سيكون هذا مطلوبًا عندما تحتاج إلى الاتصال بالمدير باستخدام اسم بديل (CNAME أو الاسم المستعار أو مجرد اسم قصير بدون لاحقة مجال). لأسباب أمنية ، لا يسمح المدير إلا بالاتصالات بقائمة الأسماء المسموح بها.
قم بإنشاء ملف التكوين:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
مثال على المعالج
$ sudo ovirt-engine-extension-aaa-ldap-setup
تطبيقات LDAP المتاحة:
...
3 - الدليل النشط
...
من فضلك اختر 3
الرجاء إدخال اسم غابة Active Directory: example.com
الرجاء تحديد بروتوكول لاستخدامه (startTLS ، ldaps ، عادي) [بدءTLS]:
يرجى تحديد طريقة للحصول على شهادة CA المشفرة PEM (ملف ، URL ، مضمنة ، نظام ، غير آمن): URL
URL: wwwca.example.com/myRootCA.pem
أدخل اسم مستخدم البحث DN (على سبيل المثال uid = اسم المستخدم ، dc = مثال ، dc = com أو اتركه فارغًا لمجهول): CN = oVirt-Engine ، CN = المستخدمون ، DC = مثال ، DC = com
أدخل كلمة مرور مستخدم البحث: *كلمة المرور*
[INFO] محاولة الربط باستخدام "CN = oVirt-Engine، CN = Users، DC = example، DC = com"
هل ستستخدم الدخول الموحّد للأجهزة الافتراضية (نعم ، لا) [نعم]:
يرجى تحديد اسم ملف التعريف الذي سيكون مرئيًا للمستخدمين [example.com]:
يرجى تقديم بيانات الاعتماد لاختبار تدفق تسجيل الدخول:
ادخل اسم المستخدم: بعض المستخدمين
أدخل كلمة مرور المستخدم:
...
[INFO] تم تنفيذ تسلسل تسجيل الدخول بنجاح
...
حدد تسلسل الاختبار لتنفيذه (تم ، إحباط ، تسجيل الدخول ، بحث) [منتهي]:
[INFO] المرحلة: إعداد المعاملة
...
ملخص التكوين
...
استخدام المعالج مناسب لمعظم الحالات. بالنسبة للتكوينات المعقدة ، يتم إجراء الإعدادات يدويًا. مزيد من التفاصيل في وثائق oVirt ، المستخدمون والأدوار. بعد توصيل المحرك بـ AD بنجاح ، سيظهر ملف تعريف إضافي في نافذة الاتصال وعلى أذونات كائنات النظام لديها القدرة على منح أذونات لمستخدمي ومجموعات AD. تجدر الإشارة إلى أن الدليل الخارجي للمستخدمين والمجموعات لا يمكن أن يكون فقط AD ، ولكن أيضًا IPA ، و eDirectory ، وما إلى ذلك.
تعدد
في بيئة الإنتاج ، يجب توصيل نظام التخزين بالمضيف عبر مسارات إدخال / إخراج متعددة ومستقلة ومتعددة. كقاعدة عامة ، في CentOS (وبالتالي oVirt'e) لا توجد مشاكل في بناء مسارات متعددة للجهاز (find_multipaths نعم). تم وصف الإعدادات الإضافية لـ FCoE في الجزء الثامن عشر. يجدر الانتباه إلى توصية الشركة المصنعة للتخزين - يوصي الكثيرون باستخدام سياسة round-robin ، بينما يستخدم Enterprise Linux 7 وقت الخدمة افتراضيًا.
أرز. 1 هي سياسة الإدخال / الإخراج المتعددة الافتراضية.
أرز. 2 - سياسة الإدخال / الإخراج المتعددة بعد تطبيق الإعدادات.
إعداد إدارة الطاقة
يسمح لك بإجراء ، على سبيل المثال ، إعادة تعيين ثابت للجهاز إذا لم يتمكن المحرك من تلقي استجابة من المضيف لفترة طويلة. تم التنفيذ عن طريق وكيل السياج.
احسب -> المضيفون -> HOST - تحرير -> إدارة الطاقة ، ثم قم بتشغيل "تمكين إدارة الطاقة" وإضافة وكيل - "إضافة عامل سياج" -> +.
حدد النوع (على سبيل المثال ، بالنسبة لـ iLO5 ، يجب تحديد ilo4) واسم / عنوان واجهة ipmi واسم المستخدم / كلمة المرور. يوصى بإنشاء مستخدم منفصل (على سبيل المثال ، oVirt-PM) ، وفي حالة iLO ، امنحه الامتيازات:
تسجيل الدخول
وحدة التحكم عن بعد
القوة الافتراضية وإعادة التعيين
الوسائط الافتراضية
تكوين إعدادات iLO
إدارة حسابات المستخدمين
لا تسأل لماذا يتم اختياره تجريبيا. يتطلب عامل سياج وحدة التحكم مجموعة أصغر من الحقوق.
