Radi praktičnosti, instalirat ćemo dodatne pakete:
$ sudo yum install bash-completion vim
Da biste omogućili automatsko dovršavanje komandi bash-dovršetka, prebacite se na bash.
Dodavanje dodatnih DNS imena
Ovo će biti potrebno kada se trebate povezati s upraviteljem koristeći alternativno ime (CNAME, alias ili samo kratko ime bez sufiksa domene). Iz sigurnosnih razloga, menadžer dozvoljava samo povezivanje na listu dozvoljenih imena.
Kreirajte konfiguracijski fajl:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Primjer čarobnjaka
$ sudo ovirt-engine-extension-aaa-ldap-setup
Dostupne LDAP implementacije:
...
3 - Active Directory
...
Molimo odaberite: 3
Unesite naziv šume Active Directory: example.com
Molimo odaberite protokol za korištenje (startTLS, ldaps, običan) [startTLS]:
Molimo odaberite metodu za dobivanje PEM kodiranog CA certifikata (datoteka, URL, umetnuti, sistemski, nesiguran): URL
URL: wwwca.example.com/myRootCA.pem
Unesite DN korisnika za pretragu (na primjer uid=username,dc=example,dc=com ili ostavite prazno za anonimno): CN=oVirt-Engine,CN=Korisnici,DC=primjer,DC=com
Unesite korisničku lozinku za pretragu: *lozinka*
[ INFO ] Pokušaj povezivanja koristeći 'CN=oVirt-Engine,CN=Korisnici,DC=primjer,DC=com'
Hoćete li koristiti jedinstvenu prijavu za virtuelne mašine (da, ne) [Da]:
Molimo navedite ime profila koje će biti vidljivo korisnicima [example.com]:
Molimo unesite vjerodajnice za testiranje toka prijave:
Unesite korisničko ime: someAnyUser
Unesite korisničku lozinku:
...
[ INFO ] Slijed za prijavu je uspješno izvršen
...
Odaberite sekvencu testa za izvršenje (Gotovo, Prekini, Prijava, Pretraga) [Gotovo]:
[ INFO ] Faza: Podešavanje transakcije
...
SAŽETAK KONFIGURACIJE
...
Upotreba čarobnjaka je pogodna za većinu slučajeva. Za složene konfiguracije postavke se vrše ručno. Više detalja u oVirt dokumentaciji, Korisnici i uloge. Nakon što se Engine uspješno poveže na AD, dodatni profil će se pojaviti u prozoru za povezivanje i na Dozvole sistemski objekti imaju mogućnost davanja dozvola AD korisnicima i grupama. Treba napomenuti da eksterni imenik korisnika i grupa može biti ne samo AD, već i IPA, eDirectory itd.
Multipathing
U proizvodnom okruženju, sistem skladištenja mora biti povezan sa hostom preko višestrukih, nezavisnih, višestrukih I/O puteva. Po pravilu, u CentOS-u (a samim tim i oVirt'e) nema problema sa izgradnjom više puta do uređaja (find_multipaths da). Dodatne postavke za FCoE opisane su u 2. dio. Vrijedno je obratiti pažnju na preporuku proizvođača skladišta - mnogi preporučuju korištenje round-robin politike, dok Enterprise Linux 7 po defaultu koristi servisno vrijeme.
Rice. 2 - višestruka I/O politika nakon primjene postavki.
Postavka upravljanja napajanjem
Omogućava vam da izvršite, na primjer, hard resetiranje stroja ako motor ne može primiti odgovor od hosta dugo vremena. Implementirano preko Fence Agenta.
Računanje -> Hostovi -> HOST - Uredi -> Upravljanje napajanjem, zatim uključite "Enable Power Management" i dodajte agenta - "Add Fence Agent" -> +.
Navedite tip (na primjer, za iLO5, morate navesti ilo4), ime/adresu ipmi sučelja i korisničko ime/lozinku. Preporučuje se kreiranje posebnog korisnika (na primjer, oVirt-PM) i, u slučaju iLO-a, dati mu privilegije:
Ulogovati se
udaljenu konzolu
Virtuelno napajanje i resetovanje
Virtuelni mediji
Konfigurirajte iLO postavke
Administriranje korisničkih naloga
Ne pitajte zašto je tako, bira se empirijski. Agent za ograđivanje konzole zahtijeva manji skup prava.
Prilikom postavljanja lista kontrole pristupa, treba imati na umu da agent ne radi na mašini, već na „susednom“ hostu (tzv. Power Management Proxy), tj. ako postoji samo jedan čvor u klaster, upravljanje napajanjem će raditi neće.
Postavljanje SSL-a
Kompletna službena uputstva - u dokumentaciju, Dodatak D: oVirt i SSL - Zamjena SSL/TLS certifikata oVirt Engine.
Certifikat može biti od našeg korporativnog CA ili od eksternog komercijalnog CA.
Važna napomena: sertifikat je namenjen za povezivanje sa menadžerom, neće uticati na interakciju između motora i čvorova - oni će koristiti samopotpisane sertifikate koje izdaje Engine.
Uslovi:
sertifikat CA koji izdaje u PEM formatu, sa celim lancem do osnovnog CA (od podređenog izdavanja na početku do korenskog na kraju);
sertifikat za Apache koji je izdao CA koji je izdao (takođe zajedno sa celim lancem CA sertifikata);
privatni ključ za Apache, bez lozinke.
Recimo da naš CA koji izdaje pokreće CentOS, koji se zove subca.example.com, a zahtjevi, ključevi i certifikati su u /etc/pki/tls/ direktoriju.
Napravite sigurnosne kopije i kreirajte privremeni direktorij:
Spremni! Vrijeme je da se povežete s upraviteljem i provjerite da li je veza osigurana potpisanim SSL certifikatom.
Arhiviranje
Kuda bez nje! U ovom odeljku ćemo govoriti o arhiviranju menadžera, arhiviranje VM-a je posebno pitanje. Napravićemo arhivske kopije jednom dnevno i čuvati ih preko NFS-a, na primer, na istom sistemu gde smo postavili ISO slike — mynfs1.example.com:/exports/ovirt-backup. Ne preporučuje se pohranjivanje arhiva na istoj mašini na kojoj je motor pokrenut.
Sada se možete povezati na host: https://[Host IP ili FQDN]:9090
VLAN-ovi
Više o mrežama pročitajte u dokumentaciju. Postoji mnogo mogućnosti, ovdje ćemo opisati povezivanje virtualnih mreža.
Da biste povezali druge podmreže, prvo moraju biti opisane u konfiguraciji: Mreža -> Mreže -> Novo, ovdje je samo ime obavezno polje; VM Network okvir za potvrdu, koji omogućava mašinama da koriste ovu mrežu, je omogućen, a da biste povezali oznaku, morate omogućiti Omogućite VLAN označavanje, unesite VLAN broj i kliknite na OK.
Sada morate ići na Računanje -> Hostovi -> kvmNN -> Mrežni interfejsi -> Podešavanje host mreža. Prevucite dodanu mrežu s desne strane Nedodijeljenih logičkih mreža na lijevo u Dodijeljene logičke mreže:
Rice. 4 - prije dodavanja mreže.
Rice. 5 - nakon dodavanja mreže.
Za grupno povezivanje nekoliko mreža na host, zgodno je dodijeliti im oznaku(e) prilikom kreiranja mreža i dodati mreže po oznakama.
Nakon kreiranja mreže, hostovi će ići u stanje Neoperativno sve dok se mreža ne doda svim čvorovima klastera. Ovo ponašanje pokreće oznaka Zahtevaj sve na kartici Klaster prilikom kreiranja nove mreže. U slučaju kada mreža nije potrebna na svim čvorovima klastera, ova funkcija se može onemogućiti, tada će mreža, prilikom dodavanja hosta, biti desno u odjeljku Nije potrebno i možete odabrati hoćete li je spojiti na određenog domaćina.
Rice. 6 — izbor predznaka mrežnog zahtjeva.
HPE specifičan
Gotovo svi proizvođači imaju alate koji poboljšavaju upotrebljivost svojih proizvoda. Koristeći HPE kao primjer, korisni su AMS (Agentless Management Service, amsd za iLO5, hp-ams za iLO4) i SSA (Smart Storage Administrator, rad sa disk kontrolerom) itd.
Povezivanje HPE spremišta
Uvezite ključ i povežite HPE spremišta:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo