Selles artiklis vaatleme mitmeid valikulisi, kuid kasulikke sätteid.
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
See artikkel on jätk, alustage oVirt vaatamist 2 tunni pärast и .
Artiklid
- Lisaseaded – oleme kohal
Halduri lisaseaded
Mugavuse huvides paigaldame täiendavad paketid:
$ sudo yum install bash-completion vimBashi lõpetamise käskude automaatse täitmise lubamiseks lülitage sisse bash.
Täiendavate DNS-nimede lisamine
See on vajalik, kui peate halduriga ühenduse loomiseks kasutama alternatiivset nime (CNAME, alias või lihtsalt lühike nimi ilma domeeni järelliiteta). Turvalisuse huvides lubab haldur ühendusi ainult lubatud nimede loendiga.
Looge konfiguratsioonifail:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.confjärgmine sisu:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"ja taaskäivitage haldur:
$ sudo systemctl restart ovirt-engineAutentimise konfigureerimine AD kaudu
oVirt on sisseehitatud kasutajabaasiga, kuid toetatud on ka välised LDAP pakkujad, sh. AD.
Lihtsaim viis tüüpilise konfiguratsiooni jaoks on viisardi käivitamine ja halduri taaskäivitamine.
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engineNõustaja näide
$ sudo ovirt-engine-extension-aaa-ldap-setup
Saadaolevad LDAP-rakendused:
...
3 – Active Directory
...
Palun vali: 3
Sisestage Active Directory metsa nimi: example.com
Valige kasutatav protokoll (startTLS, ldaps, tavaline) [startTLS]:
Valige PEM-kodeeritud CA-sertifikaadi hankimise meetod (fail, URL, tekstisisene, süsteem, ebaturvaline): URL
URL:
Sisestage otsingu kasutaja DN (näiteks uid=kasutajanimi,dc=example,dc=com või anonüümseks jätke tühjaks): CN=oVirt-Engine,CN=kasutajad,DC=näide,DC=com
Sisesta otsingu kasutaja parool: *parool*
[ INFO ] Sidumise katse kasutades 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Kas kavatsete kasutada virtuaalmasinate jaoks ühtset sisselogimist (jah, ei) [jah]:
Palun määrake profiilinimi, mis on kasutajatele nähtav [example.com]:
Sisselogimisvoo testimiseks sisestage mandaat:
Sisestage kasutajanimi: mõniAnyUser
Sisesta kasutaja parool:
...
[ INFO ] Sisselogimisjärjestus on edukalt täidetud
...
Valige käivitatav testijada (Valmis, Katkesta, Logi sisse, Otsi) [Valmis]:
[ INFO ] Etapp: tehingu seadistamine
...
SEADISTUSTE KOKKUVÕTE
...
Viisardi kasutamine sobib enamikul juhtudel. Keeruliste konfiguratsioonide puhul tehakse sätted käsitsi. Lisateavet leiate oVirt dokumentatsioonist, . Pärast mootori edukat ühendamist AD-ga kuvatakse ühenduse aknas ja ekraanil täiendav profiil Õigused süsteemiobjektidel on võimalus anda AD kasutajatele ja rühmadele õigusi. Tuleb märkida, et kasutajate ja rühmade väliskataloog võib olla mitte ainult AD, vaid ka IPA, eDirectory jne.
Mitmeteed
Tootmiskeskkonnas peab salvestussüsteem olema ühendatud hostiga mitme sõltumatu ja mitme I/O-tee kaudu. Reeglina pole CentOS-is (ja seega ka oVirt'e's) probleeme seadmesse mitme tee loomisega (find_multipaths yes). FCoE lisaseadeid kirjeldatakse artiklis . Tasub pöörata tähelepanu salvestusruumi tootja soovitusele - paljud soovitavad kasutada ümbertöötamise poliitikat, samas kui vaikimisi kasutab Enterprise Linux 7 teenindusaega.
3PAR näitel
ja dokument EL luuakse hostina koos Generic-ALUA Persona 2-ga, mille jaoks on /etc/multipath.conf sätetesse sisestatud järgmised väärtused:
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}Seejärel antakse käsk taaskäivitamiseks:
systemctl restart multipathd
Riis. 1 on vaikimisi mitme I/O poliitika.
Riis. 2 - mitme I / O poliitika pärast sätete rakendamist.
Toitehalduse seadistus
Võimaldab teha näiteks masina kõvasti lähtestamise, kui mootor ei saa hostilt pikka aega vastust. Rakendatakse taraagendi kaudu.
Arvuta -> Hostid -> HOST - Redigeerimine -> Toitehaldus, seejärel lülitage sisse "Luba toitehaldus" ja lisage agent - "Lisa tara agent" -> +.
Määrake tüüp (näiteks iLO5 puhul peate määrama ilo4), ipmi liidese nime/aadressi ja kasutajanime/parooli. Soovitatav on luua eraldi kasutaja (näiteks oVirt-PM) ja iLO puhul anda talle privileegid:
- Logi sisse
- Kaugkonsool
- Virtuaalne toide ja lähtestamine
- Virtuaalne meedia
- Konfigureerige iLO seaded
- Kasutajakontode haldamine
Ärge küsige, miks see nii on, see valitakse empiiriliselt. Konsooli taraagent nõuab väiksemat õiguste kogumit.
Juurdepääsukontrolli loendite seadistamisel tuleb meeles pidada, et agent ei tööta mootoris, vaid naaberhostis (nn Power Management Proxy), st kui sõlmpunktis on ainult üks sõlm. klaster, toitehaldus töötab ei ole.
SSL-i seadistamine
Täielikud ametlikud juhised - sisse , Lisa D: oVirt ja SSL – oVirt mootori SSL/TLS sertifikaadi asendamine.
Sertifikaat võib pärineda meie ettevõtte CA-lt või väliselt kaubanduslikult CA-lt.
Oluline märkus: sertifikaat on mõeldud halduriga ühenduse loomiseks, see ei mõjuta mootori ja sõlmede vahelist koostoimet - nad kasutavad mootori väljastatud iseallkirjastatud sertifikaate.
nõuded:
- väljastanud CA sertifikaat PEM-vormingus koos kogu ahelaga juur-CA-ni (alguses väljastavast alluvast kuni lõpus oleva juureni);
- väljastanud CA väljastatud Apache'i sertifikaat (koos kogu CA-sertifikaatide ahelaga);
- Privaatne võti Apache jaoks, ilma paroolita.
Oletame, et meie väljastanud CA töötab CentOS-i nimega subca.example.com ning päringud, võtmed ja sertifikaadid asuvad kataloogis /etc/pki/tls/.
Tehke varukoopiad ja looge ajutine kataloog:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certsLaadige sertifikaadid alla, käivitage see oma tööjaamast või edastage muul mugaval viisil:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certsSelle tulemusena peaksite nägema kõiki kolme faili:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.keySertifikaatide paigaldamine
Failide kopeerimine ja usaldusnimekirjade värskendamine:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.serviceLisa/värskenda konfiguratsioonifaile:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.confENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confSSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cerJärgmisena taaskäivitage kõik mõjutatud teenused:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.serviceValmis! On aeg luua ühendus halduriga ja kontrollida, kas ühendus on kaitstud allkirjastatud SSL-sertifikaadiga.
Arhiveerimine
Kus ilma temata! Selles osas räägime halduri arhiveerimisest, VM-i arhiveerimine on omaette teema. Teeme kord päevas arhiivikoopiaid ja salvestame need näiteks NFS-i kaudu samasse süsteemi, kuhu ISO-pildid paigutasime — mynfs1.example.com:/exports/ovirt-backup. Arhiive ei ole soovitatav hoida samas masinas, kus mootor töötab.
Installige ja lubage automaatsed funktsioonid:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofsLooge skript:
$ sudo vim /etc/cron.daily/make.oVirt.backup.shjärgmine sisu:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;Faili käivitatavaks muutmine:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.shNüüd saame igal õhtul halduri seadete arhiivi.
Hostihalduse liides
on kaasaegne haldusliides Linuxi süsteemide jaoks. Sel juhul täidab see ESXi veebiliidesega sarnast rolli.
Riis. 3 - paneeli välimus.
Paigaldamine on väga lihtne, vajate kokpiti pakette ja pistikprogrammi cockpit-ovirt-dashboard:
$ sudo yum install cockpit cockpit-ovirt-dashboard -yLülituskabiini:
$ sudo systemctl enable --now cockpit.socketTulemüüri seadistus:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentNüüd saate luua ühenduse hostiga: https://[Hosti IP või FQDN]:9090
VLANid
Lisateavet võrkude kohta leiate aadressilt . Võimalusi on palju, siin kirjeldame virtuaalsete võrkude ühendamist.
Teiste alamvõrkude ühendamiseks tuleb need kõigepealt konfiguratsioonis kirjeldada: Network -> Networks -> New, siin on kohustuslik väli ainult nimi; VM-võrgu märkeruut, mis võimaldab masinatel seda võrku kasutada, on lubatud ja sildi ühendamiseks peate lubama Luba VLAN-i sildistamine, sisestage VLAN-i number ja klõpsake nuppu OK.
Nüüd peate minema jaotisesse Arvuta -> Hosts -> kvmNN -> Võrguliidesed -> Hostivõrkude hostide seadistamine. Lohistage lisatud võrk jaotisest Määramata loogilised võrgud paremalt vasakule jaotisesse Määratud loogilised võrgud:
Riis. 4 - enne võrgu lisamist.
Riis. 5 - pärast võrgu lisamist.
Mitme võrgu massühendamiseks hostiga on mugav võrkude loomisel määrata neile silt(id) ja lisada võrke siltide järgi.
Pärast võrgu loomist lähevad hostid mittetoimivasse olekusse, kuni võrk lisatakse kõikidesse klastri sõlmedesse. Selle käitumise käivitab uue võrgu loomisel vahekaardil Kobar olev lipp Nõua kõike. Kui võrku pole klastri kõigis sõlmedes vaja, saab selle funktsiooni keelata, siis asub võrk hosti lisamisel paremal jaotises Mittevajalik ja saate valida, kas see ühendada konkreetne host.
Riis. 6 — võrgunõude märgi valimine.
HPE spetsiifiline
Peaaegu kõigil tootjatel on tööriistu, mis parandavad nende toodete kasutatavust. HPE näitel on kasulikud AMS (Agentless Management Service, amsd iLO5 jaoks, hp-ams iLO4 jaoks) ja SSA (Smart Storage Administrator, töötab kettakontrolleriga) jne.
HPE hoidla ühendamine
Importige võti ja ühendage HPE hoidlad:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repojärgmine sisu:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcpVaadake hoidla sisu ja teavet paketi kohta (viide):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsdPaigaldamine ja käivitamine:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsdNäide utiliidist kettakontrolleriga töötamiseks
Praeguseks kõik. Järgmistes artiklites kavatsen käsitleda mõningaid põhitoiminguid ja rakendusi. Näiteks kuidas oVirtis VDI-d teha.
Allikas: www.habr.com