En aquest article, veurem una sèrie de configuracions opcionals, però útils:
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
Aquest article és una continuació, comença a veure oVirt en 2 hores и .
articles
- Configuració addicional: estem aquí
Configuració addicional del gestor
Per comoditat, instal·larem paquets addicionals:
$ sudo yum install bash-completion vimPer habilitar l'emplenament automàtic de les ordres de completació de bash, canvieu a bash.
Afegeix noms DNS addicionals
Això serà necessari quan us hàgiu de connectar amb el gestor mitjançant un nom alternatiu (CNAME, àlies o només un nom curt sense un sufix de domini). Per motius de seguretat, el gestor només permet connexions a la llista de noms permesos.
Creeu un fitxer de configuració:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.confel contingut següent:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"i reinicieu el gestor:
$ sudo systemctl restart ovirt-engineConfiguració de l'autenticació mitjançant AD
oVirt té una base d'usuaris integrada, però també s'admeten proveïdors LDAP externs, incl. AD.
La manera més senzilla d'una configuració típica és iniciar l'assistent i reiniciar el gestor:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engineUn exemple del mag
$ sudo ovirt-engine-extension-aaa-ldap-setup
Implementacions LDAP disponibles:
...
3 - Directori actiu
...
Seleccioneu: 3
Introduïu el nom del bosc de l'Active Directory: example.com
Seleccioneu el protocol que voleu utilitzar (startTLS, ldaps, simple) [startTLS]:
Seleccioneu el mètode per obtenir el certificat CA codificat PEM (fitxer, URL, en línia, sistema, insegur): URL
URL:
Introduïu el DN de l'usuari de cerca (per exemple, uid=nom d'usuari, dc=exemple, dc=com o deixeu-lo buit per a anònim): CN = oVirt-Engine, CN = Usuaris, DC = exemple, DC = com
Introduïu la contrasenya d'usuari de cerca: *contrasenya*
[ INFORMACIÓ ] S'està intentant enllaçar amb 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Utilitzareu l'inici de sessió únic per a màquines virtuals (Sí, No) [Sí]:
Especifiqueu el nom del perfil que serà visible per als usuaris [exemple.com]:
Proporcioneu les credencials per provar el flux d'inici de sessió:
Introduïu el nom d'usuari: algunAnyUser
Introduïu la contrasenya d'usuari:
...
[ INFO ] La seqüència d'inici de sessió s'ha executat correctament
...
Seleccioneu la seqüència de prova per executar (Fet, Avortar, Inici de sessió, Cerca) [Fet]:
[ INFO ] Etapa: Configuració de la transacció
...
RESUM DE CONFIGURACIÓ
...
L'ús de l'assistent és adequat per a la majoria dels casos. Per a configuracions complexes, la configuració es fa manualment. Més detalls a la documentació d'oVirt, . Després que el motor estigui connectat correctament a AD, apareixerà un perfil addicional a la finestra de connexió i al Permisos Els objectes del sistema tenen la capacitat de concedir permisos als usuaris i grups d'AD. Cal tenir en compte que el directori extern d'usuaris i grups pot ser no només AD, sinó també IPA, eDirectory, etc.
Multivia
En un entorn de producció, el sistema d'emmagatzematge s'ha de connectar a l'amfitrió mitjançant múltiples vies d'E/S independents i múltiples. Per regla general, a CentOS (i, per tant, oVirt'e) no hi ha problemes amb la creació de diversos camins al dispositiu (find_multipaths sí). La configuració addicional per a FCoE es descriu a . Val la pena parar atenció a la recomanació del fabricant d'emmagatzematge: molts recomanen utilitzar la política de round-robin, mentre que per defecte Enterprise Linux 7 utilitza el temps de servei.
En l'exemple de 3PAR
i documentar EL es crea com a host amb Generic-ALUA Persona 2, per al qual s'introdueixen els valors següents a la configuració de /etc/multipath.conf:
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}Llavors es dóna l'ordre per reiniciar:
systemctl restart multipathd
Arròs. 1 és la política d'E/S múltiple predeterminada.
Arròs. 2 - Política d'E/S múltiple després d'aplicar la configuració.
Configuració de gestió d'energia
Permet realitzar, per exemple, un restabliment complet de la màquina si el motor no pot rebre una resposta de l'amfitrió durant molt de temps. Implementat mitjançant l'agent de tanca.
Càlcul -> Amfitrions -> HOST - Edita -> Gestió d'energia i, a continuació, activeu "Activa la gestió de l'energia" i afegiu un agent - "Afegeix un agent de tanca" -> +.
Especifiqueu el tipus (per exemple, per a iLO5, heu d'especificar ilo4), el nom/adreça de la interfície ipmi i el nom d'usuari/contrasenya. Es recomana crear un usuari independent (per exemple, oVirt-PM) i, en el cas d'iLO, donar-li privilegis:
- Login
- Consola remota
- Potència virtual i restabliment
- Mitjans virtuals
- Configura la configuració d'iLO
- Administrar comptes d'usuari
No us pregunteu per què és així, s'escull empíricament. L'agent d'esgrima de la consola requereix un conjunt de drets més petit.
A l'hora de configurar llistes de control d'accés, cal tenir en compte que l'agent no s'executa al motor, sinó a l'amfitrió "veí" (l'anomenat Power Management Proxy), és a dir, si només hi ha un node al clúster, la gestió d'energia funcionarà no.
Configuració de SSL
Instruccions oficials completes - en , Apèndix D: oVirt i SSL - Substitució del certificat SSL/TLS d'oVirt Engine.
El certificat pot ser de la nostra CA corporativa o d'una CA comercial externa.
Nota important: el certificat està pensat per connectar-se al gestor, no afectarà la interacció entre el motor i els nodes: utilitzaran certificats autofirmats emesos pel motor.
Requisits:
- certificat de la CA emissora en format PEM, amb tota la cadena fins a la CA arrel (des de la subordinada emissora al principi fins a l'arrel al final);
- un certificat per a Apache emès per la CA emissora (també completa amb tota la cadena de certificats de CA);
- clau privada per a Apache, sense contrasenya.
Suposem que la nostra CA emissora executa CentOS, anomenada subca.example.com, i que les sol·licituds, les claus i els certificats es troben al directori /etc/pki/tls/.
Feu còpies de seguretat i creeu un directori temporal:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certsBaixeu certificats, executeu-los des de la vostra estació de treball o transferiu-los d'una altra manera convenient:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certsCom a resultat, hauríeu de veure els 3 fitxers:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.keyInstal·lació de certificats
Copieu fitxers i actualitzeu les llistes de confiança:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.serviceAfegeix/actualitza fitxers de configuració:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.confENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confSSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cerA continuació, reinicieu tots els serveis afectats:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.serviceA punt! És hora de connectar-se al gestor i comprovar que la connexió està segura amb un certificat SSL signat.
Arxivar
On sense ella! En aquesta secció, parlarem d'arxivar el gestor, arxivar la VM és un tema independent. Farem còpies d'arxiu un cop al dia i les emmagatzemarem mitjançant NFS, per exemple, al mateix sistema on hem col·locat les imatges ISO: mynfs1.example.com:/exports/ovirt-backup. No es recomana emmagatzemar arxius a la mateixa màquina on s'executa el motor.
Instal·leu i activeu autofs:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofsCreeu un script:
$ sudo vim /etc/cron.daily/make.oVirt.backup.shel contingut següent:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;Fent executable el fitxer:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.shAra cada nit rebrem un arxiu de la configuració del gestor.
Interfície de gestió de l'amfitrió
és una interfície administrativa moderna per a sistemes Linux. En aquest cas, realitza una funció similar a la interfície web ESXi.
Arròs. 3 - aspecte del panell.
La instal·lació és molt senzilla, necessiteu paquets de cockpit i el connector cockpit-ovirt-dashboard:
$ sudo yum install cockpit cockpit-ovirt-dashboard -yCanvi de cabina:
$ sudo systemctl enable --now cockpit.socketConfiguració del tallafoc:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentAra us podeu connectar a l'amfitrió: https://[Host IP or FQDN]:9090
VLAN
Llegeix més sobre les xarxes a . Hi ha moltes possibilitats, aquí descriurem la connexió de xarxes virtuals.
Per connectar altres subxarxes, primer s'han de descriure a la configuració: Xarxa -> Xarxes -> Nou, aquí només el nom és un camp obligatori; la casella de selecció VM Network, que permet que les màquines utilitzin aquesta xarxa, està habilitada i per connectar l'etiqueta, heu d'activar Activa l'etiquetatge de VLAN, introduïu el número de VLAN i feu clic a D'acord.
Ara heu d'anar a Càlcul -> Amfitrions -> kvmNN -> Interfícies de xarxa -> Configurar amfitrions de xarxes d'amfitrió. Arrossegueu la xarxa afegida des del costat dret de Xarxes lògiques no assignades cap a l'esquerra a Xarxes lògiques assignades:
Arròs. 4 - abans d'afegir la xarxa.
Arròs. 5 - després d'afegir la xarxa.
Per a la connexió massiva de diverses xarxes a un host, és convenient assignar-hi etiquetes quan es creen xarxes i afegir xarxes per etiquetes.
Un cop creada la xarxa, els amfitrions passaran a l'estat No operatiu fins que la xarxa s'afegeixi a tots els nodes del clúster. Aquest comportament s'activa amb el senyalador Requereix tot a la pestanya Clúster quan es crea una xarxa nova. En el cas que la xarxa no sigui necessària a tots els nodes del clúster, aquesta funció es pot desactivar, aleshores la xarxa, quan s'afegeix un amfitrió, estarà a la dreta a la secció No obligatori i podeu triar si voleu connectar-la a un host concret.
Arròs. 6 — selecció del signe del requisit de xarxa.
HPE específic
Gairebé tots els fabricants disposen d'eines que milloren la usabilitat dels seus productes. Utilitzant HPE com a exemple, són útils AMS (Agentless Management Service, amsd per a iLO5, hp-ams per a iLO4) i SSA (Smart Storage Administrator, treballant amb un controlador de disc), etc.
Connexió del repositori HPE
Importeu la clau i connecteu els repositoris HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repoel contingut següent:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcpConsulteu el contingut del repositori i informació sobre el paquet (per a referència):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsdInstal·lació i llançament:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsdUn exemple de la utilitat per treballar amb un controlador de disc
Això és tot per ara. En els articles següents penso cobrir algunes operacions i aplicacions bàsiques. Per exemple, com fer VDI a oVirt.
Font: www.habr.com