oVirt ann an 2 uair a thìde. Pàirt 3. A bharrachd shuidheachaidhean

San artaigil seo, seallaidh sinn ri grunn shuidheachaidhean roghainneil, ach feumail:

• a’ cleachdadh ainmean a bharrachd airson a’ mhanaidsear;
• a’ ceangal dearbhadh tro Active Directory;
• Mutliathachadh;
• riaghladh cumhachd;
• Ath-nuadhachadh teisteanas SSL;
• tasglann;
• eadar-aghaidh rianachd aoigheachd (cockpit);
• VLANn;
• HPE sònraichte.

Tha an artaigil seo a’ leantainn, faic oVirt ann an 2 uair airson toiseach tòiseachaidh Pàirt de 1 и pàirt de 2.

Articles

1. Ro-ràdh
2. A 'stàladh a' mhanaidsear (ovirt-engine) agus hypervisors (luchd-aoigheachd)
3. Suidhichidhean a bharrachd - Tha sinn an seo

Roghainnean manaidsear a bharrachd

Airson goireasachd, stàlaidhidh sinn pasganan a bharrachd:

$ sudo yum install bash-completion vim

Gus fèin-choileanadh òrdughan bash-crìochnachaidh a chomasachadh, gluais gu bash.

A 'cur ainmean DNS a bharrachd ris

Bidh feum air seo nuair a dh’ fheumas tu ceangal ris a’ mhanaidsear a’ cleachdadh ainm eile (CNAME, alias, no dìreach ainm goirid gun iar-leasachan fearainn). Airson adhbharan tèarainteachd, chan eil am manaidsear a’ ceadachadh ach ceanglaichean ris an liosta ainmean ceadaichte.

Cruthaich faidhle rèiteachaidh:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

an susbaint a leanas:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

agus ath-thòisich am manaidsear:

$ sudo systemctl restart ovirt-engine

A' rèiteachadh Dearbhadh Tro AD

Tha bunait luchd-cleachdaidh stèidhichte aig oVirt, ach tha solaraichean LDAP taobh a-muigh a’ faighinn taic cuideachd, a’ gabhail a-steach. AD.

Is e an dòigh as sìmplidh airson rèiteachadh àbhaisteach an draoidh a thòiseachadh agus am manaidsear ath-thòiseachadh:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Eisimpleir de dh'obair maighstir
$ sudo ovirt-engine-extension-aaa-ldap-setup
Gnìomhan LDAP a tha rim faighinn:
...
3 - Eòlaire Gnìomhach
...
Tagh: 3
Feuch an cuir thu a-steach ainm Coille Active Directory: example.com

Feuch an tagh thu protocol airson a chleachdadh (tòisich TLS, ldaps, plain) [tòisich TLS]:
Feuch an tagh thu dòigh gus teisteanas CA còdaichte PEM fhaighinn (Faidhle, URL, Inline, System, Neo-chinnteach): URL
URL: wwwca.example.com/myRootCA.pem
Cuir a-steach cleachdaiche sgrùdaidh DN (mar eisimpleir uid = ainm-cleachdaidh, dc = eisimpleir, dc = com no fàg falamh airson gun urra): CN = oVirt-Engine, CN = Luchd-cleachdaidh, DC = eisimpleir, DC = com
Cuir a-steach facal-faire cleachdaiche sgrùdaidh: *facal-faire*
[ INFO ] A’ feuchainn ri ceangal a’ cleachdadh ‘CN = oVirt-Engine, CN = Luchd-cleachdaidh, DC = eisimpleir, DC = com’
A bheil thu a’ dol a chleachdadh Soidhnigeadh Singilte airson Innealan Mas-fhìor (Tha, Chan eil) [Tha]:
Sònraich ainm pròifil a bhios ri fhaicinn don luchd-cleachdaidh [eisimpleir.com]:
Feuch an toir thu seachad teisteanasan gus sruth logadh a-steach a dhearbhadh:
Cuir a-steach ainm neach-cleachdaidh: neach-cleachdaidh sam bith
Cuir a-steach facal-faire cleachdaiche:
...
[ INFO ] Chaidh sreath logadh a-steach a chuir gu bàs gu soirbheachail
...
Tagh sreath deuchainn airson a chuir an gnìomh (Dèanta, Cur às, Log a-steach, Rannsachadh) [Dèante]:
[ INFO ] Ìre: Suidheachadh malairt
...
GEAMHRADH CONFIGURATION
...

Tha cleachdadh an draoidh freagarrach airson a 'mhòr-chuid de chùisean. Airson rèiteachadh iom-fhillte, thèid na roghainnean a dhèanamh le làimh. Barrachd mion-fhiosrachaidh ann an sgrìobhainnean oVirt, Luchd-cleachdaidh agus dreuchdan. Às deidh an einnsean a cheangal gu soirbheachail ri AD, nochdaidh pròifil a bharrachd san uinneag ceangail, agus air an taba Ceadan tha comas aig nithean siostam ceadan a thoirt do luchd-cleachdaidh AD agus buidhnean. Bu chòir a thoirt fa-near gum faod an eòlaire taobh a-muigh de luchd-cleachdaidh agus buidhnean a bhith chan ann a-mhàin AD, ach cuideachd IPA, eDirectory, msaa.

Iomadachadh

Ann an àrainneachd cinneasachaidh, feumaidh an siostam stòraidh a bhith ceangailte ris an aoigh tro ioma-shlighe I / O neo-eisimeileach. Mar riaghailt, ann an CentOS (agus mar sin oVirt'e) chan eil duilgheadasan ann le bhith a’ togail iomadh slighe chun inneal (find_multipaths tha). Tha suidheachaidhean a bharrachd airson FCoE air am mìneachadh ann an dara cuid. Is fhiach aire a thoirt do mholadh neach-dèanamh an stòraidh - tha mòran a’ moladh a bhith a’ cleachdadh a’ phoileasaidh robin cruinn, agus gu bunaiteach bidh Enterprise Linux 7 a’ cleachdadh ùine seirbheis.

Air eisimpleir 3PAR
agus sgrìobhainn HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux, agus OracleVM Server Buileachadh Guide Tha EL air a chruthachadh mar aoigheachd le Generic-ALUA Persona 2, far a bheil na luachan a leanas air an cur a-steach anns na roghainnean /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

An uairsin tha an àithne airson ath-thòiseachadh air a thoirt seachad:

systemctl restart multipathd

Reis. Is e 1 am poileasaidh ioma-i / O bunaiteach.

Reis. 2 - ioma poileasaidh I/O às deidh dhut suidheachaidhean a chuir an sàs.

Suidheachadh stiùireadh cumhachd

A’ leigeil leat, mar eisimpleir, ath-shuidheachadh cruaidh a dhèanamh air an inneal mura h-urrainn don Einnsean freagairt fhaighinn bhon Host airson ùine mhòr. Air a chuir an gnìomh tron ​​​​Ghnìomhaire Fence.

Coimpiutaireachd -> Luchd-aoigheachd -> HOST - Deasaich -> Stiùireadh Cumhachd, an uairsin cuir an comas “Enable Power Management” agus cuir àidseant ris - “Cuir Fence Agent” -> +.

Sònraich an seòrsa (mar eisimpleir, airson iLO5, feumaidh tu ilo4 a shònrachadh), ainm / seòladh an eadar-aghaidh ipmi, agus an t-ainm-cleachdaidh / facal-faire. Thathas a’ moladh neach-cleachdaidh fa leth a chruthachadh (mar eisimpleir, oVirt-PM) agus, a thaobh iLO, sochairean a thoirt dha:

• login
• console iomallach
• Cumhachd mas-fhìor agus ath-shuidheachadh
• Meadhanan Brìgheil
• Dèan rèiteachadh air roghainnean iLO
• Stiùirich cunntasan cleachdaiche

Na faighnich carson a tha e mar sin, tha e air a thaghadh gu empirigeach. Feumaidh an neach-ionaid feansa tòcan seata chòraichean nas lugha.

Nuair a bhios tu a’ stèidheachadh liostaichean smachd ruigsinneachd, bu chòir cuimhneachadh nach eil an neach-ionaid a’ ruith air an einnsean, ach air an aoigh “nàbachd” (an t-ainm ris an canar Power Management Proxy), i.e., mura h-eil ach aon nód anns an brabhsair, obraichidh riaghladh cumhachd cha dèan.

A 'stèidheachadh SSL

Stiùireadh oifigeil slàn - a-steach sgrìobhainnean, Pàipear-taice D: oVirt agus SSL - A’ dol an àite Teisteanas oVirt Engine SSL/TLS.

Faodaidh an teisteanas a bhith bhon CA corporra againn no bho CA malairteach taobh a-muigh.

Nòta cudromach: tha an teisteanas an dùil ceangal ris a’ mhanaidsear, cha toir e buaidh air an eadar-obrachadh eadar an einnsean agus na nodan - cleachdaidh iad teisteanasan fèin-shoidhnichte a chuir an Einnsean a-mach.

Riatanasan:

• teisteanas an cur a-mach CA ann an cruth PEM, leis an t-sèine gu lèir gu freumh CA (bhon fho-sgaoileadh aig an toiseach chun fhreumh aig an deireadh);
• teisteanas airson Apache a chuir an CA a-mach (cuideachd le taic bhon t-sreath iomlan de theisteanasan CA);
• iuchair phrìobhaideach airson Apache, gun fhacal-faire.

Gabhamaid ris gu bheil an CA a tha a’ cur a-mach againn a’ ruith CentOS, ris an canar subca.example.com, agus tha na h-iarrtasan, na h-iuchraichean, agus na teisteanasan suidhichte san eòlaire /etc/pki/tls/.

Dèan cùl-taic agus cruthaich eòlaire sealach:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Luchdaich sìos teisteanasan, cuir an gnìomh e bhon ionad-obrach agad no gluais e ann an dòigh iomchaidh eile:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Mar thoradh air an sin, bu chòir dhut na 3 faidhlichean fhaicinn:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Stàladh teisteanasan

Dèan lethbhreac de fhaidhlichean agus ùraich liostaichean earbsa:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Cuir ris / ùraich na faidhlichean rèiteachaidh:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

An uairsin, ath-thòisich a h-uile seirbheis air a bheil buaidh:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Deiseil! Tha an t-àm ann ceangal a dhèanamh ris a’ mhanaidsear agus dèanamh cinnteach gu bheil an ceangal tèarainte le teisteanas SSL soidhnichte.

Tasglann

Càite às aonais i! Anns an earrainn seo, bruidhnidh sinn mu bhith a’ tasgadh a’ mhanaidsear, tha tasgadh an VM na chùis air leth. Nì sinn lethbhric tasglann uair san latha agus stòraidh sinn iad thairis air NFS, mar eisimpleir, air an aon shiostam far an do chuir sinn na h-ìomhaighean ISO - mynfs1.example.com:/exports/ovirt-backup. Chan eilear a 'moladh tasglannan a stòradh air an aon inneal far a bheil an einnsean a' ruith.

Stàlaich agus cuir an comas autofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Cruthaichidh sinn sgriobt:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

an susbaint a leanas:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

A’ dèanamh am faidhle so-ghnìomhaichte:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

A-nis a h-uile h-oidhche gheibh sinn tasglann de shuidheachaidhean manaidsear.

Eadar-aghaidh riaghlaidh aoigheachd

Coileach na eadar-aghaidh rianachd ùr-nodha airson siostaman Linux. Anns a 'chùis seo, bidh e a' coileanadh dreuchd coltach ri eadar-aghaidh lìn ESXi.

Reis. 3 - coltas a 'phannal.

Tha an stàladh gu math sìmplidh, feumaidh tu na pacaidean cockpit agus am plugan cockpit-ovirt-dashboard:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Ag atharrachadh Cockpit:

$ sudo systemctl enable --now cockpit.socket

Suidheachadh balla-teine:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

A-nis faodaidh tu ceangal ris an aoigh: https://[Host IP no FQDN]:9090

VLANn

Leugh tuilleadh mu lìonraidhean ann an sgrìobhainnean. Tha mòran chothroman ann, an seo bheir sinn cunntas air ceangal lìonraidhean brìgheil.

Gus subnets eile a cheangal, feumaidh iad a bhith air am mìneachadh an toiseach anns an rèiteachadh: Lìonra -> Lìonraidhean -> Ùr, an seo chan eil ann ach an t-ainm raon riatanach; tha bogsa sgrùdaidh Lìonra VM, a leigeas le innealan an lìonra seo a chleachdadh, air a chomasachadh, agus gus an taga a cheangal, feumaidh tu a chomasachadh Dèan comas air tagadh VLAN, cuir a-steach an àireamh VLAN agus cliog air OK.

A-nis feumaidh tu a dhol gu Compute hosts -> Hosts -> kvmNN -> Eadar-aghaidh lìonra -> Stèidhich lìonraidhean aoigheachd. Slaod an lìonra a bharrachd bhon taobh cheart de Lìonraidhean Loidsigeach Neo-ainmichte air an taobh chlì gu Lìonraidhean Loidsigeach Sònraichte:

Reis. 4 - mus cuir thu an lìonra.

Reis. 5 - an dèidh lìonra a chur ris.

Airson ceangal mòr de ghrunn lìonraidhean ri òstair, tha e goireasach bileagan (ean) a shònrachadh dhaibh nuair a bhios iad a’ cruthachadh lìonraidhean, agus lìonraidhean a chuir ris le bileagan.

Às deidh an lìonra a chruthachadh, thèid na h-aoighean a-steach don stàit Neo-ghnìomhach gus an tèid an lìonra a chuir ris a h-uile nod brabhsair. Tha an giùlan seo air a phiobrachadh leis a’ bhratach Need All air an taba Cluster nuair a chruthaicheas tu lìonra ùr. Ma thachras nuair nach eil feum air an lìonra air a h-uile nod den bhuidheann, faodar am feart seo a chiorramachadh, an uairsin bidh an lìonra, nuair a chuireas tu aoigheachd ris, air an taobh cheart anns an roinn Neo-riatanach agus faodaidh tu taghadh am bu chòir dhut a cheangal ris. aoigheachd sònraichte.

Reis. 6 - tagh feart riatanas lìonra.

HPE sònraichte

Tha innealan aig cha mhòr a h-uile neach-dèanamh a leasaicheas cleachdadh am bathar. A’ cleachdadh HPE mar eisimpleir, tha AMS (Seirbheis Riaghlaidh Agentless, amsd airson iLO5, hp-ams airson iLO4) agus SSA (Smart Storage Administrator, ag obair le rianadair diosc), msaa feumail.

A’ ceangal an Stòr HPE
Bidh sinn a’ toirt a-steach an iuchair agus a’ ceangal stòran HPE:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

an susbaint a leanas:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Thoir sùil air susbaint an stòrais agus fiosrachadh pacaid (airson fiosrachadh):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Stàladh agus cur air bhog:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Eisimpleir den ghoireas airson a bhith ag obair le rianadair diosc

Tha sin uile airson a-nis. Anns na h-artaigilean a leanas tha mi an dùil dèiligeadh ri cuid de ghnìomhachdan agus thagraidhean bunaiteach. Mar eisimpleir, mar a nì thu VDI ann an oVirt.

Source: www.habr.com