🥇oVirt 2 ordutan. 3. zatia. Ezarpen gehigarriak

Artikulu honetan, aukerako, baina erabilgarri diren ezarpen batzuk aztertuko ditugu:

kudeatzailearen ordezko izenak erabiliz;
Active Directory bidez autentifikazioa konektatzea;
Anizkuntzea;
potentzia kudeaketa;
SSL ziurtagiriaren ordezkoa;
artxibatzea;
ostalariaren kudeaketa interfazea (cockpit);
VLANak;
HPE espezifikoa.

Artikulu hau jarraipena da, hasi oVirt ikusten 2 ordutan Xnumx-ren zati bat и 2 zatia.

Artikuluak

Sarrera
Kudeatzailea (ovirt-engine) eta hypervisors (ostalariak) instalatzea
Ezarpen gehigarriak - Hemen gaude

Kudeatzaileen ezarpen gehigarriak

Erosotasunerako, pakete gehigarriak instalatuko ditugu:

$ sudo yum install bash-completion vim

Bash-osatzeko komandoak automatikoki osatzea gaitzeko, aldatu bash-era.

DNS izen gehigarriak gehitzea

Hori beharrezkoa izango da kudeatzailearekin konektatu behar duzunean beste izen bat erabiliz (CNAME, alias edo domeinu-atzizkirik gabeko izen labur bat besterik ez). Segurtasun arrazoiengatik, kudeatzaileak baimendutako izenen zerrendarako konexioak soilik onartzen ditu.

Sortu konfigurazio fitxategi bat:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

honako eduki hau:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

eta berrabiarazi kudeatzailea:

$ sudo systemctl restart ovirt-engine

AD bidezko autentifikazioa konfiguratzea

oVirt-ek erabiltzaile-base bat dauka, baina kanpoko LDAP hornitzaileak ere onartzen dira, barne. AD.

Konfigurazio arrunt baterako modurik errazena morroia abiarazi eta kudeatzailea berrabiaraztea da:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Morroiaren adibide bat
$ sudo ovirt-engine-extension-aaa-ldap-setup
LDAP inplementazio eskuragarriak:
...
3 - Active Directory
...
Aukeratu mesedez: 3
Mesedez, idatzi Active Directory basoaren izena: example.com

Mesedez, hautatu erabili nahi duzun protokoloa (startTLS, ldaps, plain) [hasiTLS]:
Mesedez, hautatu metodoa PEM kodetutako CA ziurtagiria lortzeko (fitxategia, URLa, linean, sistema, segurua): URL
URL: wwwca.example.com/myRootCA.pem
Sartu bilaketa-erabiltzailearen DN (adibidez, uid=erabiltzaile-izena, dc=adibidea, dc=com edo utzi hutsik anonimorako): CN=oVirt-Engine,CN=Erabiltzaileak,DC=adibidea,DC=com
Sartu bilaketa erabiltzailearen pasahitza: *pasahitza*
[ INFO ] 'CN=oVirt-Engine,CN=Users,DC=example,DC=com' erabiliz lotzen saiatzea
Saio-hasiera bakarra erabiliko al duzu makina birtualetarako (Bai, Ez) [Bai]:
Mesedez, zehaztu erabiltzaileek ikusgai egongo den profilaren izena [adibidea.com]:
Mesedez, eman kredentzialak saioa hasteko fluxua probatzeko:
Sartu erabiltzailearen izena: someAnyUser
Sartu erabiltzailearen pasahitza:
...
[ INFO ] Saioa hasteko sekuentzia arrakastaz exekutatu da
...
Hautatu exekutatzeko proba-sekuentzia (Bukatu, Abortatu, Saioa hasi, Bilatu) [Eginduta]:
[ INFO ] Etapa: Transakzioen konfigurazioa
...
KONFIGURAZIOAREN LABURPENA
...

Morroia erabiltzea egokia da kasu gehienetarako. Konfigurazio konplexuetarako, ezarpenak eskuz egiten dira. Xehetasun gehiago oVirt dokumentazioan, Erabiltzaileak eta Rolak. Motorra AD-ra behar bezala konektatu ondoren, profil gehigarri bat agertuko da konexio-leihoan, eta Baimenak sistemaren objektuek AD erabiltzaile eta taldeei baimenak emateko gaitasuna dute. Kontuan izan behar da erabiltzaileen eta taldeen kanpoko direktorioa AD ez ezik, IPA, eDirectory, etab ere izan daitekeela.

