Para mayor comodidad, instalaremos paquetes adicionales:
$ sudo yum install bash-completion vim
Para habilitar el autocompletado de los comandos bash-completion, cambie a bash.
Adición de nombres DNS adicionales
Esto será necesario cuando necesite conectarse al administrador utilizando un nombre alternativo (CNAME, alias o simplemente un nombre corto sin un sufijo de dominio). Por razones de seguridad, el administrador solo permite conexiones a la lista de nombres permitidos.
Cree un archivo de configuración:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Un ejemplo del mago
$ sudo ovirt-engine-extension-aaa-ldap-setup
Implementaciones LDAP disponibles:
...
3 - Directorio activo
...
Por favor selecciona: 3
Ingrese el nombre del bosque de Active Directory: example.com
Seleccione el protocolo a usar (startTLS, ldaps, simple) [inicioTLS]:
Seleccione el método para obtener el certificado de CA con codificación PEM (archivo, URL, en línea, sistema, inseguro): Enlance
URL: wwwca.example.com/myRootCA.pem
Ingrese el DN del usuario de búsqueda (por ejemplo, uid=nombre de usuario,dc=ejemplo,dc=com o déjelo en blanco para anónimo): CN=oVirt-Engine,CN=Usuarios,DC=ejemplo,DC=com
Introduzca la contraseña de usuario de búsqueda: *contraseña*
[INFO] Intentando enlazar usando 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
¿Va a utilizar Single Sign-On para máquinas virtuales? (Sí, No) [Sí]:
Especifique el nombre del perfil que será visible para los usuarios. [ejemplo.com]:
Proporcione las credenciales para probar el flujo de inicio de sesión:
Introduzca su nombre de usuario: algunUsuario
Introduzca la contraseña de usuario:
...
[ INFO ] Secuencia de inicio de sesión ejecutada con éxito
...
Seleccione la secuencia de prueba para ejecutar (Listo, Cancelar, Iniciar sesión, Buscar) [Hecho]:
[ INFO ] Etapa: Configuración de la transacción
...
RESUMEN DE CONFIGURACIÓN
...
El uso del asistente es adecuado para la mayoría de los casos. Para configuraciones complejas, los ajustes se realizan manualmente. Más detalles en la documentación de oVirt, Usuarios y roles. Una vez que el motor se haya conectado correctamente a AD, aparecerá un perfil adicional en la ventana de conexión y en la Permisos los objetos del sistema tienen la capacidad de otorgar permisos a usuarios y grupos de AD. Cabe señalar que el directorio externo de usuarios y grupos puede ser no solo AD, sino también IPA, eDirectory, etc.
Rutas múltiples
En un entorno de producción, el sistema de almacenamiento debe estar conectado al host a través de múltiples rutas de E/S independientes. Como regla general, en CentOS (y por lo tanto en oVirt'e) no hay problemas para construir múltiples rutas al dispositivo (find_multipaths, sí). Los ajustes adicionales para FCoE se describen en Parte 2. Vale la pena prestar atención a la recomendación del fabricante del almacenamiento: muchos recomiendan usar la política de turnos, mientras que Enterprise Linux 7 usa por defecto el tiempo de servicio.
Arroz. 1 es la política de E/S múltiple predeterminada.
Arroz. 2 - Política de E/S múltiple después de aplicar la configuración.
Configuración de administración de energía
Le permite realizar, por ejemplo, un restablecimiento completo de la máquina si el motor no puede recibir una respuesta del host durante mucho tiempo. Implementado a través del agente de la cerca.
Calcular -> Anfitriones -> HOST - Editar -> Administración de energía, luego active "Habilitar administración de energía" y agregue un agente - "Agregar agente de cerca" -> +.
Especifique el tipo (por ejemplo, para iLO5, debe especificar ilo4), el nombre/dirección de la interfaz ipmi y el nombre de usuario/contraseña. Se recomienda crear un usuario aparte (por ejemplo, oVirt-PM) y, en el caso de iLO, darle privilegios:
Acceder
Consola remota
Encendido virtual y reinicio
Medios virtuales
Configurar los ajustes de iLO
Administrar cuentas de usuario
No preguntes por qué es así, se elige empíricamente. El agente de esgrima de la consola requiere un conjunto más pequeño de derechos.
Al configurar las listas de control de acceso, se debe tener en cuenta que el agente no se ejecuta en el motor, sino en el host "vecino" (el llamado Power Management Proxy), es decir, si solo hay un nodo en el clúster, la administración de energía funcionará no te despiertes.
Configuración de SSL
Instrucciones oficiales completas - en documentación, Apéndice D: oVirt y SSL - Sustitución del certificado SSL/TLS del motor de oVirt.
El certificado puede ser de nuestra CA corporativa o de una CA comercial externa.
Nota importante: el certificado está destinado a conectarse con el administrador, no afectará la interacción entre el motor y los nodos; utilizarán certificados autofirmados emitidos por el motor.
requisitos:
certificado de la CA emisora en formato PEM, con toda la cadena hasta la CA raíz (desde la subordinada emisora al principio hasta la raíz al final);
un certificado para Apache emitido por la CA emisora (también completo con toda la cadena de certificados de CA);
clave privada para Apache, sin contraseña.
Digamos que nuestra CA emisora ejecuta CentOS, llamada subca.example.com, y las solicitudes, claves y certificados están en el directorio /etc/pki/tls/.
Realice copias de seguridad y cree un directorio temporal:
¡Listo! Es hora de conectarse al administrador y verificar que la conexión esté protegida con un certificado SSL firmado.
Archivando
Donde sin ella! En esta sección, hablaremos sobre archivar el administrador, archivar la VM es un tema aparte. Haremos copias de archivo una vez al día y las almacenaremos en NFS, por ejemplo, en el mismo sistema donde colocamos las imágenes ISO: mynfs1.example.com:/exports/ovirt-backup. No se recomienda almacenar archivos en la misma máquina donde se ejecuta el motor.
Ahora puede conectarse al host: https://[IP o FQDN del host]:9090
VLAN
Leer más sobre redes en documentación. Hay muchas posibilidades, aquí describiremos la conexión de redes virtuales.
Para conectar otras subredes, primero deben describirse en la configuración: Red -> Redes -> Nuevo, aquí solo el nombre es un campo obligatorio; la casilla de verificación VM Network, que permite que las máquinas usen esta red, está habilitada, y para conectar la etiqueta, debe habilitarla Habilitar el etiquetado de VLAN, ingrese el número de VLAN y haga clic en Aceptar.
Ahora debe ir a Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks hosts. Arrastre la red agregada desde el lado derecho de Redes lógicas sin asignar hacia la izquierda hasta Redes lógicas asignadas:
Arroz. 4 - antes de agregar la red.
Arroz. 5 - después de agregar la red.
Para la conexión masiva de varias redes a un host, es conveniente asignarles etiquetas al crear redes y agregar redes por etiquetas.
Después de crear la red, los hosts pasarán al estado No operativo hasta que la red se agregue a todos los nodos del clúster. Este comportamiento lo desencadena el indicador Requerir todo en la pestaña Clúster al crear una nueva red. En el caso de que la red no sea necesaria en todos los nodos del clúster, esta característica se puede desactivar, entonces la red, al agregar un host, estará a la derecha en la sección No requerida y puede elegir si desea conectarla a un huésped específico.
Arroz. 6 — selección del signo de la exigencia de red.
específico de HPE
Casi todos los fabricantes disponen de herramientas que mejoran la usabilidad de sus productos. Usando HPE como ejemplo, AMS (Servicio de administración sin agentes, amsd para iLO5, hp-ams para iLO4) y SSA (Administrador de almacenamiento inteligente, trabajando con un controlador de disco), etc. son útiles.
Conexión del repositorio de HPE
Importe la clave y conecte los repositorios de HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo