Для ўключэння аўтадапаўнення каманд bash-completion варта перайсці ў bash.
Даданне дадатковых DNS імёнаў
Гэта спатрэбіцца, калі да мэнэджэра неабходна падлучыцца па альтэрнатыўным імені (CNAME, псеўданім ці проста кароткае імя без даменнага суфікса). З меркаванняў бяспекі мэнэджар дапушчае падлучэнне толькі па дазволеным спісе імёнаў.
Ствараем файл канфігурацыі:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Прыклад працы майстра
$ sudo ovirt-engine-extension-aaa-ldap-setup
Available LDAP implementations:
...
3 — Active Directory
...
Калі ласка, абярыце: 3
Please enter Active Directory Forest name: example.com
Please select protocol to use (startTLS, ldaps, plain) [startTLS]:
Please select method to obtain PEM encoded CA certificate (File, URL, Inline, System, Insecure): URL
URL: wwwca.example.com/myRootCA.pem
Enter search user DN (для example uid=username,dc=example,dc=com or leave empty for anonymous): CN=oVirt-Engine,CN=Users,DC=example,DC=com
Enter search user password: *password*
[ INFO ] Attempting to bind using 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Давайце вы зможаце выкарыстоўваць адзін званак для віртуальных машын (так, не) [Так]:
Please specify profile name that will be visible to users [example.com]:
Please provide credentials для test login flow:
Увядзіце імя карыстальніка: someAnyUser
Enter user password:
...
[ INFO ] Login sequence executed successfully
...
Select test sequence to execute (Done, Abort, Login, Search) [Done]:
[ INFO ] Stage: Transaction setup
...
РЭЗЮМЭ КАНФІГУРАЦЫІ
...
Выкарыстанне майстра падыходзіць для большасці выпадкаў. Для складаных канфігурацый наладкі выконваюцца ўручную. Падрабязней у дакументацыі oVirt, Карыстальнікі і ролі. Пасля паспяховага падлучэння Engine да AD, у акне падлучэння з'явіцца дадатковы профіль, а на ўкладцы Дазволу у аб'ектаў сістэмы - магчымасць выдаваць паўнамоцтвы карыстальнікам і групам AD. Варта адзначыць, што вонкавым каталогам карыстачоў і груп можа быць не толькі AD, але і IPA, eDirectory і інш.
Шматшлях
У вытворчым асяроддзі сістэма захоўвання павінна быць падлучаная да хаста некалькімі незалежнымі шляхамі множнага ўводу-высновы. Як правіла, у CentOS (і такім чынам oVirt'е) праблем са зборкай множных шляхоў да прылады не ўзнікае (find_multipaths yes). Аб дадатковых наладах для FCoE напісана ва 2-й часткі. Варта звярнуць увагу на рэкамендацыю вытворцы СГД – многія рэкамендуюць выкарыстоўваць палітыку round-robin, па змаўчанні ж у Enterprise Linux 7 выкарыстоўваецца service-time.
Мал. 1 - палітыка множнага ўводу-вываду па змаўчанні.
Мал. 2 - палітыка множнага ўводу-вываду пасля прымянення налад.
Настройка кіравання харчаваннем
Дазваляе выканаць, напрыклад, апаратны скід машыны, калі Engine не зможа працяглы час атрымаць адказ ад Host'а. Рэалізуецца праз Fence Agent (агент агароджы).
Compute -> Hosts -> HOST - Edit -> Power Management, далей уключыць "Enable Power Management" і дадаць агента - "Add Fence Agent" -> +.
Указваем тып (напр., для iLO5 трэба паказаць ilo4), імя/адрас ipmi інтэрфейсу, а таксама імя/пароль карыстальніка. Карыстальніка рэкамендуецца стварыць асобнага (напр., oVirt-PM) і, у выпадку з iLO выдаць яму прывілеі:
Увайсці
Аддаленая кансоль
Virtual Power and Reset
Віртуальныя медыя
Configure iLO Settings
Administer User Accounts
Не пытайце чаму менавіта так, падабрана дасведчаным шляхам. Кансольны fencing agent патрабуе меншага набору правоў.
Пры наладзе спісаў кантролю доступу варта мець на ўвазе, што агент запускаецца не на engine, а на «суседнім» хасце (так званы Power Management Proxy), г.зн., калі ў кластары апынецца толькі адзін вузел, кіраванне сілкаваннем працаваць не будзе.
Настройка SSL
Поўная афіцыйная інструкцыя - у дакументацыі, Appendix D: oVirt і SSL – Replacing the oVirt Engine SSL / TLS Certificate.
Сертыфікат можа быць як нашага карпаратыўнага ЦС, так і знешняга камерцыйнага цэнтра сертыфікацыі.
Важная заўвага: сертыфікат прызначаны для падлучэння да мэнэджэра, не паўплывае на ўзаемадзеянне паміж Engine і вузламі – яны будуць выкарыстоўваць самападпісаныя сертыфікаты, выдадзеныя Engine.
патрабаванні:
сертыфікат які выдае ЦС у фармаце PEM, са ўсім ланцужком да каранёвага ЦС (ад падпарадкаванага які выдае ў пачатку да каранёвага ў канцы);
сертыфікат для Apache, выпушчаны якія выдаюць ЦС (таксама дапоўнены ўсім ланцужком сертыфікатаў ЦС);
прыватны ключ для Apache, без пароля.
Выкажам здагадку, наш які выдае цэнтр сертыфікацыі працуе пад кіраваннем CentOS, завецца subca.example.com, а запыты, ключы і сертыфікаты размяшчаюцца ў каталогу /etc/pki/tls/.
Выконваем рэзервовыя копіі і ствараем часовы каталог:
Гатова! Час падлучыцца да мэнэджэра і праверыць, што злучэнне абаронена падпісаным SSL сертыфікатам.
Архівацыя
Куды ж без яе! У гэтай секцыі гаворка пойдзе аб архівацыі мэнэджара, архівацыя ВМ - асобнае пытанне. Архіўныя копіі будзем рабіць 1 раз у суткі і складаць па NFS, напр., на тую ж сістэму, дзе мы размясцілі ISO выявы - mynfs01.example.com:/exports/ovirt-backup. Не рэкамендуецца захоўваць архівы на той жа машыне, дзе працуе Engine.
Цяпер можна падключыцца да хаста: https://[Host IP or FQDN]:9090
VLAN
Больш падрабязна пра сеткі варта пачытаць у дакументацыі. Магчымасцяў шмат, тут апішам падлучэнне віртуальных сетак.
Для падлучэння іншых падсетак іх спачатку варта апісаць у канфігурацыі: Network -> Networks -> New, тут абавязковым полем з'яўляецца толькі імя; чэкбокс VM Network, які дазваляе машынам выкарыстоўваць гэтую сетку, уключаны, а для падлучэння тэга трэба ўключыць Enable VLAN tagging, прапісаць нумар VLAN і націснуць Ок.
Цяпер трэба прайсці ў хасты Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Дабаўленую сетку з правай часткі Unassigned Logical Networks перацягнуць налева ў Assigned Logical Networks:
Мал. 4 - перад даданнем сеткі.
Мал. 5 - пасля дадання сеткі.
Для масавага падлучэння некалькіх сетак да хаста зручна пры стварэнні сетак прысвоіць ім пазнаку(і), і дадаваць сеткі па пазнаках.
Пасля стварэння сеткі хасты пяройдуць у стан Non Operational, пакуль на скончыцца даданне сеткі на ўсе вузлы кластара. Такія паводзіны выклікаюцца прыкметай Require All на ўкладцы Cluster пры стварэнні новай сеткі. У выпадку, калі сетка патрэбна не на ўсіх вузлах кластара, гэтую прыкмету можна адключыць, тады сетка пры даданні хасту будзе справа ў секцыі Non Required і можна абраць, ці падлучаць яе да пэўнага хаста.
Мал. 6 - выбар прыкметы патрабавання сеткі.
Спецыфічнае для HPE
Амаль ва ўсіх вытворцаў ёсць прылады, якія падвышаюць зручнасць працы з іх прадуктамі. На прыкладзе HPE, карысныя AMS (Agentless Management Service, amsd для iLO5, hp-ams для iLO4) і SSA (Smart Storage Administrator, праца з дыскавым кантролерам) і інш.
Падключэнне рэпазітара HPE
Імпартуем ключ і падлучальны рэпазітары HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo