Bashi lõpetamise käskude automaatse täitmise lubamiseks lülitage sisse bash.
Täiendavate DNS-nimede lisamine
See on vajalik, kui peate halduriga ühenduse loomiseks kasutama alternatiivset nime (CNAME, alias või lihtsalt lühike nimi ilma domeeni järelliiteta). Turvalisuse huvides lubab haldur ühendusi ainult lubatud nimede loendiga.
Looge konfiguratsioonifail:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Nõustaja näide
$ sudo ovirt-engine-extension-aaa-ldap-setup
Saadaolevad LDAP-rakendused:
...
3 – Active Directory
...
Palun vali: 3
Sisestage Active Directory metsa nimi: example.com
Valige kasutatav protokoll (startTLS, ldaps, tavaline) [startTLS]:
Valige PEM-kodeeritud CA-sertifikaadi hankimise meetod (fail, URL, tekstisisene, süsteem, ebaturvaline): URL
URL: wwwca.example.com/myRootCA.pem
Sisestage otsingu kasutaja DN (näiteks uid=kasutajanimi,dc=example,dc=com või anonüümseks jätke tühjaks): CN=oVirt-Engine,CN=kasutajad,DC=näide,DC=com
Sisesta otsingu kasutaja parool: *parool*
[ INFO ] Sidumise katse kasutades 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Kas kavatsete kasutada virtuaalmasinate jaoks ühtset sisselogimist (jah, ei) [jah]:
Palun määrake profiilinimi, mis on kasutajatele nähtav [example.com]:
Sisselogimisvoo testimiseks sisestage mandaat:
Sisestage kasutajanimi: mõniAnyUser
Sisesta kasutaja parool:
...
[ INFO ] Sisselogimisjärjestus on edukalt täidetud
...
Valige käivitatav testijada (Valmis, Katkesta, Logi sisse, Otsi) [Valmis]:
[ INFO ] Etapp: tehingu seadistamine
...
SEADISTUSTE KOKKUVÕTE
...
Viisardi kasutamine sobib enamikul juhtudel. Keeruliste konfiguratsioonide puhul tehakse sätted käsitsi. Lisateavet leiate oVirt dokumentatsioonist, Kasutajad ja rollid. Pärast mootori edukat ühendamist AD-ga kuvatakse ühenduse aknas ja ekraanil täiendav profiil Õigused süsteemiobjektidel on võimalus anda AD kasutajatele ja rühmadele õigusi. Tuleb märkida, et kasutajate ja rühmade väliskataloog võib olla mitte ainult AD, vaid ka IPA, eDirectory jne.
Mitmeteed
Tootmiskeskkonnas peab salvestussüsteem olema ühendatud hostiga mitme sõltumatu ja mitme I/O-tee kaudu. Reeglina pole CentOS-is (ja seega ka oVirt'e's) probleeme seadmesse mitme tee loomisega (find_multipaths yes). FCoE lisaseadeid kirjeldatakse artiklis 2. osa. Tasub pöörata tähelepanu salvestusruumi tootja soovitusele - paljud soovitavad kasutada ümbertöötamise poliitikat, samas kui vaikimisi kasutab Enterprise Linux 7 teenindusaega.
Riis. 2 - mitme I / O poliitika pärast sätete rakendamist.
Toitehalduse seadistus
Võimaldab teha näiteks masina kõvasti lähtestamise, kui mootor ei saa hostilt pikka aega vastust. Rakendatakse taraagendi kaudu.
Arvuta -> Hostid -> HOST - Redigeerimine -> Toitehaldus, seejärel lülitage sisse "Luba toitehaldus" ja lisage agent - "Lisa tara agent" -> +.
Määrake tüüp (näiteks iLO5 puhul peate määrama ilo4), ipmi liidese nime/aadressi ja kasutajanime/parooli. Soovitatav on luua eraldi kasutaja (näiteks oVirt-PM) ja iLO puhul anda talle privileegid:
Logi sisse
Kaugkonsool
Virtuaalne toide ja lähtestamine
Virtuaalne meedia
Konfigureerige iLO seaded
Kasutajakontode haldamine
Ärge küsige, miks see nii on, see valitakse empiiriliselt. Konsooli taraagent nõuab väiksemat õiguste kogumit.
