废话不说了，就说一下整个迁移步骤：

1. 打开ESXi的ssh来上传VM server的虚拟机文件
安装好ESXi后，虽然可以通过访问datastore上传下载文件，但速度实在不敢恭维，而且很容易连接超时而中断上传。
打开ssh方法如下：
登录到ESXi的console，按Alt-F1，输入unsupported，会提示password。 输入root的密码就可以进入shell了。
ESXi的ssh是dropbear提供的，这个软件在嵌入式设备上用的很常见吧。
言归正传，在/etc/inetd.conf中将如下行的注释去掉
ssh stream tcp nowait root /sbin/dropbearmulti dropbear ++min=0,swap,group=shell -i
然后ps |grep inetd 将pid记下，最后kill -HUP 这样ssh就可以连上来了。

2. 将VM server的虚拟机文件上传到ESXi的vmfs卷上，只要vmdk的文件全部上传就可以了

3. 使用vmkfstools转换磁盘格式
vmkfstools -i 上传的磁盘文件 要生成的新磁盘文件（必须全路径）

4. 在VIC上新建虚拟机，选custom方式，虚拟机配置最好和原来VM server上一致，在建立磁盘选项中，选择使用已存在的磁盘，然后选中你上面生成的新磁盘文件。

好了， 完毕。没问题的话，你应该可以正常使用了原来的虚拟机了。

经测试，不管是windows还是linux都可以用以上方式迁移，但源虚拟机磁盘必须是scsi， 不能使用ide硬盘。

Nov 18 10:49:25: app| The vm-list file has changed! Reloading the list of registered vms
Nov 18 10:49:25: app| SSL: Unknown SSL Error
Nov 18 10:49:25: app| SSL Error: error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure
Nov 18 10:49:25: app| OvlHostStartIo: errno 0
Nov 18 10:49:25: app| vmdbPipe_Streams: Couldn’t read
Nov 18 10:49:25: app| Failed to add connection to database : -32
Nov 18 10:49:25: app| Failed to accept new client vmdb connection
Nov 18 10:49:25: app| SP: Deleting user session: 0 username: tester
Nov 18 10:49:25: app| CnxAcceptConnection: Could not send the magic marker on 20: Broken pipe
Nov 18 10:49:25: app| Failed to get IPC connection
Nov 18 10:49:25: app| CnxAcceptConnection: Could not send the magic marker on 20: Broken pipe
Nov 18 10:49:25: app| Failed to get connection on vmdb port
Nov 18 10:49:25: app| CnxAcceptConnection: Could not send the magic marker on 20: Broken pipe
Nov 18 10:49:25: app| Failed to get IPC connection
Nov 18 10:49:25: app| CnxAcceptConnection: Could not send the magic marker on 20: Broken pipe
Nov 18 10:49:25: app| Failed to get connection on vmdb port
Nov 18 10:49:25: app| CnxAcceptConnection: Could not send the magic marker on 20: Broken pipe
Nov 18 10:49:25: app| Failed to get IPC connection
Nov 18 10:49:25: app| CnxAcceptConnection: Could not send the magic marker on 20: Broken pipe
Nov 18 10:49:25: app| Failed to get connection on vmdb port
Nov 18 10:49:25: app| CnxAcceptConnection: Could not send the magic marker on 20: Broken pipe
Nov 18 10:49:25: app| Failed to get IPC connection
Nov 18 10:49:25: app| CnxAcceptConnection: Could not send the magic marker on 20: Broken pipe
Nov 18 10:49:25: app| Failed to get connection on vmdb port

ifconfig查看网卡情况，居然连vmnet的虚拟网卡都不见了，好在虚拟机还是能正常访问和工作的。
查看secure登录，发现：

Nov 18 10:32:40 sghsrv13 vmware-authd[11053]: PAM unable to dlopen(/lib/security/pam_unix2.so)
Nov 18 10:32:40 sghsrv13 vmware-authd[11053]: PAM [dlerror: /lib/security/pam_unix2.so: cannot open shared object file: No such file or directory]

看来vmware的验证模块有些问题， 将/etc/pam.d/ssh拷贝成vmware-authd后，log显示正常，但还是不能登陆。

最后索性将vmware-serverd进程kill掉，然后再/usr/sbin/vmware-serverd -s -d重启服务。
kill vmware-serverd不会影响运行中的虚拟机，这一步其实是这次解决问题的关键

此时尝试登陆，还是有出错提示，但已经可以登录console了，查看vmware-serverd日志：

Nov 18 11:10:00: app| The vm-list file has changed! Reloading the list of registered vms
Nov 18 11:10:00: app| Failed to lookup owner for: /vm/win2003/Windows Server 2003 Standard Edition.vmx. Reason: No such file or directory
Nov 18 11:10:00: app| Could not get canonical path for /vm/win2003/Windows Server 2003 Standard Edition.vmx: No such file or directory
Nov 18 11:10:00: app| Error Adding vm: /vm/win2003/Windows Server 2003 Standard Edition.vmx

看来是删除了虚拟机但vm-list没有更新造成以上错误。
手动update vm-list然后再登陆vmware server console，一切正常了。

查阅资料无数， 解决方法如下：
把node2上cluster进程全部关闭，然后依次重新启动服务，顺序如下
service rgmanager stop
service fenced stop
service cman stop
service ccsd stop
然后按相反的顺序启动service，即
node2上 service ccsd start
node1上 service ccsd start
node2上 service cman start
node1上 service cman start
………
………
总算干净了

First, use following command to generate keystore file

keytool -genkey -alias tomcat -keyalg RSA -keystore $SavePath/KeyFile

$SavePath is the path you save the file.

Second, uncomment the “SSL HTTP/1.1 Connector” entry in server.xml;

Third, update server.xml to use the ssl configuration as above:

enableLookups=”true” disableUploadTimeout=”true”
acceptCount=”100″ maxThreads=”200″
scheme=”https” secure=”true” SSLEnabled=”true”
keystoreFile=”test.keystore” keystorePass=”123654″
clientAuth=”false” sslProtocol=”TLS”/>

The bold font is the keystore filename and password.

Here we use 443 as the ssl port.

Use openssl to make certificate and import to tomcat

Tomcat can use the Apache Portable Runtime to provide superior scalability, performance, and better integration with native server technologies.

Requirements:

APR 1.2+ development headers (libapr1-dev package)

OpenSSL 0.9.7+ development headers (libssl-dev package)

JNI headers from Java compatible JDK 1.4+

GNU development environment (gcc, make)

The wrapper library sources are located in the Tomcat binary bundle, in the bin/tomcat-native.tar.gz archive. Once the build environment is installed and the source archive is extracted, the wrapper library can be compiled using (from the folder containing the configure script, default is /usr/local/apr):

./configure && make && make install

After that,

export LD_LIBRARY_PATH = $ LD_LIBRARY_PATH:/usr/local/apr/lib

and then update Catalina.sh script file, add following line:

CATALINA_OPTS=”-Djava.library.path=/usr/local/apr/lib”

To make sure whether tomcat enabled apr, check tomcat log, if no apr enabled, the log file contains: org.apache.coyote.http11.Http11Protocol start, if apr enabled, the log should be org.apache.coyote.http11.Http11AprProtocol start.

And last, need update server.xml, add line like following:

address=”{tomcat.listen.address}” port=”443″
enableLookups=”true” disableUploadTimeout=”true”
acceptCount=”100″ maxThreads=”200″
scheme=”https” secure=”true” SSLEnabled=”true” SSLEngine=”on”
clientAuth=”false” sslProtocol=”TLS”
SSLProtocol=”-all +SSLv3 +TLSv1″
SSLCipherSuite=”HIGH:MEDIUM:!aNULL:!ADH:+SHA1:+MD5+HIGH:MEDIUM”
SSLCertificateFile=”{your certificate file}”
SSLCertificateKeyFile=”{your certificate key file}”
SSLPassword=”{your password of certificate}” />

And if we want tomcat only listen on the certen IP, then server.xml should be updated as following:

enableLookups=”true” disableUploadTimeout=”true”
acceptCount=”100″ maxThreads=”200″
scheme=”https” secure=”true” SSLEnabled=”true”
keystoreFile=”test.keystore” keystorePass=”123654″
clientAuth=”false” sslProtocol=”TLS”/>

Add address parameter, tomcat will only listen the IP you defined.

