In hierdie artikel sal ons kyk na 'n aantal opsionele, maar nuttige instellings:
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
Hierdie artikel is 'n voortsetting, begin sien oVirt oor 2 uur и .
Artikels
- Bykomende instellings - Ons is hier
Bykomende bestuurderinstellings
Gerieflikheidshalwe sal ons bykomende pakkette installeer:
$ sudo yum install bash-completion vimSkakel oor na bash om outovoltooiing van bash-voltooiing-opdragte te aktiveer.
Voeg bykomende DNS-name by
Dit sal vereis word wanneer jy met 'n alternatiewe naam aan die bestuurder moet koppel (CNAME, alias, of net 'n kort naam sonder 'n domeinagtervoegsel). Om sekuriteitsredes laat die bestuurder slegs verbindings met die toegelate lys name toe.
Skep 'n konfigurasielêer:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.confdie volgende inhoud:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"en herbegin die bestuurder:
$ sudo systemctl restart ovirt-engineOpstel van verifikasie deur AD
oVirt het 'n ingeboude gebruikersbasis, maar eksterne LDAP-verskaffers word ook ondersteun, insluitend. AD.
Die eenvoudigste manier vir 'n tipiese konfigurasie is om die towenaar te begin en die bestuurder te herbegin:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine'n Voorbeeld van die towenaar
$ sudo ovirt-enjin-uitbreiding-aaa-ldap-opstelling
Beskikbare LDAP-implementerings:
...
3 - Active Directory
...
Kies asseblief: 3
Voer asseblief Active Directory-woudnaam in: example.com
Kies asseblief protokol om te gebruik (startTLS, ldaps, plain) [begin TLS]:
Kies asseblief metode om PEM-gekodeerde CA-sertifikaat (Lêer, URL, Inlyn, Stelsel, Onveilig) te verkry: URL
URL:
Voer soekgebruiker-DN in (byvoorbeeld uid=gebruikersnaam,dc=voorbeeld,dc=com of laat leeg vir anoniem): CN=oVirt-Engine,CN=Gebruikers,DC=voorbeeld,DC=com
Voer soekgebruikerwagwoord in: *wagwoord*
[ INFO ] Poging om te bind met 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Gaan jy enkelaanmelding vir virtuele masjiene gebruik (ja, nee) [Ja]:
Spesifiseer asseblief profielnaam wat vir gebruikers sigbaar sal wees [voorbeeld.com]:
Verskaf asseblief geloofsbriewe om aanmeldvloei te toets:
Voer gebruikersnaam in: someAnyUser
Voer gebruiker wagwoord in:
...
[ INFO ] Aantekenvolgorde suksesvol uitgevoer
...
Kies toetsvolgorde om uit te voer (Klaar, Afbreek, Teken in, Soek) [Klaar]:
[INLIGTING] Stadium: Transaksie-opstelling
...
KONFIGURASIE OPSOMMING
...
Die gebruik van die towenaar is geskik vir die meeste gevalle. Vir komplekse konfigurasies word instellings met die hand gemaak. Meer besonderhede in die oVirt-dokumentasie, . Nadat die enjin suksesvol aan AD gekoppel is, sal 'n bykomende profiel in die verbindingsvenster verskyn, en op die Permissions stelselvoorwerpe het die vermoë om toestemmings aan AD-gebruikers en -groepe te verleen. Daar moet kennis geneem word dat die eksterne gids van gebruikers en groepe nie net AD kan wees nie, maar ook IPA, eDirectory, ens.
Multibaan
In 'n produksie-omgewing moet die bergingstelsel aan die gasheer gekoppel word via verskeie, onafhanklike, veelvuldige I/O-paaie. As 'n reël, in CentOS (en dus oVirt'e) is daar geen probleme met die bou van veelvuldige paaie na die toestel nie (find_multipaths ja). Bykomende instellings vir FCoE word beskryf in . Dit is die moeite werd om aandag te skenk aan die aanbeveling van die stoorvervaardiger - baie beveel aan om die round-robin-beleid te gebruik, terwyl Enterprise Linux 7 standaard dienstyd gebruik.
Op die voorbeeld van 3PAR
en dokument EL word geskep as 'n gasheer met Generic-ALUA Persona 2, waarvoor die volgende waardes in die /etc/multipath.conf-instellings ingevoer word:
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}Dan word die opdrag gegee om weer te begin:
systemctl restart multipathd
Rys. 1 is die verstek veelvuldige I/O-beleid.
Rys. 2 - veelvuldige I / O-beleid na toepassing van die instellings.
Kragbestuurinstelling
Laat jou toe om byvoorbeeld 'n harde reset van die masjien uit te voer as die enjin vir 'n lang tyd nie 'n reaksie van die gasheer kan ontvang nie. Geïmplementeer via die heiningagent.
Bereken -> Gashere -> GASHEER - Wysig -> Kragbestuur, skakel dan "Aktiveer kragbestuur" aan en voeg 'n agent by - "Voeg heiningagent by" -> +.
Spesifiseer die tipe (byvoorbeeld, vir iLO5 moet jy ilo4 spesifiseer), die naam/adres van die ipmi-koppelvlak en die gebruikersnaam/wagwoord. Dit word aanbeveel om 'n aparte gebruiker (byvoorbeeld oVirt-PM) te skep en, in die geval van iLO, hom voorregte te gee:
- Teken aan
- Afstandskonsole
- Virtuele krag en herstel
- Virtuele media
- Stel iLO-instellings op
- Administreer gebruikersrekeninge
Moenie vra hoekom dit so is nie, dit word empiries gekies. Die konsole-omheiningsagent vereis 'n kleiner stel regte.
Wanneer toegangsbeheerlyste opgestel word, moet in gedagte gehou word dat die agent nie op die enjin werk nie, maar op die "naburige" gasheer (die sogenaamde Power Management Proxy), dit wil sê as daar net een nodus in die cluster, sal kragbestuur werk sal nie.
Stel SSL op
Volle amptelike instruksies - in , Bylaag D: oVirt en SSL - Vervanging van die oVirt Engine SSL/TLS-sertifikaat.
Die sertifikaat kan van ons korporatiewe GR of van 'n eksterne kommersiële GR wees.
Belangrike nota: die sertifikaat is bedoel om aan die bestuurder te koppel, sal nie die interaksie tussen die enjin en die nodusse beïnvloed nie - hulle sal selfondertekende sertifikate gebruik wat deur die enjin uitgereik is.
vereistes:
- sertifikaat van die uitreik-CA in PEM-formaat, met die hele ketting tot by die wortel-CA (van die ondergeskikte uitreiking aan die begin tot die wortel aan die einde);
- 'n sertifikaat vir Apache uitgereik deur die uitreikende GR (ook kompleet met die hele ketting van GR-sertifikate);
- private sleutel vir Apache, geen wagwoord nie.
Kom ons sê ons uitreikende CA loop CentOS, genaamd subca.example.com, en die versoeke, sleutels en sertifikate is in die /etc/pki/tls/-gids.
Voer rugsteun uit en skep 'n tydelike gids:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certsLaai sertifikate af, voer dit vanaf jou werkstasie af of dra dit op 'n ander gerieflike manier oor:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certsAs gevolg hiervan, behoort jy al 3 lêers te sien:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.keyInstalleer sertifikate
Kopieer lêers en werk vertrouelyste op:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.serviceVoeg konfigurasielêers by/dateer op:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.confENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confSSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cerHerbegin dan alle geaffekteerde dienste:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.serviceKlaar! Dit is tyd om aan die bestuurder te koppel en seker te maak dat die verbinding beveilig is met 'n getekende SSL-sertifikaat.
Argiveer
Waar sonder haar! In hierdie afdeling sal ons praat oor die argivering van die bestuurder, die argivering van die VM is 'n aparte kwessie. Ons sal een keer per dag argiefkopieë maak en dit byvoorbeeld oor NFS stoor op dieselfde stelsel waar ons die ISO-beelde geplaas het - mynfs1.example.com:/exports/ovirt-backup. Dit word nie aanbeveel om argiewe op dieselfde masjien te stoor waar die enjin loop nie.
Installeer en aktiveer autofs:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofsSkep 'n skrif:
$ sudo vim /etc/cron.daily/make.oVirt.backup.shdie volgende inhoud:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;Maak die lêer uitvoerbaar:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.shNou sal ons elke aand 'n argief van bestuurderinstellings ontvang.
Gasheer bestuur koppelvlak
is 'n moderne administratiewe koppelvlak vir Linux-stelsels. In hierdie geval verrig dit 'n rol soortgelyk aan die ESXi-webkoppelvlak.
Rys. 3 - voorkoms van die paneel.
Installasie is baie eenvoudig, jy benodig kajuitpakkette en die kajuit-ovirt-dashboard-inprop:
$ sudo yum install cockpit cockpit-ovirt-dashboard -ySkakel kajuit:
$ sudo systemctl enable --now cockpit.socketFirewall instelling:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentNou kan jy aan die gasheer koppel: https://[Host IP or FQDN]:9090
VLAN
Lees meer oor netwerke in . Daar is baie moontlikhede, hier sal ons die verbinding van virtuele netwerke beskryf.
Om ander subnette te verbind, moet hulle eers in die konfigurasie beskryf word: Netwerk -> Netwerke -> Nuut, hier is slegs die naam 'n vereiste veld; die VM Network-merkblokkie, wat masjiene toelaat om hierdie netwerk te gebruik, is geaktiveer, en om die merker te koppel, moet jy aktiveer Aktiveer VLAN-etikettering, voer die VLAN-nommer in en klik OK.
Nou moet jy gaan na die Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks gashers. Sleep die bygevoegde netwerk van die regterkant van Unassigned Logical Networks na links na Assigned Logical Networks:
Rys. 4 - voordat die netwerk bygevoeg word.
Rys. 5 - nadat die netwerk bygevoeg is.
Vir massaverbinding van verskeie netwerke aan 'n gasheer, is dit gerieflik om etiket(te) aan hulle toe te ken wanneer netwerke geskep word, en netwerke by etikette by te voeg.
Nadat die netwerk geskep is, sal die gashere in die nie-operasionele toestand gaan totdat die netwerk by alle groepnodusse gevoeg is. Hierdie gedrag word veroorsaak deur die Vereis alle vlag op die Groepering-oortjie wanneer 'n nuwe netwerk geskep word. In die geval wanneer die netwerk nie op al die nodusse van die groepering benodig word nie, kan hierdie kenmerk gedeaktiveer word, dan sal die netwerk, wanneer 'n gasheer bygevoeg word, aan die regterkant in die Nie-vereiste-afdeling wees en jy kan kies of jy dit wil koppel aan 'n spesifieke gasheer.
Rys. 6 — keuse van die teken van die netwerkvereiste.
HPE spesifiek
Byna alle vervaardigers het gereedskap wat die bruikbaarheid van hul produkte verbeter. Deur HPE as voorbeeld te gebruik, is AMS (Agentless Management Service, amsd vir iLO5, hp-ams vir iLO4) en SSA (Smart Storage Administrator, werk met 'n skyfbeheerder), ens.
Koppel die HPE-bewaarplek
Voer die sleutel in en koppel die HPE-bewaarplekke:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repodie volgende inhoud:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcpBekyk die inhoud van die bewaarplek en inligting oor die pakket (vir verwysing):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsdInstallasie en bekendstelling:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsd'n Voorbeeld van die hulpprogram om met 'n skyfbeheerder te werk
Dit is al vir nou. In die volgende artikels beplan ek om 'n paar basiese bewerkings en toepassings te dek. Byvoorbeeld, hoe om VDI in oVirt te maak.
Bron: will.com