🥇oVirt 2 tunnissa. Osa 3. Lisäasetukset

Tässä artikkelissa tarkastellaan useita valinnaisia, mutta hyödyllisiä asetuksia:

käyttämällä johtajalle vaihtoehtoisia nimiä;
todennuksen yhdistäminen Active Directoryn kautta;
Mutlippatiaa;
virranhallinta;
SSL-varmenteen vaihto;
arkistointi;
isäntähallintaliittymä (ohjaamo);
vlans;
HPE-spesifinen.

Tämä artikkeli on jatkoa, aloita katso oVirt 2 tunnin kuluttua Часть 1 и osa 2.

Artikkelit

Esittely
Managerin (ovirt-engine) ja hypervisorien (isäntien) asentaminen
Lisäasetukset - Olemme täällä

Hallinnoijan lisäasetukset

Mukavuuden vuoksi asennamme lisäpaketteja:

$ sudo yum install bash-completion vim

Ota bash-täydennyskomentojen automaattinen täydennys käyttöön valitsemalla bash.

Lisää DNS-nimiä

Tätä tarvitaan, kun sinun on muodostettava yhteys johtajaan käyttämällä vaihtoehtoista nimeä (CNAME, alias tai vain lyhyt nimi ilman verkkotunnuksen päätettä). Turvallisuussyistä hallinta sallii yhteydet vain sallittuihin nimiluetteloon.

Luo määritystiedosto:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

seuraava sisältö:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

ja käynnistä hallinta uudelleen:

$ sudo systemctl restart ovirt-engine

Todennuksen määrittäminen AD:n kautta

oVirtillä on sisäänrakennettu käyttäjäkunta, mutta tuetaan myös ulkoisia LDAP-tarjoajia, mm. ILMOITUS.

Yksinkertaisin tapa tyypilliseen määritykseen on käynnistää ohjattu toiminto ja käynnistää hallinta uudelleen:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Esimerkki velhosta
$ sudo ovirt-engine-extension-aaa-ldap-setup
Käytettävissä olevat LDAP-toteutukset:
...
3 - Active Directory
...
Ole hyvä ja valitse: 3
Anna Active Directory -metsän nimi: example.com

Valitse käytettävä protokolla (startTLS, ldaps, tavallinen) [startTLS]:
Valitse menetelmä PEM-koodatun CA-sertifikaatin hankkimiseksi (tiedosto, URL, sisäinen, järjestelmä, epäsuojattu): URL
URL: wwwca.example.com/myRootCA.pem
Kirjoita haun käyttäjän DN (esimerkiksi uid=käyttäjänimi,dc=esimerkki,dc=com tai jätä tyhjäksi anonyymille): CN=oVirt-Engine,CN=Käyttäjät,DC=esimerkki,DC=com
Anna haun käyttäjän salasana: *Salasana*
[ INFO ] Yritetään sitoa käyttämällä 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Aiotteko käyttää kertakirjautumista virtuaalikoneita varten (kyllä, ei) [Joo]:
Määritä profiilin nimi, joka näkyy käyttäjille [esimerkki.fi]:
Anna kirjautumistiedot testataksesi kirjautumista:
Syötä käyttäjätunnus: jokuAnyUser
Anna käyttäjän salasana:
...
[ INFO ] Kirjautumisjakso suoritettu onnistuneesti
...
Valitse suoritettava testijakso (Valmis, Keskeytä, Kirjaudu, Hae) [Tehty]:
[ INFO ] Vaihe: Tapahtuman asetukset
...
ASETUKSET YHTEENVETO
...

Ohjatun toiminnon käyttö sopii useimmissa tapauksissa. Monimutkaisissa kokoonpanoissa asetukset tehdään manuaalisesti. Lisätietoja oVirt-dokumentaatiossa, Käyttäjät ja roolit. Kun moottori on yhdistetty onnistuneesti AD:hen, lisäprofiili tulee näkyviin yhteysikkunaan ja Oikeudet järjestelmäobjekteilla on mahdollisuus myöntää käyttöoikeuksia AD-käyttäjille ja -ryhmille. On huomattava, että käyttäjien ja ryhmien ulkoinen hakemisto voi olla paitsi AD, myös IPA, eDirectory jne.

