In diesem Artikel betrachten wir eine Reihe optionaler, aber nützlicher Einstellungen:
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
Dieser Artikel ist eine Fortsetzung, siehe oVirt in 2 Stunden и .
Artikel
- Zusätzliche Einstellungen – Wir sind da
Zusätzliche Managereinstellungen
Der Einfachheit halber werden wir zusätzliche Pakete installieren:
$ sudo yum install bash-completion vimUm die automatische Vervollständigung von Bash-Vervollständigungsbefehlen zu aktivieren, wechseln Sie zu Bash.
Hinzufügen zusätzlicher DNS-Namen
Dies ist erforderlich, wenn Sie über einen alternativen Namen (CNAME, Alias oder nur einen Kurznamen ohne Domänensuffix) eine Verbindung zum Manager herstellen müssen. Aus Sicherheitsgründen lässt der Manager nur Verbindungen zu der erlaubten Namensliste zu.
Erstellen Sie eine Konfigurationsdatei:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.confwie folgt:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"und starten Sie den Manager neu:
$ sudo systemctl restart ovirt-engineKonfigurieren der Authentifizierung über AD
oVirt verfügt über eine integrierte Benutzerbasis, aber auch externe LDAP-Anbieter werden unterstützt, inkl. ANZEIGE.
Der einfachste Weg für eine typische Konfiguration besteht darin, den Assistenten zu starten und den Manager neu zu starten:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engineEin Beispiel für den Assistenten
$ sudo ovirt-engine-extension-aaa-ldap-setup
Verfügbare LDAP-Implementierungen:
...
3 – Active Directory
...
Wähle bitte: 3
Bitte geben Sie den Namen der Active Directory-Gesamtstruktur ein: example.com
Bitte wählen Sie das zu verwendende Protokoll aus (startTLS, ldaps, plain) [startTLS]:
Bitte wählen Sie die Methode aus, um ein PEM-codiertes CA-Zertifikat zu erhalten (Datei, URL, Inline, System, Unsicher): URL
URL:
Geben Sie den Suchbenutzer-DN ein (z. B. uid=Benutzername,dc=Beispiel,dc=com oder lassen Sie das Feld leer für anonym): CN=oVirt-Engine,CN=Benutzer,DC=example,DC=com
Geben Sie das Passwort des Suchbenutzers ein: *Passwort*
[INFO] Es wird versucht, eine Bindung mit „CN=oVirt-Engine,CN=Users,DC=example,DC=com“ herzustellen.
Werden Sie Single Sign-On für virtuelle Maschinen verwenden (Ja, Nein)? [Jawohl]:
Bitte geben Sie einen Profilnamen an, der für Benutzer sichtbar sein soll [example.com]:
Bitte geben Sie Ihre Anmeldedaten ein, um den Anmeldevorgang zu testen:
Benutzername eingeben: someAnyUser
Benutzerpasswort eingeben:
...
[ INFO ] Anmeldesequenz erfolgreich ausgeführt
...
Wählen Sie die auszuführende Testsequenz aus (Fertig, Abbrechen, Anmelden, Suchen). [Erledigt]:
[INFO] Phase: Transaktionseinrichtung
...
ZUSAMMENFASSUNG DER KONFIGURATION
...
Für die meisten Fälle ist die Verwendung des Assistenten geeignet. Bei komplexen Konfigurationen werden Einstellungen manuell vorgenommen. Weitere Details in der oVirt-Dokumentation, . Nachdem die Engine erfolgreich mit AD verbunden wurde, wird im Verbindungsfenster ein zusätzliches Profil angezeigt Berechtigungen Systemobjekte haben die Möglichkeit, AD-Benutzern und -Gruppen Berechtigungen zu erteilen. Es ist zu beachten, dass das externe Verzeichnis von Benutzern und Gruppen nicht nur AD, sondern auch IPA, eDirectory usw. sein kann.
Multipathing
In einer Produktionsumgebung muss das Speichersystem über mehrere unabhängige E/A-Pfade mit dem Host verbunden sein. In der Regel gibt es in CentOS (und damit in oVirt'e) keine Probleme beim Aufbau mehrerer Pfade zum Gerät (find_multipaths ja). Weitere Einstellungen für FCoE werden in beschrieben . Es lohnt sich, auf die Empfehlung des Speicherherstellers zu achten – viele empfehlen die Verwendung der Round-Robin-Richtlinie, während Enterprise Linux 7 standardmäßig die Servicezeit verwendet.
Am Beispiel von 3PAR
und dokumentieren EL wird als Host mit Generic-ALUA Persona 2 erstellt, für die in den /etc/multipath.conf-Einstellungen folgende Werte eingetragen sind:
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}Dann wird der Befehl zum Neustart gegeben:
systemctl restart multipathd
Reis. 1 ist die Standardrichtlinie für mehrere E/A.
Reis. 2 – Mehrfach-E/A-Richtlinie nach Anwendung der Einstellungen.
Energieverwaltungseinstellung
Ermöglicht Ihnen beispielsweise die Durchführung eines Hard-Resets der Maschine, wenn die Engine über einen längeren Zeitraum keine Antwort vom Host erhalten kann. Umsetzung über den Fence Agent.
Berechnen -> Hosts -> HOST - Bearbeiten -> Energieverwaltung, dann „Energieverwaltung aktivieren“ aktivieren und einen Agenten hinzufügen – „Zaunagent hinzufügen“ -> +.
Geben Sie den Typ (für iLO5 müssen Sie beispielsweise ilo4 angeben), den Namen/die Adresse der IPMI-Schnittstelle und den Benutzernamen/das Passwort an. Es wird empfohlen, einen separaten Benutzer anzulegen (z. B. oVirt-PM) und ihm im Fall von iLO Berechtigungen zu erteilen:
- Login
- Remote-Konsole
- Virtuelle Stromversorgung und Reset
- Virtuelle Medien
- Konfigurieren Sie die iLO-Einstellungen
- Benutzerkonten verwalten
Fragen Sie nicht, warum das so ist, es wird empirisch ausgewählt. Der Konsolen-Fencing-Agent erfordert einen kleineren Satz an Rechten.
Bei der Einrichtung von Zugriffskontrolllisten ist zu beachten, dass der Agent nicht auf der Engine, sondern auf dem „benachbarten“ Host (dem sogenannten Power Management Proxy) läuft, d. h. wenn nur ein Knoten im Server vorhanden ist Cluster funktioniert die Energieverwaltung wird nicht.
SSL einrichten
Vollständige offizielle Anweisungen - in , Anhang D: oVirt und SSL – Ersetzen des oVirt Engine SSL/TLS-Zertifikats.
Das Zertifikat kann von unserer Unternehmens-CA oder von einer externen kommerziellen CA stammen.
Wichtiger Hinweis: Das Zertifikat soll eine Verbindung zum Manager herstellen und hat keinen Einfluss auf die Interaktion zwischen der Engine und den Knoten. Sie verwenden selbstsignierte Zertifikate, die von der Engine ausgestellt wurden.
Anforderungen:
- Zertifikat der ausstellenden CA im PEM-Format, mit der gesamten Kette bis zur Root-CA (von der untergeordneten ausstellenden Zertifizierungsstelle am Anfang bis zur Root am Ende);
- ein von der ausstellenden CA ausgestelltes Zertifikat für Apache (ebenfalls komplett mit der gesamten Kette von CA-Zertifikaten);
- privater Schlüssel für Apache, kein Passwort.
Nehmen wir an, unsere ausstellende Zertifizierungsstelle führt CentOS mit dem Namen subca.example.com aus und die Anforderungen, Schlüssel und Zertifikate befinden sich im Verzeichnis /etc/pki/tls/.
Führen Sie Sicherungen durch und erstellen Sie ein temporäres Verzeichnis:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certsLaden Sie Zertifikate herunter, führen Sie sie von Ihrem Arbeitsplatz aus aus oder übertragen Sie sie auf andere bequeme Weise:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certsAls Ergebnis sollten Sie alle drei Dateien sehen:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.keyZertifikate installieren
Dateien kopieren und Vertrauenslisten aktualisieren:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.serviceKonfigurationsdateien hinzufügen/aktualisieren:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.confENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confSSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cerStarten Sie als Nächstes alle betroffenen Dienste neu:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.serviceBereit! Es ist Zeit, eine Verbindung zum Manager herzustellen und zu überprüfen, ob die Verbindung mit einem signierten SSL-Zertifikat gesichert ist.
Archivierung
Wo ohne sie! In diesem Abschnitt werden wir über die Archivierung des Managers sprechen. Die Archivierung der VM ist ein separates Thema. Wir erstellen einmal täglich Archivkopien und speichern sie über NFS, beispielsweise auf demselben System, auf dem wir die ISO-Images platziert haben – mynfs1.example.com:/exports/ovirt-backup. Es wird nicht empfohlen, Archive auf demselben Computer zu speichern, auf dem die Engine ausgeführt wird.
Autofs installieren und aktivieren:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofsErstellen Sie ein Skript:
$ sudo vim /etc/cron.daily/make.oVirt.backup.shwie folgt:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;Datei ausführbar machen:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.shJetzt erhalten wir jede Nacht ein Archiv der Managereinstellungen.
Host-Verwaltungsschnittstelle
ist eine moderne Verwaltungsoberfläche für Linux-Systeme. In diesem Fall übernimmt es eine ähnliche Rolle wie die ESXi-Webschnittstelle.
Reis. 3 - Aussehen des Panels.
Die Installation ist sehr einfach, Sie benötigen Cockpit-Pakete und das Plugin „cockpit-ovirt-dashboard“:
$ sudo yum install cockpit cockpit-ovirt-dashboard -ySchaltcockpit:
$ sudo systemctl enable --now cockpit.socketFirewall-Einstellung:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentJetzt können Sie eine Verbindung zum Host herstellen: https://[Host-IP oder FQDN]:9090
VLANs
Lesen Sie mehr über Netzwerke in . Es gibt viele Möglichkeiten, hier beschreiben wir die Verbindung virtueller Netzwerke.
Um weitere Subnetze anzubinden, müssen diese zunächst in der Konfiguration beschrieben werden: Netzwerk -> Netzwerke -> Neu, hier ist nur der Name ein Pflichtfeld; Das Kontrollkästchen „VM-Netzwerk“, das Maschinen die Nutzung dieses Netzwerks ermöglicht, ist aktiviert. Um das Tag zu verbinden, müssen Sie es aktivieren Aktivieren Sie VLAN-Tagging, geben Sie die VLAN-Nummer ein und klicken Sie auf OK.
Jetzt müssen Sie zu Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks gehen. Ziehen Sie das hinzugefügte Netzwerk von der rechten Seite von „Nicht zugewiesene logische Netzwerke“ nach links in „Zugewiesene logische Netzwerke“:
Reis. 4 – vor dem Hinzufügen des Netzwerks.
Reis. 5 – nach dem Hinzufügen des Netzwerks.
Für die Massenverbindung mehrerer Netzwerke mit einem Host ist es praktisch, ihnen beim Erstellen von Netzwerken Label(s) zuzuweisen und Netzwerke über Labels hinzuzufügen.
Nachdem das Netzwerk erstellt wurde, wechseln die Hosts in den Status „Nicht betriebsbereit“, bis das Netzwerk allen Clusterknoten hinzugefügt wird. Dieses Verhalten wird durch das Flag „Alle erforderlich“ auf der Registerkarte „Cluster“ beim Erstellen eines neuen Netzwerks ausgelöst. Falls das Netzwerk nicht auf allen Knoten des Clusters benötigt wird, kann diese Funktion deaktiviert werden. Beim Hinzufügen eines Hosts wird das Netzwerk dann rechts im Abschnitt „Nicht erforderlich“ angezeigt und Sie können auswählen, ob Sie eine Verbindung herstellen möchten einen bestimmten Host.
Reis. 6 – Auswahl des Vorzeichens der Netzwerkanforderung.
HPE-spezifisch
Fast alle Hersteller verfügen über Tools, die die Benutzerfreundlichkeit ihrer Produkte verbessern. Am Beispiel von HPE sind AMS (Agentless Management Service, amsd für iLO5, hp-ams für iLO4) und SSA (Smart Storage Administrator, Arbeiten mit einem Festplattencontroller) usw. nützlich.
Anschließen des HPE-Repositorys
Importieren Sie den Schlüssel und verbinden Sie die HPE-Repositorys:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repowie folgt:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcpSehen Sie sich den Inhalt des Repositorys und Informationen zum Paket an (als Referenz):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsdInstallation und Start:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsdEin Beispiel für das Dienstprogramm zum Arbeiten mit einem Festplattencontroller
Das ist alles für den Moment. In den folgenden Artikeln möchte ich einige grundlegende Vorgänge und Anwendungen behandeln. Zum Beispiel, wie man VDI in oVirt erstellt.
Source: habr.com