En este artículo, veremos una serie de configuraciones opcionales pero útiles:
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
Este artículo es una continuación, empieza a ver oVirt en 2 horas и .
Artículos
- Configuraciones adicionales - Estamos aquí
Configuraciones adicionales del administrador
Para mayor comodidad, instalaremos paquetes adicionales:
$ sudo yum install bash-completion vimPara habilitar el autocompletado de los comandos bash-completion, cambie a bash.
Adición de nombres DNS adicionales
Esto será necesario cuando necesite conectarse al administrador utilizando un nombre alternativo (CNAME, alias o simplemente un nombre corto sin un sufijo de dominio). Por razones de seguridad, el administrador solo permite conexiones a la lista de nombres permitidos.
Cree un archivo de configuración:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.confel siguiente contenido:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"y reiniciar el administrador:
$ sudo systemctl restart ovirt-engineConfiguración de la autenticación a través de AD
oVirt tiene una base de usuarios integrada, pero también se admiten proveedores LDAP externos, incl. ANUNCIO.
La forma más sencilla para una configuración típica es iniciar el asistente y reiniciar el administrador:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engineUn ejemplo del mago
$ sudo ovirt-engine-extension-aaa-ldap-setup
Implementaciones LDAP disponibles:
...
3 - Directorio activo
...
Por favor selecciona: 3
Ingrese el nombre del bosque de Active Directory: example.com
Seleccione el protocolo a usar (startTLS, ldaps, simple) [inicioTLS]:
Seleccione el método para obtener el certificado de CA con codificación PEM (archivo, URL, en línea, sistema, inseguro): Enlance
URL:
Ingrese el DN del usuario de búsqueda (por ejemplo, uid=nombre de usuario,dc=ejemplo,dc=com o déjelo en blanco para anónimo): CN=oVirt-Engine,CN=Usuarios,DC=ejemplo,DC=com
Introduzca la contraseña de usuario de búsqueda: *contraseña*
[INFO] Intentando enlazar usando 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
¿Va a utilizar Single Sign-On para máquinas virtuales? (Sí, No) [Sí]:
Especifique el nombre del perfil que será visible para los usuarios. [ejemplo.com]:
Proporcione las credenciales para probar el flujo de inicio de sesión:
Introduzca su nombre de usuario: algunUsuario
Introduzca la contraseña de usuario:
...
[ INFO ] Secuencia de inicio de sesión ejecutada con éxito
...
Seleccione la secuencia de prueba para ejecutar (Listo, Cancelar, Iniciar sesión, Buscar) [Hecho]:
[ INFO ] Etapa: Configuración de la transacción
...
RESUMEN DE CONFIGURACIÓN
...
El uso del asistente es adecuado para la mayoría de los casos. Para configuraciones complejas, los ajustes se realizan manualmente. Más detalles en la documentación de oVirt, . Una vez que el motor se haya conectado correctamente a AD, aparecerá un perfil adicional en la ventana de conexión y en la Permisos los objetos del sistema tienen la capacidad de otorgar permisos a usuarios y grupos de AD. Cabe señalar que el directorio externo de usuarios y grupos puede ser no solo AD, sino también IPA, eDirectory, etc.
Rutas múltiples
En un entorno de producción, el sistema de almacenamiento debe estar conectado al host a través de múltiples rutas de E/S independientes. Como regla general, en CentOS (y por lo tanto en oVirt'e) no hay problemas para construir múltiples rutas al dispositivo (find_multipaths, sí). Los ajustes adicionales para FCoE se describen en . Vale la pena prestar atención a la recomendación del fabricante del almacenamiento: muchos recomiendan usar la política de turnos, mientras que Enterprise Linux 7 usa por defecto el tiempo de servicio.
Sobre el ejemplo de 3PAR
y documento EL se crea como Host con Generic-ALUA Persona 2, para lo cual se ingresan los siguientes valores en la configuración de /etc/multipath.conf:
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}Luego se da el comando para reiniciar:
systemctl restart multipathd
Arroz. 1 es la política de E/S múltiple predeterminada.
Arroz. 2 - Política de E/S múltiple después de aplicar la configuración.
Configuración de administración de energía
Le permite realizar, por ejemplo, un restablecimiento completo de la máquina si el motor no puede recibir una respuesta del host durante mucho tiempo. Implementado a través del agente de la cerca.
Calcular -> Anfitriones -> HOST - Editar -> Administración de energía, luego active "Habilitar administración de energía" y agregue un agente - "Agregar agente de cerca" -> +.
Especifique el tipo (por ejemplo, para iLO5, debe especificar ilo4), el nombre/dirección de la interfaz ipmi y el nombre de usuario/contraseña. Se recomienda crear un usuario aparte (por ejemplo, oVirt-PM) y, en el caso de iLO, darle privilegios:
- Acceder
- Consola remota
- Encendido virtual y reinicio
- Medios virtuales
- Configurar los ajustes de iLO
- Administrar cuentas de usuario
No preguntes por qué es así, se elige empíricamente. El agente de esgrima de la consola requiere un conjunto más pequeño de derechos.
Al configurar las listas de control de acceso, se debe tener en cuenta que el agente no se ejecuta en el motor, sino en el host "vecino" (el llamado Power Management Proxy), es decir, si solo hay un nodo en el clúster, la administración de energía funcionará no te despiertes.
Configuración de SSL
Instrucciones oficiales completas - en , Apéndice D: oVirt y SSL - Sustitución del certificado SSL/TLS del motor de oVirt.
El certificado puede ser de nuestra CA corporativa o de una CA comercial externa.
Nota importante: el certificado está destinado a conectarse con el administrador, no afectará la interacción entre el motor y los nodos; utilizarán certificados autofirmados emitidos por el motor.
requisitos:
- certificado de la CA emisora en formato PEM, con toda la cadena hasta la CA raíz (desde la subordinada emisora al principio hasta la raíz al final);
- un certificado para Apache emitido por la CA emisora (también completo con toda la cadena de certificados de CA);
- clave privada para Apache, sin contraseña.
Digamos que nuestra CA emisora ejecuta CentOS, llamada subca.example.com, y las solicitudes, claves y certificados están en el directorio /etc/pki/tls/.
Realice copias de seguridad y cree un directorio temporal:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certsDescargue certificados, ejecútelos desde su estación de trabajo o transfiéralos de otra manera conveniente:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certsComo resultado, debería ver los 3 archivos:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.keyInstalación de certificados
Copie archivos y actualice listas de confianza:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.serviceAgregar/actualizar archivos de configuración:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.confENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confSSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cerA continuación, reinicie todos los servicios afectados:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service¡Listo! Es hora de conectarse al administrador y verificar que la conexión esté protegida con un certificado SSL firmado.
Archivando
Donde sin ella! En esta sección, hablaremos sobre archivar el administrador, archivar la VM es un tema aparte. Haremos copias de archivo una vez al día y las almacenaremos en NFS, por ejemplo, en el mismo sistema donde colocamos las imágenes ISO: mynfs1.example.com:/exports/ovirt-backup. No se recomienda almacenar archivos en la misma máquina donde se ejecuta el motor.
Instalar y habilitar autofs:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofsCrear un guión:
$ sudo vim /etc/cron.daily/make.oVirt.backup.shel siguiente contenido:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;Haciendo el archivo ejecutable:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.shAhora, todas las noches recibiremos un archivo de la configuración del administrador.
Interfaz de administración de host
es una interfaz administrativa moderna para sistemas Linux. En este caso, cumple una función similar a la interfaz web de ESXi.
Arroz. 3 - aspecto del panel.
La instalación es muy simple, necesita paquetes de cabina y el complemento cockpit-ovirt-dashboard:
$ sudo yum install cockpit cockpit-ovirt-dashboard -yCabina de conmutación:
$ sudo systemctl enable --now cockpit.socketConfiguración del cortafuegos:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentAhora puede conectarse al host: https://[IP o FQDN del host]:9090
VLAN
Leer más sobre redes en . Hay muchas posibilidades, aquí describiremos la conexión de redes virtuales.
Para conectar otras subredes, primero deben describirse en la configuración: Red -> Redes -> Nuevo, aquí solo el nombre es un campo obligatorio; la casilla de verificación VM Network, que permite que las máquinas usen esta red, está habilitada, y para conectar la etiqueta, debe habilitarla Habilitar el etiquetado de VLAN, ingrese el número de VLAN y haga clic en Aceptar.
Ahora debe ir a Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks hosts. Arrastre la red agregada desde el lado derecho de Redes lógicas sin asignar hacia la izquierda hasta Redes lógicas asignadas:
Arroz. 4 - antes de agregar la red.
Arroz. 5 - después de agregar la red.
Para la conexión masiva de varias redes a un host, es conveniente asignarles etiquetas al crear redes y agregar redes por etiquetas.
Después de crear la red, los hosts pasarán al estado No operativo hasta que la red se agregue a todos los nodos del clúster. Este comportamiento lo desencadena el indicador Requerir todo en la pestaña Clúster al crear una nueva red. En el caso de que la red no sea necesaria en todos los nodos del clúster, esta característica se puede desactivar, entonces la red, al agregar un host, estará a la derecha en la sección No requerida y puede elegir si desea conectarla a un huésped específico.
Arroz. 6 — selección del signo de la exigencia de red.
específico de HPE
Casi todos los fabricantes disponen de herramientas que mejoran la usabilidad de sus productos. Usando HPE como ejemplo, AMS (Servicio de administración sin agentes, amsd para iLO5, hp-ams para iLO4) y SSA (Administrador de almacenamiento inteligente, trabajando con un controlador de disco), etc. son útiles.
Conexión del repositorio de HPE
Importe la clave y conecte los repositorios de HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repoel siguiente contenido:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcpVer el contenido del repositorio y la información sobre el paquete (para referencia):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsdInstalación y lanzamiento:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsdUn ejemplo de la utilidad para trabajar con un controlador de disco.
Eso es todo por ahora. En los siguientes artículos planeo cubrir algunas operaciones y aplicaciones básicas. Por ejemplo, cómo hacer VDI en oVirt.
Fuente: habr.com