Για να ενεργοποιήσετε την αυτόματη συμπλήρωση των εντολών συμπλήρωσης bash, μεταβείτε στο bash.
Προσθήκη πρόσθετων ονομάτων DNS
Αυτό θα απαιτείται όταν πρέπει να συνδεθείτε με τον διαχειριστή χρησιμοποιώντας ένα εναλλακτικό όνομα (CNAME, ψευδώνυμο ή απλώς ένα σύντομο όνομα χωρίς επίθημα τομέα). Για λόγους ασφαλείας, ο διαχειριστής επιτρέπει μόνο συνδέσεις με την επιτρεπόμενη λίστα ονομάτων.
Δημιουργήστε ένα αρχείο ρυθμίσεων:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Ένα παράδειγμα του μάγου
$ sudo ovirt-engine-extension-aaa-ldap-setup
Διαθέσιμες υλοποιήσεις LDAP:
...
3 - Active Directory
...
Παρακαλώ επιλέξτε: 3
Εισαγάγετε όνομα Δάσους Active Directory: example.com
Επιλέξτε πρωτόκολλο για χρήση (startTLS, ldaps, απλό) [startTLS]:
Επιλέξτε μέθοδο για να αποκτήσετε πιστοποιητικό CA με κωδικοποίηση PEM (Αρχείο, URL, Ενσωματωμένο, Σύστημα, Μη ασφαλές): URL
URL: wwwca.example.com/myRootCA.pem
Εισαγάγετε το DN χρήστη αναζήτησης (για παράδειγμα uid=username,dc=example,dc=com ή αφήστε το κενό για ανώνυμο): CN=oVirt-Engine,CN=Χρήστες,DC=παράδειγμα,DC=com
Εισαγάγετε τον κωδικό πρόσβασης χρήστη αναζήτησης: *Κωδικός πρόσβασης*
[ ΠΛΗΡΟΦΟΡΙΕΣ ] Προσπάθεια δέσμευσης χρησιμοποιώντας 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Πρόκειται να χρησιμοποιήσετε το Single Sign-On για εικονικές μηχανές (Ναι, Όχι) [Ναί]:
Καθορίστε το όνομα προφίλ που θα είναι ορατό στους χρήστες [example.com]:
Καταχωρίστε τα διαπιστευτήρια για να δοκιμάσετε τη ροή σύνδεσης:
Εισάγετε όνομα χρήστη: someAnyUser
Εισαγάγετε τον κωδικό πρόσβασης χρήστη:
...
[ ΠΛΗΡΟΦΟΡΙΕΣ ] Η ακολουθία σύνδεσης εκτελέστηκε με επιτυχία
...
Επιλέξτε τη σειρά δοκιμών για εκτέλεση (Ολοκληρώθηκε, Ακύρωση, Είσοδος, Αναζήτηση) [Εγινε]:
[ ΠΛΗΡΟΦΟΡΙΕΣ ] Στάδιο: Ρύθμιση συναλλαγής
...
ΣΥΝΟΨΗ ΔΙΑΜΟΡΦΩΣΗΣ
...
Η χρήση του οδηγού είναι κατάλληλη για τις περισσότερες περιπτώσεις. Για πολύπλοκες διαμορφώσεις, οι ρυθμίσεις γίνονται χειροκίνητα. Περισσότερες λεπτομέρειες στην τεκμηρίωση του oVirt, Χρήστες και ρόλοι. Αφού συνδεθεί επιτυχώς ο κινητήρας στο AD, θα εμφανιστεί ένα πρόσθετο προφίλ στο παράθυρο σύνδεσης και στο Δικαιώματα Τα αντικείμενα συστήματος έχουν τη δυνατότητα να εκχωρούν δικαιώματα σε χρήστες και ομάδες AD. Θα πρέπει να σημειωθεί ότι ο εξωτερικός κατάλογος χρηστών και ομάδων μπορεί να είναι όχι μόνο AD, αλλά και IPA, eDirectory κ.λπ.
Πολλαπλές διαδρομές
Σε ένα περιβάλλον παραγωγής, το σύστημα αποθήκευσης πρέπει να είναι συνδεδεμένο με τον κεντρικό υπολογιστή μέσω πολλαπλών, ανεξάρτητων, πολλαπλών διαδρομών I/O. Κατά κανόνα, στο CentOS (και επομένως στο oVirt'e) δεν υπάρχουν προβλήματα με τη δημιουργία πολλαπλών διαδρομών στη συσκευή (find_multipaths ναι). Πρόσθετες ρυθμίσεις για το FCoE περιγράφονται στο 2ο μέρος. Αξίζει να δώσετε προσοχή στη σύσταση του κατασκευαστή αποθήκευσης - πολλοί συνιστούν τη χρήση της πολιτικής στρογγυλής χρήσης, ενώ από προεπιλογή το Enterprise Linux 7 χρησιμοποιεί τον χρόνο εξυπηρέτησης.
Ρύζι. 1 είναι η προεπιλεγμένη πολιτική πολλαπλών εισόδων/εξόδων.
Ρύζι. 2 - πολιτική πολλαπλών I/O μετά την εφαρμογή των ρυθμίσεων.
Ρύθμιση διαχείρισης ενέργειας
Σας επιτρέπει να εκτελέσετε, για παράδειγμα, μια σκληρή επαναφορά του μηχανήματος εάν ο κινητήρας δεν μπορεί να λάβει απάντηση από τον κεντρικό υπολογιστή για μεγάλο χρονικό διάστημα. Υλοποιήθηκε μέσω του Fence Agent.
Υπολογισμός -> Hosts -> HOST - Επεξεργασία -> Διαχείριση ενέργειας, μετά ενεργοποιήστε την "Ενεργοποίηση διαχείρισης ενέργειας" και προσθέστε έναν πράκτορα - "Προσθήκη πράκτορα φράχτη" -> +.
Καθορίστε τον τύπο (για παράδειγμα, για το iLO5, πρέπει να καθορίσετε το ilo4), το όνομα/διεύθυνση της διεπαφής ipmi και το όνομα χρήστη/κωδικό πρόσβασης. Συνιστάται να δημιουργήσετε έναν ξεχωριστό χρήστη (για παράδειγμα, oVirt-PM) και, στην περίπτωση του iLO, να του δώσετε προνόμια:
Είσοδος
Απομακρυσμένη κονσόλα
Εικονική τροφοδοσία και επαναφορά
Εικονικά Μέσα
Διαμόρφωση ρυθμίσεων iLO
Διαχείριση λογαριασμών χρηστών
Μην ρωτάτε γιατί είναι έτσι, επιλέγεται εμπειρικά. Ο πράκτορας περίφραξης κονσόλας απαιτεί μικρότερο σύνολο δικαιωμάτων.
Κατά τη ρύθμιση λιστών ελέγχου πρόσβασης, θα πρέπει να ληφθεί υπόψη ότι ο πράκτορας δεν λειτουργεί στον κινητήρα, αλλά στον "γειτονικό" κεντρικό υπολογιστή (το λεγόμενο Power Management Proxy), δηλαδή εάν υπάρχει μόνο ένας κόμβος στο σύμπλεγμα, η διαχείριση ενέργειας θα λειτουργήσει δεν θα.
Ρύθμιση SSL
Πλήρεις επίσημες οδηγίες - in τεκμηρίωση, Παράρτημα Δ: oVirt και SSL - Αντικατάσταση του πιστοποιητικού oVirt Engine SSL/TLS.
Το πιστοποιητικό μπορεί να είναι από την εταιρική μας ΑΠ ή από μια εξωτερική εμπορική ΑΠ.
Σημαντική σημείωση: το πιστοποιητικό προορίζεται για σύνδεση με τον διαχειριστή, δεν θα επηρεάσει την αλληλεπίδραση μεταξύ του κινητήρα και των κόμβων - θα χρησιμοποιήσουν αυτο-υπογεγραμμένα πιστοποιητικά που εκδίδονται από τον κινητήρα.
απαιτήσεις:
πιστοποιητικό της ΑΠ έκδοσης σε μορφή PEM, με ολόκληρη την αλυσίδα στη ρίζα ΑΠ (από τη δευτερεύουσα έκδοση στην αρχή έως τη ρίζα στο τέλος).
ένα πιστοποιητικό για το Apache που έχει εκδοθεί από την έκδοση CA (επίσης πλήρες με ολόκληρη την αλυσίδα των πιστοποιητικών CA).
ιδιωτικό κλειδί για Apache, χωρίς κωδικό πρόσβασης.
Ας υποθέσουμε ότι η έκδοση CA μας εκτελεί το CentOS, που ονομάζεται subca.example.com, και τα αιτήματα, τα κλειδιά και τα πιστοποιητικά βρίσκονται στον κατάλογο /etc/pki/tls/.
Δημιουργήστε αντίγραφα ασφαλείας και δημιουργήστε έναν προσωρινό κατάλογο:
Ετοιμος! Ήρθε η ώρα να συνδεθείτε με τον διαχειριστή και να ελέγξετε ότι η σύνδεση είναι ασφαλής με ένα υπογεγραμμένο πιστοποιητικό SSL.
Αρχειοθέτηση
Που χωρίς αυτήν! Σε αυτήν την ενότητα, θα μιλήσουμε για την αρχειοθέτηση του διαχειριστή, η αρχειοθέτηση του VM είναι ένα ξεχωριστό θέμα. Θα κάνουμε αντίγραφα αρχειοθέτησης μία φορά την ημέρα και θα τα αποθηκεύουμε μέσω NFS, για παράδειγμα, στο ίδιο σύστημα όπου τοποθετήσαμε τις εικόνες ISO — mynfs1.example.com:/exports/ovirt-backup. Δεν συνιστάται η αποθήκευση αρχείων στο ίδιο μηχάνημα όπου λειτουργεί ο κινητήρας.
Τώρα μπορείτε να συνδεθείτε στον κεντρικό υπολογιστή: https://[Host IP or FQDN]:9090
VLAN
Διαβάστε περισσότερα για τα δίκτυα στο τεκμηρίωση. Υπάρχουν πολλές δυνατότητες, εδώ θα περιγράψουμε τη σύνδεση εικονικών δικτύων.
Για να συνδέσετε άλλα υποδίκτυα, πρέπει πρώτα να περιγραφούν στη διαμόρφωση: Δίκτυο -> Δίκτυα -> Νέο, εδώ μόνο το όνομα είναι υποχρεωτικό πεδίο. το πλαίσιο ελέγχου VM Network, το οποίο επιτρέπει στα μηχανήματα να χρησιμοποιούν αυτό το δίκτυο, είναι ενεργοποιημένο και για να συνδέσετε την ετικέτα, πρέπει να ενεργοποιήσετε Ενεργοποιήστε την προσθήκη ετικετών VLAN, πληκτρολογήστε τον αριθμό VLAN και κάντε κλικ στο OK.
Τώρα πρέπει να μεταβείτε στο Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks hosts. Σύρετε το προστιθέμενο δίκτυο από τη δεξιά πλευρά των Μη εκχωρημένων λογικών δικτύων προς τα αριστερά στα εκχωρημένα λογικά δίκτυα:
Ρύζι. 4 - πριν προσθέσετε το δίκτυο.
Ρύζι. 5 - μετά την προσθήκη του δικτύου.
Για μαζική σύνδεση πολλών δικτύων σε έναν κεντρικό υπολογιστή, είναι βολικό να αντιστοιχίσετε ετικέτες σε αυτά κατά τη δημιουργία δικτύων και να προσθέσετε δίκτυα ανά ετικέτες.
Αφού δημιουργηθεί το δίκτυο, οι κεντρικοί υπολογιστές θα μεταβούν στην κατάσταση Μη λειτουργική έως ότου το δίκτυο προστεθεί σε όλους τους κόμβους συμπλέγματος. Αυτή η συμπεριφορά ενεργοποιείται από τη σημαία Require All στην καρτέλα Cluster κατά τη δημιουργία ενός νέου δικτύου. Σε περίπτωση που το δίκτυο δεν χρειάζεται σε όλους τους κόμβους του συμπλέγματος, αυτή η δυνατότητα μπορεί να απενεργοποιηθεί, τότε το δίκτυο, όταν προσθέτετε έναν κεντρικό υπολογιστή, θα βρίσκεται στα δεξιά στην ενότητα Μη Απαιτούμενο και μπορείτε να επιλέξετε εάν θα το συνδέσετε με συγκεκριμένο οικοδεσπότη.
Ρύζι. 6 — επιλογή του σήματος της απαίτησης δικτύου.
HPE συγκεκριμένα
Σχεδόν όλοι οι κατασκευαστές διαθέτουν εργαλεία που βελτιώνουν τη χρηστικότητα των προϊόντων τους. Χρησιμοποιώντας το HPE ως παράδειγμα, είναι χρήσιμα τα AMS (Agentless Management Service, amsd για iLO5, hp-ams για iLO4) και SSA (Έξυπνος Διαχειριστής αποθήκευσης, εργασία με ελεγκτή δίσκου) κ.λπ.
Σύνδεση του αποθετηρίου HPE
Εισαγάγετε το κλειδί και συνδέστε τα αποθετήρια HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo