挂了
RAID 1/10 一半丢失没问题

设置另一个盘为热备盘

创建虚拟磁盘



安全策略设置 进行磁盘主机映射
定义主机

有多少WWPN就要创建多少个主机，这里有6个vHBA，所以要创建6个主机



附加映射


再定义其他主机 注意SHARE盘可以共享
结果如下

开机
选择安装盘


配置网络


导入vSphere5环境
连接1号网管机

添加存储器


也进52 53等 把存储盘挂上去
将ESXI的ova导入进去

下面的操作就是vsphere内的操作
HA内设置一个值可以忽略网络冗余的告警（因为建议管理机上行最好有两张网卡）

das.ignoreRedundantNetWarning true

10 UCS维护与管理

UCSM中的组织结构

在UCSM中，可以定义管理用的组织结构。
仅仅用于管理，不是为了服务器的操作。
在多层次的管理环境下部署。

使用组织结构

• 默认情况下只创建一个root organization（组织）。
• 可以在root组织下，创建sub-organization（下属组织）。
• 在一个org（组织）下，可以创建service profile，pools，policies等等策略。
  1.如果没有org（组织）被选择，这些object（实体）会被创建到root org。
• 没有办法可以移动一个object（实体）从一个org到另一个。（里面的copy没有用，在一个组织上面做错了，只能重做）
  
  组织的集成关系
• 一些object（实体）可以通过组织结构来继承。
  1.例如，当你创建一个service profile在低层次的组织，可以继承和使用高层次组织的pools。
• pool也通过相同的形式进行工作
  1.MAC，WWN，WWPN，UUID
• 很多service profile也一样
  1.vNIC，Fireware，Disk，等等
  
  刀片式服务器的成员关系
• 刀片服务器不属于任何组织。
• 他可以存在于一个或多个组织和server pools。
• 因此，它可以被关联到任何组织下的service profiles
  
  RBAC
• Role Based Access Control(RBAC)让你能够指派权限（permission）到一个role（角色）。
  1.然后你就可以把具体的用户关联到这个role（角色）。
• 例如，一个Storage Admin这个角色，可以访问并修改任何SAN相关配置。
  1.你可以指派storage admin这个角色到一个特殊用户。
  2.这样比为每一个用户配置权限更加容易管理。
  
  Roles和Privileges
• 理解roles和privileges之间的不同是非常重要的。
• roles是一系列privileges的集合
  1.一个用户可以被指派一个或多个roles，并不是一对一关系。
  2.如果指派多个roles，这多个roles里边的privileges被合并在一起。
• privileges是一个单一的right（权利）或capacity（能力）
• 一个role会有一个或者多个指派给他的privilege。
• 一个简单的管理方式，就是创建一个拥有很多privilege的role，并且指派一个或者多个用户到这个role。
• 这样以后再添加用户到这个相同的role就会变得非常简单。
  
  预先定义的roles
• cisco UCS包含一些预先定义好的roles
  1.server admin– Server Equipment in UCSM - 允许管理物理的刀片，Service Profiles，Maintenance（维护）和其他相关内容。
  2.Network Admin – Network in UCSM - 允许配置网络连接相关内容，包括：VLANs，uplink，trunks和其他的与外部连接相关的内容。
  3.Storage Admin – Storage in UCSM - 允许配置存储连接相关内容，包括：VSANs，uplink，和其他与FC相关的特性。
  4.Operations – Operations in UCSM - 允许监控报错与事件，并且配置Call Home。

Locales（位置）

• Locales是一个组织（org)的集合，用于限制Roles管理生效的范围。
  1.这些组织之间不需要有任何关联性。
• 你可以指派一个locale到一个用户
• 你可以使用locale技术，使用一个role为很多组织（org）指派权利

集中式认证
三种：
1.LDAP（多）Lightweight Directory Access Protocol，「轻量目录访问协议」核心：「谁 以什么权限 访问什么」。
2.RADIUS Remote Authentication Dial In User Service，远程用户拨号认证系统
3.TACACS+ Terminal Access Controller Access-Control System Plus 为路由器、网络访问服务器和其他互联计算设备通过一个或多个集中的服务器提供访问控制的协议

区别：
1.RADIUS 最大优点：标准化
2.LDAP 数据查询快
3.TACACS+：私有身份验证 缺点：协议私密性

LDAP基本概念中的常用名词缩写及含义
dc domain component 域名部分 example.com dc=example,dc=com
uid user id 用户id 如wyb
ou organization unit 组织单位 如tech
cn common name 公共名称 thomas johansson
sn surname 姓
dn distinguished 唯一辨别名 uid=wyb,ou=market,dc=example,dc=com
rdn relative dn 相对辨别名
c country
o organization

ldap的详细介绍，搭建，配置管理，备份，案例
https://blog.51cto.com/lucifer119/1732662
LDAP实验
创建组织单位

创建组

创建用户

将用户隶属于组

创建LDAP
1.配置基本域名

2.定义LDAP提供者

3.设置LDAP Group Rule

4.创建 LDAP group map

5.create LDAP provider group


UCSM升级
1.下载最新package


2.升级
在本地往上传


UCSM升级顺序
1.适配器adapter
2.CIMC刀片服务器控制器
3.UCS manager
4.I/O模块
5.备用FI
6.主用FI
7.host firmware package（BIOS ,存储控制器storage controller）

1 2 adapter CIMC


3 UCSM


然后会重启

4 IO

5 FI 唯一要断网的，如果是双机热备就不会断网
6 BIOS

10 直连存储

直连存储拓扑

设置FC交换模式
禁用除了1 2口之外的口
将 1 2设置成FC存储口

创建storage VSAN

default zoning：进入VSAN的所有都会自动zoning
把vsan挂上去

划分HBA

pin group不能有