虚机下发后远程不稳定的疑难杂症排查

最近接手了一个烂摊子。客户需求很简单，根据现有模板或者重新安装系统来下发2个Windows server2012的虚拟机。由于该项目的实施同事早已离职不干，所以在只有一张用户名/密码表的情况下来做这件看似简单的事情还是有点摸不着头脑。

不管三七二十一吧，干就完了！

第一天起了个大早跟着项目经理去了现场，看着一堆人忙里忙外，这不通那不通，身心顿时感到甚是乏累呀~

心里想着这件事貌似看起来没这么简单，不过项目经理对我说，咱们要干的和他们没关系（噗~ 长舒一口气），咱们只需要做好咱们虚拟化这块的事情就可以了。

好，二话不说掏出网线，拿出笔记本就开始一顿骚操作……:666:

好在和之前谈的需求没变，照我思路来吧，由于之前没有怎么接触过某为的虚拟化，所以就照着传统的方法一顿摸索，登控制台-找winserver2012模板-按照模板部署虚拟机，一路默认下来，2台虚拟机就好了。

万万没想到卡在了虚拟机的VNC登陆上，一直提示没有安装java控件，无奈之下致电400，结果某为的工程师说最新版win10 1709的版本确实有问题，建议换win7电脑试试，无语……机灵一下，打开了我的VMware workstation找了一台win7的虚拟机网卡桥接到连接虚拟化平台的网卡，然后……然后就没问题了。

VNC登陆浪费将近40分钟，不得不吐槽某为的虚拟化平台VNC登陆用户体验简直太差了，不如直接换成像incloud sphere或者Citrix的客户端管理。

废话不多说，紧接着就照着客户的要求调调虚机参数配置配配地址开启远程关闭防火墙，安装tools，重启，OK搞定！

这时，项目经理又来新需求，出口的防火墙做了DNAT，再调调防火墙吧，然后甩了2个防火墙出口的IP地址给我，好吧硬着头皮看看吧，由于某为的防火墙这里做了热备所以默认登上去的防火墙控制台发现之前的配置都是空的啊，是不是项目经理忽悠我？硬头皮问问原先实施的同事吧，然后才知道右上角的虚拟系统默认root什么也没有，需要切换虚拟系统，然后找到0.0系统和2.0系统才发现有相关配置，接下来就是照猫画虎配置服务器地址映射了，输入名称、外网地址、私网地址、区域……确定-提交-保存-OK。完成之后，到外面的管理PC测试下吧，结果远程桌面连续点击几回偶尔其中几次才有反应，更奇怪的是ping测试，其中一台长ping没问题，但是另一台怎么都ping不通。好家伙这问题可算是奇葩了。

不慌，排查内网是否有此问题，两台虚拟机互ping、远程完全没问题。那可能是中间核心或者防火墙的问题，但是其它虚拟机同样的环境下访问却没有任何问题。实在没有办法就看看核心交换机吧。

好吧，还真是让我无语，虚拟化环境的网络层设备做一ACL是图什么呢？安全吗？那以后下发虚拟机都得调调核心了，这样看来可以给客户推荐云平台了……呵呵

在这个3003的ACL下新增2条rule问题解决！

那么让我感到疑惑的是：ACL最后匹配deny any any，那为何一开始虚拟机远程的时候还会偶尔成功登陆，而且其中一台虚拟机长ping没问题。有哪位大神可以解惑？小弟不胜感激啊！

:好棒:云平台，值得拥有