🥇oVirt σε 2 ώρες. Μέρος 3. Πρόσθετες ρυθμίσεις

Σε αυτό το άρθρο, θα εξετάσουμε μια σειρά από προαιρετικές, αλλά χρήσιμες ρυθμίσεις:

χρησιμοποιώντας εναλλακτικά ονόματα για τον διαχειριστή;
σύνδεση του ελέγχου ταυτότητας μέσω της υπηρεσίας καταλόγου Active Directory;
Πολυπαθής;
διαχείριση ενέργειας;
Αντικατάσταση πιστοποιητικού SSL;
αρχειοθέτηση;
διεπαφή διαχείρισης κεντρικού υπολογιστή (cockpit);
VLAN;
HPE συγκεκριμένα.

Αυτό το άρθρο είναι μια συνέχεια, ξεκινήστε να δείτε το oVirt σε 2 ώρες Часть 1 и Μέρος 2.

άρθρα

Εισαγωγή
Εγκατάσταση του manager (ovirt-engine) και των hypervisors (host)
Πρόσθετες ρυθμίσεις - Είμαστε εδώ

Πρόσθετες ρυθμίσεις διαχειριστή

Για ευκολία, θα εγκαταστήσουμε επιπλέον πακέτα:

$ sudo yum install bash-completion vim

Για να ενεργοποιήσετε την αυτόματη συμπλήρωση των εντολών συμπλήρωσης bash, μεταβείτε στο bash.

Προσθήκη πρόσθετων ονομάτων DNS

Αυτό θα απαιτείται όταν πρέπει να συνδεθείτε με τον διαχειριστή χρησιμοποιώντας ένα εναλλακτικό όνομα (CNAME, ψευδώνυμο ή απλώς ένα σύντομο όνομα χωρίς επίθημα τομέα). Για λόγους ασφαλείας, ο διαχειριστής επιτρέπει μόνο συνδέσεις με την επιτρεπόμενη λίστα ονομάτων.

Δημιουργήστε ένα αρχείο ρυθμίσεων:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

το ακόλουθο περιεχόμενο:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

και επανεκκινήστε τον διαχειριστή:

$ sudo systemctl restart ovirt-engine

Διαμόρφωση ελέγχου ταυτότητας μέσω AD

Το oVirt έχει μια ενσωματωμένη βάση χρηστών, αλλά υποστηρίζονται και εξωτερικοί πάροχοι LDAP, συμπεριλαμβανομένων. ΕΝΑ Δ.

Ο απλούστερος τρόπος για μια τυπική διαμόρφωση είναι η εκκίνηση του οδηγού και η επανεκκίνηση του διαχειριστή:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Ένα παράδειγμα του μάγου
$ sudo ovirt-engine-extension-aaa-ldap-setup
Διαθέσιμες υλοποιήσεις LDAP:
...
3 - Active Directory
...
Παρακαλώ επιλέξτε: 3
Εισαγάγετε όνομα Δάσους Active Directory: example.com

Επιλέξτε πρωτόκολλο για χρήση (startTLS, ldaps, απλό) [startTLS]:
Επιλέξτε μέθοδο για να αποκτήσετε πιστοποιητικό CA με κωδικοποίηση PEM (Αρχείο, URL, Ενσωματωμένο, Σύστημα, Μη ασφαλές): URL
URL: wwwca.example.com/myRootCA.pem
Εισαγάγετε το DN χρήστη αναζήτησης (για παράδειγμα uid=username,dc=example,dc=com ή αφήστε το κενό για ανώνυμο): CN=oVirt-Engine,CN=Χρήστες,DC=παράδειγμα,DC=com
Εισαγάγετε τον κωδικό πρόσβασης χρήστη αναζήτησης: *Κωδικός πρόσβασης*
[ ΠΛΗΡΟΦΟΡΙΕΣ ] Προσπάθεια δέσμευσης χρησιμοποιώντας 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Πρόκειται να χρησιμοποιήσετε το Single Sign-On για εικονικές μηχανές (Ναι, Όχι) [Ναί]:
Καθορίστε το όνομα προφίλ που θα είναι ορατό στους χρήστες [example.com]:
Καταχωρίστε τα διαπιστευτήρια για να δοκιμάσετε τη ροή σύνδεσης:
Εισάγετε όνομα χρήστη: someAnyUser
Εισαγάγετε τον κωδικό πρόσβασης χρήστη:
...
[ ΠΛΗΡΟΦΟΡΙΕΣ ] Η ακολουθία σύνδεσης εκτελέστηκε με επιτυχία
...
Επιλέξτε τη σειρά δοκιμών για εκτέλεση (Ολοκληρώθηκε, Ακύρωση, Είσοδος, Αναζήτηση) [Εγινε]:
[ ΠΛΗΡΟΦΟΡΙΕΣ ] Στάδιο: Ρύθμιση συναλλαγής
...
ΣΥΝΟΨΗ ΔΙΑΜΟΡΦΩΣΗΣ
...

