ProHoster > Блог > Administracija > oVirt za 2 sata. Dio 3. Dodatne postavke

oVirt za 2 sata. Dio 3. Dodatne postavke

U ovom članku ćemo pogledati niz neobaveznih, ali korisnih postavki:

Ovaj članak je nastavak, počnite vidjeti oVirt za 2 sata Dio 1 и deo 2-a.

Članci

  1. Uvod
  2. Instaliranje upravitelja (ovirt-engine) i hipervizora (hostovi)
  3. Dodatne postavke - tu smo

Dodatne postavke menadžera

Radi praktičnosti, instalirat ćemo dodatne pakete:

$ sudo yum install bash-completion vim

Da biste omogućili automatsko dovršavanje komandi bash-dovršetka, prebacite se na bash.

Dodavanje dodatnih DNS imena

Ovo će biti potrebno kada se trebate povezati s upraviteljem koristeći alternativno ime (CNAME, alias ili samo kratko ime bez sufiksa domene). Iz sigurnosnih razloga, menadžer dozvoljava samo povezivanje na listu dozvoljenih imena.

Kreirajte konfiguracijski fajl:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

sljedeći sadržaj:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

i ponovo pokrenite upravitelja:

$ sudo systemctl restart ovirt-engine

Konfiguriranje autentifikacije putem AD-a

oVirt ima ugrađenu korisničku bazu, ali su podržani i eksterni LDAP provajderi, uklj. AD.

Najjednostavniji način za tipičnu konfiguraciju je pokretanje čarobnjaka i ponovno pokretanje upravitelja:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Primjer čarobnjaka
$ sudo ovirt-engine-extension-aaa-ldap-setup
Dostupne LDAP implementacije:
...
3 - Active Directory
...
Molimo odaberite: 3
Unesite naziv šume Active Directory: example.com

Molimo odaberite protokol za korištenje (startTLS, ldaps, običan) [startTLS]:
Molimo odaberite metodu za dobivanje PEM kodiranog CA certifikata (datoteka, URL, umetnuti, sistemski, nesiguran): URL
URL: wwwca.example.com/myRootCA.pem
Unesite DN korisnika za pretragu (na primjer uid=username,dc=example,dc=com ili ostavite prazno za anonimno): CN=oVirt-Engine,CN=Korisnici,DC=primjer,DC=com
Unesite korisničku lozinku za pretragu: *lozinka*
[ INFO ] Pokušaj povezivanja koristeći 'CN=oVirt-Engine,CN=Korisnici,DC=primjer,DC=com'
Hoćete li koristiti jedinstvenu prijavu za virtuelne mašine (da, ne) [Da]:
Molimo navedite ime profila koje će biti vidljivo korisnicima [example.com]:
Molimo unesite vjerodajnice za testiranje toka prijave:
Unesite korisničko ime: someAnyUser
Unesite korisničku lozinku:
...
[ INFO ] Slijed za prijavu je uspješno izvršen
...
Odaberite sekvencu testa za izvršenje (Gotovo, Prekini, Prijava, Pretraga) [Gotovo]:
[ INFO ] Faza: Podešavanje transakcije
...
SAŽETAK KONFIGURACIJE
...

Upotreba čarobnjaka je pogodna za većinu slučajeva. Za složene konfiguracije postavke se vrše ručno. Više detalja u oVirt dokumentaciji, Korisnici i uloge. Nakon što se Engine uspješno poveže na AD, dodatni profil će se pojaviti u prozoru za povezivanje i na Dozvole sistemski objekti imaju mogućnost davanja dozvola AD korisnicima i grupama. Treba napomenuti da eksterni imenik korisnika i grupa može biti ne samo AD, već i IPA, eDirectory itd.

Multipathing

U proizvodnom okruženju, sistem skladištenja mora biti povezan sa hostom preko višestrukih, nezavisnih, višestrukih I/O puteva. Po pravilu, u CentOS-u (a samim tim i oVirt'e) nema problema sa izgradnjom više puta do uređaja (find_multipaths da). Dodatne postavke za FCoE opisane su u 2. dio. Vrijedno je obratiti pažnju na preporuku proizvođača skladišta - mnogi preporučuju korištenje round-robin politike, dok Enterprise Linux 7 po defaultu koristi servisno vrijeme.

Na primjeru 3PAR
i dokument Vodič za implementaciju HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux i OracleVM servera EL je kreiran kao Host sa Generic-ALUA Persona 2, za koji se u postavkama /etc/multipath.conf unose sljedeće vrijednosti:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Zatim se daje naredba za ponovno pokretanje:

systemctl restart multipathd

oVirt za 2 sata. Dio 3. Dodatne postavke
Rice. 1 je zadana višestruka I/O politika.

oVirt za 2 sata. Dio 3. Dodatne postavke
Rice. 2 - višestruka I/O politika nakon primjene postavki.

Postavka upravljanja napajanjem

Omogućava vam da izvršite, na primjer, hard resetiranje stroja ako motor ne može primiti odgovor od hosta dugo vremena. Implementirano preko Fence Agenta.

Računanje -> Hostovi -> HOST - Uredi -> Upravljanje napajanjem, zatim uključite "Enable Power Management" i dodajte agenta - "Add Fence Agent" -> +.

Navedite tip (na primjer, za iLO5, morate navesti ilo4), ime/adresu ipmi sučelja i korisničko ime/lozinku. Preporučuje se kreiranje posebnog korisnika (na primjer, oVirt-PM) i, u slučaju iLO-a, dati mu privilegije:

  • Ulogovati se
  • udaljenu konzolu
  • Virtuelno napajanje i resetovanje
  • Virtuelni mediji
  • Konfigurirajte iLO postavke
  • Administriranje korisničkih naloga

Ne pitajte zašto je tako, bira se empirijski. Agent za ograđivanje konzole zahtijeva manji skup prava.

Prilikom postavljanja lista kontrole pristupa, treba imati na umu da agent ne radi na mašini, već na „susednom“ hostu (tzv. Power Management Proxy), tj. ako postoji samo jedan čvor u klaster, upravljanje napajanjem će raditi neće.

Postavljanje SSL-a

Kompletna službena uputstva - u dokumentaciju, Dodatak D: oVirt i SSL - Zamjena SSL/TLS certifikata oVirt Engine.

Certifikat može biti od našeg korporativnog CA ili od eksternog komercijalnog CA.

Važna napomena: sertifikat je namenjen za povezivanje sa menadžerom, neće uticati na interakciju između motora i čvorova - oni će koristiti samopotpisane sertifikate koje izdaje Engine.

Uslovi:

  • sertifikat CA koji izdaje u PEM formatu, sa celim lancem do osnovnog CA (od podređenog izdavanja na početku do korenskog na kraju);
  • sertifikat za Apache koji je izdao CA koji je izdao (takođe zajedno sa celim lancem CA sertifikata);
  • privatni ključ za Apache, bez lozinke.

Recimo da naš CA koji izdaje pokreće CentOS, koji se zove subca.example.com, a zahtjevi, ključevi i certifikati su u /etc/pki/tls/ direktoriju.

Napravite sigurnosne kopije i kreirajte privremeni direktorij:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Preuzmite certifikate, izvršite ih sa svoje radne stanice ili ih prenesite na drugi pogodan način:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Kao rezultat, trebali biste vidjeti sva 3 fajla:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Instaliranje certifikata

Kopirajte fajlove i ažurirajte liste povjerenja:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Dodaj/ažuriraj konfiguracijske datoteke:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf
ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""
$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf
SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf
# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Zatim ponovo pokrenite sve pogođene usluge:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Spremni! Vrijeme je da se povežete s upraviteljem i provjerite da li je veza osigurana potpisanim SSL certifikatom.

Arhiviranje

Kuda bez nje! U ovom odeljku ćemo govoriti o arhiviranju menadžera, arhiviranje VM-a je posebno pitanje. Napravićemo arhivske kopije jednom dnevno i čuvati ih preko NFS-a, na primer, na istom sistemu gde smo postavili ISO slike — mynfs1.example.com:/exports/ovirt-backup. Ne preporučuje se pohranjivanje arhiva na istoj mašini na kojoj je motor pokrenut.

Instalirajte i omogućite autofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Kreirajte skriptu:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

sljedeći sadržaj:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Učinite datoteku izvršnom:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Sada ćemo svake noći primati arhivu postavki menadžera.

Interfejs za upravljanje hostom

Kokpit je moderno administrativno sučelje za Linux sisteme. U ovom slučaju, on obavlja ulogu sličnu ESXi web sučelju.

oVirt za 2 sata. Dio 3. Dodatne postavke
Rice. 3 - izgled panela.

Instalacija je vrlo jednostavna, potrebni su vam paketi za kokpit i dodatak cockpit-ovirt-dashboard:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Prebacivanje kokpita:

$ sudo systemctl enable --now cockpit.socket

Postavka zaštitnog zida:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Sada se možete povezati na host: https://[Host IP ili FQDN]:9090

VLAN-ovi

Više o mrežama pročitajte u dokumentaciju. Postoji mnogo mogućnosti, ovdje ćemo opisati povezivanje virtualnih mreža.

Da biste povezali druge podmreže, prvo moraju biti opisane u konfiguraciji: Mreža -> Mreže -> Novo, ovdje je samo ime obavezno polje; VM Network okvir za potvrdu, koji omogućava mašinama da koriste ovu mrežu, je omogućen, a da biste povezali oznaku, morate omogućiti Omogućite VLAN označavanje, unesite VLAN broj i kliknite na OK.

Sada morate ići na Računanje -> Hostovi -> kvmNN -> Mrežni interfejsi -> Podešavanje host mreža. Prevucite dodanu mrežu s desne strane Nedodijeljenih logičkih mreža na lijevo u Dodijeljene logičke mreže:

oVirt za 2 sata. Dio 3. Dodatne postavke
Rice. 4 - prije dodavanja mreže.

oVirt za 2 sata. Dio 3. Dodatne postavke
Rice. 5 - nakon dodavanja mreže.

Za grupno povezivanje nekoliko mreža na host, zgodno je dodijeliti im oznaku(e) prilikom kreiranja mreža i dodati mreže po oznakama.

Nakon kreiranja mreže, hostovi će ići u stanje Neoperativno sve dok se mreža ne doda svim čvorovima klastera. Ovo ponašanje pokreće oznaka Zahtevaj sve na kartici Klaster prilikom kreiranja nove mreže. U slučaju kada mreža nije potrebna na svim čvorovima klastera, ova funkcija se može onemogućiti, tada će mreža, prilikom dodavanja hosta, biti desno u odjeljku Nije potrebno i možete odabrati hoćete li je spojiti na određenog domaćina.

oVirt za 2 sata. Dio 3. Dodatne postavke
Rice. 6 — izbor predznaka mrežnog zahtjeva.

HPE specifičan

Gotovo svi proizvođači imaju alate koji poboljšavaju upotrebljivost svojih proizvoda. Koristeći HPE kao primjer, korisni su AMS (Agentless Management Service, amsd za iLO5, hp-ams za iLO4) i SSA (Smart Storage Administrator, rad sa disk kontrolerom) itd.

Povezivanje HPE spremišta
Uvezite ključ i povežite HPE spremišta:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

sljedeći sadržaj:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Pogledajte sadržaj spremišta i informacije o paketu (za referencu):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Instalacija i pokretanje:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Primjer uslužnog programa za rad s disk kontrolerom
oVirt za 2 sata. Dio 3. Dodatne postavke

To je sve za sada. U sljedećim člancima planiram pokriti neke osnovne operacije i aplikacije. Na primjer, kako napraviti VDI u oVirt-u.

izvor: www.habr.com