For nemheds skyld installerer vi yderligere pakker:
$ sudo yum install bash-completion vim
Skift til bash for at aktivere autofuldførelse af bash-completion-kommandoer.
Tilføjelse af yderligere DNS-navne
Dette vil være nødvendigt, når du skal oprette forbindelse til manageren ved hjælp af et alternativt navn (CNAME, alias eller bare et kort navn uden et domæne-suffiks). Af sikkerhedsmæssige årsager tillader administratoren kun forbindelser til den tilladte liste over navne.
Opret en konfigurationsfil:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Et eksempel på guiden
$ sudo ovirt-engine-extension-aaa-ldap-setup
Tilgængelige LDAP-implementeringer:
...
3 - Active Directory
...
Vælg venligst: 3
Indtast venligst Active Directory-skovnavn: example.com
Vælg venligst den protokol, der skal bruges (startTLS, ldaps, almindelig) [startTLS]:
Vælg venligst metode til at opnå PEM-kodet CA-certifikat (Fil, URL, Inline, System, Usikker): URL
URL: wwwca.example.com/myRootCA.pem
Indtast søgebruger-DN (f.eks. uid=brugernavn,dc=eksempel,dc=com eller lad det være tomt for anonym): CN=oVirt-Engine,CN=Brugere,DC=eksempel,DC=com
Indtast søgebrugers adgangskode: *adgangskode*
[ INFO ] Forsøg på at binde ved hjælp af 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Skal du bruge Single Sign-On til virtuelle maskiner (Ja, Nej) [Ja]:
Angiv venligst profilnavn, der vil være synligt for brugere [example.com]:
Angiv legitimationsoplysninger for at teste loginflow:
Indtast brugernavn: someAnyUser
Indtast brugeradgangskode:
...
[ INFO ] Loginsekvens udført
...
Vælg testsekvens for at udføre (Udført, Afbryd, Login, Søg) [Færdig]:
[ INFO ] Fase: Transaktionsopsætning
...
KONFIGURATIONSRESUMÉ
...
Brug af guiden er velegnet til de fleste tilfælde. For komplekse konfigurationer foretages indstillinger manuelt. Flere detaljer i oVirt-dokumentationen, Brugere og roller. Efter at motoren er forbundet med AD, vises en yderligere profil i forbindelsesvinduet og på Tilladelser systemobjekter har mulighed for at give tilladelser til AD-brugere og -grupper. Det skal bemærkes, at den eksterne mappe over brugere og grupper ikke kun kan være AD, men også IPA, eDirectory osv.
Multipathing
I et produktionsmiljø skal lagersystemet være forbundet til værten via flere, uafhængige, flere I/O-stier. Som regel er der i CentOS (og derfor oVirt'e) ingen problemer med at bygge flere stier til enheden (find_multipaths ja). Yderligere indstillinger for FCoE er beskrevet i 2. del. Det er værd at være opmærksom på anbefalingen fra lagerproducenten - mange anbefaler at bruge round-robin-politikken, mens Enterprise Linux 7 som standard bruger service-tid.
Ris. 2 - flere I/O-politik efter anvendelse af indstillingerne.
Indstilling for strømstyring
Giver dig mulighed for for eksempel at udføre en hård nulstilling af maskinen, hvis motoren ikke kan modtage et svar fra værten i længere tid. Implementeret via Hegnsagenten.
Beregn -> Værter -> HOST - Rediger -> Strømstyring, slå derefter "Aktiver strømstyring" til, og tilføj en agent - "Tilføj hegnsagent" -> +.
Angiv typen (f.eks. for iLO5 skal du angive ilo4), navnet/adressen på ipmi-grænsefladen og brugernavnet/adgangskoden. Det anbefales at oprette en separat bruger (for eksempel oVirt-PM) og, i tilfælde af iLO, give ham privilegier:
Login
Fjernkonsol
Virtuel strøm og nulstilling
Virtuelle medier
Konfigurer iLO-indstillinger
Administrer brugerkonti
Spørg ikke hvorfor det er sådan, det er valgt empirisk. Konsolhegnsagenten kræver et mindre sæt rettigheder.
