oVirt om 2 timer. Del 3. Yderligere indstillinger

I denne artikel vil vi se på en række valgfrie, men nyttige indstillinger:

• bruge alternative navne til lederen;
• tilslutning af godkendelse via Active Directory;
• Mutlipathing;
• strømstyring;
• Udskiftning af SSL-certifikat;
• arkivering;
• værtsstyringsgrænseflade (cockpit);
• VLAN;
• HPE specifik.

Denne artikel er en fortsættelse, start se oVirt om 2 timer Часть 1 и Part 2.

Artikler

1. Indledning
2. Installation af manager (ovirt-engine) og hypervisorer (værter)
3. Yderligere indstillinger - Vi er her

Yderligere administratorindstillinger

For nemheds skyld installerer vi yderligere pakker:

$ sudo yum install bash-completion vim

Skift til bash for at aktivere autofuldførelse af bash-completion-kommandoer.

Tilføjelse af yderligere DNS-navne

Dette vil være nødvendigt, når du skal oprette forbindelse til manageren ved hjælp af et alternativt navn (CNAME, alias eller bare et kort navn uden et domæne-suffiks). Af sikkerhedsmæssige årsager tillader administratoren kun forbindelser til den tilladte liste over navne.

Opret en konfigurationsfil:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

følgende indhold:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

og genstart manageren:

$ sudo systemctl restart ovirt-engine

Konfiguration af godkendelse gennem AD

oVirt har en indbygget brugerbase, men eksterne LDAP-udbydere understøttes også, inkl. AD.

Den enkleste måde for en typisk konfiguration er at starte guiden og genstarte manageren:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Et eksempel på guiden
$ sudo ovirt-engine-extension-aaa-ldap-setup
Tilgængelige LDAP-implementeringer:
...
3 - Active Directory
...
Vælg venligst: 3
Indtast venligst Active Directory-skovnavn: example.com

Vælg venligst den protokol, der skal bruges (startTLS, ldaps, almindelig) [startTLS]:
Vælg venligst metode til at opnå PEM-kodet CA-certifikat (Fil, URL, Inline, System, Usikker): URL
URL: wwwca.example.com/myRootCA.pem
Indtast søgebruger-DN (f.eks. uid=brugernavn,dc=eksempel,dc=com eller lad det være tomt for anonym): CN=oVirt-Engine,CN=Brugere,DC=eksempel,DC=com
Indtast søgebrugers adgangskode: *adgangskode*
[ INFO ] Forsøg på at binde ved hjælp af 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Skal du bruge Single Sign-On til virtuelle maskiner (Ja, Nej) [Ja]:
Angiv venligst profilnavn, der vil være synligt for brugere [example.com]:
Angiv legitimationsoplysninger for at teste loginflow:
Indtast brugernavn: someAnyUser
Indtast brugeradgangskode:
...
[ INFO ] Loginsekvens udført
...
Vælg testsekvens for at udføre (Udført, Afbryd, Login, Søg) [Færdig]:
[ INFO ] Fase: Transaktionsopsætning
...
KONFIGURATIONSRESUMÉ
...

Brug af guiden er velegnet til de fleste tilfælde. For komplekse konfigurationer foretages indstillinger manuelt. Flere detaljer i oVirt-dokumentationen, Brugere og roller. Efter at motoren er forbundet med AD, vises en yderligere profil i forbindelsesvinduet og på Tilladelser systemobjekter har mulighed for at give tilladelser til AD-brugere og -grupper. Det skal bemærkes, at den eksterne mappe over brugere og grupper ikke kun kan være AD, men også IPA, eDirectory osv.

Multipathing

I et produktionsmiljø skal lagersystemet være forbundet til værten via flere, uafhængige, flere I/O-stier. Som regel er der i CentOS (og derfor oVirt'e) ingen problemer med at bygge flere stier til enheden (find_multipaths ja). Yderligere indstillinger for FCoE er beskrevet i 2. del. Det er værd at være opmærksom på anbefalingen fra lagerproducenten - mange anbefaler at bruge round-robin-politikken, mens Enterprise Linux 7 som standard bruger service-tid.

På eksemplet med 3PAR
og dokumentere HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux og OracleVM Server Implementeringsvejledning EL er oprettet som en vært med Generic-ALUA Persona 2, for hvilken følgende værdier er indtastet i /etc/multipath.conf indstillingerne:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Derefter gives kommandoen til at genstarte:

systemctl restart multipathd

Ris. 1 er standard multipel I/O-politik.

Ris. 2 - flere I/O-politik efter anvendelse af indstillingerne.

Indstilling for strømstyring

Giver dig mulighed for for eksempel at udføre en hård nulstilling af maskinen, hvis motoren ikke kan modtage et svar fra værten i længere tid. Implementeret via Hegnsagenten.

Beregn -> Værter -> HOST - Rediger -> Strømstyring, slå derefter "Aktiver strømstyring" til, og tilføj en agent - "Tilføj hegnsagent" -> +.

Angiv typen (f.eks. for iLO5 skal du angive ilo4), navnet/adressen på ipmi-grænsefladen og brugernavnet/adgangskoden. Det anbefales at oprette en separat bruger (for eksempel oVirt-PM) og, i tilfælde af iLO, give ham privilegier:

• Login
• Fjernkonsol
• Virtuel strøm og nulstilling
• Virtuelle medier
• Konfigurer iLO-indstillinger
• Administrer brugerkonti

Spørg ikke hvorfor det er sådan, det er valgt empirisk. Konsolhegnsagenten kræver et mindre sæt rettigheder.

Ved opsætning af adgangskontrollister skal man huske på, at agenten ikke kører på motoren, men på den "nabo" vært (den såkaldte Power Management Proxy), dvs. hvis der kun er én node i klynge, vil strømstyring fungere vil ikke.

Opsætning af SSL

Fuld officielle instruktioner - in dokumentation, Appendiks D: oVirt og SSL - Udskiftning af oVirt Engine SSL/TLS-certifikatet.

Certifikatet kan være fra vores virksomheds-CA eller fra en ekstern kommerciel CA.

Vigtig bemærkning: certifikatet er beregnet til at oprette forbindelse til manageren, vil ikke påvirke interaktionen mellem motoren og noderne - de vil bruge selvsignerede certifikater udstedt af motoren.

Krav:

• certifikat for den udstedende CA i PEM-format med hele kæden til rod-CA (fra den underordnede udstedelse i begyndelsen til rod i slutningen);
• et certifikat for Apache udstedt af den udstedende CA (også komplet med hele kæden af ​​CA-certifikater);
• privat nøgle til Apache, ingen adgangskode.

Lad os sige, at vores udstedende CA kører CentOS, kaldet subca.example.com, og anmodningerne, nøglerne og certifikaterne er i mappen /etc/pki/tls/.

Udfør sikkerhedskopier og opret en midlertidig mappe:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Download certifikater, kør det fra din arbejdsstation eller overfør det på en anden bekvem måde:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Som et resultat bør du se alle 3 filer:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Installation af certifikater

Kopier filer og opdater tillidslister:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Tilføj/opdater konfigurationsfiler:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Genstart derefter alle berørte tjenester:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Parat! Det er tid til at oprette forbindelse til manageren og kontrollere, at forbindelsen er sikret med et signeret SSL-certifikat.

Arkivering

Hvor uden hende! I dette afsnit vil vi tale om arkivering af manageren, arkivering af VM er et separat problem. Vi vil lave arkivkopier en gang om dagen og gemme dem over NFS, for eksempel på det samme system, hvor vi placerede ISO-billederne - mynfs1.example.com:/exports/ovirt-backup. Det anbefales ikke at gemme arkiver på den samme maskine, hvor motoren kører.

Installer og aktiver autofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Opret et script:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

følgende indhold:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Gør filen eksekverbar:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Nu vil vi hver aften modtage et arkiv med managerindstillinger.

Værtsadministrationsgrænseflade

Cockpit er en moderne administrativ grænseflade til Linux-systemer. I dette tilfælde udfører den en rolle, der ligner ESXi-webgrænsefladen.

Ris. 3 - panelets udseende.

Installationen er meget enkel, du skal bruge cockpitpakker og cockpit-ovirt-dashboard-plugin:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Skiftende cockpit:

$ sudo systemctl enable --now cockpit.socket

Firewall indstilling:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Nu kan du oprette forbindelse til værten: https://[Host IP eller FQDN]:9090

VLAN

Læs mere om netværk i dokumentation. Der er mange muligheder, her vil vi beskrive tilslutningen af ​​virtuelle netværk.

For at forbinde andre undernet, skal de først beskrives i konfigurationen: Netværk -> Netværk -> Ny, her er kun navnet et obligatorisk felt; afkrydsningsfeltet VM-netværk, som tillader maskiner at bruge dette netværk, er aktiveret, og for at tilslutte tagget skal du aktivere Aktiver VLAN-tagging, indtast VLAN-nummeret og klik på OK.

Nu skal du gå til Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks-værter. Træk det tilføjede netværk fra højre side af ikke-tildelte logiske netværk til venstre til tildelte logiske netværk:

Ris. 4 - før du tilføjer netværket.

Ris. 5 - efter tilføjelse af netværket.

For masseforbindelse af flere netværk til en vært, er det praktisk at tildele etikett(er) til dem, når du opretter netværk, og tilføje netværk efter etiketter.

Efter netværket er oprettet, vil værterne gå i ikke-operativ tilstand, indtil netværket er tilføjet til alle klynge noder. Denne adfærd udløses af Kræv alle-flaget på fanen Klynge, når der oprettes et nyt netværk. I det tilfælde, hvor netværket ikke er nødvendigt på alle noder i klyngen, kan denne funktion deaktiveres, så vil netværket, når du tilføjer en vært, være til højre i sektionen Ikke påkrævet, og du kan vælge, om du vil forbinde det til en bestemt vært.

Ris. 6 — valg af tegn på netværkskravet.

HPE specifik

Næsten alle producenter har værktøjer, der forbedrer anvendeligheden af ​​deres produkter. Ved at bruge HPE som eksempel er AMS (Agentless Management Service, amsd for iLO5, hp-ams for iLO4) og SSA (Smart Storage Administrator, arbejde med en diskcontroller) osv. nyttige.

Tilslutning af HPE-lageret
Importer nøglen og tilslut HPE-lagrene:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

følgende indhold:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Se indholdet af depotet og information om pakken (til reference):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Installation og start:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Et eksempel på værktøjet til at arbejde med en diskcontroller

Det er alt for nu. I de følgende artikler planlægger jeg at dække nogle grundlæggende operationer og applikationer. For eksempel, hvordan man laver VDI i oVirt.

Kilde: www.habr.com