در این مقاله، تعدادی از تنظیمات اختیاری، اما مفید را بررسی خواهیم کرد:
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
این مقاله ادامه دارد، 2 ساعت دیگر به oVirt مراجعه کنید и .
مقالات
- تنظیمات اضافی - ما اینجا هستیم
تنظیمات اضافی مدیر
برای راحتی، ما بسته های اضافی را نصب خواهیم کرد:
$ sudo yum install bash-completion vimبرای فعال کردن تکمیل خودکار دستورات تکمیل bash، به bash بروید.
افزودن نام های DNS اضافی
زمانی که نیاز دارید با استفاده از یک نام جایگزین (CNAME، نام مستعار، یا فقط یک نام کوتاه بدون پسوند دامنه) به مدیر متصل شوید، این مورد ضروری است. به دلایل امنیتی، مدیر فقط اجازه اتصال به لیست مجاز نام ها را می دهد.
یک فایل پیکربندی ایجاد کنید:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.confمطالب زیر:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"و مدیر را مجددا راه اندازی کنید:
$ sudo systemctl restart ovirt-engineپیکربندی احراز هویت از طریق AD
oVirt دارای یک پایگاه کاربر داخلی است، اما ارائه دهندگان LDAP خارجی نیز پشتیبانی می شوند، از جمله. آگهی.
ساده ترین راه برای یک پیکربندی معمولی، راه اندازی ویزارد و راه اندازی مجدد مدیر است:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engineنمونه ای از جادوگر
$ sudo ovirt-engine-extension-aaa-ldap-setup
پیاده سازی های LDAP موجود:
...
3 - اکتیو دایرکتوری
...
لطفا انتخاب کنید: 3
لطفاً نام Active Directory Forest را وارد کنید: example.com
لطفاً پروتکل مورد استفاده را انتخاب کنید (startTLS، ldaps، ساده) [startTLS]:
لطفاً روشی را برای دریافت گواهینامه CA با کد PEM انتخاب کنید (فایل، URL، درون خطی، سیستم، ناامن): URL
URL:
DN کاربر جستجو را وارد کنید (به عنوان مثال uid=username,dc=example,dc=com یا برای ناشناس خالی بگذارید): CN=oVirt-Engine,CN=Users,DC=example,DC=com
رمز عبور کاربر جستجو را وارد کنید: *کلمه عبور*
[ INFO ] تلاش برای اتصال با استفاده از 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
آیا می خواهید از Single Sign-On برای ماشین های مجازی استفاده کنید (بله، خیر) [آره]:
لطفاً نام نمایه ای را مشخص کنید که برای کاربران قابل مشاهده باشد [example.com]:
لطفاً برای آزمایش جریان ورود به سیستم اعتبارنامه ارائه دهید:
نام کاربری را وارد کنید: someAnyUser
رمز عبور کاربر را وارد کنید:
...
[ INFO ] توالی ورود با موفقیت اجرا شد
...
دنباله آزمایش را برای اجرا انتخاب کنید (انجام شد، لغو، ورود، جستجو) [انجام شده]:
[ اطلاعات ] مرحله: راه اندازی تراکنش
...
خلاصه پیکربندی
...
استفاده از ویزارد برای اکثر موارد مناسب است. برای پیکربندی های پیچیده، تنظیمات به صورت دستی انجام می شود. جزئیات بیشتر در مستندات oVirt، . پس از اینکه موتور با موفقیت به AD متصل شد، یک نمایه اضافی در پنجره اتصال ظاهر می شود، و در ویرایش اشیاء سیستم توانایی اعطای مجوز به کاربران و گروه های AD را دارند. لازم به ذکر است که دایرکتوری خارجی کاربران و گروه ها می تواند نه تنها AD، بلکه IPA، eDirectory و ... باشد.
چند راهی
در یک محیط تولید، سیستم ذخیره سازی باید از طریق مسیرهای ورودی/خروجی متعدد، مستقل و چندگانه به میزبان متصل شود. به عنوان یک قاعده، در CentOS (و بنابراین oVirt'e) هیچ مشکلی با ایجاد چندین مسیر برای دستگاه وجود ندارد (find_multipaths بله). تنظیمات اضافی برای FCoE در شرح داده شده است . ارزش توجه به توصیه سازنده ذخیره سازی را دارد - بسیاری توصیه می کنند از خط مشی دورگرد استفاده کنید، در حالی که به طور پیش فرض Enterprise Linux 7 از زمان سرویس استفاده می کند.