Monitie

Tuotantoympäristössä tallennusjärjestelmä on yhdistettävä isäntään useiden riippumattomien I/O-polkujen kautta. Pääsääntöisesti CentOS:ssä (ja siten oVirt'essa) ei ole ongelmia useiden polkujen rakentamisessa laitteeseen (find_multipaths kyllä). FCoE:n lisäasetukset on kuvattu kohdassa 2. osa. Tallennuksen valmistajan suositukseen kannattaa kiinnittää huomiota - monet suosittelevat round-robin-käytäntöä, kun taas Enterprise Linux 7 käyttää oletusarvoisesti palveluaikaa.

Esimerkkinä 3PAR
ja asiakirja HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux ja OracleVM Server Implementation Guide EL luodaan isännäksi Generic-ALUA Persona 2:lla, jolle syötetään seuraavat arvot /etc/multipath.conf-asetuksiin:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Sitten annetaan komento käynnistää uudelleen:

systemctl restart multipathd

Riisi. 1 on usean I/O:n oletuskäytäntö.

Riisi. 2 - useita I / O-käytäntöjä asetusten käyttöönoton jälkeen.

Virranhallinta-asetus

Mahdollistaa esimerkiksi koneen tehdasasetusten palautuksen, jos moottori ei saa vastausta isännältä pitkään aikaan. Toteutettu Fence Agentin kautta.

Laske -> Isännät -> HOST - Muokkaa -> Virranhallinta, ota sitten käyttöön "Ota virranhallinta käyttöön" ja lisää agentti - "Lisää Fence Agent" -> +.

Määritä tyyppi (esimerkiksi iLO5:lle, sinun on määritettävä ilo4), ipmi-liitännän nimi/osoite ja käyttäjätunnus/salasana. On suositeltavaa luoda erillinen käyttäjä (esim. oVirt-PM) ja iLO:n tapauksessa antaa hänelle oikeudet:

Kirjaudu
Etäkonsoli
Virtuaalinen virta ja nollaus
Virtuaalinen media
Määritä iLO-asetukset
Hallinnoi käyttäjätilejä

Älä kysy miksi se on niin, se valitaan empiirisesti. Konsoli-aitausagentti vaatii pienempiä oikeuksia.

Pääsynhallintaluetteloita määritettäessä tulee muistaa, että agentti ei toimi moottorissa, vaan "naapuriisännässä" (ns. Power Management Proxy), eli jos solmussa on vain yksi solmu. klusterin, virranhallinta toimii ei.

SSL:n määrittäminen

Täydelliset viralliset ohjeet - sisään dokumentointi, Liite D: oVirt ja SSL – oVirt Enginen SSL/TLS-varmenteen korvaaminen.

Varmenne voi olla yrityksen varmentajan tai ulkopuolisen kaupallisen CA:n myöntämä.

Tärkeä huomautus: varmenne on tarkoitettu muodostamaan yhteys johtajaan, se ei vaikuta moottorin ja solmujen väliseen vuorovaikutukseen - ne käyttävät Enginen myöntämiä itse allekirjoitettuja varmenteita.

vaatimukset:

myöntäneen varmentajan varmenne PEM-muodossa, koko ketju juurivarmentajan varmentajaan (alkuperäisestä varmentajan päähän);
myöntävän varmentajan myöntämä varmenne Apachelle (myös koko CA-varmenneketjun kanssa);
yksityinen avain Apachelle, ei salasanaa.

Oletetaan, että myöntävä CA käyttää CentOS:ää, jonka nimi on subca.example.com, ja pyynnöt, avaimet ja varmenteet ovat /etc/pki/tls/-hakemistossa.

Suorita varmuuskopiot ja luo väliaikainen hakemisto:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Lataa varmenteita, suorita se työasemaltasi tai siirrä muulla kätevällä tavalla:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Tämän seurauksena sinun pitäisi nähdä kaikki 3 tiedostoa:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Varmenteiden asentaminen

Kopioi tiedostoja ja päivitä luottamusluettelot:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Lisää/päivitä asetustiedostoja:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Käynnistä seuraavaksi kaikki asiaan liittyvät palvelut uudelleen:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Valmis! On aika muodostaa yhteys manageriin ja tarkistaa, että yhteys on suojattu allekirjoitetulla SSL-varmenteella.

arkistointi

Missä ilman häntä! Tässä osiossa puhumme johtajan arkistointia, VM:n arkistointi on erillinen asia. Teemme arkistokopioita kerran päivässä ja tallennamme ne esimerkiksi NFS:n kautta samaan järjestelmään, johon sijoitimme ISO-kuvat – mynfs1.example.com:/exports/ovirt-backup. Ei ole suositeltavaa säilyttää arkistoja samassa koneessa, jossa moottori on käynnissä.