Η χρήση του οδηγού είναι κατάλληλη για τις περισσότερες περιπτώσεις. Για πολύπλοκες διαμορφώσεις, οι ρυθμίσεις γίνονται χειροκίνητα. Περισσότερες λεπτομέρειες στην τεκμηρίωση του oVirt, Χρήστες και ρόλοι. Αφού συνδεθεί επιτυχώς ο κινητήρας στο AD, θα εμφανιστεί ένα πρόσθετο προφίλ στο παράθυρο σύνδεσης και στο Δικαιώματα Τα αντικείμενα συστήματος έχουν τη δυνατότητα να εκχωρούν δικαιώματα σε χρήστες και ομάδες AD. Θα πρέπει να σημειωθεί ότι ο εξωτερικός κατάλογος χρηστών και ομάδων μπορεί να είναι όχι μόνο AD, αλλά και IPA, eDirectory κ.λπ.

Πολλαπλές διαδρομές

Σε ένα περιβάλλον παραγωγής, το σύστημα αποθήκευσης πρέπει να είναι συνδεδεμένο με τον κεντρικό υπολογιστή μέσω πολλαπλών, ανεξάρτητων, πολλαπλών διαδρομών I/O. Κατά κανόνα, στο CentOS (και επομένως στο oVirt'e) δεν υπάρχουν προβλήματα με τη δημιουργία πολλαπλών διαδρομών στη συσκευή (find_multipaths ναι). Πρόσθετες ρυθμίσεις για το FCoE περιγράφονται στο 2ο μέρος. Αξίζει να δώσετε προσοχή στη σύσταση του κατασκευαστή αποθήκευσης - πολλοί συνιστούν τη χρήση της πολιτικής στρογγυλής χρήσης, ενώ από προεπιλογή το Enterprise Linux 7 χρησιμοποιεί τον χρόνο εξυπηρέτησης.

Στο παράδειγμα του 3PAR
και έγγραφο Οδηγός υλοποίησης HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux και OracleVM Server Το EL δημιουργείται ως κεντρικός υπολογιστής με το Generic-ALUA Persona 2, για τον οποίο εισάγονται οι ακόλουθες τιμές στις ρυθμίσεις /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Στη συνέχεια δίνεται η εντολή επανεκκίνησης:

systemctl restart multipathd

Ρύζι. 1 είναι η προεπιλεγμένη πολιτική πολλαπλών εισόδων/εξόδων.

Ρύζι. 2 - πολιτική πολλαπλών I/O μετά την εφαρμογή των ρυθμίσεων.

Ρύθμιση διαχείρισης ενέργειας

Σας επιτρέπει να εκτελέσετε, για παράδειγμα, μια σκληρή επαναφορά του μηχανήματος εάν ο κινητήρας δεν μπορεί να λάβει απάντηση από τον κεντρικό υπολογιστή για μεγάλο χρονικό διάστημα. Υλοποιήθηκε μέσω του Fence Agent.

Υπολογισμός -> Hosts -> HOST - Επεξεργασία -> Διαχείριση ενέργειας, μετά ενεργοποιήστε την "Ενεργοποίηση διαχείρισης ενέργειας" και προσθέστε έναν πράκτορα - "Προσθήκη πράκτορα φράχτη" -> +.

Καθορίστε τον τύπο (για παράδειγμα, για το iLO5, πρέπει να καθορίσετε το ilo4), το όνομα/διεύθυνση της διεπαφής ipmi και το όνομα χρήστη/κωδικό πρόσβασης. Συνιστάται να δημιουργήσετε έναν ξεχωριστό χρήστη (για παράδειγμα, oVirt-PM) και, στην περίπτωση του iLO, να του δώσετε προνόμια:

Είσοδος
Απομακρυσμένη κονσόλα
Εικονική τροφοδοσία και επαναφορά
Εικονικά Μέσα
Διαμόρφωση ρυθμίσεων iLO
Διαχείριση λογαριασμών χρηστών

Μην ρωτάτε γιατί είναι έτσι, επιλέγεται εμπειρικά. Ο πράκτορας περίφραξης κονσόλας απαιτεί μικρότερο σύνολο δικαιωμάτων.

Κατά τη ρύθμιση λιστών ελέγχου πρόσβασης, θα πρέπει να ληφθεί υπόψη ότι ο πράκτορας δεν λειτουργεί στον κινητήρα, αλλά στον "γειτονικό" κεντρικό υπολογιστή (το λεγόμενο Power Management Proxy), δηλαδή εάν υπάρχει μόνο ένας κόμβος στο σύμπλεγμα, η διαχείριση ενέργειας θα λειτουργήσει δεν θα.

Ρύθμιση SSL

Πλήρεις επίσημες οδηγίες - in τεκμηρίωση, Παράρτημα Δ: oVirt και SSL - Αντικατάσταση του πιστοποιητικού oVirt Engine SSL/TLS.

Το πιστοποιητικό μπορεί να είναι από την εταιρική μας ΑΠ ή από μια εξωτερική εμπορική ΑΠ.

Σημαντική σημείωση: το πιστοποιητικό προορίζεται για σύνδεση με τον διαχειριστή, δεν θα επηρεάσει την αλληλεπίδραση μεταξύ του κινητήρα και των κόμβων - θα χρησιμοποιήσουν αυτο-υπογεγραμμένα πιστοποιητικά που εκδίδονται από τον κινητήρα.

απαιτήσεις:

πιστοποιητικό της ΑΠ έκδοσης σε μορφή PEM, με ολόκληρη την αλυσίδα στη ρίζα ΑΠ (από τη δευτερεύουσα έκδοση στην αρχή έως τη ρίζα στο τέλος).
ένα πιστοποιητικό για το Apache που έχει εκδοθεί από την έκδοση CA (επίσης πλήρες με ολόκληρη την αλυσίδα των πιστοποιητικών CA).
ιδιωτικό κλειδί για Apache, χωρίς κωδικό πρόσβασης.

Ας υποθέσουμε ότι η έκδοση CA μας εκτελεί το CentOS, που ονομάζεται subca.example.com, και τα αιτήματα, τα κλειδιά και τα πιστοποιητικά βρίσκονται στον κατάλογο /etc/pki/tls/.

Δημιουργήστε αντίγραφα ασφαλείας και δημιουργήστε έναν προσωρινό κατάλογο:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Κατεβάστε πιστοποιητικά, εκτελέστε τα από τον σταθμό εργασίας σας ή μεταφέρετέ τα με άλλον βολικό τρόπο:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Ως αποτέλεσμα, θα πρέπει να δείτε και τα 3 αρχεία:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Εγκατάσταση πιστοποιητικών

Αντιγραφή αρχείων και ενημέρωση λιστών αξιοπιστίας:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Προσθήκη/ενημέρωση αρχείων διαμόρφωσης:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Στη συνέχεια, επανεκκινήστε όλες τις επηρεαζόμενες υπηρεσίες:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Ετοιμος! Ήρθε η ώρα να συνδεθείτε με τον διαχειριστή και να ελέγξετε ότι η σύνδεση είναι ασφαλής με ένα υπογεγραμμένο πιστοποιητικό SSL.

Αρχειοθέτηση

Που χωρίς αυτήν! Σε αυτήν την ενότητα, θα μιλήσουμε για την αρχειοθέτηση του διαχειριστή, η αρχειοθέτηση του VM είναι ένα ξεχωριστό θέμα. Θα κάνουμε αντίγραφα αρχειοθέτησης μία φορά την ημέρα και θα τα αποθηκεύουμε μέσω NFS, για παράδειγμα, στο ίδιο σύστημα όπου τοποθετήσαμε τις εικόνες ISO — mynfs1.example.com:/exports/ovirt-backup. Δεν συνιστάται η αποθήκευση αρχείων στο ίδιο μηχάνημα όπου λειτουργεί ο κινητήρας.

Εγκαταστήστε και ενεργοποιήστε τα autofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Δημιουργήστε ένα σενάριο:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

το ακόλουθο περιεχόμενο:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Κάνοντας το αρχείο εκτελέσιμο:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Τώρα κάθε βράδυ θα λαμβάνουμε ένα αρχείο ρυθμίσεων διαχειριστή.

Διεπαφή διαχείρισης κεντρικού υπολογιστή

Cockpit είναι μια σύγχρονη διοικητική διεπαφή για συστήματα Linux. Σε αυτήν την περίπτωση, εκτελεί έναν ρόλο παρόμοιο με τη διεπαφή ιστού ESXi.

Ρύζι. 3 - εμφάνιση του πίνακα.

Η εγκατάσταση είναι πολύ απλή, χρειάζεστε πακέτα πιλοτηρίου και το πρόσθετο cockpit-ovirt-dashboard:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Εναλλαγή πιλοτηρίου:

$ sudo systemctl enable --now cockpit.socket

Ρύθμιση τείχους προστασίας:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Τώρα μπορείτε να συνδεθείτε στον κεντρικό υπολογιστή: https://[Host IP or FQDN]:9090

VLAN

Διαβάστε περισσότερα για τα δίκτυα στο τεκμηρίωση. Υπάρχουν πολλές δυνατότητες, εδώ θα περιγράψουμε τη σύνδεση εικονικών δικτύων.

Για να συνδέσετε άλλα υποδίκτυα, πρέπει πρώτα να περιγραφούν στη διαμόρφωση: Δίκτυο -> Δίκτυα -> Νέο, εδώ μόνο το όνομα είναι υποχρεωτικό πεδίο. το πλαίσιο ελέγχου VM Network, το οποίο επιτρέπει στα μηχανήματα να χρησιμοποιούν αυτό το δίκτυο, είναι ενεργοποιημένο και για να συνδέσετε την ετικέτα, πρέπει να ενεργοποιήσετε Ενεργοποιήστε την προσθήκη ετικετών VLAN, πληκτρολογήστε τον αριθμό VLAN και κάντε κλικ στο OK.

Τώρα πρέπει να μεταβείτε στο Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks hosts. Σύρετε το προστιθέμενο δίκτυο από τη δεξιά πλευρά των Μη εκχωρημένων λογικών δικτύων προς τα αριστερά στα εκχωρημένα λογικά δίκτυα:

Ρύζι. 4 - πριν προσθέσετε το δίκτυο.

Ρύζι. 5 - μετά την προσθήκη του δικτύου.

Για μαζική σύνδεση πολλών δικτύων σε έναν κεντρικό υπολογιστή, είναι βολικό να αντιστοιχίσετε ετικέτες σε αυτά κατά τη δημιουργία δικτύων και να προσθέσετε δίκτυα ανά ετικέτες.

Αφού δημιουργηθεί το δίκτυο, οι κεντρικοί υπολογιστές θα μεταβούν στην κατάσταση Μη λειτουργική έως ότου το δίκτυο προστεθεί σε όλους τους κόμβους συμπλέγματος. Αυτή η συμπεριφορά ενεργοποιείται από τη σημαία Require All στην καρτέλα Cluster κατά τη δημιουργία ενός νέου δικτύου. Σε περίπτωση που το δίκτυο δεν χρειάζεται σε όλους τους κόμβους του συμπλέγματος, αυτή η δυνατότητα μπορεί να απενεργοποιηθεί, τότε το δίκτυο, όταν προσθέτετε έναν κεντρικό υπολογιστή, θα βρίσκεται στα δεξιά στην ενότητα Μη Απαιτούμενο και μπορείτε να επιλέξετε εάν θα το συνδέσετε με συγκεκριμένο οικοδεσπότη.

Ρύζι. 6 — επιλογή του σήματος της απαίτησης δικτύου.

HPE συγκεκριμένα

Σχεδόν όλοι οι κατασκευαστές διαθέτουν εργαλεία που βελτιώνουν τη χρηστικότητα των προϊόντων τους. Χρησιμοποιώντας το HPE ως παράδειγμα, είναι χρήσιμα τα AMS (Agentless Management Service, amsd για iLO5, hp-ams για iLO4) και SSA (Έξυπνος Διαχειριστής αποθήκευσης, εργασία με ελεγκτή δίσκου) κ.λπ.

Σύνδεση του αποθετηρίου HPE
Εισαγάγετε το κλειδί και συνδέστε τα αποθετήρια HPE:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

το ακόλουθο περιεχόμενο:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Δείτε τα περιεχόμενα του αποθετηρίου και πληροφορίες σχετικά με το πακέτο (για αναφορά):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Εγκατάσταση και εκκίνηση:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Ένα παράδειγμα του βοηθητικού προγράμματος για την εργασία με έναν ελεγκτή δίσκου

Αυτα για τωρα. Στα επόμενα άρθρα σκοπεύω να καλύψω ορισμένες βασικές λειτουργίες και εφαρμογές. Για παράδειγμα, πώς να δημιουργήσετε VDI στο oVirt.

Πηγή: www.habr.com