Ved opsætning af adgangskontrollister skal man huske på, at agenten ikke kører på motoren, men på den "nabo" vært (den såkaldte Power Management Proxy), dvs. hvis der kun er én node i klynge, vil strømstyring fungere vil ikke.
Opsætning af SSL
Fuld officielle instruktioner - in dokumentation, Appendiks D: oVirt og SSL - Udskiftning af oVirt Engine SSL/TLS-certifikatet.
Certifikatet kan være fra vores virksomheds-CA eller fra en ekstern kommerciel CA.
Vigtig bemærkning: certifikatet er beregnet til at oprette forbindelse til manageren, vil ikke påvirke interaktionen mellem motoren og noderne - de vil bruge selvsignerede certifikater udstedt af motoren.
Krav:
certifikat for den udstedende CA i PEM-format med hele kæden til rod-CA (fra den underordnede udstedelse i begyndelsen til rod i slutningen);
et certifikat for Apache udstedt af den udstedende CA (også komplet med hele kæden af CA-certifikater);
privat nøgle til Apache, ingen adgangskode.
Lad os sige, at vores udstedende CA kører CentOS, kaldet subca.example.com, og anmodningerne, nøglerne og certifikaterne er i mappen /etc/pki/tls/.
Udfør sikkerhedskopier og opret en midlertidig mappe:
Parat! Det er tid til at oprette forbindelse til manageren og kontrollere, at forbindelsen er sikret med et signeret SSL-certifikat.
Arkivering
Hvor uden hende! I dette afsnit vil vi tale om arkivering af manageren, arkivering af VM er et separat problem. Vi vil lave arkivkopier en gang om dagen og gemme dem over NFS, for eksempel på det samme system, hvor vi placerede ISO-billederne - mynfs1.example.com:/exports/ovirt-backup. Det anbefales ikke at gemme arkiver på den samme maskine, hvor motoren kører.
Nu kan du oprette forbindelse til værten: https://[Host IP eller FQDN]:9090
VLAN
Læs mere om netværk i dokumentation. Der er mange muligheder, her vil vi beskrive tilslutningen af virtuelle netværk.
For at forbinde andre undernet, skal de først beskrives i konfigurationen: Netværk -> Netværk -> Ny, her er kun navnet et obligatorisk felt; afkrydsningsfeltet VM-netværk, som tillader maskiner at bruge dette netværk, er aktiveret, og for at tilslutte tagget skal du aktivere Aktiver VLAN-tagging, indtast VLAN-nummeret og klik på OK.
Nu skal du gå til Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks-værter. Træk det tilføjede netværk fra højre side af ikke-tildelte logiske netværk til venstre til tildelte logiske netværk:
Ris. 4 - før du tilføjer netværket.
Ris. 5 - efter tilføjelse af netværket.
For masseforbindelse af flere netværk til en vært, er det praktisk at tildele etikett(er) til dem, når du opretter netværk, og tilføje netværk efter etiketter.
Efter netværket er oprettet, vil værterne gå i ikke-operativ tilstand, indtil netværket er tilføjet til alle klynge noder. Denne adfærd udløses af Kræv alle-flaget på fanen Klynge, når der oprettes et nyt netværk. I det tilfælde, hvor netværket ikke er nødvendigt på alle noder i klyngen, kan denne funktion deaktiveres, så vil netværket, når du tilføjer en vært, være til højre i sektionen Ikke påkrævet, og du kan vælge, om du vil forbinde det til en bestemt vært.
Ris. 6 — valg af tegn på netværkskravet.
HPE specifik
Næsten alle producenter har værktøjer, der forbedrer anvendeligheden af deres produkter. Ved at bruge HPE som eksempel er AMS (Agentless Management Service, amsd for iLO5, hp-ams for iLO4) og SSA (Smart Storage Administrator, arbejde med en diskcontroller) osv. nyttige.
Tilslutning af HPE-lageret
Importer nøglen og tilslut HPE-lagrene:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo
Et eksempel på værktøjet til at arbejde med en diskcontroller
Det er alt for nu. I de følgende artikler planlægger jeg at dække nogle grundlæggende operationer og applikationer. For eksempel, hvordan man laver VDI i oVirt.