Dans cet article, nous examinerons un certain nombre de paramètres facultatifs, mais utiles :
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
Cet article est une suite, commencez à voir oVirt dans 2 heures и .
Articles
- Paramètres supplémentaires - Nous sommes ici
Paramètres supplémentaires du gestionnaire
Pour plus de commodité, nous allons installer des packages supplémentaires :
$ sudo yum install bash-completion vimPour activer la saisie semi-automatique des commandes bash-completion, basculez vers bash.
Ajout de noms DNS supplémentaires
Cela sera nécessaire lorsque vous devrez vous connecter au gestionnaire à l'aide d'un autre nom (CNAME, alias ou simplement un nom court sans suffixe de domaine). Pour des raisons de sécurité, le gestionnaire n'autorise que les connexions à la liste des noms autorisés.
Créez un fichier de configuration :
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.confle contenu suivant:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"et redémarrez le gestionnaire :
$ sudo systemctl restart ovirt-engineConfiguration de l'authentification via AD
oVirt a une base d'utilisateurs intégrée, mais les fournisseurs LDAP externes sont également pris en charge, incl. ANNONCE.
La façon la plus simple pour une configuration typique est de lancer l'assistant et de relancer le manager :
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engineUn exemple de l'assistant
$ sudo ovirt-engine-extension-aaa-ldap-setup
Implémentations LDAP disponibles :
...
3 - Annuaire actif
...
Veuillez sélectionner : 3
Veuillez saisir le nom de la forêt Active Directory : example.com
Veuillez sélectionner le protocole à utiliser (startTLS, ldaps, plain) [débutTLS]:
Veuillez sélectionner la méthode pour obtenir le certificat CA encodé PEM (fichier, URL, en ligne, système, non sécurisé) : URL
URL:
Entrez le DN de l'utilisateur de recherche (par exemple uid=nom d'utilisateur,dc=exemple,dc=com ou laissez vide pour anonyme) : CN = oVirt-Engine, CN = Utilisateurs, DC = exemple, DC = com
Saisissez le mot de passe de l'utilisateur de recherche : *mot de passe*
[ INFO ] Tentative de liaison en utilisant 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Allez-vous utiliser l'authentification unique pour les machines virtuelles (Oui, Non) [Oui]:
Veuillez spécifier le nom du profil qui sera visible pour les utilisateurs [exemple.com]:
Veuillez fournir des informations d'identification pour tester le flux de connexion :
Saisissez votre nom d'utilisateur: unAnyUser
Saisissez le mot de passe utilisateur :
...
[ INFO ] Séquence de connexion exécutée avec succès
...
Sélectionnez la séquence de test à exécuter (Terminé, Abandon, Connexion, Recherche) [Terminé]:
[ INFO ] Etape : Paramétrage de la transaction
...
RÉSUMÉ DE LA CONFIGURATION
...
L'utilisation de l'assistant convient à la plupart des cas. Pour les configurations complexes, les réglages sont effectués manuellement. Plus de détails dans la documentation oVirt, . Une fois que le moteur est connecté avec succès à AD, un profil supplémentaire apparaît dans la fenêtre de connexion et sur le Permissions les objets système ont la capacité d'accorder des autorisations aux utilisateurs et groupes AD. Il convient de noter que l'annuaire externe des utilisateurs et des groupes peut être non seulement AD, mais également IPA, eDirectory, etc.
Chemins multiples
Dans un environnement de production, le système de stockage doit être connecté à l'hôte via plusieurs chemins d'E/S indépendants. En règle générale, dans CentOS (et donc oVirt'e), il n'y a aucun problème avec la création de plusieurs chemins vers le périphérique (find_multipaths oui). Des paramètres supplémentaires pour FCoE sont décrits dans . Il convient de prêter attention à la recommandation du fabricant de stockage - beaucoup recommandent d'utiliser la politique de tourniquet, alors que par défaut, Enterprise Linux 7 utilise le temps de service.
Sur l'exemple de 3PAR
et documenter EL est créé en tant qu'hôte avec Generic-ALUA Persona 2, pour lequel les valeurs suivantes sont saisies dans les paramètres /etc/multipath.conf :
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}Ensuite, la commande de redémarrage est donnée :
systemctl restart multipathd
Riz. 1 est la stratégie d'E/S multiples par défaut.
Riz. 2 - politique d'E / S multiples après l'application des paramètres.
Paramètre de gestion de l'alimentation
Permet d'effectuer, par exemple, une réinitialisation matérielle de la machine si le moteur ne peut pas recevoir de réponse de l'hôte pendant une longue période. Implémenté via l'agent de clôture.
Calcul -> Hôtes -> HÔTE - Modifier -> Gestion de l'alimentation, puis activez "Activer la gestion de l'alimentation" et ajoutez un agent - "Ajouter un agent de clôture" -> +.
Spécifiez le type (par exemple, pour iLO5, vous devez spécifier ilo4), le nom/l'adresse de l'interface ipmi et le nom d'utilisateur/mot de passe. Il est recommandé de créer un utilisateur distinct (par exemple, oVirt-PM) et, dans le cas d'iLO, de lui donner des privilèges :
- Connexion
- Console distante
- Alimentation virtuelle et réinitialisation
- Média virtuel
- Configurer les paramètres iLO
- Administrer les comptes d'utilisateurs
Ne demandez pas pourquoi il en est ainsi, il est choisi empiriquement. L'agent de clôture de la console nécessite un ensemble de droits plus restreint.
Lors de la configuration des listes de contrôle d'accès, il convient de garder à l'esprit que l'agent ne s'exécute pas sur le moteur, mais sur l'hôte "voisin" (appelé Power Management Proxy), c'est-à-dire s'il n'y a qu'un seul nœud dans le cluster, la gestion de l'alimentation fonctionnera pas.
Configuration de SSL
Instructions officielles complètes - en , Annexe D : oVirt et SSL - Remplacement du certificat SSL/TLS du moteur oVirt.
Le certificat peut provenir de notre autorité de certification d'entreprise ou d'une autorité de certification commerciale externe.
Remarque importante : le certificat est destiné à se connecter au gestionnaire, n'affectera pas l'interaction entre le moteur et les nœuds - ils utiliseront des certificats auto-signés émis par le moteur.
Exigences:
- certificat de l'AC émettrice au format PEM, avec toute la chaîne jusqu'à l'AC racine (depuis la subordonnée émettrice au début jusqu'à la racine à la fin) ;
- un certificat pour Apache délivré par l'AC émettrice (compléter également la chaîne complète des certificats d'AC) ;
- clé privée pour Apache, pas de mot de passe.
Supposons que notre autorité de certification émettrice exécute CentOS, appelé subca.example.com, et que les demandes, les clés et les certificats se trouvent dans le répertoire /etc/pki/tls/.
Effectuez des sauvegardes et créez un répertoire temporaire :
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certsTéléchargez des certificats, exécutez-les depuis votre poste de travail ou transférez-les d'une autre manière pratique :
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certsEn conséquence, vous devriez voir les 3 fichiers :
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.keyInstallation de certificats
Copiez les fichiers et mettez à jour les listes de confiance :
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.serviceAjouter/mettre à jour les fichiers de configuration :
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.confENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confSSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cerEnsuite, redémarrez tous les services concernés :
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.servicePrêt! Il est temps de vous connecter au manager et de vérifier que la connexion est sécurisée avec un certificat SSL signé.
Archivage
Où sans elle ! Dans cette section, nous parlerons de l'archivage du gestionnaire, l'archivage de la VM est un problème à part. Nous ferons des copies d'archive une fois par jour et les stockerons sur NFS, par exemple, sur le même système où nous avons placé les images ISO — mynfs1.example.com:/exports/ovirt-backup. Il n'est pas recommandé de stocker les archives sur la même machine sur laquelle le moteur est en cours d'exécution.
Installez et activez autofs :
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofsCréez un scénario :
$ sudo vim /etc/cron.daily/make.oVirt.backup.shle contenu suivant:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;Rendre le fichier exécutable :
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.shDésormais, chaque nuit, nous recevrons une archive des paramètres du gestionnaire.
Interface de gestion de l'hôte
est une interface administrative moderne pour les systèmes Linux. Dans ce cas, il joue un rôle similaire à l'interface Web ESXi.
Riz. 3 - aspect du panneau.
L'installation est très simple, vous avez besoin des packages cockpit et du plugin cockpit-ovirt-dashboard :
$ sudo yum install cockpit cockpit-ovirt-dashboard -yChangement de poste de pilotage :
$ sudo systemctl enable --now cockpit.socketParamètre de pare-feu :
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentVous pouvez maintenant vous connecter à l'hôte : https://[Host IP or FQDN]:9090
VLAN
En savoir plus sur les réseaux dans . Il existe de nombreuses possibilités, nous allons décrire ici la connexion des réseaux virtuels.
Pour connecter d'autres sous-réseaux, il faut d'abord les décrire dans la configuration : Réseau -> Réseaux -> Nouveau, ici seul le nom est un champ obligatoire ; la case à cocher VM Network, qui permet aux machines d'utiliser ce réseau, est activée, et pour connecter la balise, vous devez activer Activer le balisage VLAN, entrez le numéro de VLAN et cliquez sur OK.
Vous devez maintenant accéder à Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks hosts. Faites glisser le réseau ajouté du côté droit de Réseaux logiques non attribués vers la gauche dans Réseaux logiques attribués :
Riz. 4 - avant d'ajouter le réseau.
Riz. 5 - après avoir ajouté le réseau.
Pour une connexion en masse de plusieurs réseaux à un hôte, il est pratique de leur attribuer des étiquettes lors de la création des réseaux, et d'ajouter des réseaux par étiquettes.
Une fois le réseau créé, les hôtes passeront à l'état Non opérationnel jusqu'à ce que le réseau soit ajouté à tous les nœuds du cluster. Ce comportement est déclenché par l'indicateur Exiger tout de l'onglet Cluster lors de la création d'un nouveau réseau. Dans le cas où le réseau n'est pas nécessaire sur tous les nœuds du cluster, cette fonctionnalité peut être désactivée, puis le réseau, lors de l'ajout d'un hôte, sera à droite dans la section Non requis et vous pourrez choisir de le connecter à un hôte spécifique.
Riz. 6 — sélection du signe de l'exigence de réseau.
Spécifique à HPE
Presque tous les fabricants disposent d'outils qui améliorent la convivialité de leurs produits. En utilisant HPE comme exemple, AMS (Agentless Management Service, amsd pour iLO5, hp-ams pour iLO4) et SSA (Smart Storage Administrator, fonctionnant avec un contrôleur de disque), etc. sont utiles.
Connexion du référentiel HPE
Importez la clé et connectez les référentiels HPE :
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repole contenu suivant:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcpAfficher le contenu du référentiel et des informations sur le package (pour référence) :
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsdInstallation et lancement :
$ sudo yum install amsd ssacli
$ sudo systemctl start amsdUn exemple de l'utilitaire pour travailler avec un contrôleur de disque
C'est tout pour le moment. Dans les articles suivants, je prévois de couvrir certaines opérations et applications de base. Par exemple, comment faire du VDI dans oVirt.
Source: habr.com