Gerieflikheidshalwe sal ons bykomende pakkette installeer:
$ sudo yum install bash-completion vim
Skakel oor na bash om outovoltooiing van bash-voltooiing-opdragte te aktiveer.
Voeg bykomende DNS-name by
Dit sal vereis word wanneer jy met 'n alternatiewe naam aan die bestuurder moet koppel (CNAME, alias, of net 'n kort naam sonder 'n domeinagtervoegsel). Om sekuriteitsredes laat die bestuurder slegs verbindings met die toegelate lys name toe.
Skep 'n konfigurasielêer:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
'n Voorbeeld van die towenaar
$ sudo ovirt-enjin-uitbreiding-aaa-ldap-opstelling
Beskikbare LDAP-implementerings:
...
3 - Active Directory
...
Kies asseblief: 3
Voer asseblief Active Directory-woudnaam in: example.com
Kies asseblief protokol om te gebruik (startTLS, ldaps, plain) [begin TLS]:
Kies asseblief metode om PEM-gekodeerde CA-sertifikaat (Lêer, URL, Inlyn, Stelsel, Onveilig) te verkry: URL
URL: wwwca.example.com/myRootCA.pem
Voer soekgebruiker-DN in (byvoorbeeld uid=gebruikersnaam,dc=voorbeeld,dc=com of laat leeg vir anoniem): CN=oVirt-Engine,CN=Gebruikers,DC=voorbeeld,DC=com
Voer soekgebruikerwagwoord in: *wagwoord*
[ INFO ] Poging om te bind met 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Gaan jy enkelaanmelding vir virtuele masjiene gebruik (ja, nee) [Ja]:
Spesifiseer asseblief profielnaam wat vir gebruikers sigbaar sal wees [voorbeeld.com]:
Verskaf asseblief geloofsbriewe om aanmeldvloei te toets:
Voer gebruikersnaam in: someAnyUser
Voer gebruiker wagwoord in:
...
[ INFO ] Aantekenvolgorde suksesvol uitgevoer
...
Kies toetsvolgorde om uit te voer (Klaar, Afbreek, Teken in, Soek) [Klaar]:
[INLIGTING] Stadium: Transaksie-opstelling
...
KONFIGURASIE OPSOMMING
...
Die gebruik van die towenaar is geskik vir die meeste gevalle. Vir komplekse konfigurasies word instellings met die hand gemaak. Meer besonderhede in die oVirt-dokumentasie, Gebruikers en rolle. Nadat die enjin suksesvol aan AD gekoppel is, sal 'n bykomende profiel in die verbindingsvenster verskyn, en op die Permissions stelselvoorwerpe het die vermoë om toestemmings aan AD-gebruikers en -groepe te verleen. Daar moet kennis geneem word dat die eksterne gids van gebruikers en groepe nie net AD kan wees nie, maar ook IPA, eDirectory, ens.
Multibaan
In 'n produksie-omgewing moet die bergingstelsel aan die gasheer gekoppel word via verskeie, onafhanklike, veelvuldige I/O-paaie. As 'n reël, in CentOS (en dus oVirt'e) is daar geen probleme met die bou van veelvuldige paaie na die toestel nie (find_multipaths ja). Bykomende instellings vir FCoE word beskryf in 2de deel. Dit is die moeite werd om aandag te skenk aan die aanbeveling van die stoorvervaardiger - baie beveel aan om die round-robin-beleid te gebruik, terwyl Enterprise Linux 7 standaard dienstyd gebruik.
Rys. 2 - veelvuldige I / O-beleid na toepassing van die instellings.
Kragbestuurinstelling
Laat jou toe om byvoorbeeld 'n harde reset van die masjien uit te voer as die enjin vir 'n lang tyd nie 'n reaksie van die gasheer kan ontvang nie. Geïmplementeer via die heiningagent.
Bereken -> Gashere -> GASHEER - Wysig -> Kragbestuur, skakel dan "Aktiveer kragbestuur" aan en voeg 'n agent by - "Voeg heiningagent by" -> +.
Spesifiseer die tipe (byvoorbeeld, vir iLO5 moet jy ilo4 spesifiseer), die naam/adres van die ipmi-koppelvlak en die gebruikersnaam/wagwoord. Dit word aanbeveel om 'n aparte gebruiker (byvoorbeeld oVirt-PM) te skep en, in die geval van iLO, hom voorregte te gee:
Teken aan
Afstandskonsole
Virtuele krag en herstel
Virtuele media
Stel iLO-instellings op
Administreer gebruikersrekeninge
Moenie vra hoekom dit so is nie, dit word empiries gekies. Die konsole-omheiningsagent vereis 'n kleiner stel regte.
Wanneer toegangsbeheerlyste opgestel word, moet in gedagte gehou word dat die agent nie op die enjin werk nie, maar op die "naburige" gasheer (die sogenaamde Power Management Proxy), dit wil sê as daar net een nodus in die cluster, sal kragbestuur werk sal nie.
Stel SSL op
Volle amptelike instruksies - in dokumentasie, Bylaag D: oVirt en SSL - Vervanging van die oVirt Engine SSL/TLS-sertifikaat.
Die sertifikaat kan van ons korporatiewe GR of van 'n eksterne kommersiële GR wees.
Belangrike nota: die sertifikaat is bedoel om aan die bestuurder te koppel, sal nie die interaksie tussen die enjin en die nodusse beïnvloed nie - hulle sal selfondertekende sertifikate gebruik wat deur die enjin uitgereik is.
vereistes:
sertifikaat van die uitreik-CA in PEM-formaat, met die hele ketting tot by die wortel-CA (van die ondergeskikte uitreiking aan die begin tot die wortel aan die einde);
'n sertifikaat vir Apache uitgereik deur die uitreikende GR (ook kompleet met die hele ketting van GR-sertifikate);
private sleutel vir Apache, geen wagwoord nie.
Kom ons sê ons uitreikende CA loop CentOS, genaamd subca.example.com, en die versoeke, sleutels en sertifikate is in die /etc/pki/tls/-gids.
Klaar! Dit is tyd om aan die bestuurder te koppel en seker te maak dat die verbinding beveilig is met 'n getekende SSL-sertifikaat.
Argiveer
Waar sonder haar! In hierdie afdeling sal ons praat oor die argivering van die bestuurder, die argivering van die VM is 'n aparte kwessie. Ons sal een keer per dag argiefkopieë maak en dit byvoorbeeld oor NFS stoor op dieselfde stelsel waar ons die ISO-beelde geplaas het - mynfs1.example.com:/exports/ovirt-backup. Dit word nie aanbeveel om argiewe op dieselfde masjien te stoor waar die enjin loop nie.
Nou kan jy aan die gasheer koppel: https://[Host IP or FQDN]:9090
VLAN
Lees meer oor netwerke in dokumentasie. Daar is baie moontlikhede, hier sal ons die verbinding van virtuele netwerke beskryf.
Om ander subnette te verbind, moet hulle eers in die konfigurasie beskryf word: Netwerk -> Netwerke -> Nuut, hier is slegs die naam 'n vereiste veld; die VM Network-merkblokkie, wat masjiene toelaat om hierdie netwerk te gebruik, is geaktiveer, en om die merker te koppel, moet jy aktiveer Aktiveer VLAN-etikettering, voer die VLAN-nommer in en klik OK.
Nou moet jy gaan na die Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks gashers. Sleep die bygevoegde netwerk van die regterkant van Unassigned Logical Networks na links na Assigned Logical Networks:
Rys. 4 - voordat die netwerk bygevoeg word.
Rys. 5 - nadat die netwerk bygevoeg is.
Vir massaverbinding van verskeie netwerke aan 'n gasheer, is dit gerieflik om etiket(te) aan hulle toe te ken wanneer netwerke geskep word, en netwerke by etikette by te voeg.
Nadat die netwerk geskep is, sal die gashere in die nie-operasionele toestand gaan totdat die netwerk by alle groepnodusse gevoeg is. Hierdie gedrag word veroorsaak deur die Vereis alle vlag op die Groepering-oortjie wanneer 'n nuwe netwerk geskep word. In die geval wanneer die netwerk nie op al die nodusse van die groepering benodig word nie, kan hierdie kenmerk gedeaktiveer word, dan sal die netwerk, wanneer 'n gasheer bygevoeg word, aan die regterkant in die Nie-vereiste-afdeling wees en jy kan kies of jy dit wil koppel aan 'n spesifieke gasheer.
Rys. 6 — keuse van die teken van die netwerkvereiste.
HPE spesifiek
Byna alle vervaardigers het gereedskap wat die bruikbaarheid van hul produkte verbeter. Deur HPE as voorbeeld te gebruik, is AMS (Agentless Management Service, amsd vir iLO5, hp-ams vir iLO4) en SSA (Smart Storage Administrator, werk met 'n skyfbeheerder), ens.
Koppel die HPE-bewaarplek
Voer die sleutel in en koppel die HPE-bewaarplekke:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo