في هذه المقالة ، سنلقي نظرة على عدد من الإعدادات الاختيارية والمفيدة:
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
هذه المقالة هي استمرار ، ابدأ في رؤية oVirt بعد ساعتين и .
مقالات
- إعدادات إضافية - نحن هنا
إعدادات المدير الإضافية
للراحة ، سنقوم بتثبيت حزم إضافية:
$ sudo yum install bash-completion vimلتمكين الإكمال التلقائي لأوامر الإكمال التلقائي ، قم بالتبديل إلى bash.
إضافة أسماء DNS إضافية
سيكون هذا مطلوبًا عندما تحتاج إلى الاتصال بالمدير باستخدام اسم بديل (CNAME أو الاسم المستعار أو مجرد اسم قصير بدون لاحقة مجال). لأسباب أمنية ، لا يسمح المدير إلا بالاتصالات بقائمة الأسماء المسموح بها.
قم بإنشاء ملف التكوين:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.confالمحتوى التالي:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"وأعد تشغيل المدير:
$ sudo systemctl restart ovirt-engineتكوين المصادقة من خلال AD
يحتوي oVirt على قاعدة مستخدمين مدمجة ، لكن موفري LDAP الخارجيين مدعومين أيضًا ، بما في ذلك. إعلان.
إن أبسط طريقة للتكوين النموذجي هي بدء المعالج وإعادة تشغيل المدير:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engineمثال على المعالج
$ sudo ovirt-engine-extension-aaa-ldap-setup
تطبيقات LDAP المتاحة:
...
3 - الدليل النشط
...
من فضلك اختر 3
الرجاء إدخال اسم غابة Active Directory: example.com
الرجاء تحديد بروتوكول لاستخدامه (startTLS ، ldaps ، عادي) [بدءTLS]:
يرجى تحديد طريقة للحصول على شهادة CA المشفرة PEM (ملف ، URL ، مضمنة ، نظام ، غير آمن): URL
URL:
أدخل اسم مستخدم البحث DN (على سبيل المثال uid = اسم المستخدم ، dc = مثال ، dc = com أو اتركه فارغًا لمجهول): CN = oVirt-Engine ، CN = المستخدمون ، DC = مثال ، DC = com
أدخل كلمة مرور مستخدم البحث: *كلمة المرور*
[INFO] محاولة الربط باستخدام "CN = oVirt-Engine، CN = Users، DC = example، DC = com"
هل ستستخدم الدخول الموحّد للأجهزة الافتراضية (نعم ، لا) [نعم]:
يرجى تحديد اسم ملف التعريف الذي سيكون مرئيًا للمستخدمين [example.com]:
يرجى تقديم بيانات الاعتماد لاختبار تدفق تسجيل الدخول:
ادخل اسم المستخدم: بعض المستخدمين
أدخل كلمة مرور المستخدم:
...
[INFO] تم تنفيذ تسلسل تسجيل الدخول بنجاح
...
حدد تسلسل الاختبار لتنفيذه (تم ، إحباط ، تسجيل الدخول ، بحث) [منتهي]:
[INFO] المرحلة: إعداد المعاملة
...
ملخص التكوين
...
استخدام المعالج مناسب لمعظم الحالات. بالنسبة للتكوينات المعقدة ، يتم إجراء الإعدادات يدويًا. مزيد من التفاصيل في وثائق oVirt ، . بعد توصيل المحرك بـ AD بنجاح ، سيظهر ملف تعريف إضافي في نافذة الاتصال وعلى أذونات كائنات النظام لديها القدرة على منح أذونات لمستخدمي ومجموعات AD. تجدر الإشارة إلى أن الدليل الخارجي للمستخدمين والمجموعات لا يمكن أن يكون فقط AD ، ولكن أيضًا IPA ، و eDirectory ، وما إلى ذلك.
تعدد
في بيئة الإنتاج ، يجب توصيل نظام التخزين بالمضيف عبر مسارات إدخال / إخراج متعددة ومستقلة ومتعددة. كقاعدة عامة ، في CentOS (وبالتالي oVirt'e) لا توجد مشاكل في بناء مسارات متعددة للجهاز (find_multipaths نعم). تم وصف الإعدادات الإضافية لـ FCoE في . يجدر الانتباه إلى توصية الشركة المصنعة للتخزين - يوصي الكثيرون باستخدام سياسة round-robin ، بينما يستخدم Enterprise Linux 7 وقت الخدمة افتراضيًا.
على سبيل المثال 3PAR
والوثيقة تم إنشاء EL كمضيف باستخدام Generic-ALUA Persona 2 ، والذي يتم إدخال القيم التالية له في إعدادات /etc/multipath.conf:
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}ثم يتم إعطاء أمر إعادة التشغيل:
systemctl restart multipathd
أرز. 1 هي سياسة الإدخال / الإخراج المتعددة الافتراضية.
أرز. 2 - سياسة الإدخال / الإخراج المتعددة بعد تطبيق الإعدادات.
إعداد إدارة الطاقة
يسمح لك بإجراء ، على سبيل المثال ، إعادة تعيين ثابت للجهاز إذا لم يتمكن المحرك من تلقي استجابة من المضيف لفترة طويلة. تم التنفيذ عن طريق وكيل السياج.
احسب -> المضيفون -> HOST - تحرير -> إدارة الطاقة ، ثم قم بتشغيل "تمكين إدارة الطاقة" وإضافة وكيل - "إضافة عامل سياج" -> +.
حدد النوع (على سبيل المثال ، بالنسبة لـ iLO5 ، يجب تحديد ilo4) واسم / عنوان واجهة ipmi واسم المستخدم / كلمة المرور. يوصى بإنشاء مستخدم منفصل (على سبيل المثال ، oVirt-PM) ، وفي حالة iLO ، امنحه الامتيازات:
- تسجيل الدخول
- وحدة التحكم عن بعد
- القوة الافتراضية وإعادة التعيين
- الوسائط الافتراضية
- تكوين إعدادات iLO
- إدارة حسابات المستخدمين
لا تسأل لماذا يتم اختياره تجريبيا. يتطلب عامل سياج وحدة التحكم مجموعة أصغر من الحقوق.
عند إعداد قوائم التحكم في الوصول ، يجب أن يؤخذ في الاعتبار أن الوكيل لا يعمل على المحرك ، ولكن على المضيف "المجاور" (ما يسمى وكيل إدارة الطاقة) ، أي إذا كانت هناك عقدة واحدة فقط في الكتلة ، ستعمل إدارة الطاقة لن.
إعداد SSL
تعليمات رسمية كاملة - في ، الملحق د: oVirt و SSL - استبدال شهادة oVirt Engine SSL / TLS.
يمكن أن تكون الشهادة من CA لشركتنا أو من CA تجاري خارجي.
ملاحظة مهمة: تهدف الشهادة إلى الاتصال بالمدير ، ولن تؤثر على التفاعل بين المحرك والعقد - ستستخدم الشهادات ذاتية التوقيع الصادرة عن المحرك.
المتطلبات:
- شهادة إصدار المرجع المصدق بتنسيق PEM ، مع السلسلة بأكملها إلى المرجع المصدق الجذر (من الإصدار الثانوي في البداية إلى الجذر في النهاية) ؛
- شهادة لـ Apache صادرة عن المرجع المصدق (CA) (كامل أيضًا مع السلسلة الكاملة لشهادات CA) ؛
- مفتاح خاص لـ Apache ، بدون كلمة مرور.
لنفترض أن المرجع المصدق لدينا يقوم بتشغيل CentOS ، المسمى subca.example.com ، والطلبات والمفاتيح والشهادات موجودة في الدليل / etc / pki / tls /.
عمل نسخ احتياطية وإنشاء دليل مؤقت:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certsقم بتنزيل الشهادات أو تنفيذها من محطة العمل الخاصة بك أو انقلها بطريقة أخرى مناسبة:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certsنتيجة لذلك ، من المفترض أن ترى جميع الملفات الثلاثة:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.keyتركيب الشهادات
نسخ الملفات وتحديث قوائم الثقة:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.serviceإضافة / تحديث ملفات التكوين:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.confENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confSSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cerبعد ذلك ، أعد تشغيل جميع الخدمات المتأثرة:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.serviceمستعد! حان الوقت للاتصال بالمدير والتحقق من تأمين الاتصال بشهادة SSL موقعة.
الأرشفة
أين بدونها! في هذا القسم ، سنتحدث عن أرشفة المدير ، وأرشفة الجهاز الظاهري هي قضية منفصلة. سنقوم بعمل نسخ أرشيفية مرة واحدة يوميًا ونخزنها عبر NFS ، على سبيل المثال ، على نفس النظام حيث وضعنا صور ISO - mynfs1.example.com:/exports/ovirt-backup. لا يوصى بتخزين المحفوظات على نفس الجهاز حيث يعمل المحرك.
تثبيت وتمكين autofs:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofsقم بإنشاء برنامج نصي:
$ sudo vim /etc/cron.daily/make.oVirt.backup.shالمحتوى التالي:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;جعل الملف قابلاً للتنفيذ:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.shالآن كل ليلة سوف نتلقى أرشيفًا من إعدادات المدير.
واجهة إدارة المضيف
هي واجهة إدارية حديثة لأنظمة Linux. في هذه الحالة ، يؤدي دورًا مشابهًا لواجهة الويب ESXi.
أرز. 3 - مظهر اللوح.
التثبيت بسيط للغاية ، فأنت بحاجة إلى حزم قمرة القيادة والمكوِّن الإضافي للوحة القيادة:
$ sudo yum install cockpit cockpit-ovirt-dashboard -yتبديل قمرة القيادة:
$ sudo systemctl enable --now cockpit.socketإعداد جدار الحماية:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentيمكنك الآن الاتصال بالمضيف: https: // [Host IP or FQDN]: 9090
شبكات محلية ظاهرية
اقرأ المزيد عن الشبكات في . هناك العديد من الاحتمالات ، هنا سوف نصف اتصال الشبكات الافتراضية.
لتوصيل الشبكات الفرعية الأخرى ، يجب أولاً وصفها في التكوين: الشبكة -> الشبكات -> جديد ، هنا فقط الاسم هو حقل مطلوب ؛ تم تمكين مربع الاختيار VM Network ، الذي يسمح للأجهزة باستخدام هذه الشبكة ، ولتوصيل العلامة ، يجب تمكينها تمكين علامات VLAN، أدخل رقم VLAN وانقر فوق موافق.
أنت الآن بحاجة إلى الانتقال إلى Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks hosts. اسحب الشبكة المضافة من الجانب الأيمن من الشبكات المنطقية غير المعينة إلى اليسار إلى الشبكات المنطقية المخصصة:
أرز. 4 - قبل إضافة الشبكة.
أرز. 5- بعد اضافة الشبكة.
للاتصال الجماعي للعديد من الشبكات بمضيف ، من الملائم تعيين تسمية (تسميات) لها عند إنشاء الشبكات ، وإضافة الشبكات حسب التسميات.
بعد إنشاء الشبكة ، ينتقل المضيفون إلى الحالة غير التشغيلية حتى تتم إضافة الشبكة إلى جميع عقد المجموعة. يتم تشغيل هذا السلوك بواسطة علامة طلب الكل في علامة التبويب الكتلة عند إنشاء شبكة جديدة. في حالة عدم الحاجة إلى الشبكة على جميع عقد الكتلة ، يمكن تعطيل هذه الميزة ، وعندئذٍ ستكون الشبكة ، عند إضافة مضيف ، على اليمين في القسم غير مطلوب ويمكنك اختيار ما إذا كنت تريد توصيلها مضيف محدد.
أرز. 6- اختيار علامة متطلب الشبكة.
HPE محدد
تمتلك جميع الشركات المصنعة تقريبًا أدوات تعمل على تحسين قابلية استخدام منتجاتها. باستخدام HPE كمثال ، AMS (خدمة الإدارة بدون وكيل ، amsd لـ iLO5 ، hp-ams لـ iLO4) و SSA (مسؤول التخزين الذكي ، العمل مع وحدة تحكم القرص) ، إلخ.
توصيل مستودع HPE
استيراد المفتاح وتوصيل مستودعات HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repoالمحتوى التالي:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcpعرض محتويات المستودع ومعلومات حول الحزمة (للرجوع إليها):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsdالتثبيت والإطلاق:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsdمثال على الأداة المساعدة للعمل مع وحدة تحكم القرص
هذا كل شئ حتى الان. أخطط في المقالات التالية لتغطية بعض العمليات والتطبيقات الأساسية. على سبيل المثال ، كيفية عمل VDI في oVirt.
المصدر: www.habr.com