环境描述

内网网段：192.168.96.0/24
网关外网地址（eth1）：116.228.1.1 (虚构)
网关内网地址（eth0）:192.168.96.253

网关上已经做好了 SNAT，同时做了两个 DNAT 116.228.1.1:18080–>192.168.96.55:8080

奇怪的是，这个端口映射外部的用户都可以访问到，内部非192.168.96.0/24的用户也可以访问到。但就是 192.168.96.0/24 网段的设备无法访问。

搜到了一篇帖子，详细解释了这个问题：http://linux.chinaunix.net/bbs/archiver/?tid-884706.html 。其中 ssffzz1 的一段解释非常详细，贴于此处：

我压根就没听说什么重导,导什么啊.
我都发了1000遍了,你却不用搜索.我只好在发一遍.

另外还有别的解决办法,我没有更新到此帖上来,不过原理大同小异.

看到论坛内很多弟兄做了DNAT,外网正常访问,内网却无法访问.现将原因总结如下:
设网络结构如下：

外网某机器为W1，路由器为R1，内网服务器为S1，内网某机器为C1，设服务为80
地址分布如下：
R1：外（eth0）：192.168.0.5 内(eth1)：192.168.1.254
S1：192.168.1.5
C1：192.168.1.8

原因如下：
外网为什么能成功：
当W1以某IP端口80访问R1的外网地址192.168.0.5时，数据包到达192.168.0.5的接口eth0，ROS根据DNAT规则做了到 S1 192.168.1.5的转发，S1 192.168.1.5收到来自某IP的包后S1会发出正确的相应，此响应的目的IP为W1的IP，根据默认网关（R1的 eth1）192.168.1.254规则把回应包发到R1，因为R1先前DNAT的关系（有DNAT的记录），R1回做一个反方向的NAT转发，从而数据包能够正确的到达W1，因此能够正确通信。
内网为什么不能成功：
1、 DNAT规则是针对eth0口配置的：
设R1的DNAT规则：iptables –t nat –A PREROUTING –i eth0 –p tcp –m tcp –d 192.168.0.5 –dport 80 –j DNAT –-to-destinstion 192.168.1.5
当C1以192.168.0.5为目的IP访问80服务的时候，数据包从192.168.1.254口传入，R1根据路由规则，会把目的 192.168.0.5的地址直接送到上层接口，而不会经过R1为eth0接口配置的DNAT规则，那么此时192.168.0.5开了80服务了吗？很显然没有，因此无法访问。

2、 DNAT的规则是全局的：
设R1的DNAT规则：iptables –t nat –A PREROUTING –p tcp –m tcp –d 192.168.0.5 –dport 80 –j DNAT –-to-destinstion 192.168.1.5
当C1以192.168.0.5为目的IP访问80服务的时候，数据包从192.168.1.254口传入，R1根据DNAT规则会把此数据包DNAT到正确的S1服务器192.168.1.5，当S1收到包的时候S1会根据自己的路由表不经过R1的转发而会直接把数据发到C1，因为C1和S1是在同一个网络，这时候C1回收到S1的回应，按说此时应该能正常通信。但不幸的是我们忽略了源IP的问题。C1是把数据包发给的是R1的外网IP 192.168.0.5，而收到的IP的源地址却是S1的IP192.168.1.5，虽然数据包的除IP外所有的都是正确的，但C1仍然不会接受，会把这个包丢弃的。因此通信还是无法进行。

