2 saat ərzində oVirt. Hissə 3. Əlavə parametrlər

Bu yazıda bir sıra isteğe bağlı, lakin faydalı parametrlərə baxacağıq:

• menecer üçün alternativ adlardan istifadə etməklə;
• Active Directory vasitəsilə identifikasiyanı birləşdirən;
• Çox yollu;
• güc idarəetməsi;
• SSL sertifikatının dəyişdirilməsi;
• arxivləşdirmə;
• host idarəetmə interfeysi (kokpit);
• VLANlar;
• HPE spesifik.

Bu məqalənin davamıdır, 2 saatdan sonra oVirt-ə baxın Часть 1 и 2 hissəsi.

Məqalələr

1. Giriş
2. Menecerin (ovirt-engine) və hipervizorların (hostlar) quraşdırılması
3. Əlavə parametrlər - Biz buradayıq

Əlavə menecer parametrləri

Rahatlıq üçün əlavə paketlər quraşdıracağıq:

$ sudo yum install bash-completion vim

Bash-tamamlama əmrlərinin avtomatik tamamlamasını aktivləşdirmək üçün bash-a keçin.

Əlavə DNS Adlarının əlavə edilməsi

Alternativ ad (CNAME, ləqəb və ya sadəcə domen şəkilçisi olmayan qısa ad) istifadə edərək menecerə qoşulmağınız lazım olduqda bu tələb olunacaq. Təhlükəsizlik səbəbləri ilə menecer yalnız icazə verilən adlar siyahısına qoşulmağa icazə verir.

Konfiqurasiya faylı yaradın:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

aşağıdakı məzmun:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

və meneceri yenidən başladın:

$ sudo systemctl restart ovirt-engine

AD vasitəsilə doğrulamanın konfiqurasiyası

oVirt daxili istifadəçi bazasına malikdir, lakin xarici LDAP təminatçıları da daxil olmaqla dəstəklənir. AD.

Tipik bir konfiqurasiya üçün ən sadə yol sehrbazı işə salmaq və meneceri yenidən başlatmaqdır:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Sehrbazın nümunəsi
$ sudo ovirt-engine-extension-aaa-ldap-quraşdırma
Mövcud LDAP tətbiqləri:
...
3 - Active Directory
...
Zəhmət olmasa seçin: 3
Zəhmət olmasa Active Directory Forest adını daxil edin: example.com

Lütfən, istifadə etmək üçün protokol seçin (startTLS, ldaps, düz) [startTLS]:
Lütfən, PEM kodlu CA sertifikatını əldə etmək üçün metod seçin (Fayl, URL, Inline, Sistem, Təhlükəsiz): URL
URL: wwwca.example.com/myRootCA.pem
Axtarış istifadəçisi DN-ni daxil edin (məsələn, uid=username,dc=example,dc=com və ya anonim üçün boş buraxın): CN=oVirt-Engine,CN=İstifadəçilər,DC=misal,DC=com
Axtarış istifadəçi parolunu daxil edin: *parol*
[ INFO ] 'CN=oVirt-Engine,CN=Users,DC=example,DC=com' istifadə edərək bağlamaya cəhd edilir
Virtual Maşınlar üçün Tək Girişdən istifadə edəcəksiniz (Bəli, Xeyr) [Bəli]:
İstifadəçilərə görünəcək profil adını qeyd edin [example.com]:
Lütfən, giriş axınını yoxlamaq üçün etimadnaməsini təqdim edin:
İstifadəçi adını daxil edin: someAnyUser
İstifadəçi parolunu daxil edin:
...
[ INFO ] Giriş ardıcıllığı uğurla icra edildi
...
İcra etmək üçün test ardıcıllığını seçin (Tamamlandı, Kəsilmə, Giriş, Axtarış) [Bitti]:
[ MƏLUMAT ] Mərhələ: Əməliyyatın qurulması
...
KONFİQURASİYA XÜLASƏSİ
...

Sehrbazdan istifadə əksər hallarda uyğun gəlir. Mürəkkəb konfiqurasiyalar üçün parametrlər əl ilə edilir. Daha ətraflı oVirt sənədlərində, İstifadəçilər və rollar. Mühərrik AD-yə uğurla qoşulduqdan sonra, əlaqə pəncərəsində və ekranda əlavə profil görünəcək Permissions sistem obyektləri AD istifadəçilərinə və qruplarına icazə vermək imkanına malikdir. Qeyd etmək lazımdır ki, istifadəçilərin və qrupların xarici kataloqu təkcə AD deyil, həm də IPA, eDirectory və s.

Çox yollu

İstehsal mühitində saxlama sistemi çoxlu, müstəqil, çoxsaylı I/O yolları vasitəsilə hosta qoşulmalıdır. Bir qayda olaraq, CentOS-da (və buna görə də oVirt'e) cihaza çoxlu yolların qurulması ilə bağlı heç bir problem yoxdur (find_multipaths bəli). FCoE üçün əlavə parametrlər aşağıda təsvir edilmişdir 2-ci hissə. Saxlama istehsalçısının tövsiyəsinə diqqət yetirməyə dəyər - bir çoxları round-robin siyasətindən istifadə etməyi tövsiyə edir, halbuki standart olaraq Enterprise Linux 7 xidmət müddətindən istifadə edir.

3PAR misalında
və sənəd HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux və OracleVM Server Tətbiq Bələdçisi EL, /etc/multipath.conf parametrlərinə aşağıdakı dəyərlər daxil edilmiş Generic-ALUA Persona 2 ilə Host kimi yaradılmışdır:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Sonra yenidən başlatma əmri verilir:

systemctl restart multipathd

düyü. 1 standart çoxlu I/O siyasətidir.

düyü. 2 - parametrləri tətbiq etdikdən sonra çoxsaylı I / O siyasəti.

Güc İdarəetmə Parametri

Mühərrik uzun müddət Hostdan cavab ala bilmirsə, məsələn, maşının sərt sıfırlamasını yerinə yetirməyə imkan verir. Fence Agent vasitəsilə həyata keçirilir.

Hesablama -> Hostlar -> HOST - Redaktə et -> Güc İdarəetmə, sonra "Güc İdarəetməni Aktivləşdir"i yandırın və agent əlavə edin - "Hasar Agenti əlavə edin" -> +.

Növü (məsələn, iLO5 üçün siz ilo4 göstərməlisiniz), ipmi interfeysinin adını/ünvanını və istifadəçi adını/parolunuzu göstərin. Ayrı bir istifadəçi yaratmaq (məsələn, oVirt-PM) və iLO vəziyyətində ona imtiyazlar vermək tövsiyə olunur:

• Giriş
• Uzaqdan İdarəetmə Konsolu
• Virtual güc və sıfırlama
• Virtual media
• iLO Parametrlərini konfiqurasiya edin
• İstifadəçi hesablarını idarə edin

Niyə belə olduğunu soruşmayın, empirik olaraq seçilir. Konsol qılıncoynatma agenti daha kiçik hüquqlar dəsti tələb edir.

Girişə nəzarət siyahılarını qurarkən, agentin mühərrikdə deyil, "qonşu" hostda (Güc İdarəetmə Proksi adlanan) işlədiyini nəzərə almaq lazımdır, yəni. çoxluq, güc idarəsi işləyəcək olmaz.

SSL qurulması

Tam rəsmi təlimatlar - daxil sənədləşdirmə, Əlavə D: oVirt və SSL - oVirt Mühərriki SSL/TLS Sertifikatının dəyişdirilməsi.

Sertifikat bizim korporativ CA-dan və ya xarici kommersiya CA-dan ola bilər.

Vacib qeyd: sertifikat menecerə qoşulmaq üçün nəzərdə tutulub, Mühərrik və qovşaqlar arasında qarşılıqlı əlaqəyə təsir etməyəcək - onlar Mühərrik tərəfindən verilən öz imzalı sertifikatlardan istifadə edəcəklər.

tələblər:

• bütün zəncir kök CA-ya qədər (əvvəlində verəndən sonunda kökə qədər) PEM formatında CA verən sertifikat;
• verən CA tərəfindən verilmiş Apache üçün sertifikat (həmçinin CA sertifikatlarının bütün zənciri ilə tamamlanır);
• Apache üçün şəxsi açar, parol yoxdur.

Tutaq ki, bizim emissiya edən CA subca.example.com adlanan CentOS ilə işləyir və sorğular, açarlar və sertifikatlar /etc/pki/tls/ kataloqundadır.

Yedəkləmələri həyata keçirin və müvəqqəti qovluq yaradın:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Sertifikatları yükləyin, onu iş stansiyanızdan yerinə yetirin və ya başqa əlverişli üsulla köçürün:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Nəticədə, bütün 3 faylı görməlisiniz:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Sertifikatların quraşdırılması

Faylları kopyalayın və etibar siyahılarını yeniləyin:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Konfiqurasiya fayllarını əlavə edin/yeniləyin:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Sonra, təsirlənmiş bütün xidmətləri yenidən başladın:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Hazır! Menecerlə əlaqə saxlamağın və əlaqənin imzalanmış SSL sertifikatı ilə təmin olunduğunu yoxlamağın vaxtı gəldi.

Arxivləşdirmə

Onsuz harada! Bu bölmədə menecerin arxivləşdirilməsindən danışacağıq, VM-nin arxivləşdirilməsi ayrıca məsələdir. Biz gündə bir dəfə arxiv nüsxələrini çıxaracaq və onları NFS üzərində, məsələn, ISO şəkillərini yerləşdirdiyimiz sistemdə saxlayacağıq — mynfs1.example.com:/exports/ovirt-backup. Arxivləri Mühərrikin işlədiyi eyni maşında saxlamaq tövsiyə edilmir.

Avtomatikləri quraşdırın və aktivləşdirin:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Skript yaradın:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

aşağıdakı məzmun:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Faylın icra edilə bilən edilməsi:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

İndi hər gecə menecer parametrlərinin arxivini alacağıq.

Host idarəetmə interfeysi

Kokpit Linux sistemləri üçün müasir inzibati interfeysdir. Bu halda, o, ESXi veb interfeysinə bənzər bir rol oynayır.

düyü. 3 - panelin görünüşü.

Quraşdırma çox sadədir, sizə kokpit paketləri və kokpit-ovirt-dashboard plagin lazımdır:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Kokpitin dəyişdirilməsi:

$ sudo systemctl enable --now cockpit.socket

Firewall ayarı:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

İndi hosta qoşula bilərsiniz: https://[Host IP və ya FQDN]:9090

VLANlar

Şəbəkələr haqqında ətraflı oxuyun sənədləşdirmə. Çox imkanlar var, burada virtual şəbəkələrin əlaqəsini təsvir edəcəyik.

Digər alt şəbəkələri birləşdirmək üçün əvvəlcə konfiqurasiyada təsvir edilməlidir: Şəbəkə -> Şəbəkələr -> Yeni, burada yalnız ad tələb olunan sahədir; maşınlara bu şəbəkədən istifadə etməyə imkan verən VM Şəbəkəsi qeyd qutusu aktivdir və etiketi birləşdirmək üçün siz aktivləşdirməlisiniz VLAN etiketini aktivləşdirin, VLAN nömrəsini daxil edin və OK düyməsini basın.

İndi siz Hesablama -> Hostlar -> kvmNN -> Şəbəkə İnterfeysləri -> Host Şəbəkələrinin hostlarını quraşdırmalısınız. Əlavə edilmiş şəbəkəni Təyin edilməmiş Məntiqi Şəbəkələrin sağ tərəfindən sola, Təyin edilmiş Məntiqi Şəbəkələrə sürükləyin:

düyü. 4 - şəbəkə əlavə etməzdən əvvəl.

düyü. 5 - şəbəkə əlavə edildikdən sonra.

Bir neçə şəbəkənin hosta kütləvi qoşulması üçün şəbəkələr yaratarkən onlara etiket(lər) təyin etmək və etiketlər üzrə şəbəkələr əlavə etmək rahatdır.

Şəbəkə yaradıldıqdan sonra şəbəkə bütün klaster qovşaqlarına əlavə olunana qədər hostlar Qeyri Əməliyyat vəziyyətinə keçəcəklər. Bu davranış yeni şəbəkə yaratarkən Klaster tabındakı Hamısını tələb edin bayrağı ilə tetiklenir. Şəbəkəyə klasterin bütün qovşaqlarında ehtiyac olmadığı halda, bu xüsusiyyət söndürülə bilər, sonra host əlavə edərkən şəbəkə Tələb olunmayan bölmənin sağında olacaq və siz onu birləşdirib-qoşmayacağınızı seçə bilərsiniz. xüsusi ev sahibi.

düyü. 6 — şəbəkə tələbinin işarəsinin seçilməsi.

HPE spesifik

Demək olar ki, bütün istehsalçılar məhsullarının istifadəsini yaxşılaşdıran alətlərə malikdirlər. Nümunə olaraq HPE-dən istifadə etməklə AMS (Agentsiz İdarəetmə Xidməti, iLO5 üçün amsd, iLO4 üçün hp-ams) və SSA (Smart Storage Administrator, disk nəzarətçisi ilə işləyən) və s. faydalıdır.

HPE Repozitoriyasının qoşulması
Açarı idxal edin və HPE depolarını birləşdirin:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

aşağıdakı məzmun:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Anbarın məzmununa və paket haqqında məlumatlara baxın (istinad üçün):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Quraşdırma və işə salma:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Disk nəzarətçisi ilə işləmək üçün yardım proqramının nümunəsi

Hələlik bu qədər. Növbəti məqalələrdə bəzi əsas əməliyyatları və tətbiqləri əhatə etməyi planlaşdırıram. Məsələn, oVirt-də VDI-ni necə etmək olar.

Mənbə: www.habr.com