به عنوان مثال 3PAR
و سند EL به عنوان یک میزبان با Generic-ALUA Persona 2 ایجاد می شود که مقادیر زیر در تنظیمات /etc/multipath.conf وارد می شود:
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}سپس دستور restart داده می شود:
systemctl restart multipathd
برنج. 1 خط مشی پیش فرض ورودی/خروجی چندگانه است.
برنج. 2 - چند سیاست I/O بعد از اعمال تنظیمات.
تنظیمات مدیریت انرژی
به شما امکان میدهد، برای مثال، یک بازنشانی سخت دستگاه را انجام دهید، اگر موتور برای مدت طولانی نتواند پاسخی از میزبان دریافت کند. از طریق Fence Agent پیاده سازی شده است.
محاسبه -> میزبان -> HOST - ویرایش -> Power Management، سپس "Enable Power Management" را روشن کنید و یک عامل اضافه کنید - "Add Fence Agent" -> +.
نوع (مثلاً برای iLO5 باید ilo4)، نام/آدرس رابط ipmi و نام کاربری/رمز عبور را مشخص کنید. توصیه می شود یک کاربر جداگانه ایجاد کنید (به عنوان مثال، oVirt-PM) و در مورد iLO، به او امتیاز دهید:
- ورود
- کنسول از راه دور
- برق مجازی و تنظیم مجدد
- رسانه های مجازی
- تنظیمات iLO را پیکربندی کنید
- مدیریت حساب های کاربری
نپرسید چرا اینطور است، تجربی انتخاب شده است. عامل شمشیربازی کنسول به مجموعه حقوق کمتری نیاز دارد.
هنگام تنظیم لیست های کنترل دسترسی، باید در نظر داشت که عامل بر روی موتور اجرا نمی شود، بلکه روی میزبان "همسایه" (به اصطلاح Proxy مدیریت قدرت)، یعنی اگر فقط یک گره در آن وجود داشته باشد، کار می کند. خوشه، مدیریت توان کار خواهد کرد نخواهد بود.
راه اندازی SSL
دستورالعمل های رسمی کامل - در ، پیوست D: oVirt و SSL - جایگزینی گواهینامه موتور oVirt SSL/TLS.
گواهی می تواند از CA شرکت ما یا از یک CA تجاری خارجی باشد.
نکته مهم: این گواهی برای اتصال به مدیر در نظر گرفته شده است، بر تعامل بین موتور و گره ها تأثیر نمی گذارد - آنها از گواهی نامه های خود امضا صادر شده توسط Engine استفاده می کنند.
مورد نیاز:
- گواهی صدور گواهینامه صادرکننده در قالب PEM، با کل زنجیره به CA ریشه (از صادرکننده فرعی در ابتدا تا ریشه در انتها).
- یک گواهی برای Apache که توسط CA صادر کننده صادر شده است (همچنین با کل زنجیره گواهینامه های CA کامل می شود).
- کلید خصوصی برای آپاچی، بدون رمز عبور.
فرض کنید CA صادرکننده ما CentOS به نام subca.example.com را اجرا میکند و درخواستها، کلیدها و گواهیها در فهرست /etc/pki/tls/ هستند.
پشتیبان گیری انجام دهید و یک دایرکتوری موقت ایجاد کنید:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certsگواهینامه ها را بارگیری کنید، آن را از ایستگاه کاری خود اجرا کنید یا به روش مناسب دیگری انتقال دهید:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certsدر نتیجه، شما باید هر 3 فایل را ببینید:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.keyنصب گواهینامه ها
کپی فایل ها و به روز رسانی لیست های اعتماد:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.serviceافزودن/بهروزرسانی فایلهای پیکربندی:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.confENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confSSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cerدر مرحله بعد، همه سرویس های تحت تأثیر را مجدداً راه اندازی کنید:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.serviceآماده! وقت آن است که به مدیر متصل شوید و بررسی کنید که آیا اتصال با یک گواهی SSL امضا شده ایمن است.
