Der Einfachheit halber werden wir zusätzliche Pakete installieren:
$ sudo yum install bash-completion vim
Um die automatische Vervollständigung von Bash-Vervollständigungsbefehlen zu aktivieren, wechseln Sie zu Bash.
Hinzufügen zusätzlicher DNS-Namen
Dies ist erforderlich, wenn Sie über einen alternativen Namen (CNAME, Alias oder nur einen Kurznamen ohne Domänensuffix) eine Verbindung zum Manager herstellen müssen. Aus Sicherheitsgründen lässt der Manager nur Verbindungen zu der erlaubten Namensliste zu.
Erstellen Sie eine Konfigurationsdatei:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Ein Beispiel für den Assistenten
$ sudo ovirt-engine-extension-aaa-ldap-setup
Verfügbare LDAP-Implementierungen:
...
3 – Active Directory
...
Wähle bitte: 3
Bitte geben Sie den Namen der Active Directory-Gesamtstruktur ein: example.com
Bitte wählen Sie das zu verwendende Protokoll aus (startTLS, ldaps, plain) [startTLS]:
Bitte wählen Sie die Methode aus, um ein PEM-codiertes CA-Zertifikat zu erhalten (Datei, URL, Inline, System, Unsicher): URL
URL: wwwca.example.com/myRootCA.pem
Geben Sie den Suchbenutzer-DN ein (z. B. uid=Benutzername,dc=Beispiel,dc=com oder lassen Sie das Feld leer für anonym): CN=oVirt-Engine,CN=Benutzer,DC=example,DC=com
Geben Sie das Passwort des Suchbenutzers ein: *Passwort*
[INFO] Es wird versucht, eine Bindung mit „CN=oVirt-Engine,CN=Users,DC=example,DC=com“ herzustellen.
Werden Sie Single Sign-On für virtuelle Maschinen verwenden (Ja, Nein)? [Jawohl]:
Bitte geben Sie einen Profilnamen an, der für Benutzer sichtbar sein soll [example.com]:
Bitte geben Sie Ihre Anmeldedaten ein, um den Anmeldevorgang zu testen:
Benutzername eingeben: someAnyUser
Benutzerpasswort eingeben:
...
[ INFO ] Anmeldesequenz erfolgreich ausgeführt
...
Wählen Sie die auszuführende Testsequenz aus (Fertig, Abbrechen, Anmelden, Suchen). [Erledigt]:
[INFO] Phase: Transaktionseinrichtung
...
ZUSAMMENFASSUNG DER KONFIGURATION
...
Für die meisten Fälle ist die Verwendung des Assistenten geeignet. Bei komplexen Konfigurationen werden Einstellungen manuell vorgenommen. Weitere Details in der oVirt-Dokumentation, Benutzer und Rollen. Nachdem die Engine erfolgreich mit AD verbunden wurde, wird im Verbindungsfenster ein zusätzliches Profil angezeigt Berechtigungen Systemobjekte haben die Möglichkeit, AD-Benutzern und -Gruppen Berechtigungen zu erteilen. Es ist zu beachten, dass das externe Verzeichnis von Benutzern und Gruppen nicht nur AD, sondern auch IPA, eDirectory usw. sein kann.
Multipathing
In einer Produktionsumgebung muss das Speichersystem über mehrere unabhängige E/A-Pfade mit dem Host verbunden sein. In der Regel gibt es in CentOS (und damit in oVirt'e) keine Probleme beim Aufbau mehrerer Pfade zum Gerät (find_multipaths ja). Weitere Einstellungen für FCoE werden in beschrieben 2-Teil. Es lohnt sich, auf die Empfehlung des Speicherherstellers zu achten – viele empfehlen die Verwendung der Round-Robin-Richtlinie, während Enterprise Linux 7 standardmäßig die Servicezeit verwendet.
Reis. 1 ist die Standardrichtlinie für mehrere E/A.
Reis. 2 – Mehrfach-E/A-Richtlinie nach Anwendung der Einstellungen.
Energieverwaltungseinstellung
Ermöglicht Ihnen beispielsweise die Durchführung eines Hard-Resets der Maschine, wenn die Engine über einen längeren Zeitraum keine Antwort vom Host erhalten kann. Umsetzung über den Fence Agent.
Berechnen -> Hosts -> HOST - Bearbeiten -> Energieverwaltung, dann „Energieverwaltung aktivieren“ aktivieren und einen Agenten hinzufügen – „Zaunagent hinzufügen“ -> +.
Geben Sie den Typ (für iLO5 müssen Sie beispielsweise ilo4 angeben), den Namen/die Adresse der IPMI-Schnittstelle und den Benutzernamen/das Passwort an. Es wird empfohlen, einen separaten Benutzer anzulegen (z. B. oVirt-PM) und ihm im Fall von iLO Berechtigungen zu erteilen:
Login
Remote-Konsole
Virtuelle Stromversorgung und Reset
Virtuelle Medien
Konfigurieren Sie die iLO-Einstellungen
Benutzerkonten verwalten
Fragen Sie nicht, warum das so ist, es wird empirisch ausgewählt. Der Konsolen-Fencing-Agent erfordert einen kleineren Satz an Rechten.
Bei der Einrichtung von Zugriffskontrolllisten ist zu beachten, dass der Agent nicht auf der Engine, sondern auf dem „benachbarten“ Host (dem sogenannten Power Management Proxy) läuft, d. h. wenn nur ein Knoten im Server vorhanden ist Cluster funktioniert die Energieverwaltung wird nicht.
SSL einrichten
Vollständige offizielle Anweisungen - in Dokumentation, Anhang D: oVirt und SSL – Ersetzen des oVirt Engine SSL/TLS-Zertifikats.
Das Zertifikat kann von unserer Unternehmens-CA oder von einer externen kommerziellen CA stammen.
Wichtiger Hinweis: Das Zertifikat soll eine Verbindung zum Manager herstellen und hat keinen Einfluss auf die Interaktion zwischen der Engine und den Knoten. Sie verwenden selbstsignierte Zertifikate, die von der Engine ausgestellt wurden.
Anforderungen:
Zertifikat der ausstellenden CA im PEM-Format, mit der gesamten Kette bis zur Root-CA (von der untergeordneten ausstellenden Zertifizierungsstelle am Anfang bis zur Root am Ende);
ein von der ausstellenden CA ausgestelltes Zertifikat für Apache (ebenfalls komplett mit der gesamten Kette von CA-Zertifikaten);
privater Schlüssel für Apache, kein Passwort.
Nehmen wir an, unsere ausstellende Zertifizierungsstelle führt CentOS mit dem Namen subca.example.com aus und die Anforderungen, Schlüssel und Zertifikate befinden sich im Verzeichnis /etc/pki/tls/.
Führen Sie Sicherungen durch und erstellen Sie ein temporäres Verzeichnis:
Bereit! Es ist Zeit, eine Verbindung zum Manager herzustellen und zu überprüfen, ob die Verbindung mit einem signierten SSL-Zertifikat gesichert ist.
Archivierung
Wo ohne sie! In diesem Abschnitt werden wir über die Archivierung des Managers sprechen. Die Archivierung der VM ist ein separates Thema. Wir erstellen einmal täglich Archivkopien und speichern sie über NFS, beispielsweise auf demselben System, auf dem wir die ISO-Images platziert haben – mynfs1.example.com:/exports/ovirt-backup. Es wird nicht empfohlen, Archive auf demselben Computer zu speichern, auf dem die Engine ausgeführt wird.
Jetzt können Sie eine Verbindung zum Host herstellen: https://[Host-IP oder FQDN]:9090
VLANs
Lesen Sie mehr über Netzwerke in Dokumentation. Es gibt viele Möglichkeiten, hier beschreiben wir die Verbindung virtueller Netzwerke.
Um weitere Subnetze anzubinden, müssen diese zunächst in der Konfiguration beschrieben werden: Netzwerk -> Netzwerke -> Neu, hier ist nur der Name ein Pflichtfeld; Das Kontrollkästchen „VM-Netzwerk“, das Maschinen die Nutzung dieses Netzwerks ermöglicht, ist aktiviert. Um das Tag zu verbinden, müssen Sie es aktivieren Aktivieren Sie VLAN-Tagging, geben Sie die VLAN-Nummer ein und klicken Sie auf OK.
Jetzt müssen Sie zu Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks gehen. Ziehen Sie das hinzugefügte Netzwerk von der rechten Seite von „Nicht zugewiesene logische Netzwerke“ nach links in „Zugewiesene logische Netzwerke“:
Reis. 4 – vor dem Hinzufügen des Netzwerks.
Reis. 5 – nach dem Hinzufügen des Netzwerks.
Für die Massenverbindung mehrerer Netzwerke mit einem Host ist es praktisch, ihnen beim Erstellen von Netzwerken Label(s) zuzuweisen und Netzwerke über Labels hinzuzufügen.
Nachdem das Netzwerk erstellt wurde, wechseln die Hosts in den Status „Nicht betriebsbereit“, bis das Netzwerk allen Clusterknoten hinzugefügt wird. Dieses Verhalten wird durch das Flag „Alle erforderlich“ auf der Registerkarte „Cluster“ beim Erstellen eines neuen Netzwerks ausgelöst. Falls das Netzwerk nicht auf allen Knoten des Clusters benötigt wird, kann diese Funktion deaktiviert werden. Beim Hinzufügen eines Hosts wird das Netzwerk dann rechts im Abschnitt „Nicht erforderlich“ angezeigt und Sie können auswählen, ob Sie eine Verbindung herstellen möchten einen bestimmten Host.
Reis. 6 – Auswahl des Vorzeichens der Netzwerkanforderung.
HPE-spezifisch
Fast alle Hersteller verfügen über Tools, die die Benutzerfreundlichkeit ihrer Produkte verbessern. Am Beispiel von HPE sind AMS (Agentless Management Service, amsd für iLO5, hp-ams für iLO4) und SSA (Smart Storage Administrator, Arbeiten mit einem Festplattencontroller) usw. nützlich.
Anschließen des HPE-Repositorys
Importieren Sie den Schlüssel und verbinden Sie die HPE-Repositorys:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo
Ein Beispiel für das Dienstprogramm zum Arbeiten mit einem Festplattencontroller
Das ist alles für den Moment. In den folgenden Artikeln möchte ich einige grundlegende Vorgänge und Anwendungen behandeln. Zum Beispiel, wie man VDI in oVirt erstellt.