Por ebligi aŭtomatan kompletigo de bash-completing komandoj, ŝanĝu al bash.
Aldonante Pliajn DNS-Nomojn
Ĉi tio estos postulata kiam vi bezonos konektiĝi al la administranto per alternativa nomo (CNAME, kaŝnomo aŭ nur mallonga nomo sen domajna sufikso). Pro sekurecaj kialoj, la administranto nur permesas konektojn al la permesita listo de nomoj.
Kreu agordan dosieron:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Ekzemplo de la sorĉisto
$ sudo ovirt-engine-extension-aaa-ldap-setup
Disponeblaj LDAP-efektivigoj:
...
3 - Aktiva Dosierujo
...
Bonvolu elekti: 3
Bonvolu enigi la nomon de la Arbaro de Active Directory: example.com
Bonvolu elekti protokolon por uzi (startTLS, ldaps, simpla) [komencoTLS]:
Bonvolu elekti metodon por akiri PEM-koditan CA-atestilon (Dosiero, URL, Enlinia, Sistemo, Nesekura): URL
URL: wwwca.example.com/myRootCA.pem
Enigu serĉan uzantan DN (ekzemple uid=uzantnomo,dc=ekzemplo,dc=com aŭ lasu malplena por anonima): CN=oVirt-Engine,CN=Uzantoj,DC=ekzemplo,DC=com
Enigu serĉan uzantan pasvorton: *Pasvorto*
[ INFO ] Provante ligi uzante 'CN=oVirt-Engine,CN=Uzantoj,DC=ekzemplo,DC=com'
Ĉu vi uzos Ununuran Ensaluti por Virtualaj Maŝinoj (Jes, Ne) [Jes]:
Bonvolu specifi profilon nomon kiu estos videbla por uzantoj [ekzemplo.com]:
Bonvolu provizi akreditaĵojn por testi ensalutfluon:
Enigu uzantnomon: iuAnyUser
Enigu uzantan pasvorton:
...
[ INFO ] Ensaluta sekvenco efektivigita sukcese
...
Elektu testsekvencon por ekzekuti (Farita, Ĉesi, Ensalutu, Serĉi) [Farita]:
[ INFO ] Etapo: Transakcia aranĝo
...
RESUMO DE KONFIGURO
...
Uzi la sorĉiston taŭgas por plej multaj kazoj. Por kompleksaj agordoj, agordoj estas faritaj permane. Pli da detaloj en la dokumentado de oVirt, Uzantoj kaj Roloj. Post kiam la Motoro estas sukcese konektita al AD, plia profilo aperos en la koneksa fenestro, kaj sur la permesojn sistemaj objektoj havas la kapablon doni permesojn al AD-uzantoj kaj grupoj. Oni devas rimarki, ke la ekstera dosierujo de uzantoj kaj grupoj povas esti ne nur AD, sed ankaŭ IPA, eDirectory, ktp.
Multvojado
En produktadmedio, la stokadsistemo devas esti ligita al la gastiganto per multoblaj, sendependaj, multoblaj I/O-padoj. Kiel regulo, en CentOS (kaj tial oVirt'e) ne estas problemoj pri konstruado de pluraj vojoj al la aparato (find_multipaths jes). Pliaj agordoj por FCoE estas priskribitaj en 2a parto. Indas atenti la rekomendon de la fabrikanto de stokado - multaj rekomendas uzi la politikon de cirkulado, dum defaŭlte Enterprise Linux 7 uzas servotempon.
Rizo. 2 - multobla I/O-politiko post apliki la agordojn.
Potenca Administrado Agordo
Permesas al vi plenumi, ekzemple, malmolan rekomencon de la maŝino se la Motoro ne povas ricevi respondon de la Gastiganto dum longa tempo. Efektivigite per la Barilo-Agente.
Komputi -> Gastigantoj -> HOST - Redaktu -> Potenca Administrado, tiam ŝaltu "Enable Power Management" kaj aldonu agenton - "Aldoni Fence Agent" -> +.
Indiku la tipon (ekzemple, por iLO5, vi devas specifi ilo4), la nomon/adreson de la ipmi-interfaco, kaj la uzantnomon/pasvorton. Oni rekomendas krei apartan uzanton (ekzemple, oVirt-PM) kaj, en la kazo de iLO, doni al li privilegiojn:
Ensaluti
Fora Konzolo
Virtuala Potenco kaj Restarigi
Virtuala Amaskomunikilaro
Agordi iLO-agordojn
Administri Uzantajn Kontojn
Ne demandu kial ĝi estas tiel, ĝi estas elektita empirie. La konzola skermado-agento postulas pli malgrandan aron de rajtoj.
Kiam oni agordas alirkontrolajn listojn, oni devas konsideri, ke la agento ne funkcias sur la motoro, sed sur la "najbara" gastiganto (la tiel nomata Power Management Proxy), t.e., se estas nur unu nodo en la areto, administrado de potenco funkcios ne.
Agordi SSL
Plenaj oficialaj instrukcioj - en dokumentado, Apendico D: oVirt kaj SSL - Anstataŭigante la oVirt Engine SSL/TLS-Atestilon.
La atestilo povas esti de nia kompania CA aŭ de ekstera komerca CA.
Grava noto: la atestilo celas konekti al la administranto, ne influos la interagadon inter la Motoro kaj la nodoj - ili uzos memsubskribitajn atestojn eldonitajn de la Motoro.
Postuloj:
atestilo pri la eldonanta CA en PEM-formato, kun la tuta ĉeno al la radiko CA (de la subulo eldonanta komence ĝis la radiko ĉe la fino);
atestilo por Apache eldonita de la emisianta CA (ankaŭ kompleta kun la tuta ĉeno de CA-atestiloj);
privata ŝlosilo por Apache, sen pasvorto.
Ni diru, ke nia eldonanta CA funkcias CentOS, nomata subca.example.com, kaj la petoj, ŝlosiloj kaj atestiloj estas en la dosierujo /etc/pki/tls/.
Preta! Estas tempo konektiĝi al la administranto kaj kontroli, ke la konekto estas sekurigita per subskribita SSL-atestilo.
Arkivado
Kie sen ŝi! En ĉi tiu sekcio, ni parolos pri arkivado de la administranto, arkivado de la VM estas aparta afero. Ni faros arkivajn kopiojn unufoje tage kaj stokos ilin per NFS, ekzemple, en la sama sistemo, kie ni metis la ISO-bildojn — mynfs1.example.com:/exports/ovirt-backup. Ne rekomendas stoki arkivojn sur la sama maŝino, kie la Motoro funkcias.
Nun vi povas konektiĝi al la gastiganto: https://[Gastiganto IP aŭ FQDN]:9090
VLAN-oj
Legu pli pri retoj en dokumentado. Estas multaj eblecoj, ĉi tie ni priskribos la konekton de virtualaj retoj.
Por konekti aliajn subretojn, oni devas unue priskribi ilin en la agordo: Reto -> Retoj -> Nova, ĉi tie nur la nomo estas bezonata kampo; la markobutono VM Network, kiu permesas maŝinojn uzi ĉi tiun reton, estas ebligita, kaj por konekti la etikedon, vi devas aktivigi Ebligu VLAN-etikedadon, enigu la VLAN-numeron kaj alklaku OK.
Nun vi devas iri al la Gastigantoj de Komputado -> Gastigantoj -> kvmNN -> Retaj Interfacoj -> Agordu Gastigantajn Retojn. Trenu la aldonitan reton de la dekstra flanko de Neasignitaj Logikaj Retoj maldekstren al Asignitaj Logikaj Retoj:
Rizo. 4 - antaŭ ol aldoni la reton.
Rizo. 5 - post aldono de la reto.
Por amasa konekto de pluraj retoj al gastiganto, estas oportune asigni etikedon(j)n al ili dum kreado de retoj, kaj aldoni retojn per etikedoj.
Post kiam la reto estas kreita, la gastigantoj iros en la Nefunkcian staton ĝis la reto aldoniĝos al ĉiuj grapolnodoj. Ĉi tiu konduto estas ekigita de la flago Postigi Ĉion sur la klapeto de Areto dum kreado de nova reto. En la kazo, kiam la reto ne estas bezonata en ĉiuj nodoj de la grapolo, ĉi tiu funkcio povas esti malŝaltita, tiam la reto, kiam vi aldonos gastiganton, estos dekstre en la sekcio Ne Bezonata kaj vi povas elekti ĉu konekti ĝin al. specifa gastiganto.
Rizo. 6 — elekto de la signo de la reto-postulo.
HPE specifa
Preskaŭ ĉiuj fabrikantoj havas ilojn, kiuj plibonigas la uzeblecon de siaj produktoj. Uzante HPE kiel ekzemplon, AMS (Agentless Management Service, amsd por iLO5, hp-ams por iLO4) kaj SSA (Smart Storage Administrator, laboranta kun diskregilo), ktp.
Konektante la HPE-Deponejon
Importu la ŝlosilon kaj konektu la HPE-deponejojn:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo