Foar gemak sille wy ekstra pakketten ynstallearje:
$ sudo yum install bash-completion vim
Om automatyske foltôging fan kommando's foar bash-foltôging yn te skeakeljen, skeakelje nei bash.
Oanfoljende DNS-nammen tafoegje
Dit sil nedich wêze as jo moatte ferbine mei de behearder mei in alternative namme (CNAME, alias, of gewoan in koarte namme sûnder in domein efterheaksel). Om feiligensredenen lit de behearder allinich ferbinings mei de tastiene list mei nammen ta.
Meitsje in konfiguraasjetriem:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
In foarbyld fan de wizard
$ sudo ovirt-motor-útwreiding-aaa-ldap-opset
Beskikbere LDAP-ymplemintaasjes:
...
3 - Active Directory
...
Meitsje in kar: 3
Fier asjebleaft Active Directory Forest namme yn: example.com
Selektearje asjebleaft protokol om te brûken (startTLS, ldaps, gewoan) [startTLS]:
Selektearje asjebleaft metoade om PEM-kodearre CA-sertifikaat te krijen (bestân, URL, ynline, systeem, ûnfeilich): URL
URL: wwwca.example.com/myRootCA.pem
Fier sykbrûker DN yn (bygelyks uid=brûkersnamme,dc=foarbyld,dc=com of lit leech foar anonym): CN=oVirt-Engine,CN=Users,DC=foarbyld,DC=com
Fier sykbrûker wachtwurd yn: *wachtwurd*
[INFO] Besykje te binen mei 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Sille jo Single Sign-On brûke foar firtuele masines (ja, nee) [Ja]:
Spesifisearje asjebleaft profylnamme dy't sichtber wêze sil foar brûkers [example.com]:
Jou asjebleaft bewiisbrieven foar it testen fan oanmeldstream:
Fier brûkersnamme yn: someAnyUser
Fier brûkerswachtwurd yn:
...
[INFO] Oanmelde folchoarder mei súkses útfierd
...
Selektearje testsekwinsje om út te fieren (Done, Abort, Login, Search) [Klear]:
[INFO] Fase: Transaksje opset
...
CONFIGURATION GEARFETTING
...
It brûken fan de wizard is geskikt foar de measte gefallen. Foar komplekse konfiguraasjes wurde ynstellings mei de hân makke. Mear details yn 'e oVirt-dokumintaasje, Brûkers en rollen. Neidat de Engine is mei súkses ferbûn oan AD, sil in ekstra profyl ferskine yn de ferbining finster, en op de Permissions systeemobjekten hawwe de mooglikheid om tagongsrjochten te jaan oan AD-brûkers en groepen. Dêrby moat opmurken wurde dat de eksterne map fan brûkers en groepen kin wêze net allinnich AD, mar ek IPA, eDirectory, ensfh.
Mearpaden
Yn in produksjeomjouwing moat it opslachsysteem ferbûn wêze mei de host fia meardere, ûnôfhinklike, meardere I / O-paden. As regel, yn CentOS (en dus oVirt'e) der binne gjin problemen mei in bouwen fan meardere paden nei it apparaat (find_multipaths yes). Oanfoljende ynstellingen foar FCoE wurde beskreaun yn 2e diel. It is de muoite wurdich omtinken te jaan oan de oanbefelling fan 'e opslachfabrikant - in protte riede it round-robin-belied oan, wylst Enterprise Linux 7 standert tsjinsttiid brûkt.
Rys. 2 - meardere I / O-belied nei it tapassen fan de ynstellings.
Power Management Setting
Hjirmei kinne jo bygelyks in hurde reset fan 'e masine útfiere as de Engine foar in lange tiid gjin antwurd kin ûntfange fan' e Host. Ymplemintearre fia de Fence Agent.
Berekkenje -> Hosts -> GASTHEAR - Bewurkje -> Power Management, skeakelje dan "Energy Management ynskeakelje" yn en foegje in agent ta - "Fence Agent tafoegje" -> +.
Spesifisearje it type (bygelyks foar iLO5 moatte jo ilo4 opjaan), de namme / adres fan 'e ipmi-ynterface, en de brûkersnamme / wachtwurd. It is oan te rieden om in aparte brûker te meitsjen (bygelyks oVirt-PM) en, yn it gefal fan iLO, him privileezjes te jaan:
login
remote konsole
Firtuele macht en weromsette
Firtuele Media
Konfigurearje iLO-ynstellingen
Behear brûkersakkounts
Freegje net wêrom't it sa is, it is empirysk keazen. De agint foar konsole-fencing fereasket in lytsere set rjochten.
By it opsetten fan tagongskontrôlelisten moat der rekken hâlden wurde dat de agint net op 'e motor rint, mar op' e "buorjende" host (de saneamde Power Management Proxy), dus as der mar ien knooppunt is yn 'e cluster, macht behear sil wurkje sil net wêze.
SSL ynstelle
Folsleine offisjele ynstruksjes - yn dokumintaasje, Taheakke D: oVirt en SSL - It ferfangen fan it oVirt Engine SSL / TLS-sertifikaat.
It sertifikaat kin wêze fan ús bedriuw CA of fan in eksterne kommersjele CA.
Wichtige opmerking: it sertifikaat is bedoeld om te ferbinen mei de manager, sil gjin ynfloed hawwe op de ynteraksje tusken de Engine en de knopen - se sille sels-ûndertekene sertifikaten brûke útjûn troch de Engine.
Easken:
sertifikaat fan 'e útjaan CA yn PEM-formaat, mei de folsleine ketting nei de root-CA (fan' e ûndergeskikte útjefte oan it begjin oant de root oan 'e ein);
in sertifikaat foar Apache útjûn troch de útjaan CA (ek kompleet mei de hiele keatling fan CA-sertifikaten);
privee kaai foar Apache, gjin wachtwurd.
Litte wy sizze dat ús útjaan CA CentOS draait, neamd subca.example.com, en de oanfragen, kaaien en sertifikaten binne yn 'e map /etc/pki/tls/.
Klear! It is tiid om te ferbinen mei de manager en te kontrolearjen dat de ferbining is befeilige mei in ûndertekene SSL-sertifikaat.
Argivearjen
Wêr sûnder har! Yn dizze seksje sille wy prate oer it argivearjen fan de manager, it argivearjen fan de VM is in apart probleem. Wy sille ien kear deis argyfkopyen meitsje en se opslaan oer NFS, bygelyks op itselde systeem dêr't wy de ISO-ôfbyldings pleatsten - mynfs1.example.com:/exports/ovirt-backup. It is net oan te rieden om argiven op te slaan op deselde masine wêr't de Engine rint.
No kinne jo ferbine mei de host: https://[Host IP of FQDN]:9090
VLAN's
Lês mear oer netwurken yn dokumintaasje. D'r binne in protte mooglikheden, hjir sille wy de ferbining fan firtuele netwurken beskriuwe.
Om oare subnetten te ferbinen, moatte se earst beskreaun wurde yn 'e konfiguraasje: Netwurk -> Netwurken -> Nij, hjir is allinich de namme in fereaske fjild; it karfakje VM Network, wêrtroch masines dit netwurk kinne brûke, is ynskeakele, en om de tag te ferbinen, moatte jo ynskeakelje VLAN-tagging ynskeakelje, Fier it VLAN-nûmer yn en klikje OK.
No moatte jo nei de Compute -> Hosts -> kvmNN -> Netwurkynterfaces -> Hostnetwurken ynstelle. Sleep it tafoege netwurk fan 'e rjochterkant fan Unassigned Logical Networks nei lofts nei Assigned Logical Networks:
Rys. 4 - foardat it tafoegjen fan it netwurk.
Rys. 5 - nei it tafoegjen fan it netwurk.
Foar massaferbining fan ferskate netwurken oan in host, is it handich om label(s) oan har ta te jaan by it meitsjen fan netwurken, en netwurken ta te foegjen troch labels.
Nei't it netwurk oanmakke is, sille de hosts yn 'e net-operasjonele steat gean oant it netwurk wurdt tafoege oan alle klusterknooppunten. Dit gedrach wurdt aktivearre troch de flagge Require All op de Cluster ljepper by it meitsjen fan in nij netwurk. Yn it gefal dat it netwurk net nedich is op alle knooppunten fan it kluster, kin dizze funksje útskeakele wurde, dan sil it netwurk, by it tafoegjen fan in host, rjochts wêze yn 'e seksje Net fereaske en jo kinne kieze of jo it ferbine wolle mei in spesifike host.
Rys. 6 - seleksje fan it teken fan it netwurk eask.
HPE spesifyk
Hast alle fabrikanten hawwe ark dy't de brûkberens fan har produkten ferbetterje. Mei help fan HPE as foarbyld, AMS (Agentless Management Service, amsd foar iLO5, hp-ams foar iLO4) en SSA (Smart Storage Administrator, wurkje mei in skiif controller), ensfh binne brûkber.
It HPE Repository ferbine
Ymportearje de kaai en ferbine de HPE-repositories:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo