🥇oVirt за 2 часа. Част 3. Допълнителни настройки

В тази статия ще разгледаме редица незадължителни, но полезни настройки:

използване на алтернативни имена за мениджъра;
свързване на удостоверяване чрез Active Directory;
Мултипатиране;
управление на енергията;
Подмяна на SSL сертификат;
архивиране;
интерфейс за управление на хост (кокпит);
VLAN;
Специфично за HPE.

Тази статия е продължение, започнете да виждате oVirt след 2 часа Часть 1 и част 2.

Статии

въведение
Инсталиране на мениджъра (ovirt-engine) и хипервайзорите (hosts)
Допълнителни настройки - Ние сме тук

Допълнителни настройки на мениджъра

За удобство ще инсталираме допълнителни пакети:

$ sudo yum install bash-completion vim

За да разрешите автоматичното довършване на командите за bash-довършване, превключете на bash.

Добавяне на допълнителни DNS имена

Това ще е необходимо, когато трябва да се свържете с мениджъра, използвайки алтернативно име (CNAME, псевдоним или просто кратко име без суфикс на домейн). От съображения за сигурност мениджърът позволява връзки само към списъка с разрешени имена.

Създайте конфигурационен файл:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

следното съдържание:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

и рестартирайте мениджъра:

$ sudo systemctl restart ovirt-engine

Конфигуриране на удостоверяване чрез AD

oVirt има вградена потребителска база, но се поддържат и външни LDAP доставчици, вкл. AD.

Най-простият начин за типична конфигурация е да стартирате съветника и да рестартирате мениджъра:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Пример за съветника
$ sudo ovirt-engine-extension-aaa-ldap-setup
Налични LDAP реализации:
...
3 - Active Directory
...
Моля изберете: 3
Моля, въведете име на гората на Active Directory: example.com

Моля, изберете протокол за използване (startTLS, ldaps, обикновен) [startTLS]:
Моля, изберете метод за получаване на PEM кодиран CA сертификат (файл, URL, вграден, системен, несигурен): URL
URL: wwwca.example.com/myRootCA.pem
Въведете DN на потребител за търсене (например uid=username,dc=example,dc=com или оставете празно за анонимен): CN=oVirt-Engine,CN=Потребители,DC=пример,DC=com
Въведете потребителска парола за търсене: *парола*
[ ИНФО ] Опит за обвързване чрез 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Ще използвате ли Single Sign-On за виртуални машини (Да, Не) [да]:
Моля, посочете името на профила, което ще бъде видимо за потребителите [example.com]:
Моля, предоставете идентификационни данни, за да тествате процеса на влизане:
Въведете потребителско име: someAnyUser
Въведете потребителска парола:
...
[ИНФО] Последователността за влизане е изпълнена успешно
...
Изберете тестова последователност за изпълнение (Готово, Прекратяване, Влизане, Търсене) [Свършен]:
[ ИНФО ] Етап: Настройка на транзакцията
...
РЕЗЮМЕ НА КОНФИГУРАЦИЯТА
...

Използването на съветника е подходящо за повечето случаи. За сложни конфигурации настройките се правят ръчно. Повече подробности в документацията на oVirt, Потребители и роли. След като двигателят е успешно свързан с AD, в прозореца за свързване ще се появи допълнителен профил и на Разрешения системните обекти имат способността да предоставят разрешения на AD потребители и групи. Трябва да се отбележи, че външната директория на потребители и групи може да бъде не само AD, но и IPA, eDirectory и др.

Многопътност

В производствена среда системата за съхранение трябва да бъде свързана към хоста чрез множество, независими, множество I/O пътища. Като правило, в CentOS (и следователно oVirt'e) няма проблеми с изграждането на множество пътища към устройството (find_multipaths да). Допълнителни настройки за FCoE са описани в 2-ра част. Струва си да се обърне внимание на препоръката на производителя на хранилището - мнозина препоръчват използването на кръгова политика, докато по подразбиране Enterprise Linux 7 използва време за обслужване.

На примера на 3PAR
и документ Ръководство за внедряване на HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux и OracleVM Server EL е създаден като хост с Generic-ALUA Persona 2, за който в настройките /etc/multipath.conf са въведени следните стойности:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

След това се дава команда за рестартиране:

systemctl restart multipathd

Ориз. 1 е политиката за множество I/O по подразбиране.

Ориз. 2 - многократна I / O политика след прилагане на настройките.

Настройка за управление на захранването

Позволява ви да извършите, например, твърдо нулиране на машината, ако двигателят не може да получи отговор от хоста за дълго време. Внедрено чрез Fence Agent.

Изчисляване -> Хостове -> HOST - Edit -> Power Management, след това включете "Enable Power Management" и добавете агент - "Add Fence Agent" -> +.

Посочете типа (например за iLO5, трябва да посочите ilo4), името/адреса на ipmi интерфейса и потребителското име/паролата. Препоръчително е да създадете отделен потребител (например oVirt-PM) и в случай на iLO да му дадете привилегии:

Влезте
Дистанционна конзола
Виртуално захранване и нулиране
Виртуална медия
Конфигурирайте настройките на iLO
Администриране на потребителски акаунти

Не питайте защо е така, избира се емпирично. Агентът за защита на конзолата изисква по-малък набор от права.

Когато настройвате списъци за контрол на достъпа, трябва да се има предвид, че агентът не работи на двигателя, а на „съседния“ хост (т.нар. Power Management Proxy), т.е. ако има само един възел в клъстер, управлението на захранването ще работи няма.

Настройка на SSL

Пълни официални инструкции - в документация, Приложение D: oVirt и SSL - Замяна на SSL/TLS сертификата на oVirt Engine.

Сертификатът може да бъде от нашия корпоративен CA или от външен търговски CA.

Важна забележка: сертификатът е предназначен за свързване с мениджъра, няма да повлияе на взаимодействието между двигателя и възлите - те ще използват самоподписани сертификати, издадени от двигателя.

Изисквания:

сертификат на издаващия УО във формат PEM, с цялата верига до основния УО (от подчинения издаващ в началото до основния в края);
сертификат за Apache, издаден от издаващия CA (също в комплект с цялата верига от CA сертификати);
частен ключ за Apache, без парола.

Да кажем, че нашият издаващ CA работи с CentOS, наречен subca.example.com, и заявките, ключовете и сертификатите са в директорията /etc/pki/tls/.

Извършете архивиране и създайте временна директория:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Изтеглете сертификати, изпълнете ги от вашата работна станция или ги прехвърлете по друг удобен начин:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

В резултат на това трябва да видите всичките 3 файла:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Инсталиране на сертификати

Копирайте файлове и актуализирайте списъци с доверие:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Добавяне/актуализиране на конфигурационни файлове:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

След това рестартирайте всички засегнати услуги:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Готов! Време е да се свържете с мениджъра и да проверите дали връзката е защитена с подписан SSL сертификат.

Архивирането

Къде без нея! В този раздел ще говорим за архивиране на мениджъра, архивирането на VM е отделен въпрос. Ние ще правим архивни копия веднъж на ден и ще ги съхраняваме през NFS, например, на същата система, където поставихме ISO изображенията - mynfs1.example.com:/exports/ovirt-backup. Не се препоръчва да съхранявате архиви на същата машина, на която работи двигателят.

Инсталирайте и активирайте autofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Създайте скрипт:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

следното съдържание:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Направете файла изпълним:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Сега всяка вечер ще получаваме архив с настройки на мениджъра.

Интерфейс за управление на хоста

Cockpit е модерен административен интерфейс за Linux системи. В този случай той изпълнява роля, подобна на уеб интерфейса на ESXi.

Ориз. 3 - външен вид на панела.

Инсталацията е много проста, имате нужда от пакети за пилотската кабина и приставката за пилотска кабина-ovirt-dashboard:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Превключване на пилотската кабина:

$ sudo systemctl enable --now cockpit.socket

Настройка на защитната стена:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Сега можете да се свържете с хоста: https://[Host IP или FQDN]:9090

VLAN

Прочетете повече за мрежите в документация. Има много възможности, тук ще опишем свързването на виртуални мрежи.

За да свържете други подмрежи, те първо трябва да бъдат описани в конфигурацията: Мрежа -> Мрежи -> Нов, тук само името е задължително поле; квадратчето за отметка VM Network, което позволява на машините да използват тази мрежа, е активирано и за да свържете маркера, трябва да активирате Активиране на VLAN маркиране, въведете номера на VLAN и щракнете върху OK.

Сега трябва да отидете на Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks хостове. Плъзнете добавената мрежа от дясната страна на Unassigned Logical Networks наляво в Assigned Logical Networks:

Ориз. 4 - преди добавяне на мрежата.

Ориз. 5 - след добавяне на мрежата.

За масово свързване на няколко мрежи към хост е удобно да им присвоите етикет(а) при създаване на мрежи и да добавите мрежи по етикети.

След като мрежата бъде създадена, хостовете ще преминат в състояние Non Operational, докато мрежата не бъде добавена към всички възли на клъстера. Това поведение се задейства от флага Изискване на всички в раздела Клъстер при създаване на нова мрежа. В случай, че мрежата не е необходима на всички възли на клъстера, тази функция може да бъде деактивирана, тогава мрежата, когато добавяте хост, ще бъде отдясно в секцията Незадължително и можете да изберете дали да я свържете към конкретен хост.

Ориз. 6 — избор на знака на мрежовото изискване.

Специфично за HPE

Почти всички производители имат инструменти, които подобряват използваемостта на техните продукти. Използвайки HPE като пример, AMS (Agentless Management Service, amsd за iLO5, hp-ams за iLO4) и SSA (Smart Storage Administrator, работещ с дисков контролер) и т.н. са полезни.

Свързване на HPE Repository
Импортирайте ключа и свържете хранилищата на HPE:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

следното съдържание:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Вижте съдържанието на хранилището и информацията за пакета (за справка):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Инсталиране и стартиране:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Пример за помощна програма за работа с дисков контролер

Това е всичко за сега. В следващите статии смятам да разгледам някои основни операции и приложения. Например, как да направите VDI в oVirt.

Източник: www.habr.com