分类目录归档：Information techonology

Proxmox VE后台用作分销时的权限设定参考

发表评论

需求：因为Proxmox VE不好接SolusVM之类的管理面板，所以我们在分销时直接把Proxmox VE自带的管理后台给用户。我们仅允许用户：

开机，关机
使用VNC功能
挂载指定的ISO自行重装系统

参考配置方法如下。

Storage

创建一个叫iso的Datastore用于存放共享的ISO文件。

Pools

为每个用户创建一个pool。

Roles

创建EndUser role用于用户VM，Privileges：

Datastore.Audit
VM.Audit
VM.Config.CDROM
VM.Config.Disk（不给这个的话CDROM还是没法修改；但是因为没有Datastore相关的权限，用户是分配不了更多硬盘空间的）
VM.Console
VM.Monitor
VM.PowerMgmt

创建EndUserData role用于共享的存储空间，Privileges：

Datastore.Audit

Groups

创建一个User group。

Users

为每个用户创建一个user，Group设为上面创建的User。

Permissions

/storage/iso给User group一个EndUserData的role
/pool/{user}给对应用户账号一个EndUser的role

关于Aironet 3600系列AP和AIR-RM3000AC-x-K9扩展模块的一些笔记

2条回复

Autonomous AP（胖AP）模式

第三个interface是会显示出来的，但是不会工作。不用尝试了。

瘦AP模式

第三个interface会使用和机内的802.11n 5GHz interface相同的MAC地址，并且保持相同的工作状态。即你不能禁用一个的同时启用另一个。WLC上不会让你设置802.11ac interface的启用/禁用，以另一个interface的状态为准。

如果想要override第三个interface的频宽、信道或功率，需要先把802.11n 5GHz interface的相应选项设为custom，然后802.11ac interface的值才能修改。

至于设备最终会握手到哪个interface上，这就纯看人品了。一般来说802.11ac的信号强度要比802.11n差一些。

第三个interface不支持CleanAir扫描。

Vultr使用Azure AD作为SSO provider

发表评论

首先去Azure AD新建一个应用程序。这里需要填写：

Redirect URI：https://my.vultr.com/openid/
Logout URL：https://my.vultr.com/openid/
Home page URL：https://my.vultr.com/sso
删掉所有的permission，一个都不需要
新建一个Client secret

然后去Vultr那边填写：

OpenID Provider URL：https://login.microsoftonline.com/{tenant_id}/
Client ID和Client secret按实际情况填写

最后在Vultr那边添加一个用户，邮箱填写AAD的UPN即可。

如果出现问题，可以点击这里查看Vultr的SSO登录错误详情。Vultr的SSO还不是很完善，错误记录在UI上直接访问不到，Azure AD支持也是我发了工单以后才刚加上的。

参考：

Single Sign-On

Hashicorp Vault在auto unseal不可用时的恢复措施

发表评论

首先想办法拿到原来vault服务器的配置文件。在seal块里面写上一行disabled = "true"，然后启动vault服务器（开个新的或者用原来的都行，只要存储后端能连上就行），进入migration模式。你应该会看到类似的log：

[WARN]  core: entering seal migration mode; Vault will not automatically unseal even if using an autoseal: from_barrier_type=azurekeyvault to_barrier_type=shamir

1	[WARN] core: entering seal migration mode; Vault will not automatically unseal even if using an autoseal: from_barrier_type=azurekeyvault to_barrier_type=shamir

然后每个recovery key持有人下载一个vault，在自己的设备上执行：

（PowerShell）

$env:VAULT_ADDR="http://localhost:8200"
./vault.exe operator unseal "-migrate"

1 2	$env:VAULT_ADDR="http://localhost:8200" ./vault.exe operator unseal "-migrate"

（Bash）

export VAULT_ADDR="http://localhost:8200"
./vault operator unseal -migrate

1 2	export VAULT_ADDR="http://localhost:8200" ./vault operator unseal -migrate

然后输入自己的那份recovery key。如果成功的话，会提示

Unseal Key (will be hidden):
Key Value
--- -----
Seal Type shamir
Initialized true
Sealed true
Total Shares 5
Threshold 3
Unseal Progress 1/3
Unseal Nonce -UUID-
Seal Migration in Progress true
Version 1.1.2
HA Enabled false

Unseal Key (will be hidden):

Key Value

--- -----

Seal Type shamir

Initialized true

Sealed true

Total Shares 5

Threshold 3

Unseal Progress 1/3

Unseal Nonce -UUID-

Seal Migration in Progress true

Version 1.1.2

HA Enabled false

等输入的recovery key数量到达阈值以后，vault会解锁。

如果要设置新的auto unseal，同样修改配置文件，然后手工unseal一次即可。

使用Azure Blob Storage和Azure Key Vault作为后端建立Hashicorp Vault服务器

发表评论

设置Azure

首先建立一个Storage account，获得：

storage account的名字
accountkey（两个之一即可）

然后建立一个Key Vault，去keys里面新建一个key，获得：

Tenant ID
key vault的名字
新建的key的名字

然后我们需要设置Key Vault的access policy。

如果Vault程序运行在Azure VM上，那么需要加一下那台虚拟机
否则，去Azure AD注册一个新的application，加一下那个application

权限的话key permissions里面全选即可。如果你注册了一个新的application，那么需要在application里面生成一个client secret。

设置Hashicorp Vault

参考配置文件：

storage "azure" {
  accountName = "storage-account-name"
  accountKey  = "storage-account-key"
  container   = "blob-storage-name"
  environment = "AzurePublicCloud"
}

seal "azurekeyvault" {
  tenant_id      = "your-aad-tenant-id"
  vault_name     = "key-vault-name"
  key_name       = "key-name"

# only if Vault server is not run on Azure VM:
  client_id      = "aad application client id"
  client_secret  = "aad application client secret"
}

listener "tcp" {
  address     = "127.0.0.1:8200"
  tls_disable = 1
}

ui = true
#log_level = "Trace"
default_lease_ttl = "30m"

max_lease_ttl = "43800h"
disable_mlock = false
disable_cache = false
cluster_name = "test-cluster"

# cannot use with free version
disable_sealwrap = true

storage "azure" {

accountName = "storage-account-name"

accountKey = "storage-account-key"

container = "blob-storage-name"

environment = "AzurePublicCloud"

}

seal "azurekeyvault" {

tenant_id = "your-aad-tenant-id"

vault_name = "key-vault-name"

key_name = "key-name"

# only if Vault server is not run on Azure VM:

client_id = "aad application client id"

client_secret = "aad application client secret"

}

listener "tcp" {

address = "127.0.0.1:8200"

tls_disable = 1

}

ui = true

#log_level = "Trace"

default_lease_ttl = "30m"

max_lease_ttl = "43800h"

disable_mlock = false

disable_cache = false

cluster_name = "test-cluster"

# cannot use with free version

disable_sealwrap = true

初始化Hashicorp Vault

.\vault.exe server "-config=vault.conf"

1	.\vault.exe server "-config=vault.conf"

启动服务器，然后访问http://localhost:8200/ui/vault/init完成初始化向导即可。

Drown in Codes

I was sixteen with an open heart…

分类目录归档：Information techonology

Proxmox VE后台用作分销时的权限设定参考

Storage

Pools

Roles

Groups

Users

Permissions

关于Aironet 3600系列AP和AIR-RM3000AC-x-K9扩展模块的一些笔记

Autonomous AP（胖AP）模式

瘦AP模式

Vultr使用Azure AD作为SSO provider

Hashicorp Vault在auto unseal不可用时的恢复措施

使用Azure Blob Storage和Azure Key Vault作为后端建立Hashicorp Vault服务器

设置Azure

设置Hashicorp Vault

初始化Hashicorp Vault