Chcete-li povolit automatické dokončování příkazů pro dokončení bash, přepněte na bash.
Přidání dalších názvů DNS
To bude vyžadováno, když se potřebujete připojit ke správci pomocí alternativního jména (CNAME, alias nebo jen krátký název bez přípony domény). Z bezpečnostních důvodů správce povoluje připojení pouze k povolenému seznamu jmen.
Vytvořte konfigurační soubor:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Příklad čaroděje
$ sudo ovirt-engine-extension-aaa-ldap-setup
Dostupné implementace LDAP:
...
3 - Active Directory
...
Prosím vyberte: 3
Zadejte název doménové struktury Active Directory: example.com
Vyberte protokol, který chcete použít (startTLS, ldaps, plain) [startTLS]:
Vyberte prosím způsob získání certifikátu CA s kódováním PEM (Soubor, URL, Vložený, Systém, Nezabezpečené): URL
URL: wwwca.example.com/myRootCA.pem
Zadejte DN vyhledávacího uživatele (například uid=username,dc=example,dc=com nebo ponechte prázdné pro anonym): CN=oVirt-Engine,CN=Uživatelé,DC=příklad,DC=com
Zadejte heslo uživatele pro vyhledávání: *Heslo*
[ INFO ] Pokus o vazbu pomocí 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Budete používat jednotné přihlášení pro virtuální počítače (Ano, Ne) [Ano]:
Zadejte název profilu, který bude viditelný uživatelům [example.com]:
Uveďte prosím přihlašovací údaje k otestování postupu přihlášení:
Zadejte uživatelské jméno: nějaký Každý uživatel
Zadejte uživatelské heslo:
...
[ INFO ] Přihlašovací sekvence byla úspěšně provedena
...
Vyberte testovací sekvenci k provedení (Hotovo, Přerušit, Přihlásit se, Hledat) [Hotovo]:
[ INFO ] Fáze: Nastavení transakce
...
SHRNUTÍ KONFIGURACE
...
Použití průvodce je vhodné pro většinu případů. U složitých konfigurací se nastavení provádějí ručně. Více podrobností v dokumentaci oVirt, Uživatelé a role. Po úspěšném připojení Engine k AD se v okně připojení objeví další profil a na Oprávnění systémové objekty mají schopnost udělovat oprávnění uživatelům a skupinám AD. Je třeba poznamenat, že externím adresářem uživatelů a skupin může být nejen AD, ale také IPA, eDirectory atd.
Více cest
V produkčním prostředí musí být úložný systém připojen k hostiteli prostřednictvím více nezávislých vícenásobných I/O cest. V CentOS (a tedy oVirt'e) zpravidla nejsou problémy s budováním více cest k zařízení (find_multipaths ano). Další nastavení pro FCoE jsou popsána v 2. díl. Stojí za to věnovat pozornost doporučení výrobce úložiště - mnozí doporučují používat zásadu round-robin, zatímco ve výchozím nastavení Enterprise Linux 7 používá servisní čas.
Rýže. 2 - vícenásobná I/O politika po použití nastavení.
Nastavení správy napájení
Umožňuje provést například tvrdý reset stroje, pokud Engine nemůže po dlouhou dobu přijímat odpověď od hostitele. Implementováno prostřednictvím Fence Agenta.
Compute -> Hosts -> HOST - Edit -> Power Management, poté zapněte "Enable Power Management" a přidejte agenta - "Add Fence Agent" -> +.
Zadejte typ (například pro iLO5 musíte zadat ilo4), název/adresu rozhraní ipmi a uživatelské jméno/heslo. Doporučuje se vytvořit samostatného uživatele (například oVirt-PM) a v případě iLO mu udělit oprávnění:
Přihlášení
Vzdálená konzole
Virtuální napájení a reset
Virtuální média
Nakonfigurujte nastavení iLO
Správa uživatelských účtů
Neptejte se, proč tomu tak je, vybírá se to empiricky. Agent konzolového šermu vyžaduje menší sadu práv.
Při nastavování seznamů řízení přístupu je třeba mít na paměti, že agent neběží na enginu, ale na „sousedním“ hostiteli (tzv. Power Management Proxy), tedy pokud je v uzlu pouze jeden uzel. cluster, správa napájení bude fungovat nebude.
Nastavení SSL
Úplné oficiální pokyny - in dokumentace, Příloha D: oVirt a SSL – Nahrazení certifikátu SSL/TLS modulu oVirt Engine.
Certifikát může být od naší firemní CA nebo od externí komerční CA.
Důležitá poznámka: certifikát je určen pro připojení ke správci, neovlivní interakci mezi Enginem a uzly – budou používat certifikáty s vlastním podpisem vydané Enginem.
Požadavky:
certifikát vydávající CA ve formátu PEM s celým řetězcem až ke kořenové CA (od podřízeného vydávajícího na začátku až po kořenový na konci);
certifikát pro Apache vydaný vydávající CA (rovněž kompletní s celým řetězcem certifikátů CA);
soukromý klíč pro Apache, žádné heslo.
Řekněme, že naše vydávající CA používá CentOS s názvem subca.example.com a požadavky, klíče a certifikáty jsou v adresáři /etc/pki/tls/.
Připraveno! Je čas se připojit ke správci a zkontrolovat, zda je připojení zabezpečeno podepsaným certifikátem SSL.
Archivace
Kam bez ní! V této části budeme hovořit o archivaci správce, archivace VM je samostatný problém. Jednou denně budeme vytvářet archivní kopie a ukládat je přes NFS, například na stejném systému, kam jsme umístili ISO obrazy — mynfs1.example.com:/exports/ovirt-backup. Nedoporučuje se ukládat archivy na stejném počítači, kde běží Engine.
Nyní se můžete připojit k hostiteli: https://[IP hostitele nebo FQDN]:9090
VLAN
Přečtěte si více o sítích v dokumentace. Možností je mnoho, zde si popíšeme propojení virtuálních sítí.
Chcete-li připojit další podsítě, musíte je nejprve popsat v konfiguraci: Síť -> Sítě -> Nová, zde je povinným polem pouze název; zaškrtávací políčko VM Network, které umožňuje počítačům používat tuto síť, je povoleno a pro připojení značky je nutné ji povolit Povolit označování VLAN, zadejte číslo VLAN a klikněte na OK.
Nyní musíte jít do Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks hosts. Přetáhněte přidanou síť z pravé strany Unassigned Logical Networks doleva do Assigned Logical Networks:
Rýže. 4 - před přidáním sítě.
Rýže. 5 - po přidání sítě.
Pro hromadné připojení několika sítí k hostiteli je vhodné při vytváření sítí jim přiřadit štítky a přidávat sítě podle štítků.
Po vytvoření sítě přejdou hostitelé do stavu Neprovozní, dokud nebude síť přidána do všech uzlů clusteru. Toto chování je vyvoláno příznakem Vyžadovat vše na kartě Cluster při vytváření nové sítě. V případě, že síť není potřeba na všech uzlech clusteru, lze tuto funkci zakázat, pak bude síť při přidávání hostitele vpravo v sekci Nevyžadováno a můžete si vybrat, zda ji chcete připojit k konkrétního hostitele.
Rýže. 6 — výběr znaménka požadavku sítě.
Specifické pro HPE
Téměř všichni výrobci mají nástroje, které zlepšují použitelnost jejich produktů. Na příkladu HPE jsou užitečné AMS (Agentless Management Service, amsd pro iLO5, hp-ams pro iLO4) a SSA (Smart Storage Administrator, práce s diskovým řadičem) atd.
Připojení úložiště HPE
Importujte klíč a připojte úložiště HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo