Pour plus de commodité, nous allons installer des packages supplémentaires :
$ sudo yum install bash-completion vim
Pour activer la saisie semi-automatique des commandes bash-completion, basculez vers bash.
Ajout de noms DNS supplémentaires
Cela sera nécessaire lorsque vous devrez vous connecter au gestionnaire à l'aide d'un autre nom (CNAME, alias ou simplement un nom court sans suffixe de domaine). Pour des raisons de sécurité, le gestionnaire n'autorise que les connexions à la liste des noms autorisés.
Créez un fichier de configuration :
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Un exemple de l'assistant
$ sudo ovirt-engine-extension-aaa-ldap-setup
Implémentations LDAP disponibles :
...
3 - Annuaire actif
...
Veuillez sélectionner : 3
Veuillez saisir le nom de la forêt Active Directory : example.com
Veuillez sélectionner le protocole à utiliser (startTLS, ldaps, plain) [débutTLS]:
Veuillez sélectionner la méthode pour obtenir le certificat CA encodé PEM (fichier, URL, en ligne, système, non sécurisé) : URL
URL: wwwca.example.com/myRootCA.pem
Entrez le DN de l'utilisateur de recherche (par exemple uid=nom d'utilisateur,dc=exemple,dc=com ou laissez vide pour anonyme) : CN = oVirt-Engine, CN = Utilisateurs, DC = exemple, DC = com
Saisissez le mot de passe de l'utilisateur de recherche : *mot de passe*
[ INFO ] Tentative de liaison en utilisant 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Allez-vous utiliser l'authentification unique pour les machines virtuelles (Oui, Non) [Oui]:
Veuillez spécifier le nom du profil qui sera visible pour les utilisateurs [exemple.com]:
Veuillez fournir des informations d'identification pour tester le flux de connexion :
Saisissez votre nom d'utilisateur: unAnyUser
Saisissez le mot de passe utilisateur :
...
[ INFO ] Séquence de connexion exécutée avec succès
...
Sélectionnez la séquence de test à exécuter (Terminé, Abandon, Connexion, Recherche) [Terminé]:
[ INFO ] Etape : Paramétrage de la transaction
...
RÉSUMÉ DE LA CONFIGURATION
...
L'utilisation de l'assistant convient à la plupart des cas. Pour les configurations complexes, les réglages sont effectués manuellement. Plus de détails dans la documentation oVirt, Utilisateurs et rôles. Une fois que le moteur est connecté avec succès à AD, un profil supplémentaire apparaît dans la fenêtre de connexion et sur le Permissions les objets système ont la capacité d'accorder des autorisations aux utilisateurs et groupes AD. Il convient de noter que l'annuaire externe des utilisateurs et des groupes peut être non seulement AD, mais également IPA, eDirectory, etc.
Chemins multiples
Dans un environnement de production, le système de stockage doit être connecté à l'hôte via plusieurs chemins d'E/S indépendants. En règle générale, dans CentOS (et donc oVirt'e), il n'y a aucun problème avec la création de plusieurs chemins vers le périphérique (find_multipaths oui). Des paramètres supplémentaires pour FCoE sont décrits dans Partie 2. Il convient de prêter attention à la recommandation du fabricant de stockage - beaucoup recommandent d'utiliser la politique de tourniquet, alors que par défaut, Enterprise Linux 7 utilise le temps de service.
Riz. 1 est la stratégie d'E/S multiples par défaut.
Riz. 2 - politique d'E / S multiples après l'application des paramètres.
Paramètre de gestion de l'alimentation
Permet d'effectuer, par exemple, une réinitialisation matérielle de la machine si le moteur ne peut pas recevoir de réponse de l'hôte pendant une longue période. Implémenté via l'agent de clôture.
Calcul -> Hôtes -> HÔTE - Modifier -> Gestion de l'alimentation, puis activez "Activer la gestion de l'alimentation" et ajoutez un agent - "Ajouter un agent de clôture" -> +.
Spécifiez le type (par exemple, pour iLO5, vous devez spécifier ilo4), le nom/l'adresse de l'interface ipmi et le nom d'utilisateur/mot de passe. Il est recommandé de créer un utilisateur distinct (par exemple, oVirt-PM) et, dans le cas d'iLO, de lui donner des privilèges :
Connexion
Console distante
Alimentation virtuelle et réinitialisation
Média virtuel
Configurer les paramètres iLO
Administrer les comptes d'utilisateurs
Ne demandez pas pourquoi il en est ainsi, il est choisi empiriquement. L'agent de clôture de la console nécessite un ensemble de droits plus restreint.
Lors de la configuration des listes de contrôle d'accès, il convient de garder à l'esprit que l'agent ne s'exécute pas sur le moteur, mais sur l'hôte "voisin" (appelé Power Management Proxy), c'est-à-dire s'il n'y a qu'un seul nœud dans le cluster, la gestion de l'alimentation fonctionnera pas.
Configuration de SSL
Instructions officielles complètes - en documentation, Annexe D : oVirt et SSL - Remplacement du certificat SSL/TLS du moteur oVirt.
Le certificat peut provenir de notre autorité de certification d'entreprise ou d'une autorité de certification commerciale externe.
Remarque importante : le certificat est destiné à se connecter au gestionnaire, n'affectera pas l'interaction entre le moteur et les nœuds - ils utiliseront des certificats auto-signés émis par le moteur.
Exigences:
certificat de l'AC émettrice au format PEM, avec toute la chaîne jusqu'à l'AC racine (depuis la subordonnée émettrice au début jusqu'à la racine à la fin) ;
un certificat pour Apache délivré par l'AC émettrice (compléter également la chaîne complète des certificats d'AC) ;
clé privée pour Apache, pas de mot de passe.
Supposons que notre autorité de certification émettrice exécute CentOS, appelé subca.example.com, et que les demandes, les clés et les certificats se trouvent dans le répertoire /etc/pki/tls/.
Effectuez des sauvegardes et créez un répertoire temporaire :
Prêt! Il est temps de vous connecter au manager et de vérifier que la connexion est sécurisée avec un certificat SSL signé.
Archivage
Où sans elle ! Dans cette section, nous parlerons de l'archivage du gestionnaire, l'archivage de la VM est un problème à part. Nous ferons des copies d'archive une fois par jour et les stockerons sur NFS, par exemple, sur le même système où nous avons placé les images ISO — mynfs1.example.com:/exports/ovirt-backup. Il n'est pas recommandé de stocker les archives sur la même machine sur laquelle le moteur est en cours d'exécution.
Vous pouvez maintenant vous connecter à l'hôte : https://[Host IP or FQDN]:9090
VLAN
En savoir plus sur les réseaux dans documentation. Il existe de nombreuses possibilités, nous allons décrire ici la connexion des réseaux virtuels.
Pour connecter d'autres sous-réseaux, il faut d'abord les décrire dans la configuration : Réseau -> Réseaux -> Nouveau, ici seul le nom est un champ obligatoire ; la case à cocher VM Network, qui permet aux machines d'utiliser ce réseau, est activée, et pour connecter la balise, vous devez activer Activer le balisage VLAN, entrez le numéro de VLAN et cliquez sur OK.
Vous devez maintenant accéder à Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks hosts. Faites glisser le réseau ajouté du côté droit de Réseaux logiques non attribués vers la gauche dans Réseaux logiques attribués :
Riz. 4 - avant d'ajouter le réseau.
Riz. 5 - après avoir ajouté le réseau.
Pour une connexion en masse de plusieurs réseaux à un hôte, il est pratique de leur attribuer des étiquettes lors de la création des réseaux, et d'ajouter des réseaux par étiquettes.
Une fois le réseau créé, les hôtes passeront à l'état Non opérationnel jusqu'à ce que le réseau soit ajouté à tous les nœuds du cluster. Ce comportement est déclenché par l'indicateur Exiger tout de l'onglet Cluster lors de la création d'un nouveau réseau. Dans le cas où le réseau n'est pas nécessaire sur tous les nœuds du cluster, cette fonctionnalité peut être désactivée, puis le réseau, lors de l'ajout d'un hôte, sera à droite dans la section Non requis et vous pourrez choisir de le connecter à un hôte spécifique.
Riz. 6 — sélection du signe de l'exigence de réseau.
Spécifique à HPE
Presque tous les fabricants disposent d'outils qui améliorent la convivialité de leurs produits. En utilisant HPE comme exemple, AMS (Agentless Management Service, amsd pour iLO5, hp-ams pour iLO4) et SSA (Smart Storage Administrator, fonctionnant avec un contrôleur de disque), etc. sont utiles.
Connexion du référentiel HPE
Importez la clé et connectez les référentiels HPE :
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo
Un exemple de l'utilitaire pour travailler avec un contrôleur de disque
C'est tout pour le moment. Dans les articles suivants, je prévois de couvrir certaines opérations et applications de base. Par exemple, comment faire du VDI dans oVirt.