解决办法：
1、 从DNS入手，在内网设置自己的DNS，或者编辑client的hosts表把S1的地址不要解析成外网的IP，这样就变成内网的通信，还不占用ROS的带宽。这是我首推的方法。
2、 如果一定要走ROS，首先你要为每个可能进入的接口配置相应的DNAT策略，当然使用我上面举例的全局策略就完全可以的，那么我们下面应该如何设置呢？又有两种情况：
1） 如果可以把服务器放到一个单独的网段请你及时这样做。因为这样可以避免攻击，便于控制等等好处N多了。麻烦就是需要ROS多加一个网卡当然如果你配置多地址的话，网卡都可以省了，不过这么省不太好吧。当然还需要配置正确的SNAT。
2） 有些人说我就不能放到单独的网段，那我也有办法，这是我最不赞成的方法，就是请你删掉S1上到192.168.1.0网络的路由表项目，这样会强制S1到C1的数据包走R1，这样R1就可以实施相反的转换，当然也就可以正常通信了。
route del –net 192.168.1.0 netmask 255.255.255.0 gw * dev eth1

以上是我对所谓的回流问题的个人见解。你看后有3种情况：
1、 写的不好没法看，或我都知道了不用看，请别拿石头丢我，我很脆弱。不过有错误尽管提，我很虚心。
2、 和你想的差不多，那恭喜你，我先写出来了。
3、 看不懂。没法子，我语文很差，逻辑很差，英文很差。你将就将就吧。

最后请原谅我不能提供相应的ROS命令，因为这个东西我实在不懂，我只能提供IPTABLES和标准的LINUX命令。

结合到我的实际情况就是：

当 192.168.96.1 请求访问 116.228.1.1:18080 时，数据从 网关eth0网卡进入，网关发现116.228.1.1为本机地址，则不将数据从 eth1 口发出，而直接返回 DNAT 信息。此时数据包从 eth0进，也从 eth0 出。当 192.168.96.55:8080 收到请求之后，直接将数据返回给 192.168.96.1 （因为 iptables 规则里面并没有根据 eth0 出来做 SNAT）。当 192.168.96.1 收到 192.168.96.55 返回信息时，则会丢弃，因为他请求的是 116.228.1.1。

这样，解决这个问题的点在于：

1. DNAT 动作要能接受所有网卡流入的信息。如果原来的 DNAT 写了 -i eth1 ，则肯定会出错了。
2. 在上文所述情况下 eth0 出的数据，应该再做 SNAT，将 SNAT 设置为网关地址。让 192.168.96.55 将数据返回到 网关，由网关转发。

那么写这两句：

-A PREROUTING -p tcp -m tcp –dport 18080 -j DNAT –to-destination 192.168.96.55:8080
-A POSTROUTING -o eth0 -j SNAT –to-source 192.168.96.253

第一句不指定访问 ip！

mysql> use test
Database changed
mysql> show tables;
Ignoring query to other database
mysql>

几乎所有指令都报这个错误。

在执行多次： mysql -v -uroot 之后，就好了。
依旧不知道这个问题的起因，以及明确的解决方法。

—————————————

8月14日更新：

发现，现在如果用 mysql -root 进入 mysql shell，就总是出现同样的问题。
但是若 mysql -uroot 则没有问题。

1. /etc/my.cnf
2.~/.my.cnf

今天上午做了几次尝试，稍微写两句结论。

1. /etc/my.cnf 的优先级高。
2. ~/.my.cnf 其中的 ~ 与 mysqld_safe –user=username 中的 username 用户无关。
~定位的是当前执行命令的用户。并且 由于 sudo 命令并不会改变环境变量。所以以 latteye 用户执行 sudo 时，并不读取 root 根目录下的配置文件，而是读取 latteye home 目录下的配置文件。

1.
a. 这个很简单，先建立 PV，再来是 VG，最后是 LV。把东西都塞到 VG 里面就是了。
b. lvextend 命令有个 -m 参数是建立镜像的。

2. SSL 是在传输层之上的，也就是在 TCP/IP 之上。所以他可以适用与任何的7层服务。

原理么，说出来一大堆了。对对称加密和非对称加密知道是怎么回事情就可以了。

3. 这个问题 kiever 已经说过了。请看这里。

4. inode 满了，block 没满。
解决方法，删文件咯。ln 挂其他分区过来咯~

目前常见的linux系统，包括redhat，centos，debian，arch等，只需要安装xinit（当然还有它所依赖的包）即可。通过apt、yum都可以很容易的完成安装。从完全不带X的console加装X，只需20-30M就可以完成X环境部署。