За да разрешите автоматичното довършване на командите за bash-довършване, превключете на bash.
Добавяне на допълнителни DNS имена
Това ще е необходимо, когато трябва да се свържете с мениджъра, използвайки алтернативно име (CNAME, псевдоним или просто кратко име без суфикс на домейн). От съображения за сигурност мениджърът позволява връзки само към списъка с разрешени имена.
Създайте конфигурационен файл:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Пример за съветника
$ sudo ovirt-engine-extension-aaa-ldap-setup
Налични LDAP реализации:
...
3 - Active Directory
...
Моля изберете: 3
Моля, въведете име на гората на Active Directory: example.com
Моля, изберете протокол за използване (startTLS, ldaps, обикновен) [startTLS]:
Моля, изберете метод за получаване на PEM кодиран CA сертификат (файл, URL, вграден, системен, несигурен): URL
URL: wwwca.example.com/myRootCA.pem
Въведете DN на потребител за търсене (например uid=username,dc=example,dc=com или оставете празно за анонимен): CN=oVirt-Engine,CN=Потребители,DC=пример,DC=com
Въведете потребителска парола за търсене: *парола*
[ ИНФО ] Опит за обвързване чрез 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Ще използвате ли Single Sign-On за виртуални машини (Да, Не) [да]:
Моля, посочете името на профила, което ще бъде видимо за потребителите [example.com]:
Моля, предоставете идентификационни данни, за да тествате процеса на влизане:
Въведете потребителско име: someAnyUser
Въведете потребителска парола:
...
[ИНФО] Последователността за влизане е изпълнена успешно
...
Изберете тестова последователност за изпълнение (Готово, Прекратяване, Влизане, Търсене) [Свършен]:
[ ИНФО ] Етап: Настройка на транзакцията
...
РЕЗЮМЕ НА КОНФИГУРАЦИЯТА
...
Използването на съветника е подходящо за повечето случаи. За сложни конфигурации настройките се правят ръчно. Повече подробности в документацията на oVirt, Потребители и роли. След като двигателят е успешно свързан с AD, в прозореца за свързване ще се появи допълнителен профил и на Разрешения системните обекти имат способността да предоставят разрешения на AD потребители и групи. Трябва да се отбележи, че външната директория на потребители и групи може да бъде не само AD, но и IPA, eDirectory и др.
Многопътност
В производствена среда системата за съхранение трябва да бъде свързана към хоста чрез множество, независими, множество I/O пътища. Като правило, в CentOS (и следователно oVirt'e) няма проблеми с изграждането на множество пътища към устройството (find_multipaths да). Допълнителни настройки за FCoE са описани в 2-ра част. Струва си да се обърне внимание на препоръката на производителя на хранилището - мнозина препоръчват използването на кръгова политика, докато по подразбиране Enterprise Linux 7 използва време за обслужване.
Ориз. 1 е политиката за множество I/O по подразбиране.
Ориз. 2 - многократна I / O политика след прилагане на настройките.
Настройка за управление на захранването
Позволява ви да извършите, например, твърдо нулиране на машината, ако двигателят не може да получи отговор от хоста за дълго време. Внедрено чрез Fence Agent.
Изчисляване -> Хостове -> HOST - Edit -> Power Management, след това включете "Enable Power Management" и добавете агент - "Add Fence Agent" -> +.
Посочете типа (например за iLO5, трябва да посочите ilo4), името/адреса на ipmi интерфейса и потребителското име/паролата. Препоръчително е да създадете отделен потребител (например oVirt-PM) и в случай на iLO да му дадете привилегии:
Влезте
Дистанционна конзола
Виртуално захранване и нулиране
Виртуална медия
Конфигурирайте настройките на iLO
Администриране на потребителски акаунти
Не питайте защо е така, избира се емпирично. Агентът за защита на конзолата изисква по-малък набор от права.
Когато настройвате списъци за контрол на достъпа, трябва да се има предвид, че агентът не работи на двигателя, а на „съседния“ хост (т.нар. Power Management Proxy), т.е. ако има само един възел в клъстер, управлението на захранването ще работи няма.
Настройка на SSL
Пълни официални инструкции - в документация, Приложение D: oVirt и SSL - Замяна на SSL/TLS сертификата на oVirt Engine.
Сертификатът може да бъде от нашия корпоративен CA или от външен търговски CA.
Важна забележка: сертификатът е предназначен за свързване с мениджъра, няма да повлияе на взаимодействието между двигателя и възлите - те ще използват самоподписани сертификати, издадени от двигателя.
Изисквания:
сертификат на издаващия УО във формат PEM, с цялата верига до основния УО (от подчинения издаващ в началото до основния в края);
сертификат за Apache, издаден от издаващия CA (също в комплект с цялата верига от CA сертификати);
частен ключ за Apache, без парола.
Да кажем, че нашият издаващ CA работи с CentOS, наречен subca.example.com, и заявките, ключовете и сертификатите са в директорията /etc/pki/tls/.
Извършете архивиране и създайте временна директория:
Готов! Време е да се свържете с мениджъра и да проверите дали връзката е защитена с подписан SSL сертификат.
Архивирането
Къде без нея! В този раздел ще говорим за архивиране на мениджъра, архивирането на VM е отделен въпрос. Ние ще правим архивни копия веднъж на ден и ще ги съхраняваме през NFS, например, на същата система, където поставихме ISO изображенията - mynfs1.example.com:/exports/ovirt-backup. Не се препоръчва да съхранявате архиви на същата машина, на която работи двигателят.
Сега можете да се свържете с хоста: https://[Host IP или FQDN]:9090
VLAN
Прочетете повече за мрежите в документация. Има много възможности, тук ще опишем свързването на виртуални мрежи.
За да свържете други подмрежи, те първо трябва да бъдат описани в конфигурацията: Мрежа -> Мрежи -> Нов, тук само името е задължително поле; квадратчето за отметка VM Network, което позволява на машините да използват тази мрежа, е активирано и за да свържете маркера, трябва да активирате Активиране на VLAN маркиране, въведете номера на VLAN и щракнете върху OK.
Сега трябва да отидете на Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks хостове. Плъзнете добавената мрежа от дясната страна на Unassigned Logical Networks наляво в Assigned Logical Networks:
Ориз. 4 - преди добавяне на мрежата.
Ориз. 5 - след добавяне на мрежата.
За масово свързване на няколко мрежи към хост е удобно да им присвоите етикет(а) при създаване на мрежи и да добавите мрежи по етикети.
След като мрежата бъде създадена, хостовете ще преминат в състояние Non Operational, докато мрежата не бъде добавена към всички възли на клъстера. Това поведение се задейства от флага Изискване на всички в раздела Клъстер при създаване на нова мрежа. В случай, че мрежата не е необходима на всички възли на клъстера, тази функция може да бъде деактивирана, тогава мрежата, когато добавяте хост, ще бъде отдясно в секцията Незадължително и можете да изберете дали да я свържете към конкретен хост.
Ориз. 6 — избор на знака на мрежовото изискване.
Специфично за HPE
Почти всички производители имат инструменти, които подобряват използваемостта на техните продукти. Използвайки HPE като пример, AMS (Agentless Management Service, amsd за iLO5, hp-ams за iLO4) и SSA (Smart Storage Administrator, работещ с дисков контролер) и т.н. са полезни.
Свързване на HPE Repository
Импортирайте ключа и свържете хранилищата на HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo