ProHoster > Блог > Pagdumala > oVirt sa 2 ka oras. Bahin 3. Dugang nga mga setting

oVirt sa 2 ka oras. Bahin 3. Dugang nga mga setting

Niini nga artikulo atong tan-awon ang daghang opsyonal apan mapuslanong mga setting:

Kini nga artikulo usa ka pagpadayon, tan-awa ang oVirt sa 2 ka oras alang sa pagsugod Bahin sa 1 и bahin 2.

Artikulo

  1. Pasiuna
  2. Pag-instalar sa manager (ovirt-engine) ug hypervisors (hosts)
  3. Dugang nga mga setting - Ania kami

Dugang nga mga setting sa manager

Alang sa kasayon, mag-instalar kami og dugang nga mga pakete:

$ sudo yum install bash-completion vim

Aron mahimo ang pagkompleto sa command, ang bash-completion nagkinahanglan sa pagbalhin ngadto sa bash.

Pagdugang dugang nga mga ngalan sa DNS

Kinahanglanon kini kung kinahanglan nimo nga makonektar sa manager gamit ang alternatibong ngalan (CNAME, alias, o mubo ra nga ngalan nga wala’y suffix sa domain). Alang sa mga hinungdan sa seguridad, gitugotan sa manedyer ang mga koneksyon gamit ang gitugotan nga lista sa mga ngalan.

Paghimo og configuration file:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

ang mosunod nga sulod:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

ug i-restart ang manager:

$ sudo systemctl restart ovirt-engine

Pag-set up sa authentication pinaagi sa AD

Ang oVirt adunay built-in nga user base, apan ang mga external nga LDAP providers gisuportahan usab, incl. A.D.

Ang pinakasimple nga paagi alang sa usa ka tipikal nga configuration mao ang paglansad sa wizard ug i-restart ang manager:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Usa ka pananglitan sa trabaho sa usa ka agalon
$ sudo ovirt-engine-extension-aaa-ldap-setup
Magamit nga mga pagpatuman sa LDAP:
...
3 - Aktibo nga Direktoryo
...
Palihug pagpili: 3
Palihug isulod ang ngalan sa Active Directory Forest: example.com

Palihug pilia ang protocol nga gamiton (startTLS, ldaps, plain) [pagsugodTLS]:
Palihug pilia ang pamaagi aron makuha ang PEM encoded CA certificate (File, URL, Inline, System, Insecure): URL
URL: wwwca.example.com/myRootCA.pem
Pagsulod sa search user DN (pananglitan uid=username,dc=example,dc=com o biyai nga walay sulod para sa anonymous): CN=oVirt-Engine,CN=Users,DC=example,DC=com
Pagsulod sa search user password: *password*
[ INFO ] Pagsulay sa pagbugkos gamit ang 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Gamiton ba nimo ang Single Sign-On para sa Virtual Machines (Oo, Dili) [Oo]:
Palihug ipiho ang ngalan sa profile nga makita sa mga tiggamit [example.com]:
Palihug paghatag og mga kredensyal sa pagsulay sa dagan sa pag-login:
Pagsulud sa ngalan sa tiggamit: someAnyUser
Pagsulod sa password sa user:
...
[INFO] Malampuson nga gipatuman ang han-ay sa pag-login
...
Pilia ang han-ay sa pagsulay nga ipatuman (Nahuman, I-abort, Login, Pangita) [Nahimo]:
[INFO] Yugto: Pag-setup sa transaksyon
...
SUMMARY SA CONFIGURATION
...

Ang paggamit sa wizard angay alang sa kadaghanan nga mga kaso. Alang sa komplikado nga mga pag-configure, ang mga setting gihimo nga mano-mano. Dugang nga mga detalye sa dokumentasyon sa oVirt, Mga Gumagamit ug Mga Papel. Human sa malampuson nga pagkonektar sa Engine ngadto sa AD, usa ka dugang nga profile ang makita sa bintana sa koneksyon, ug sa tab Permissions Ang mga butang sa sistema adunay katakus sa paghatag mga pagtugot sa mga tiggamit ug grupo sa AD. Kinahanglan nga hinumdoman nga ang gawas nga direktoryo sa mga tiggamit ug mga grupo mahimo’g dili lamang AD, apan usab IPA, eDirectory, ug uban pa.

Pagpadaghan

Sa usa ka palibot sa produksiyon, ang sistema sa pagtipig kinahanglan nga konektado sa host pinaagi sa daghang independente, daghang mga agianan sa I/O. Ingon sa usa ka lagda, sa CentOS (ug busa oVirt) walay mga problema sa pag-assemble sa daghang mga agianan ngadto sa usa ka device (find_multipaths yes). Ang dugang nga mga setting alang sa FCoE gisulat sa ika-2 nga bahin. Angayan nga hatagan pagtagad ang rekomendasyon sa tiggama sa sistema sa pagtipig - daghan ang nagrekomenda sa paggamit sa palisiya sa round-robin, apan pinaagi sa default sa Enterprise Linux 7 gigamit ang oras sa serbisyo.

Gigamit ang 3PAR isip pananglitan
ug dokumento HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux, ug OracleVM Server Implementation Guide Ang EL gimugna isip usa ka Host nga adunay Generic-ALUA Persona 2, diin ang mosunod nga mga kantidad gisulod sa mga setting /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Pagkahuman gihatag ang mando nga i-restart:

systemctl restart multipathd

oVirt sa 2 ka oras. Bahin 3. Dugang nga mga setting
bugas. Ang 1 mao ang default multiple I/O policy.

oVirt sa 2 ka oras. Bahin 3. Dugang nga mga setting
bugas. 2 - daghang polisiya sa I/O human magamit ang mga setting.

Pag-set up sa pagdumala sa kuryente

Gitugotan ka sa paghimo, pananglitan, usa ka pag-reset sa hardware sa makina kung ang Engine dili makadawat usa ka tubag gikan sa Host sa dugay nga panahon. Gipatuman pinaagi sa Fence Agent.

Compute -> Mga Host -> HOST — I-edit -> Pagdumala sa Gahum, unya i-enable ang “Enable Power Management” ug idugang ang ahente — “Add Fence Agent” -> +.

Gipakita namo ang tipo (pananglitan, para sa iLO5 kinahanglan nimong ipiho ang ilo4), ang ngalan/address sa interface sa ipmi, ingon man ang user name/password. Girekomenda nga maghimo usa ka lahi nga tiggamit (pananglitan, oVirt-PM) ug, sa kaso sa iLO, hatagan siya mga pribilehiyo:

  • Sulod
  • hilit nga console
  • Virtual Power ug Reset
  • Virtual Media
  • I-configure ang Mga Setting sa iLO
  • Pagdumala sa mga Account sa Gumagamit

Ayaw pangutana kung ngano nga ingon niini, gipili kini nga empirically. Ang ahente sa console fencing nanginahanglan gamay nga mga katungod.

Kung mag-set up sa mga lista sa kontrol sa pag-access, kinahanglan nimong hinumdoman nga ang ahente wala nagdagan sa makina, apan sa usa ka "silingan" nga host (ang gitawag nga Power Management Proxy), i.e., kung adunay usa ra ka node sa cluster, mogana ang pagdumala sa kuryente dili.

Pag-set up sa SSL

Bug-os nga opisyal nga instruksyon - sa dokumentasyon, Apendise D: oVirt ug SSL — Pag-ilis sa oVirt Engine SSL/TLS Certificate.

Ang sertipiko mahimong gikan sa among corporate CA o gikan sa usa ka eksternal nga komersyal nga awtoridad sa sertipiko.

Importante nga nota: Ang sertipiko gituyo alang sa pagkonektar sa manedyer ug dili makaapekto sa komunikasyon tali sa Engine ug sa mga node - gamiton nila ang mga sertipiko nga gipirmahan sa kaugalingon nga gi-isyu sa Engine.

Mga kinahanglanon:

  • sertipiko sa nag-isyu nga CA sa PEM format, nga ang tibuok kadena hangtod sa gamut CA (gikan sa ubos nga nag-isyu sa CA sa sinugdanan ngadto sa gamut sa katapusan);
  • usa ka sertipiko alang sa Apache nga gi-isyu sa nag-isyu nga CA (gidugangan usab sa tibuuk nga kadena sa mga sertipiko sa CA);
  • pribadong yawe alang sa Apache, nga walay password.

Ibutang nato nga ang atong nag-isyu nga CA nagpadagan sa CentOS, gitawag nga subca.example.com, ug ang mga hangyo, mga yawe, ug mga sertipiko anaa sa /etc/pki/tls/ directory.

Naghimo kami og mga backup ug naghimo og temporaryo nga direktoryo:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Pag-download sa mga sertipiko, buhata kini gikan sa imong workstation o ibalhin kini sa lain nga kombenyente nga paagi:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Ingon usa ka sangputanan, kinahanglan nimo nga makita ang tanan nga 3 nga mga file:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Pag-instalar sa mga sertipiko

Kopyaha ang mga file ug i-update ang mga lista sa pagsalig:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Idugang/i-update ang mga file sa pag-configure:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf
ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""
$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf
SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf
# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Sunod, i-restart ang tanan nga naapektuhan nga mga serbisyo:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Andam na! Panahon na aron makonektar sa manedyer ug susihon nga ang koneksyon gipanalipdan sa usa ka pinirmahan nga sertipiko sa SSL.

Pag-archive

Asa man mi kung wala siya? Niini nga seksyon maghisgot kami bahin sa pag-archive sa manager; Ang pag-archive sa VM usa ka lahi nga isyu. Maghimo kami og mga kopya sa archive kausa sa usa ka adlaw ug itago kini pinaagi sa NFS, pananglitan, sa parehas nga sistema diin among gibutang ang mga imahe sa ISO - mynfs1.example.com:/exports/ovirt-backup. Dili girekomenda nga tipigan ang mga archive sa parehas nga makina diin nagdagan ang Engine.

I-install ug i-enable ang autofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Magbuhat ta og script:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

ang mosunod nga sulod:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Paghimo sa file executable:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Karon matag gabii makadawat kami usa ka archive sa mga setting sa manager.

Interface sa pagdumala sa host

Sabaw — usa ka modernong administratibong interface alang sa mga sistema sa Linux. Sa kini nga kaso, kini naghimo sa usa ka papel nga susama sa ESXi web interface.

oVirt sa 2 ka oras. Bahin 3. Dugang nga mga setting
bugas. 3 - dagway sa panel.

Ang pag-instalar yano ra kaayo, kinahanglan nimo ang mga pakete sa sabungan ug ang plugin sa cockpit-ovirt-dashboard:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Makapahimo sa Cockpit:

$ sudo systemctl enable --now cockpit.socket

Pag-setup sa firewall:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Karon makakonektar ka sa host: https://[Host IP or FQDN]:9090

Mga VLAN

Kinahanglan nimong basahon ang dugang bahin sa mga network sa dokumentasyon. Adunay daghang mga posibilidad, dinhi atong ihulagway ang pagkonektar sa mga virtual network.

Aron makonektar ang ubang mga subnet, kinahanglan una silang ihulagway sa configuration: Network -> Networks -> Bag-o, dinhi lamang ang ngalan ang gikinahanglan nga field; Ang checkbox sa VM Network, nga nagtugot sa mga makina sa paggamit niini nga network, gi-enable, apan ang pagkonektar sa tag kinahanglan nga ma-enable. I-enable ang VLAN tagging, isulod ang numero sa VLAN ug i-klik ang OK.

Karon kinahanglan ka nga moadto sa Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. I-drag ang gidugang nga network gikan sa tuo nga bahin sa Unassigned Logical Networks ngadto sa wala ngadto sa Assigned Logical Networks:

oVirt sa 2 ka oras. Bahin 3. Dugang nga mga setting
bugas. 4 - sa wala pa magdugang usa ka network.

oVirt sa 2 ka oras. Bahin 3. Dugang nga mga setting
bugas. 5 - human sa pagdugang sa usa ka network.

Aron makonektar ang daghang mga network sa usa ka host sa kadaghanan, dali nga magbutang usa ka (mga) label sa kanila kung maghimo mga network, ug pagdugang mga network pinaagi sa mga label.

Human mabuhat ang network, ang mga host moadto sa Non Operational nga estado hangtod ang network idugang sa tanan nga mga node sa cluster. Kini nga kinaiya tungod sa Require All nga bandila sa Cluster tab sa paghimo og bag-ong network. Sa kaso kung ang network dili kinahanglan sa tanan nga mga node sa cluster, kini nga bandila mahimong ma-disable, unya kung ang network idugang sa usa ka host, kini naa sa tuo sa seksyon nga Dili Kinahanglan ug mahimo nimong pilion kung magkonektar kini sa usa ka piho nga host.

oVirt sa 2 ka oras. Bahin 3. Dugang nga mga setting
bugas. 6—pagpili ug usa ka kinaiya nga gikinahanglan sa network.

Espesipiko sa HPE

Hapit tanan nga mga tiggama adunay mga himan nga nagpauswag sa usability sa ilang mga produkto. Gamit ang HPE isip pananglitan, ang AMS (Agentless Management Service, amsd para sa iLO5, hp-ams para sa iLO4) ug SSA (Smart Storage Administrator, nagtrabaho uban ang disk controller), ug uban pa mapuslanon.

Pagkonektar sa HPE repository
Gi-import namo ang yawe ug gikonektar ang mga HPE repository:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

ang mosunod nga sulod:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Tan-awa ang sulod sa repository ug impormasyon sa pakete (alang sa pakisayran):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Pag-instalar ug paglansad:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Usa ka pananglitan sa usa ka utility alang sa pagtrabaho sa usa ka disk controller
oVirt sa 2 ka oras. Bahin 3. Dugang nga mga setting

Kana lang sa pagkakaron. Sa mosunod nga mga artikulo nagplano ako nga maghisgot mahitungod sa pipila ka mga batakang operasyon ug aplikasyon. Pananglitan, kung giunsa paghimo ang VDI sa oVirt.

Source: www.habr.com