بایگانی
کجا بدون او! در این قسمت در مورد بایگانی مدیر صحبت خواهیم کرد، آرشیو VM یک موضوع جداگانه است. ما روزی یکبار کپیهای بایگانی میکنیم و آنها را روی NFS ذخیره میکنیم، برای مثال، در همان سیستمی که تصاویر ISO را در آن قرار دادهایم - mynfs1.example.com:/exports/ovirt-backup. توصیه نمی شود که آرشیوها را در همان دستگاهی که موتور در آن کار می کند ذخیره کنید.
autofs را نصب و فعال کنید:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofsایجاد یک اسکریپت:
$ sudo vim /etc/cron.daily/make.oVirt.backup.shمطالب زیر:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;قابل اجرا کردن فایل:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.shاکنون هر شب آرشیو تنظیمات مدیر را دریافت خواهیم کرد.
رابط مدیریت میزبان
یک رابط اداری مدرن برای سیستم های لینوکس است. در این حالت نقشی شبیه به رابط وب ESXi ایفا می کند.
برنج. 3 - ظاهر پنل.
نصب بسیار ساده است، شما به بسته های کابین خلبان و افزونه cockpit-ovirt-dashboard نیاز دارید:
$ sudo yum install cockpit cockpit-ovirt-dashboard -yتعویض کابین خلبان:
$ sudo systemctl enable --now cockpit.socketتنظیمات فایروال:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentاکنون می توانید به هاست متصل شوید: https://[Host IP or FQDN]:9090
VLAN ها
در مورد شبکه ها بیشتر بخوانید . امکانات زیادی وجود دارد، در اینجا اتصال شبکه های مجازی را شرح می دهیم.
برای اتصال زیرشبکههای دیگر، ابتدا باید در پیکربندی توضیح داده شوند: Network -> Networks -> New، در اینجا فقط نام یک فیلد الزامی است. چک باکس شبکه VM که به ماشین ها امکان استفاده از این شبکه را می دهد، فعال است و برای اتصال تگ، باید آن را فعال کنید. برچسب گذاری VLAN را فعال کنیدشماره VLAN را وارد کرده و روی OK کلیک کنید.
اکنون باید به مسیر Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks Host بروید. شبکه اضافه شده را از سمت راست شبکه های منطقی اختصاص داده نشده به سمت چپ به شبکه های منطقی اختصاص داده شده بکشید:
برنج. 4- قبل از اضافه کردن شبکه
برنج. 5- پس از افزودن شبکه.
برای اتصال انبوه چندین شبکه به یک میزبان، تخصیص برچسب(ها) به آنها هنگام ایجاد شبکه ها و اضافه کردن شبکه ها توسط برچسب ها راحت است.
پس از ایجاد شبکه، میزبان ها به حالت غیر عملیاتی می روند تا زمانی که شبکه به تمام گره های خوشه ای اضافه شود. این رفتار با پرچم Require All در برگه Cluster هنگام ایجاد یک شبکه جدید ایجاد می شود. در صورتی که به شبکه در تمام گره های خوشه نیاز نباشد، می توان این ویژگی را غیرفعال کرد، سپس شبکه در هنگام افزودن هاست در سمت راست در قسمت Non Required قرار می گیرد و می توانید انتخاب کنید که آیا آن را به آن متصل کنید یا خیر. یک میزبان خاص
برنج. 6 - انتخاب علامت مورد نیاز شبکه.
اختصاصی HPE
تقریباً همه تولید کنندگان ابزارهایی دارند که قابلیت استفاده محصولات خود را بهبود می بخشد. استفاده از HPE به عنوان مثال، AMS (سرویس مدیریت بدون عامل، amsd برای iLO5، hp-ams برای iLO4) و SSA (مدیر ذخیره سازی هوشمند، کار با یک کنترل کننده دیسک) و غیره مفید هستند.
اتصال مخزن HPE
کلید را وارد کنید و مخازن HPE را وصل کنید:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repoمطالب زیر:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcpمشاهده محتویات مخزن و اطلاعات مربوط به بسته (برای مرجع):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsdنصب و راه اندازی:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsdنمونه ای از ابزار کار با یک کنترل کننده دیسک
فعلاً همین است. در مقالات بعدی قصد دارم برخی از عملیات و کاربردهای اساسی را پوشش دهم. به عنوان مثال، نحوه ساخت VDI در oVirt.
منبع: www.habr.com