ProHoster > Блог > Administrado > oVirt en 2 horoj. Parto 3. Pliaj agordoj

oVirt en 2 horoj. Parto 3. Pliaj agordoj

En ĉi tiu artikolo, ni rigardos kelkajn laŭvolajn, sed utilajn agordojn:

Ĉi tiu artikolo estas daŭrigo, komencu vidi oVirt post 2 horoj 1-parto и parto 2.

Artikoloj

  1. Enkonduko
  2. Instalado de la administranto (ovirt-motoro) kaj hiperviziiloj (gastigantoj)
  3. Pliaj agordoj - Ni estas ĉi tie

Pliaj administraj agordoj

Por komforto, ni instalos pliajn pakaĵojn:

$ sudo yum install bash-completion vim

Por ebligi aŭtomatan kompletigo de bash-completing komandoj, ŝanĝu al bash.

Aldonante Pliajn DNS-Nomojn

Ĉi tio estos postulata kiam vi bezonos konektiĝi al la administranto per alternativa nomo (CNAME, kaŝnomo aŭ nur mallonga nomo sen domajna sufikso). Pro sekurecaj kialoj, la administranto nur permesas konektojn al la permesita listo de nomoj.

Kreu agordan dosieron:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

jena enhavo:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

kaj rekomencu la administranton:

$ sudo systemctl restart ovirt-engine

Agordante Aŭtentikigon Tra AD

oVirt havas enkonstruitan uzantbazon, sed eksteraj LDAP-provizantoj ankaŭ estas subtenataj, inkl. AD.

La plej simpla maniero por tipa agordo estas komenci la sorĉiston kaj rekomenci la administranton:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Ekzemplo de la sorĉisto
$ sudo ovirt-engine-extension-aaa-ldap-setup
Disponeblaj LDAP-efektivigoj:
...
3 - Aktiva Dosierujo
...
Bonvolu elekti: 3
Bonvolu enigi la nomon de la Arbaro de Active Directory: example.com

Bonvolu elekti protokolon por uzi (startTLS, ldaps, simpla) [komencoTLS]:
Bonvolu elekti metodon por akiri PEM-koditan CA-atestilon (Dosiero, URL, Enlinia, Sistemo, Nesekura): URL
URL: wwwca.example.com/myRootCA.pem
Enigu serĉan uzantan DN (ekzemple uid=uzantnomo,dc=ekzemplo,dc=com aŭ lasu malplena por anonima): CN=oVirt-Engine,CN=Uzantoj,DC=ekzemplo,DC=com
Enigu serĉan uzantan pasvorton: *Pasvorto*
[ INFO ] Provante ligi uzante 'CN=oVirt-Engine,CN=Uzantoj,DC=ekzemplo,DC=com'
Ĉu vi uzos Ununuran Ensaluti por Virtualaj Maŝinoj (Jes, Ne) [Jes]:
Bonvolu specifi profilon nomon kiu estos videbla por uzantoj [ekzemplo.com]:
Bonvolu provizi akreditaĵojn por testi ensalutfluon:
Enigu uzantnomon: iuAnyUser
Enigu uzantan pasvorton:
...
[ INFO ] Ensaluta sekvenco efektivigita sukcese
...
Elektu testsekvencon por ekzekuti (Farita, Ĉesi, Ensalutu, Serĉi) [Farita]:
[ INFO ] Etapo: Transakcia aranĝo
...
RESUMO DE KONFIGURO
...

Uzi la sorĉiston taŭgas por plej multaj kazoj. Por kompleksaj agordoj, agordoj estas faritaj permane. Pli da detaloj en la dokumentado de oVirt, Uzantoj kaj Roloj. Post kiam la Motoro estas sukcese konektita al AD, plia profilo aperos en la koneksa fenestro, kaj sur la permesojn sistemaj objektoj havas la kapablon doni permesojn al AD-uzantoj kaj grupoj. Oni devas rimarki, ke la ekstera dosierujo de uzantoj kaj grupoj povas esti ne nur AD, sed ankaŭ IPA, eDirectory, ktp.

Multvojado

En produktadmedio, la stokadsistemo devas esti ligita al la gastiganto per multoblaj, sendependaj, multoblaj I/O-padoj. Kiel regulo, en CentOS (kaj tial oVirt'e) ne estas problemoj pri konstruado de pluraj vojoj al la aparato (find_multipaths jes). Pliaj agordoj por FCoE estas priskribitaj en 2a parto. Indas atenti la rekomendon de la fabrikanto de stokado - multaj rekomendas uzi la politikon de cirkulado, dum defaŭlte Enterprise Linux 7 uzas servotempon.

Sur la ekzemplo de 3PAR
kaj dokumento HPE 3PAR Red Hat Enterprise Linux, CentOS Linukso, Oracle Linukso kaj OracleVM Server Implementation Guide EL estas kreita kiel Gastiganto kun Generic-ALUA Persona 2, por kiu la sekvaj valoroj estas enigitaj en la agordojn /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Tiam la komando por rekomenci ricevas:

systemctl restart multipathd

oVirt en 2 horoj. Parto 3. Pliaj agordoj
Rizo. 1 estas la defaŭlta multoblaj I/O-politiko.

oVirt en 2 horoj. Parto 3. Pliaj agordoj
Rizo. 2 - multobla I/O-politiko post apliki la agordojn.

Potenca Administrado Agordo

Permesas al vi plenumi, ekzemple, malmolan rekomencon de la maŝino se la Motoro ne povas ricevi respondon de la Gastiganto dum longa tempo. Efektivigite per la Barilo-Agente.

Komputi -> Gastigantoj -> HOST - Redaktu -> Potenca Administrado, tiam ŝaltu "Enable Power Management" kaj aldonu agenton - "Aldoni Fence Agent" -> +.

Indiku la tipon (ekzemple, por iLO5, vi devas specifi ilo4), la nomon/adreson de la ipmi-interfaco, kaj la uzantnomon/pasvorton. Oni rekomendas krei apartan uzanton (ekzemple, oVirt-PM) kaj, en la kazo de iLO, doni al li privilegiojn:

  • Ensaluti
  • Fora Konzolo
  • Virtuala Potenco kaj Restarigi
  • Virtuala Amaskomunikilaro
  • Agordi iLO-agordojn
  • Administri Uzantajn Kontojn

Ne demandu kial ĝi estas tiel, ĝi estas elektita empirie. La konzola skermado-agento postulas pli malgrandan aron de rajtoj.

Kiam oni agordas alirkontrolajn listojn, oni devas konsideri, ke la agento ne funkcias sur la motoro, sed sur la "najbara" gastiganto (la tiel nomata Power Management Proxy), t.e., se estas nur unu nodo en la areto, administrado de potenco funkcios ne.

Agordi SSL

Plenaj oficialaj instrukcioj - en dokumentado, Apendico D: oVirt kaj SSL - Anstataŭigante la oVirt Engine SSL/TLS-Atestilon.

La atestilo povas esti de nia kompania CA aŭ de ekstera komerca CA.

Grava noto: la atestilo celas konekti al la administranto, ne influos la interagadon inter la Motoro kaj la nodoj - ili uzos memsubskribitajn atestojn eldonitajn de la Motoro.

Postuloj:

  • atestilo pri la eldonanta CA en PEM-formato, kun la tuta ĉeno al la radiko CA (de la subulo eldonanta komence ĝis la radiko ĉe la fino);
  • atestilo por Apache eldonita de la emisianta CA (ankaŭ kompleta kun la tuta ĉeno de CA-atestiloj);
  • privata ŝlosilo por Apache, sen pasvorto.

Ni diru, ke nia eldonanta CA funkcias CentOS, nomata subca.example.com, kaj la petoj, ŝlosiloj kaj atestiloj estas en la dosierujo /etc/pki/tls/.

Faru sekurkopiojn kaj kreu provizoran dosierujon:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Elŝutu atestojn, plenumu ĝin de via laborstacio aŭ transigu ĝin alimaniere:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Kiel rezulto, vi devus vidi ĉiujn 3 dosierojn:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Instalado de atestiloj

Kopiu dosierojn kaj ĝisdatigu fidlistojn:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Aldoni/ĝisdatigi agordajn dosierojn:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf
ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""
$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf
SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf
# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Poste, rekomencu ĉiujn tuŝitajn servojn:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Preta! Estas tempo konektiĝi al la administranto kaj kontroli, ke la konekto estas sekurigita per subskribita SSL-atestilo.

Arkivado

Kie sen ŝi! En ĉi tiu sekcio, ni parolos pri arkivado de la administranto, arkivado de la VM estas aparta afero. Ni faros arkivajn kopiojn unufoje tage kaj stokos ilin per NFS, ekzemple, en la sama sistemo, kie ni metis la ISO-bildojn — mynfs1.example.com:/exports/ovirt-backup. Ne rekomendas stoki arkivojn sur la sama maŝino, kie la Motoro funkcias.

Instalu kaj ebligu aŭtofojn:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Kreu skripton:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

jena enhavo:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Farante la dosieron plenumebla:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Nun ĉiunokte ni ricevos arkivon de administraj agordoj.

Interfaco de administrado de gastiganto

Pilotejo estas moderna administra interfaco por Linuksaj sistemoj. En ĉi tiu kazo, ĝi plenumas rolon similan al la interfaco ESXi.

oVirt en 2 horoj. Parto 3. Pliaj agordoj
Rizo. 3 - aspekto de la panelo.

Instalado estas tre simpla, vi bezonas cockpit-pakaĵojn kaj la kromprogramon cockpit-ovirt-dashboard:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Ŝanĝi la pilotejon:

$ sudo systemctl enable --now cockpit.socket

Agordo de fajroŝirmilo:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Nun vi povas konektiĝi al la gastiganto: https://[Gastiganto IP aŭ FQDN]:9090

VLAN-oj

Legu pli pri retoj en dokumentado. Estas multaj eblecoj, ĉi tie ni priskribos la konekton de virtualaj retoj.

Por konekti aliajn subretojn, oni devas unue priskribi ilin en la agordo: Reto -> Retoj -> Nova, ĉi tie nur la nomo estas bezonata kampo; la markobutono VM Network, kiu permesas maŝinojn uzi ĉi tiun reton, estas ebligita, kaj por konekti la etikedon, vi devas aktivigi Ebligu VLAN-etikedadon, enigu la VLAN-numeron kaj alklaku OK.

Nun vi devas iri al la Gastigantoj de Komputado -> Gastigantoj -> kvmNN -> Retaj Interfacoj -> Agordu Gastigantajn Retojn. Trenu la aldonitan reton de la dekstra flanko de Neasignitaj Logikaj Retoj maldekstren al Asignitaj Logikaj Retoj:

oVirt en 2 horoj. Parto 3. Pliaj agordoj
Rizo. 4 - antaŭ ol aldoni la reton.

oVirt en 2 horoj. Parto 3. Pliaj agordoj
Rizo. 5 - post aldono de la reto.

Por amasa konekto de pluraj retoj al gastiganto, estas oportune asigni etikedon(j)n al ili dum kreado de retoj, kaj aldoni retojn per etikedoj.

Post kiam la reto estas kreita, la gastigantoj iros en la Nefunkcian staton ĝis la reto aldoniĝos al ĉiuj grapolnodoj. Ĉi tiu konduto estas ekigita de la flago Postigi Ĉion sur la klapeto de Areto dum kreado de nova reto. En la kazo, kiam la reto ne estas bezonata en ĉiuj nodoj de la grapolo, ĉi tiu funkcio povas esti malŝaltita, tiam la reto, kiam vi aldonos gastiganton, estos dekstre en la sekcio Ne Bezonata kaj vi povas elekti ĉu konekti ĝin al. specifa gastiganto.

oVirt en 2 horoj. Parto 3. Pliaj agordoj
Rizo. 6 — elekto de la signo de la reto-postulo.

HPE specifa

Preskaŭ ĉiuj fabrikantoj havas ilojn, kiuj plibonigas la uzeblecon de siaj produktoj. Uzante HPE kiel ekzemplon, AMS (Agentless Management Service, amsd por iLO5, hp-ams por iLO4) kaj SSA (Smart Storage Administrator, laboranta kun diskregilo), ktp.

Konektante la HPE-Deponejon
Importu la ŝlosilon kaj konektu la HPE-deponejojn:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

jena enhavo:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Rigardu la enhavon de la deponejo kaj informojn pri la pakaĵo (por referenco):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Instalado kaj lanĉo:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Ekzemplo de la utileco por labori kun diskregilo
oVirt en 2 horoj. Parto 3. Pliaj agordoj

Tio estas ĉio por nun. En la sekvaj artikoloj mi planas kovri kelkajn bazajn operaciojn kaj aplikojn. Ekzemple, kiel fari VDI en oVirt.

fonto: www.habr.com