Yn dit artikel sille wy nei in oantal opsjonele, mar nuttige ynstellingen sjen:
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
Dit artikel is in fuortsetting, begjinne sjoch oVirt yn 2 oeren и .
artikels
- Oanfoljende ynstellings - Wy binne hjir
Oanfoljende manager ynstellings
Foar gemak sille wy ekstra pakketten ynstallearje:
$ sudo yum install bash-completion vimOm automatyske foltôging fan kommando's foar bash-foltôging yn te skeakeljen, skeakelje nei bash.
Oanfoljende DNS-nammen tafoegje
Dit sil nedich wêze as jo moatte ferbine mei de behearder mei in alternative namme (CNAME, alias, of gewoan in koarte namme sûnder in domein efterheaksel). Om feiligensredenen lit de behearder allinich ferbinings mei de tastiene list mei nammen ta.
Meitsje in konfiguraasjetriem:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.confde folgjende ynhâld:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"en start de manager op 'e nij:
$ sudo systemctl restart ovirt-engineAutentikaasje konfigurearje fia AD
oVirt hat in ynboude brûkersbasis, mar eksterne LDAP-oanbieders wurde ek stipe, incl. AD.
De ienfâldichste manier foar in typyske konfiguraasje is om de wizard te begjinnen en de behearder opnij te starten:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engineIn foarbyld fan de wizard
$ sudo ovirt-motor-útwreiding-aaa-ldap-opset
Beskikbere LDAP-ymplemintaasjes:
...
3 - Active Directory
...
Meitsje in kar: 3
Fier asjebleaft Active Directory Forest namme yn: example.com
Selektearje asjebleaft protokol om te brûken (startTLS, ldaps, gewoan) [startTLS]:
Selektearje asjebleaft metoade om PEM-kodearre CA-sertifikaat te krijen (bestân, URL, ynline, systeem, ûnfeilich): URL
URL:
Fier sykbrûker DN yn (bygelyks uid=brûkersnamme,dc=foarbyld,dc=com of lit leech foar anonym): CN=oVirt-Engine,CN=Users,DC=foarbyld,DC=com
Fier sykbrûker wachtwurd yn: *wachtwurd*
[INFO] Besykje te binen mei 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Sille jo Single Sign-On brûke foar firtuele masines (ja, nee) [Ja]:
Spesifisearje asjebleaft profylnamme dy't sichtber wêze sil foar brûkers [example.com]:
Jou asjebleaft bewiisbrieven foar it testen fan oanmeldstream:
Fier brûkersnamme yn: someAnyUser
Fier brûkerswachtwurd yn:
...
[INFO] Oanmelde folchoarder mei súkses útfierd
...
Selektearje testsekwinsje om út te fieren (Done, Abort, Login, Search) [Klear]:
[INFO] Fase: Transaksje opset
...
CONFIGURATION GEARFETTING
...
It brûken fan de wizard is geskikt foar de measte gefallen. Foar komplekse konfiguraasjes wurde ynstellings mei de hân makke. Mear details yn 'e oVirt-dokumintaasje, . Neidat de Engine is mei súkses ferbûn oan AD, sil in ekstra profyl ferskine yn de ferbining finster, en op de Permissions systeemobjekten hawwe de mooglikheid om tagongsrjochten te jaan oan AD-brûkers en groepen. Dêrby moat opmurken wurde dat de eksterne map fan brûkers en groepen kin wêze net allinnich AD, mar ek IPA, eDirectory, ensfh.
Mearpaden
Yn in produksjeomjouwing moat it opslachsysteem ferbûn wêze mei de host fia meardere, ûnôfhinklike, meardere I / O-paden. As regel, yn CentOS (en dus oVirt'e) der binne gjin problemen mei in bouwen fan meardere paden nei it apparaat (find_multipaths yes). Oanfoljende ynstellingen foar FCoE wurde beskreaun yn . It is de muoite wurdich omtinken te jaan oan de oanbefelling fan 'e opslachfabrikant - in protte riede it round-robin-belied oan, wylst Enterprise Linux 7 standert tsjinsttiid brûkt.
Op it foarbyld fan 3PAR
en dokumint EL wurdt makke as in Host mei Generic-ALUA Persona 2, wêrfoar de folgjende wearden wurde ynfierd yn 'e /etc/multipath.conf ynstellings:
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}Dan wurdt it kommando om opnij te starten jûn:
systemctl restart multipathd
Rys. 1 is it standert meardere I/O-belied.
Rys. 2 - meardere I / O-belied nei it tapassen fan de ynstellings.
Power Management Setting
Hjirmei kinne jo bygelyks in hurde reset fan 'e masine útfiere as de Engine foar in lange tiid gjin antwurd kin ûntfange fan' e Host. Ymplemintearre fia de Fence Agent.
Berekkenje -> Hosts -> GASTHEAR - Bewurkje -> Power Management, skeakelje dan "Energy Management ynskeakelje" yn en foegje in agent ta - "Fence Agent tafoegje" -> +.
Spesifisearje it type (bygelyks foar iLO5 moatte jo ilo4 opjaan), de namme / adres fan 'e ipmi-ynterface, en de brûkersnamme / wachtwurd. It is oan te rieden om in aparte brûker te meitsjen (bygelyks oVirt-PM) en, yn it gefal fan iLO, him privileezjes te jaan:
- login
- remote konsole
- Firtuele macht en weromsette
- Firtuele Media
- Konfigurearje iLO-ynstellingen
- Behear brûkersakkounts
Freegje net wêrom't it sa is, it is empirysk keazen. De agint foar konsole-fencing fereasket in lytsere set rjochten.
By it opsetten fan tagongskontrôlelisten moat der rekken hâlden wurde dat de agint net op 'e motor rint, mar op' e "buorjende" host (de saneamde Power Management Proxy), dus as der mar ien knooppunt is yn 'e cluster, macht behear sil wurkje sil net wêze.
SSL ynstelle
Folsleine offisjele ynstruksjes - yn , Taheakke D: oVirt en SSL - It ferfangen fan it oVirt Engine SSL / TLS-sertifikaat.
It sertifikaat kin wêze fan ús bedriuw CA of fan in eksterne kommersjele CA.
Wichtige opmerking: it sertifikaat is bedoeld om te ferbinen mei de manager, sil gjin ynfloed hawwe op de ynteraksje tusken de Engine en de knopen - se sille sels-ûndertekene sertifikaten brûke útjûn troch de Engine.
Easken:
- sertifikaat fan 'e útjaan CA yn PEM-formaat, mei de folsleine ketting nei de root-CA (fan' e ûndergeskikte útjefte oan it begjin oant de root oan 'e ein);
- in sertifikaat foar Apache útjûn troch de útjaan CA (ek kompleet mei de hiele keatling fan CA-sertifikaten);
- privee kaai foar Apache, gjin wachtwurd.
Litte wy sizze dat ús útjaan CA CentOS draait, neamd subca.example.com, en de oanfragen, kaaien en sertifikaten binne yn 'e map /etc/pki/tls/.
Meitsje backups en meitsje in tydlike map:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certsSertifikaten downloade, útfiere fan jo wurkstasjon of oerdrage op in oare handige manier:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certsAs resultaat moatte jo alle 3 bestannen sjen:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.keyIt ynstallearjen fan sertifikaten
Kopiearje bestannen en aktualisearje fertrouwenslisten:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.serviceKonfiguraasjetriemmen tafoegje/bywurkje:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.confENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confSSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cerStart dan alle troffen tsjinsten op 'e nij:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.serviceKlear! It is tiid om te ferbinen mei de manager en te kontrolearjen dat de ferbining is befeilige mei in ûndertekene SSL-sertifikaat.
Argivearjen
Wêr sûnder har! Yn dizze seksje sille wy prate oer it argivearjen fan de manager, it argivearjen fan de VM is in apart probleem. Wy sille ien kear deis argyfkopyen meitsje en se opslaan oer NFS, bygelyks op itselde systeem dêr't wy de ISO-ôfbyldings pleatsten - mynfs1.example.com:/exports/ovirt-backup. It is net oan te rieden om argiven op te slaan op deselde masine wêr't de Engine rint.
Ynstallearje en ynskeakelje autofs:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofsMeitsje in skript:
$ sudo vim /etc/cron.daily/make.oVirt.backup.shde folgjende ynhâld:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;It bestân útfierber meitsje:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.shNo sille wy elke nacht in argyf krije fan managerynstellingen.
Host behear ynterface
is in moderne bestjoerlike ynterface foar Linux-systemen. Yn dit gefal, it fiert in rol fergelykber mei de ESXi web ynterface.
Rys. 3 - uterlik fan it paniel.
Ynstallaasje is heul ienfâldich, jo hawwe cockpitpakketten nedich en de cockpit-ovirt-dashboard-plugin:
$ sudo yum install cockpit cockpit-ovirt-dashboard -ySwitching Cockpit:
$ sudo systemctl enable --now cockpit.socketFirewall ynstelling:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentNo kinne jo ferbine mei de host: https://[Host IP of FQDN]:9090
VLAN's
Lês mear oer netwurken yn . D'r binne in protte mooglikheden, hjir sille wy de ferbining fan firtuele netwurken beskriuwe.
Om oare subnetten te ferbinen, moatte se earst beskreaun wurde yn 'e konfiguraasje: Netwurk -> Netwurken -> Nij, hjir is allinich de namme in fereaske fjild; it karfakje VM Network, wêrtroch masines dit netwurk kinne brûke, is ynskeakele, en om de tag te ferbinen, moatte jo ynskeakelje VLAN-tagging ynskeakelje, Fier it VLAN-nûmer yn en klikje OK.
No moatte jo nei de Compute -> Hosts -> kvmNN -> Netwurkynterfaces -> Hostnetwurken ynstelle. Sleep it tafoege netwurk fan 'e rjochterkant fan Unassigned Logical Networks nei lofts nei Assigned Logical Networks:
Rys. 4 - foardat it tafoegjen fan it netwurk.
Rys. 5 - nei it tafoegjen fan it netwurk.
Foar massaferbining fan ferskate netwurken oan in host, is it handich om label(s) oan har ta te jaan by it meitsjen fan netwurken, en netwurken ta te foegjen troch labels.
Nei't it netwurk oanmakke is, sille de hosts yn 'e net-operasjonele steat gean oant it netwurk wurdt tafoege oan alle klusterknooppunten. Dit gedrach wurdt aktivearre troch de flagge Require All op de Cluster ljepper by it meitsjen fan in nij netwurk. Yn it gefal dat it netwurk net nedich is op alle knooppunten fan it kluster, kin dizze funksje útskeakele wurde, dan sil it netwurk, by it tafoegjen fan in host, rjochts wêze yn 'e seksje Net fereaske en jo kinne kieze of jo it ferbine wolle mei in spesifike host.
Rys. 6 - seleksje fan it teken fan it netwurk eask.
HPE spesifyk
Hast alle fabrikanten hawwe ark dy't de brûkberens fan har produkten ferbetterje. Mei help fan HPE as foarbyld, AMS (Agentless Management Service, amsd foar iLO5, hp-ams foar iLO4) en SSA (Smart Storage Administrator, wurkje mei in skiif controller), ensfh binne brûkber.
It HPE Repository ferbine
Ymportearje de kaai en ferbine de HPE-repositories:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repode folgjende ynhâld:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcpBesjoch de ynhâld fan it repository en ynformaasje oer it pakket (foar referinsje):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsdYnstallaasje en lansearring:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsdIn foarbyld fan it nut foar wurkjen mei in skiif controller
Dat is alles foar no. Yn 'e folgjende artikels plan ik wat basis operaasjes en applikaasjes te dekken. Bygelyks, hoe te meitsjen VDI yn oVirt.
Boarne: www.habr.com