Juurdepääsukontrolli loendite seadistamisel tuleb meeles pidada, et agent ei tööta mootoris, vaid naaberhostis (nn Power Management Proxy), st kui sõlmpunktis on ainult üks sõlm. klaster, toitehaldus töötab ei ole.
SSL-i seadistamine
Täielikud ametlikud juhised - sisse dokumentatsioon, Lisa D: oVirt ja SSL – oVirt mootori SSL/TLS sertifikaadi asendamine.
Sertifikaat võib pärineda meie ettevõtte CA-lt või väliselt kaubanduslikult CA-lt.
Oluline märkus: sertifikaat on mõeldud halduriga ühenduse loomiseks, see ei mõjuta mootori ja sõlmede vahelist koostoimet - nad kasutavad mootori väljastatud iseallkirjastatud sertifikaate.
nõuded:
väljastanud CA sertifikaat PEM-vormingus koos kogu ahelaga juur-CA-ni (alguses väljastavast alluvast kuni lõpus oleva juureni);
väljastanud CA väljastatud Apache'i sertifikaat (koos kogu CA-sertifikaatide ahelaga);
Privaatne võti Apache jaoks, ilma paroolita.
Oletame, et meie väljastanud CA töötab CentOS-i nimega subca.example.com ning päringud, võtmed ja sertifikaadid asuvad kataloogis /etc/pki/tls/.
Valmis! On aeg luua ühendus halduriga ja kontrollida, kas ühendus on kaitstud allkirjastatud SSL-sertifikaadiga.
Arhiveerimine
Kus ilma temata! Selles osas räägime halduri arhiveerimisest, VM-i arhiveerimine on omaette teema. Teeme kord päevas arhiivikoopiaid ja salvestame need näiteks NFS-i kaudu samasse süsteemi, kuhu ISO-pildid paigutasime — mynfs1.example.com:/exports/ovirt-backup. Arhiive ei ole soovitatav hoida samas masinas, kus mootor töötab.
Nüüd saate luua ühenduse hostiga: https://[Hosti IP või FQDN]:9090
VLANid
Lisateavet võrkude kohta leiate aadressilt dokumentatsioon. Võimalusi on palju, siin kirjeldame virtuaalsete võrkude ühendamist.
Teiste alamvõrkude ühendamiseks tuleb need kõigepealt konfiguratsioonis kirjeldada: Network -> Networks -> New, siin on kohustuslik väli ainult nimi; VM-võrgu märkeruut, mis võimaldab masinatel seda võrku kasutada, on lubatud ja sildi ühendamiseks peate lubama Luba VLAN-i sildistamine, sisestage VLAN-i number ja klõpsake nuppu OK.
Nüüd peate minema jaotisesse Arvuta -> Hosts -> kvmNN -> Võrguliidesed -> Hostivõrkude hostide seadistamine. Lohistage lisatud võrk jaotisest Määramata loogilised võrgud paremalt vasakule jaotisesse Määratud loogilised võrgud:
Riis. 4 - enne võrgu lisamist.
Riis. 5 - pärast võrgu lisamist.
Mitme võrgu massühendamiseks hostiga on mugav võrkude loomisel määrata neile silt(id) ja lisada võrke siltide järgi.
Pärast võrgu loomist lähevad hostid mittetoimivasse olekusse, kuni võrk lisatakse kõikidesse klastri sõlmedesse. Selle käitumise käivitab uue võrgu loomisel vahekaardil Kobar olev lipp Nõua kõike. Kui võrku pole klastri kõigis sõlmedes vaja, saab selle funktsiooni keelata, siis asub võrk hosti lisamisel paremal jaotises Mittevajalik ja saate valida, kas see ühendada konkreetne host.
Riis. 6 — võrgunõude märgi valimine.
HPE spetsiifiline
Peaaegu kõigil tootjatel on tööriistu, mis parandavad nende toodete kasutatavust. HPE näitel on kasulikud AMS (Agentless Management Service, amsd iLO5 jaoks, hp-ams iLO4 jaoks) ja SSA (Smart Storage Administrator, töötab kettakontrolleriga) jne.
HPE hoidla ühendamine
Importige võti ja ühendage HPE hoidlad:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo