In questu articulu, guardemu una quantità di paràmetri opzionali, ma utili:
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
Questu articulu hè una continuazione, cuminciate à vede oVirt in 2 ore и .
articuli
- Configurazioni supplementari - Semu quì
Paràmetri supplementari di u manager
Per comodità, installemu pacchetti supplementari:
$ sudo yum install bash-completion vimPer attivà l'autocompletazione di i cumandamenti di bash-completion, cambia à bash.
Aghjunghjendu nomi DNS addiziunali
Questu serà necessariu quandu avete bisognu di cunnette cù u manager cù un nome alternativu (CNAME, alias, o solu un nome cortu senza suffissu di duminiu). Per ragioni di sicurità, u manager permette solu cunnessione à a lista di nomi permessa.
Crea un schedariu di cunfigurazione:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.confu seguenti cuntenutu:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"è ripigliate u manager:
$ sudo systemctl restart ovirt-engineConfigurazione di l'autentificazione attraversu AD
oVirt hà una basa d'utilizatori integrata, ma i fornituri esterni LDAP sò ancu supportati, incl. AD.
U modu più simplice per una cunfigurazione tipica hè di inizià l'assistente è riavvia u manager:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engineUn esempiu di u magu
$ sudo ovirt-engine-extension-aaa-ldap-setup
Implementazioni LDAP dispunibili:
...
3 - Active Directory
...
Per piacè selezziunate: 3
Per piacè inserite u nome di u boscu di Active Directory: example.com
Per piacè selezziunate u protocolu à aduprà (startTLS, ldaps, plain) [startTLS]:
Per piacè selezziunate u metudu per ottene u certificatu CA codificato PEM (File, URL, Inline, System, Insecure): URL
URL:
Inserite u DN di l'utilizatori di ricerca (per esempiu uid = username, dc = esempiu, dc = com o lasciate viotu per anonimu): CN = oVirt-Engine, CN = Users, DC = esempiu, DC = com
Inserite a password di l'utilizatore di ricerca: *codice*
[ INFO ] Tentativu di ligà cù 'CN = oVirt-Engine, CN = Users, DC = example, DC = com'
Aduprà Single Sign-On per Macchine Virtuali (Sì, No) [Iè]:
Per piacè specificate u nome di u prufilu chì serà visibile per l'utilizatori [esempiu.com]:
Per piacè furnite credenziali per pruvà u flussu di login:
Inserite u nome d'utilizatore: some AnyUser
Inserite a password d'utilizatore:
...
[INFO] Sequenza di login eseguita cù successu
...
Selezziunate a sequenza di prova da eseguisce (Fine, Abort, Login, Search) [Fattu]:
[ INFO ] Stage: Configurazione di a transazzione
...
SUMARIO DI CONFIGURAZIONE
...
L'usu di l'assistente hè adattatu per a maiò parte di i casi. Per cunfigurazioni cumplessi, i paràmetri sò fatti manualmente. Più dettagli in a documentazione di oVirt, . Dopu chì u Engine hè cunnessu bè cù AD, un prufilu supplementu apparirà in a finestra di cunnessione, è nantu à u Permissions l'ogetti di u sistema anu a capacità di cuncede permessi à l'utilizatori è i gruppi AD. Si deve esse nutatu chì u cartulare esterni di utilizatori è gruppi pò esse micca solu AD, ma dinù IPA, eDirectory, etc.
Multipathing
In un ambiente di produzzione, u sistema di almacenamentu deve esse cunnessu à l'ospite per via di multiple, indipendenti, multipli I / O. Comu regula, in CentOS (è dunque oVirt'e) ùn ci sò micca prublemi cù a custruzzione di parechje strade à u dispusitivu (find_multipaths sì). Paràmetri supplementari per FCoE sò descritti in . Hè vale a pena attente à a ricunniscenza di u fabricatore di almacenamento - assai ricumandemu di utilizà a pulitica round-robin, mentre chì per difettu Enterprise Linux 7 usa u tempu di serviziu.
Nantu à l'esempiu di 3PAR
è documentu EL hè creatu cum'è Host cù Generic-ALUA Persona 2, per quale i seguenti valori sò inseriti in i paràmetri /etc/multipath.conf:
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}Allora u cumandamentu per riavvia hè datu:
systemctl restart multipathd
Risu. 1 hè a pulitica I/O multipla predeterminata.
Risu. 2 - Politica I / O multiple dopu l'applicazione di i paràmetri.
Configurazione di gestione di l'energia
Permette di realizà, per esempiu, un reset duru di a macchina se u Motore ùn pò micca riceve una risposta da l'Host per un bellu pezzu. Implementatu via l'Agente Fence.
Compute -> Hosts -> HOST - Edita -> Gestione di l'energia, dopu attivate "Abilita a gestione di l'energia" è aghjunghje un agente - "Aggiungi Agente Fence" -> +.
Specificate u tipu (per esempiu, per iLO5, deve specificà ilo4), u nome / indirizzu di l'interfaccia ipmi, è u nome d'utilizatore / password. Hè ricumandemu di creà un utilizatore separatu (per esempiu, oVirt-PM) è, in u casu di iLO, dà li privilegi:
- Adelina
- Console remota
- Virtual Power è Reset
- Media virtuale
- Configurate i paràmetri iLO
- Amministrà cunti d'utilizatori
Ùn dumandate micca perchè hè cusì, hè sceltu empirically. L'agente di scherma di cunsola richiede un settore più chjucu di diritti.
Quandu si stallanu listi di cuntrollu di l'accessu, deve esse cunsideratu chì l'agente ùn viaghja micca nantu à u mutore, ma nantu à l'ospitu "vicinu" (u cusì chjamatu Power Management Proxy), vale à dì, s'ellu ci hè solu un node in u mutore. cluster, a gestione di l'energia funziona ùn a farà.
Configurazione di SSL
Istruzioni ufficiali complete - in , Appendice D: oVirt è SSL - Sustituisce u Certificatu SSL/TLS di oVirt Engine.
U certificatu pò esse da a nostra CA corporativa o da una CA cummerciale esterna.
Nota impurtante: u certificatu hè destinatu à cunnette cù u manager, ùn affetterà micca l'interazzione trà u Engine è i nodi - anu da utilizà certificati autofirmati emessi da u Engine.
Rèducts:
- certificatu di a CA emittente in formatu PEM, cù tutta a catena à a CA radica (da l'emissione subordinata à u principiu à a radica à a fine);
- un certificatu per Apache emessu da a CA emittente (ancu cumpleta cù tutta a catena di certificati CA);
- chjave privata per Apache, senza password.
Diciamu chì a nostra CA emittente hè in esecuzione CentOS, chjamata subca.example.com, è e richieste, chjavi è certificati sò in u cartulare /etc/pki/tls/.
Eseguite una copia di salvezza è crea un repertoriu tempurale:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certsScaricate i certificati, eseguite da a vostra stazione di travagliu o trasfiriu in un altru modu convenientu:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certsIn u risultatu, duvete vede tutti i 3 schedari:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.keyInstallazione di certificati
Copia i fugliali è aghjurnà e liste di fiducia:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.serviceAghjunghjite / aghjurnà i schedarii di cunfigurazione:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.confENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confSSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cerDopu, riavvia tutti i servizii affettati:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.servicePronti ! Hè ora di cunnette cù u manager è verificate chì a cunnessione hè assicurata cù un certificatu SSL firmatu.
Archiviu
Induve senza ella ! In questa sezione, parlemu di l'archivimentu di u manager, l'archiviazione di a VM hè un prublema separata. Faremu copie d'archiviu una volta à ghjornu è almacenà nantu à NFS, per esempiu, nantu à u listessu sistema induve avemu postu l'imagine ISO - mynfs1.example.com:/exports/ovirt-backup. Ùn hè cunsigliatu per almacenà l'archivi nantu à a stessa macchina induve u Engine hè in esecuzione.
Installa è attivate l'autofs:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofsCrea un script:
$ sudo vim /etc/cron.daily/make.oVirt.backup.shu seguenti cuntenutu:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;Fendu u schedariu eseguibile:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.shAvà ogni notte riceveremu un archiviu di paràmetri di u manager.
Interfaccia di gestione host
hè una interfaccia amministrativa moderna per i sistemi Linux. In questu casu, svolge un rolu simili à l'interfaccia web ESXi.
Risu. 3 - apparenza di u pannellu.
L'installazione hè assai simplice, avete bisognu di pacchetti di cockpit è u plugin cockpit-ovirt-dashboard:
$ sudo yum install cockpit cockpit-ovirt-dashboard -yCambia di cockpit:
$ sudo systemctl enable --now cockpit.socketConfigurazione di u firewall:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentAvà pudete cunnette à l'ospite: https://[Host IP or FQDN]:9090
VLAN
Leghjite più nantu à e rete in . Ci hè parechje pussibulità, quì descriveremu a cunnessione di e rete virtuale.
Per cunnetta à l'altri subnets, deve esse prima descritti in a cunfigurazione: Network -> Networks -> New, quì solu u nome hè un campu obligatoriu; a casella di cuntrollu di a rete VM, chì permette à e macchine di utilizà sta rete, hè attivata, è per cunnette l'etichetta, deve attivà Abilita l'etichettatura VLAN, entre u numeru VLAN è cliccate OK.
Avà ci vole à andà à u Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks hosts. Trascinate a reta aghjunta da u latu drittu di Reti Logichi Unassigned à a manca in Reti Logichi Assignati:
Risu. 4 - prima di aghjunghje a reta.
Risu. 5 - dopu aghjunghje a reta.
Per a cunnessione massiva di parechje rete à un òspite, hè cunvenutu per assignà l'etichetta (s) à elli quandu creanu rete, è aghjunghje rete per etichette.
Dopu chì a reta hè creata, l'ospiti entreranu in u statu Non Operativu finu à chì a reta hè aghjuntu à tutti i nodi di cluster. Stu cumpurtamentu hè attivatu da a bandiera Require All in a tabulazione Cluster quandu crea una nova rete. In u casu quandu a reta ùn hè micca necessariu in tutti i nodi di u cluster, sta funzione pò esse disattivata, allora a reta, quandu aghjunghje un òspite, serà à a diritta in a sezione Non Required è pudete sceglie s'ellu si cunnetta à. un host specificu.
Risu. 6 - selezzione di u signu di u requisitu di a reta.
HPE specificu
Quasi tutti i pruduttori anu arnesi chì migliurà l'usabilità di i so prudutti. Aduprà HPE cum'è un esempiu, AMS (Agentless Management Service, amsd per iLO5, hp-ams per iLO4) è SSA (Smart Storage Administrator, travagliendu cù un controller di discu), etc.
Cunnettendu u Repositoriu HPE
Importa a chjave è cunnette i repositori HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repou seguenti cuntenutu:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcpVede u cuntenutu di u repositariu è l'infurmazioni nantu à u pacchettu (per riferimentu):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsdInstallazione è lanciamentu:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsdUn esempiu di l'utilità per travaglià cù un controller di discu
Hè tuttu per avà. In l'articuli seguenti, aghju pensatu à copre alcune operazioni basiche è applicazioni. Per esempiu, cumu fà VDI in oVirt.
Source: www.habr.com