oVirt mewn 2 awr. Rhan 3. Gosodiadau ychwanegol

Yn yr erthygl hon, byddwn yn edrych ar nifer o leoliadau dewisol, ond defnyddiol:

• defnyddio enwau eraill ar gyfer y rheolwr;
• cysylltu dilysu trwy Active Directory;
• Mutlipathing;
• rheoli pŵer;
• Amnewid tystysgrif SSL;
• archifo;
• rhyngwyneb rheoli gwesteiwr (talwrn);
• VLANs;
• HPE penodol.

Mae'r erthygl hon yn barhad, dechreuwch weld oVirt mewn 2 awr Rhan 1 и rhan 2.

Erthyglau

1. Cyflwyniad
2. Gosod y rheolwr (ovirt-engine) a hypervisors (gwestewyr)
3. Gosodiadau ychwanegol - Rydyn ni yma

Gosodiadau rheolwr ychwanegol

Er hwylustod, byddwn yn gosod pecynnau ychwanegol:

$ sudo yum install bash-completion vim

I alluogi awtolenwi gorchmynion cwblhau bash, newidiwch i bash.

Ychwanegu Enwau DNS Ychwanegol

Bydd hyn yn ofynnol pan fydd angen i chi gysylltu â'r rheolwr gan ddefnyddio enw arall (CNAME, alias, neu dim ond enw byr heb ôl-ddodiad parth). Am resymau diogelwch, dim ond cysylltiadau â'r rhestr enwau a ganiateir y mae'r rheolwr yn ei ganiatáu.

Creu ffeil ffurfweddu:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

y cynnwys canlynol:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

ac ailgychwyn y rheolwr:

$ sudo systemctl restart ovirt-engine

Ffurfweddu Dilysu Trwy OC

Mae gan oVirt sylfaen defnyddwyr adeiledig, ond cefnogir darparwyr LDAP allanol hefyd, gan gynnwys. AD.

Y ffordd symlaf ar gyfer cyfluniad nodweddiadol yw cychwyn y dewin ac ailgychwyn y rheolwr:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Enghraifft o'r dewin
$ sudo ovirt-engine-extension-aaa-ldap-setup
Gweithrediadau LDAP sydd ar gael:
...
3 - Cyfeiriadur Gweithredol
...
Dewiswch: 3
Rhowch enw Coedwig Active Directory: example.com

Dewiswch brotocol i'w ddefnyddio (cychwyn TLS, ldaps, plaen) [cychwyn TLS]:
Dewiswch ddull i gael tystysgrif CA wedi'i hamgodio gan PEM (Ffeil, URL, Mewn-lein, System, Anniogel): URL
URL: wwwca.example.com/myRootCA.pem
Rhowch ddefnyddiwr chwilio DN (er enghraifft uid = enw defnyddiwr, dc = enghraifft, dc = com neu gadewch yn wag am ddienw): CN = oVirt-Engine, CN = Defnyddwyr, DC = enghraifft, DC = com
Rhowch gyfrinair defnyddiwr chwilio: *cyfrinair*
[ INFO ] Ceisio rhwymo gan ddefnyddio 'CN = oVirt-Engine, CN = Defnyddwyr, DC = enghraifft, DC = com'
Ydych chi'n mynd i ddefnyddio Sign-On Sengl ar gyfer Peiriannau Rhithwir (Ie, Na) [Ie]:
Nodwch enw proffil a fydd yn weladwy i ddefnyddwyr [enghraifft.com]:
Rhowch fanylion i brofi llif mewngofnodi:
Rhowch enw defnyddiwr: rhai Unrhyw Ddefnyddiwr
Rhowch gyfrinair defnyddiwr:
...
[ INFO ] Dilyniant mewngofnodi wedi'i weithredu'n llwyddiannus
...
Dewiswch ddilyniant prawf i'w weithredu (Gwneud, Erthylu, Mewngofnodi, Chwilio) [Gwneud]:
[ INFO ] Cam: Gosodiad trafodion
...
CRYNODEB CYFFRODD
...

Mae defnyddio'r dewin yn addas ar gyfer y rhan fwyaf o achosion. Ar gyfer cyfluniadau cymhleth, gwneir gosodiadau â llaw. Mwy o fanylion yn nogfennaeth oVirt, Defnyddwyr a Rolau. Ar ôl i'r Peiriant gael ei gysylltu'n llwyddiannus ag AD, bydd proffil ychwanegol yn ymddangos yn y ffenestr cysylltiad, ac ar y Caniatâd mae gan wrthrychau system y gallu i roi caniatâd i ddefnyddwyr a grwpiau AD. Dylid nodi y gall y cyfeiriadur allanol o ddefnyddwyr a grwpiau fod nid yn unig yn AD, ond hefyd yn IPA, eCyfeiriadur, ac ati.

Amluosogi

Mewn amgylchedd cynhyrchu, rhaid cysylltu'r system storio â'r gwesteiwr trwy lwybrau I / O lluosog, annibynnol, lluosog. Fel rheol, yn CentOS (ac felly oVirt'e) nid oes unrhyw broblemau gydag adeiladu llwybrau lluosog i'r ddyfais (find_multipaths ie). Disgrifir gosodiadau ychwanegol ar gyfer FCoE yn 2il ran. Mae'n werth rhoi sylw i argymhelliad y gwneuthurwr storio - mae llawer yn argymell defnyddio'r polisi rownd-robin, tra bod Enterprise Linux 7 yn ddiofyn yn defnyddio amser gwasanaeth.

Ar yr enghraifft o 3PAR
a dogfen HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux, a Chanllaw Gweithredu Gweinyddwr OracleVM Mae EL yn cael ei greu fel Gwesteiwr gyda Generic-ALUA Persona 2, y mae'r gwerthoedd canlynol wedi'u nodi ar eu cyfer yn y gosodiadau /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Yna rhoddir y gorchymyn i ailgychwyn:

systemctl restart multipathd

Reis. 1 yw'r polisi I/O lluosog diofyn.

Reis. 2 - lluosog I / O polisi ar ôl cymhwyso'r gosodiadau.

Gosodiad Rheoli Pŵer

Yn eich galluogi i berfformio, er enghraifft, ailosodiad caled o'r peiriant os na all yr Injan dderbyn ymateb gan y Gwesteiwr am amser hir. Gweithredir trwy'r Asiant Ffens.

Cyfrifo -> Gwesteiwyr -> HOST - Golygu -> Rheoli Pŵer, yna trowch "Galluogi Rheoli Pŵer" ymlaen ac ychwanegu asiant - "Ychwanegu Asiant Ffens" -> +.

Nodwch y math (er enghraifft, ar gyfer iLO5, rhaid i chi nodi ilo4), enw/cyfeiriad y rhyngwyneb ipmi, a'r enw defnyddiwr/cyfrinair. Argymhellir creu defnyddiwr ar wahân (er enghraifft, oVirt-PM) ac, yn achos ILO, rhoi breintiau iddo:

• Mewngofnodi
• Consol Anghysbell
• Pŵer Rhithwir ac Ailosod
• Cyfryngau Rhithwir
• Ffurfweddu Gosodiadau ILO
• Gweinyddu Cyfrifon Defnyddwyr

Peidiwch â gofyn pam y mae felly, fe'i dewisir yn empirig. Mae angen set lai o hawliau ar yr asiant ffensio consol.

Wrth sefydlu rhestrau rheoli mynediad, dylid cofio nad yw'r asiant yn rhedeg ar yr injan, ond ar y gwesteiwr “cymdogol” (y Dirprwy Rheoli Pŵer fel y'i gelwir), h.y., os mai dim ond un nod sydd yn y clwstwr, bydd rheoli pŵer yn gweithio ni fydd.

Sefydlu SSL

Cyfarwyddiadau swyddogol llawn - yn dogfennaeth, Atodiad D: oVirt a SSL - Disodli Tystysgrif SSL/TLS oVirt Engine.

Gall y dystysgrif fod gan ein CA corfforaethol neu gan Awdurdod Cymwys masnachol allanol.

Nodyn pwysig: bwriedir i'r dystysgrif gysylltu â'r rheolwr, ni fydd yn effeithio ar y rhyngweithio rhwng yr Injan a'r nodau - byddant yn defnyddio tystysgrifau hunan-lofnodedig a gyhoeddwyd gan yr Injan.

Gofynion:

• tystysgrif y CA dyroddi mewn fformat PEM, gyda'r gadwyn gyfan i'r gwraidd CA (o'r is-gyhoeddiad ar y dechrau i'r gwraidd ar y diwedd);
• tystysgrif ar gyfer Apache a gyhoeddwyd gan y CA dyroddi (hefyd yn gyflawn gyda'r gadwyn gyfan o dystysgrifau CA);
• allwedd breifat ar gyfer Apache, dim cyfrinair.

Gadewch i ni ddweud bod ein CA cyhoeddi yn rhedeg CentOS, o'r enw subca.example.com, ac mae'r ceisiadau, yr allweddi a'r tystysgrifau yn y cyfeiriadur /etc/pki/tls/.

Perfformio copïau wrth gefn a chreu cyfeiriadur dros dro:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Dadlwythwch dystysgrifau, gweithredwch ef o'ch gweithfan neu trosglwyddwch hi mewn ffordd gyfleus arall:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

O ganlyniad, dylech weld pob un o'r 3 ffeil:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Gosod tystysgrifau

Copïo ffeiliau a diweddaru rhestrau ymddiriedaeth:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Ychwanegu/diweddaru ffeiliau ffurfweddu:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Nesaf, ailgychwynwch yr holl wasanaethau yr effeithir arnynt:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Barod! Mae'n bryd cysylltu â'r rheolwr a gwirio bod y cysylltiad wedi'i ddiogelu gyda thystysgrif SSL wedi'i llofnodi.

Archifo

Ble hebddi! Yn yr adran hon, byddwn yn siarad am archifo'r rheolwr, mae archifo'r VM yn fater ar wahân. Byddwn yn gwneud copïau archif unwaith y dydd ac yn eu storio dros NFS, er enghraifft, ar yr un system lle gwnaethom osod y delweddau ISO - mynfs1.example.com:/exports/ovirt-backup. Ni argymhellir storio archifau ar yr un peiriant lle mae'r Injan yn rhedeg.

Gosod a galluogi autofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Creu sgript:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

y cynnwys canlynol:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Gwneud y ffeil yn weithredadwy:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Nawr bob nos byddwn yn derbyn archif o osodiadau rheolwr.

Rhyngwyneb rheoli gwesteiwr

Talwrn yn rhyngwyneb gweinyddol modern ar gyfer systemau Linux. Yn yr achos hwn, mae'n cyflawni rôl debyg i ryngwyneb gwe ESXi.

Reis. 3 - ymddangosiad y panel.

Mae'r gosodiad yn syml iawn, mae angen pecynnau talwrn arnoch chi a'r ategyn cockpit-ovirt-dashboard:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Newid Talwrn:

$ sudo systemctl enable --now cockpit.socket

Gosodiad wal dân:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Nawr gallwch chi gysylltu â'r gwesteiwr: https://[Host IP neu FQDN]:9090

VLANs

Darllenwch fwy am rwydweithiau yn dogfennaeth. Mae yna lawer o bosibiliadau, yma byddwn yn disgrifio cysylltiad rhwydweithiau rhithwir.

I gysylltu is-rwydweithiau eraill, rhaid eu disgrifio yn gyntaf yn y ffurfweddiad: Rhwydwaith -> Rhwydweithiau -> Newydd, yma dim ond yr enw yw maes gofynnol; mae'r blwch ticio Rhwydwaith VM, sy'n caniatáu i beiriannau ddefnyddio'r rhwydwaith hwn, wedi'i alluogi, ac i gysylltu'r tag, rhaid i chi alluogi Galluogi tagio VLAN, rhowch y rhif VLAN a chliciwch OK.

Nawr mae angen i chi fynd i'r Compute -> Hosts -> kvmNN -> Rhyngwynebau Rhwydwaith -> Setup Host Networks hosts. Llusgwch y rhwydwaith ychwanegol o ochr dde Rhwydweithiau Rhesymegol Heb eu Aseinio i'r chwith i mewn i Rwydweithiau Rhesymegol Wedi'u Neilltuo:

Reis. 4 - cyn ychwanegu'r rhwydwaith.

Reis. 5 - ar ôl ychwanegu'r rhwydwaith.

Ar gyfer cysylltiad torfol sawl rhwydwaith â gwesteiwr, mae'n gyfleus aseinio label(iau) iddynt wrth greu rhwydweithiau, ac ychwanegu rhwydweithiau fesul labeli.

Ar ôl i'r rhwydwaith gael ei greu, bydd y gwesteiwyr yn mynd i'r cyflwr Anweithredol nes bod y rhwydwaith yn cael ei ychwanegu at bob nod clwstwr. Mae'r ymddygiad hwn yn cael ei sbarduno gan y faner Gofyn Pawb ar y tab Clwstwr wrth greu rhwydwaith newydd. Yn yr achos pan nad oes angen y rhwydwaith ar holl nodau'r clwstwr, gellir analluogi'r nodwedd hon, yna bydd y rhwydwaith, wrth ychwanegu gwesteiwr, ar y dde yn yr adran Ddim yn Ofynnol a gallwch ddewis a ydych am gysylltu ag ef. gwesteiwr penodol.

Reis. 6 — dewis arwydd y gofyniad rhwydwaith.

HPE penodol

Mae gan bron pob gweithgynhyrchydd offer sy'n gwella defnyddioldeb eu cynhyrchion. Gan ddefnyddio HPE fel enghraifft, mae AMS (Gwasanaeth Rheoli Asiant, amsd ar gyfer iLO5, hp-ams ar gyfer iLO4) a SSA (Gweinyddwr Storio Clyfar, yn gweithio gyda rheolydd disg), ac ati yn ddefnyddiol.

Cysylltu'r Ystorfa HPE
Mewnforiwch yr allwedd a chysylltwch y storfeydd HPE:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

y cynnwys canlynol:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Gweld cynnwys yr ystorfa a gwybodaeth am y pecyn (er gwybodaeth):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Gosod a lansio:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Enghraifft o'r cyfleustodau ar gyfer gweithio gyda rheolydd disg

Dyna i gyd am y tro. Yn yr erthyglau canlynol rwy'n bwriadu ymdrin â rhai gweithrediadau a chymwysiadau sylfaenol. Er enghraifft, sut i wneud VDI mewn oVirt.

Ffynhonnell: hab.com