عند إعداد قوائم التحكم في الوصول ، يجب أن يؤخذ في الاعتبار أن الوكيل لا يعمل على المحرك ، ولكن على المضيف "المجاور" (ما يسمى وكيل إدارة الطاقة) ، أي إذا كانت هناك عقدة واحدة فقط في الكتلة ، ستعمل إدارة الطاقة لن.
إعداد SSL
تعليمات رسمية كاملة - في توثيق، الملحق د: oVirt و SSL - استبدال شهادة oVirt Engine SSL / TLS.
يمكن أن تكون الشهادة من CA لشركتنا أو من CA تجاري خارجي.
ملاحظة مهمة: تهدف الشهادة إلى الاتصال بالمدير ، ولن تؤثر على التفاعل بين المحرك والعقد - ستستخدم الشهادات ذاتية التوقيع الصادرة عن المحرك.
المتطلبات:
شهادة إصدار المرجع المصدق بتنسيق PEM ، مع السلسلة بأكملها إلى المرجع المصدق الجذر (من الإصدار الثانوي في البداية إلى الجذر في النهاية) ؛
شهادة لـ Apache صادرة عن المرجع المصدق (CA) (كامل أيضًا مع السلسلة الكاملة لشهادات CA) ؛
مفتاح خاص لـ Apache ، بدون كلمة مرور.
لنفترض أن المرجع المصدق لدينا يقوم بتشغيل CentOS ، المسمى subca.example.com ، والطلبات والمفاتيح والشهادات موجودة في الدليل / etc / pki / tls /.
مستعد! حان الوقت للاتصال بالمدير والتحقق من تأمين الاتصال بشهادة SSL موقعة.
الأرشفة
أين بدونها! في هذا القسم ، سنتحدث عن أرشفة المدير ، وأرشفة الجهاز الظاهري هي قضية منفصلة. سنقوم بعمل نسخ أرشيفية مرة واحدة يوميًا ونخزنها عبر NFS ، على سبيل المثال ، على نفس النظام حيث وضعنا صور ISO - mynfs1.example.com:/exports/ovirt-backup. لا يوصى بتخزين المحفوظات على نفس الجهاز حيث يعمل المحرك.
يمكنك الآن الاتصال بالمضيف: https: // [Host IP or FQDN]: 9090
شبكات محلية ظاهرية
اقرأ المزيد عن الشبكات في توثيق. هناك العديد من الاحتمالات ، هنا سوف نصف اتصال الشبكات الافتراضية.
لتوصيل الشبكات الفرعية الأخرى ، يجب أولاً وصفها في التكوين: الشبكة -> الشبكات -> جديد ، هنا فقط الاسم هو حقل مطلوب ؛ تم تمكين مربع الاختيار VM Network ، الذي يسمح للأجهزة باستخدام هذه الشبكة ، ولتوصيل العلامة ، يجب تمكينها تمكين علامات VLAN، أدخل رقم VLAN وانقر فوق موافق.
أنت الآن بحاجة إلى الانتقال إلى Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks hosts. اسحب الشبكة المضافة من الجانب الأيمن من الشبكات المنطقية غير المعينة إلى اليسار إلى الشبكات المنطقية المخصصة:
أرز. 4 - قبل إضافة الشبكة.
أرز. 5- بعد اضافة الشبكة.
للاتصال الجماعي للعديد من الشبكات بمضيف ، من الملائم تعيين تسمية (تسميات) لها عند إنشاء الشبكات ، وإضافة الشبكات حسب التسميات.
بعد إنشاء الشبكة ، ينتقل المضيفون إلى الحالة غير التشغيلية حتى تتم إضافة الشبكة إلى جميع عقد المجموعة. يتم تشغيل هذا السلوك بواسطة علامة طلب الكل في علامة التبويب الكتلة عند إنشاء شبكة جديدة. في حالة عدم الحاجة إلى الشبكة على جميع عقد الكتلة ، يمكن تعطيل هذه الميزة ، وعندئذٍ ستكون الشبكة ، عند إضافة مضيف ، على اليمين في القسم غير مطلوب ويمكنك اختيار ما إذا كنت تريد توصيلها مضيف محدد.
أرز. 6- اختيار علامة متطلب الشبكة.
HPE محدد
تمتلك جميع الشركات المصنعة تقريبًا أدوات تعمل على تحسين قابلية استخدام منتجاتها. باستخدام HPE كمثال ، AMS (خدمة الإدارة بدون وكيل ، amsd لـ iLO5 ، hp-ams لـ iLO4) و SSA (مسؤول التخزين الذكي ، العمل مع وحدة تحكم القرص) ، إلخ.