Asenna ja ota autof käyttöön:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Luo skripti:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

seuraava sisältö:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Tiedoston tekeminen suoritettavaksi:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Nyt joka ilta saamme arkiston johtajan asetuksista.

Isäntähallintaliittymä

Ohjaamo on moderni hallinnollinen käyttöliittymä Linux-järjestelmille. Tässä tapauksessa se suorittaa samanlaisen roolin kuin ESXi-verkkoliittymä.

Riisi. 3 - paneelin ulkonäkö.

Asennus on hyvin yksinkertaista, tarvitset ohjaamopaketit ja cockpit-ovirt-dashboard-laajennuksen:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Ohjaamon vaihto:

$ sudo systemctl enable --now cockpit.socket

Palomuuriasetus:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Nyt voit muodostaa yhteyden isäntään: https://[Host IP or FQDN]:9090

vlans

Lue lisää verkoista osoitteesta dokumentointi. Mahdollisuuksia on monia, tässä kuvataan virtuaaliverkkojen yhteyttä.

Muiden aliverkkojen yhdistämiseksi ne on ensin kuvattava asetuksissa: Verkko -> Verkot -> Uusi, tässä vain nimi on pakollinen kenttä; VM Network -valintaruutu, jonka avulla koneet voivat käyttää tätä verkkoa, on käytössä, ja tagin yhdistäminen edellyttää, että Ota VLAN-koodaus käyttöön, anna VLAN-numero ja napsauta OK.

Nyt sinun on mentävä kohtaan Laske isännät -> Isännät -> kvmNN -> Verkkoliitännät -> Setup Host Networks. Vedä lisätty verkko Määrittämättömät loogiset verkot -kohdan oikealta puolelta vasemmalle Assigned Logical Networks -kohtaan:

Riisi. 4 - ennen verkon lisäämistä.

Riisi. 5 - verkon lisäämisen jälkeen.

Useiden verkkojen massaliitännässä isäntään on kätevää määrittää niille nimi/tunnisteet verkkoja luotaessa ja lisätä verkkoja nimien mukaan.

Kun verkko on luotu, isännät siirtyvät Ei-toimintatilaan, kunnes verkko on lisätty kaikkiin klusterin solmuihin. Tämän toiminnan käynnistää Vaadi kaikki -merkki Cluster-välilehdellä uutta verkkoa luotaessa. Siinä tapauksessa, että verkkoa ei tarvita klusterin kaikissa solmuissa, tämä ominaisuus voidaan poistaa käytöstä, jolloin verkko on isäntää lisättäessä oikealla Ei tarvita -osiossa ja voit valita, yhdistetäänkö se tietty isäntä.

Riisi. 6 — verkkovaatimuksen merkin valinta.

HPE-spesifinen

Lähes kaikilla valmistajilla on työkaluja, jotka parantavat tuotteidensa käytettävyyttä. HPE:stä esimerkkinä AMS (Agentless Management Service, amsd iLO5:lle, hp-ams iLO4:lle) ja SSA (Smart Storage Administrator, työskentely levyohjaimen kanssa) jne. ovat hyödyllisiä.

HPE-arkiston yhdistäminen
Tuomme avaimen ja yhdistämme HPE-arkistot:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

seuraava sisältö:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Tarkastele arkiston sisältöä ja tietoja paketista (viite):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Asennus ja käynnistys:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Esimerkki apuohjelmasta työskennellä levyohjaimen kanssa

Tässä kaikki tältä erää. Seuraavissa artikkeleissa aion käsitellä joitain perustoimintoja ja -sovelluksia. Esimerkiksi VDI:n tekeminen oVirtissä.

Lähde: will.com