Bide anitzekoa

Ekoizpen-ingurunean, biltegiratze-sistema ostalarira konektatu behar da I/O bide anitzen, independente eta anitzen bidez. Oro har, CentOS-en (eta, beraz, oVirt'e) ez dago arazorik gailurako bide anitz eraikitzeko (find_multipaths bai). FCoE-ren ezarpen gehigarriak atalean deskribatzen dira 2. zatia. Biltegiratze fabrikatzailearen gomendioari arreta jartzea merezi du - askok gomendatzen dute round-robin politika erabiltzea, eta lehenespenez Enterprise Linux 7-k zerbitzu-denbora erabiltzen du.

3PAR adibidean
eta dokumentua HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux eta OracleVM zerbitzariaren inplementazio-gida EL Ostalari gisa sortu da Generic-ALUA Persona 2-rekin, eta horretarako balio hauek sartzen dira /etc/multipath.conf ezarpenetan:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Ondoren, berrabiarazteko komandoa ematen da:

systemctl restart multipathd

Arroza. 1 da I/O anitzeko politika lehenetsia.

Arroza. 2 - Hainbat I/O politika ezarpenak aplikatu ondoren.

Energia kudeatzeko ezarpena

Makinaren berrezartze gogorra egiteko aukera ematen dizu, Motorrak denbora luzez Ostalariaren erantzunik jaso ezin badu. Hesiaren Agentearen bidez ezarri da.

Konputatu -> Ostalariak -> HOST - Editatu -> Energia kudeaketa, gero aktibatu "Gaitu energia kudeaketa" eta gehitu agente bat - "Gehitu Hesia Agentea" -> +.

Zehaztu mota (adibidez, iLO5erako, ilo4 zehaztu behar duzu), ipmi interfazearen izena/helbidea eta erabiltzaile-izena/pasahitza. Erabiltzaile bereizi bat sortzea gomendatzen da (adibidez, oVirt-PM) eta, iLOren kasuan, pribilegioak ematea:

Saioa hasi
Urruneko kontsola
Potentzia birtuala eta berrezarri
Komunikabide birtualak
Konfiguratu iLO ezarpenak
Erabiltzaile-kontuak kudeatu

Ez galdetu zergatik den horrela, enpirikoki aukeratzen da. Kontsolaren hesiaren agenteak eskubide multzo txikiagoa behar du.

Sarbide-kontrol-zerrendak konfiguratzerakoan, kontuan izan behar da agentea ez dela exekutatzen motorrean, "alboko" ostalarian baizik (Power Management Proxy deritzona), hau da, nodo bakarra badago. kluster, energiaren kudeaketa funtzionatuko du ez du.

SSL konfiguratzen

Argibide ofizial osoak - in dokumentazioa, D eranskina: oVirt eta SSL - oVirt Engine SSL/TLS ziurtagiria ordezkatzea.

Ziurtagiria gure CA korporatiboarena edo kanpoko CA komertzialarena izan daiteke.

Ohar garrantzitsua: ziurtagiria kudeatzailearekin konektatzeko da, ez du eraginik izango Enginearen eta nodoen arteko elkarrekintzan - Motorrak igorritako autosinatutako ziurtagiriak erabiliko dituzte.

baldintzak:

CA jaulkitzailearen ziurtagiria PEM formatuan, kate osoarekin erro CAra (hasieran jaulkitzen duen menpekotik amaieran erroraino);
CA jaulkitzaileak emandako Apacherako ziurtagiria (CA ziurtagirien kate osoarekin ere osatua);
Apacherako gako pribatua, pasahitzik ez.

Demagun gure CA jaulkitzailea CentOS exekutatzen ari dela, subca.example.com izenekoa, eta eskaerak, gakoak eta ziurtagiriak /etc/pki/tls/ direktorioan daudela.

Egin babeskopiak eta sortu behin-behineko direktorioa:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Deskargatu ziurtagiriak, exekutatu zure lan-estaziotik edo transferitu beste modu eroso batean:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Ondorioz, 3 fitxategiak ikusi beharko zenuke:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Ziurtagiriak instalatzea

Kopiatu fitxategiak eta eguneratu konfiantza-zerrendak:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Gehitu/eguneratu konfigurazio fitxategiak:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Ondoren, berrabiarazi kaltetutako zerbitzu guztiak:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Prest! Bada garaia kudeatzailearekin konektatzeko eta sinatutako SSL ziurtagiri batekin konexioa ziurtatuta dagoela egiaztatzeko.

Artxibatzea

Non bera gabe! Atal honetan, kudeatzailea artxibatzeari buruz hitz egingo dugu, VM artxibatzea aparteko arazo bat da. Egunean behin artxiboko kopiak egingo ditugu eta NFS bidez gordeko ditugu, adibidez, ISO irudiak jarri ditugun sistema berean — mynfs1.example.com:/exports/ovirt-backup. Ez da gomendagarria artxiboak Motorra martxan dagoen makina berean gordetzea.

Instalatu eta gaitu autofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Sortu gidoia:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

honako eduki hau:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Fitxategia exekutagarria egitea:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Orain gauero kudeatzaileen ezarpenen artxiboa jasoko dugu.

Ostalariaren kudeaketa interfazea

Cockpit Linux sistemetarako administrazio interfaze modernoa da. Kasu honetan, ESXi web interfazearen antzeko eginkizuna betetzen du.

Arroza. 3 - panelaren itxura.

Instalazioa oso erraza da, cockpit paketeak eta cockpit-ovirt-dashboard plugina behar dituzu:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Kabina aldatzea:

$ sudo systemctl enable --now cockpit.socket

Firewall ezarpena:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Orain ostalarira konekta zaitezke: https://[Host IP edo FQDN]:9090

VLANak

Irakurri gehiago sareei buruz dokumentazioa. Aukera asko daude, hemen sare birtualen konexioa deskribatuko dugu.

Beste azpisare batzuk konektatzeko, lehenik konfigurazioan deskribatu behar dira: Sarea -> Sareak -> Berria, hemen izena bakarrik derrigorrezko eremua da; makinek sare hau erabiltzeko aukera ematen dien VM Network kontrol-laukia gaituta dago eta etiketa konektatzeko, gaitu behar duzu Gaitu VLAN etiketatzea, sartu VLAN zenbakia eta sakatu Ados.

Orain Konputazioa -> Ostalariak -> kvmNN -> Sareko Interfazeak -> Konfiguratu Ostalari Sareak ostalarietara joan behar duzu. Arrastatu gehitutako sarea Esleitu gabeko sare logikoen eskuinetik ezkerrera Esleitu gabeko sare logikoetara:

Arroza. 4 - sarea gehitu aurretik.

Arroza. 5 - sarea gehitu ondoren.

Hainbat sare ostalari batera masiboki konektatzeko, komenigarria da haiei etiketa(k) esleitzea sareak sortzerakoan, eta sareak etiketen arabera gehitzea.

Sarea sortu ondoren, ostalariak ez-eragiko egoerara joango dira sarea kluster-nodo guztietan gehitzen den arte. Portaera hau Klusterra fitxan Eskatu guztiak banderak abiarazten du sare berri bat sortzean. Klusterreko nodo guztietan sarea behar ez den kasuetan, eginbide hau desgaitu daiteke, orduan sarea, ostalari bat gehitzean, eskuineko aldean egongo da Behar ez den atalean eta konektatu ala ez aukera dezakezu. ostalari zehatz bat.

Arroza. 6 — sare-eskakizunaren zeinua hautatzea.

HPE espezifikoa

Fabrikatzaile ia guztiek beren produktuen erabilgarritasuna hobetzen duten tresnak dituzte. HPE adibide gisa erabiliz, AMS (Agentless Management Service, amsd iLO5erako, hp-ams iLO4rako) eta SSA (Smart Storage Administrator, disko kontrolagailu batekin lan egitea), etab. erabilgarriak dira.

HPE biltegia konektatzen
Inportatu gakoa eta konektatu HPE biltegiak:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

honako eduki hau:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Ikusi biltegiaren edukia eta paketeari buruzko informazioa (erreferentzia egiteko):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Instalazioa eta abiaraztea:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Disko kontrolagailu batekin lan egiteko utilitatearen adibidea

Hori da guztia oraingoz. Hurrengo artikuluetan oinarrizko eragiketa eta aplikazio batzuk azaltzeko asmoa dut. Adibidez, nola egin VDI oVirt-en.

Iturria: www.habr.com