Neste artigo veremos unha serie de opcións pero útiles:
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
Este artigo é unha continuación, consulta oVirt en 2 horas para o comezo и .
artigos
- Configuración adicional: estamos aquí
Configuración adicional do xestor
Para comodidade, instalaremos paquetes adicionais:
$ sudo yum install bash-completion vimPara activar a finalización de comandos, a completación de bash require cambiar a bash.
Engadindo nomes DNS adicionais
Isto será necesario cando teñas que conectarte co xestor mediante un nome alternativo (CNAME, alias ou só un nome curto sen un sufixo de dominio). Por motivos de seguridade, o xestor só permite conexións mediante a lista de nomes permitidos.
Crea un ficheiro de configuración:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.confo seguinte contido:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"e reinicie o xestor:
$ sudo systemctl restart ovirt-engineConfigurando a autenticación mediante AD
oVirt ten unha base de usuarios integrada, pero tamén se admiten provedores LDAP externos, incl. ANUNCIO.
A forma máis sinxela dunha configuración típica é iniciar o asistente e reiniciar o xestor:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engineUn exemplo de traballo de mestre
$ sudo ovirt-engine-extension-aaa-ldap-setup
Implementacións LDAP dispoñibles:
...
3 - Active Directory
...
Por favor, seleccione: 3
Introduza o nome do bosque de Active Directory: example.com
Selecciona o protocolo que queres usar (startTLS, ldaps, plain) [startTLS]:
Seleccione o método para obter o certificado de CA codificado PEM (Ficheiro, URL, Inline, System, Insecure): URL
URL:
Introduza o DN do usuario de busca (por exemplo, uid=nome de usuario, dc=exemplo, dc=com ou déixeo baleiro para anónimo): CN=oVirt-Engine,CN=Usuarios,DC=exemplo,DC=com
Introduza o contrasinal de usuario de busca: *contrasinal*
[ INFORMACIÓN ] Tentando vincular usando 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Vai usar o inicio de sesión único para máquinas virtuais (si, non) [Si]:
Especifique o nome do perfil que será visible para os usuarios [example.com]:
Proporcione as credenciais para probar o fluxo de inicio de sesión:
Introduce o nome de usuario: someAnyUser
Introduza o contrasinal de usuario:
...
[INFO] A secuencia de inicio de sesión executouse correctamente
...
Seleccione a secuencia de proba para executar (Feito, Abortar, Iniciar sesión, Busca) [Feito]:
[INFO] Etapa: configuración da transacción
...
RESUMO DE CONFIGURACIÓN
...
Usar o asistente é adecuado para a maioría dos casos. Para configuracións complexas, a configuración realízase manualmente. Máis detalles na documentación de oVirt, . Despois de conectar correctamente o motor a AD, aparecerá un perfil adicional na xanela de conexión e na pestana Permisos Os obxectos do sistema teñen a capacidade de conceder permisos a usuarios e grupos de AD. Nótese que o directorio externo de usuarios e grupos pode ser non só AD, senón tamén IPA, eDirectory, etc.
Multirutas
Nun ambiente de produción, o sistema de almacenamento debe estar conectado ao host a través de varias rutas de E/S independentes e múltiples. Como regra xeral, en CentOS (e, polo tanto, oVirt) non hai problemas para montar varios camiños a un dispositivo (find_multipaths si). As configuracións adicionais para FCoE están escritas . Paga a pena prestar atención á recomendación do fabricante do sistema de almacenamento: moitos recomendan usar a política de round-robin, pero por defecto en Enterprise Linux úsase o tempo de servizo 7.
Usando 3PAR como exemplo
e documento EL créase como un anfitrión con Generic-ALUA Persona 2, para o que se introducen os seguintes valores na configuración /etc/multipath.conf:
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}Despois diso, dáse o comando para reiniciar:
systemctl restart multipathd
Arroz. 1 é a política de E/S múltiple predeterminada.
Arroz. 2: política de E/S múltiples despois de aplicar a configuración.
Configurar a xestión de enerxía
Permítelle realizar, por exemplo, un restablecemento de hardware da máquina se o motor non pode recibir unha resposta do host durante moito tempo. Implementado a través de Fence Agent.
Compute -> Hosts -> ACOLLIDA - Editar -> Xestión de enerxía, despois habilitar "Activar a xestión de enerxía" e engadir un axente - "Engadir axente de cerca" -> +.
Indicamos o tipo (por exemplo, para iLO5 cómpre especificar ilo4), o nome/enderezo da interface ipmi, así como o nome de usuario/contrasinal. Recoméndase crear un usuario separado (por exemplo, oVirt-PM) e, no caso de iLO, darlle privilexios:
- Iniciar sesión
- Consola remota
- Potencia virtual e reinicio
- Medios virtuais
- Configurar a configuración de iLO
- Administrar contas de usuario
Non preguntes por que é así, escolleuse empíricamente. O axente de esgrima da consola require menos dereitos.
Ao configurar as listas de control de acceso, debes ter en conta que o axente non se executa no motor, senón nun host "veciño" (o chamado Power Management Proxy), é dicir, se só hai un nodo no clúster, a xestión de enerxía funcionará non o fará.
Configurando SSL
Instrucións oficiais completas - en , Apéndice D: oVirt e SSL — Substitución do certificado SSL/TLS do motor oVirt.
O certificado pode ser da nosa CA corporativa ou dunha autoridade de certificación comercial externa.
Nota importante: o certificado está pensado para conectarse co xestor e non afectará á comunicación entre o motor e os nodos; utilizarán certificados autoasinados emitidos polo motor.
Requisitos:
- certificado da CA emisora en formato PEM, con toda a cadea ata a CA raíz (desde a CA emisora subordinada ao principio ata a raíz ao final);
- un certificado para Apache emitido pola CA emisora (tamén complementado por toda a cadea de certificados CA);
- clave privada para Apache, sen contrasinal.
Supoñamos que a nosa CA emisora executa CentOS, chamada subca.example.com, e que as solicitudes, as claves e os certificados están no directorio /etc/pki/tls/.
Realizamos copias de seguridade e creamos un directorio temporal:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certsDescarga certificados, realízao desde a túa estación de traballo ou transfira doutro xeito cómodo:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certsComo resultado, deberías ver os 3 ficheiros:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.keyInstalación de certificados
Copia os ficheiros e actualiza as listas de confianza:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.serviceEngadir/actualizar ficheiros de configuración:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.confENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confSSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cerA continuación, reinicia todos os servizos afectados:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.serviceListo! É hora de conectarse co xestor e comprobar que a conexión está protexida por un certificado SSL asinado.
Arquivado
Onde estaríamos sen ela? Nesta sección falaremos sobre o arquivado do xestor; o arquivo de VM é un problema aparte. Faremos copias de arquivo unha vez ao día e almacenaremos mediante NFS, por exemplo, no mesmo sistema onde colocamos as imaxes ISO - mynfs1.example.com:/exports/ovirt-backup. Non se recomenda almacenar arquivos na mesma máquina na que se está a executar o motor.
Instalar e habilitar autofs:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofsImos crear un script:
$ sudo vim /etc/cron.daily/make.oVirt.backup.sho seguinte contido:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;Facendo o ficheiro executable:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.shAgora cada noite recibiremos un arquivo de configuración do xestor.
Interface de xestión de host
— unha interface administrativa moderna para sistemas Linux. Neste caso, realiza un papel similar á interface web ESXi.
Arroz. 3 - aspecto do panel.
A instalación é moi sinxela, necesitas os paquetes cockpit e o complemento cockpit-ovirt-dashboard:
$ sudo yum install cockpit cockpit-ovirt-dashboard -yActivación de Cockpit:
$ sudo systemctl enable --now cockpit.socketConfiguración do firewall:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentAgora podes conectarte ao host: https://[Host IP or FQDN]:9090
VLAN
Debería ler máis sobre as redes en . Hai moitas posibilidades, aquí imos describir a conexión de redes virtuais.
Para conectar outras subredes, primeiro hai que describirlas na configuración: Rede -> Redes -> Novo, aquí só o nome é un campo obrigatorio; A caixa de verificación Rede VM, que permite que as máquinas utilicen esta rede, está habilitada, pero para conectar a etiqueta debe estar activada Activar a etiquetaxe VLAN, introduza o número de VLAN e prema en Aceptar.
Agora cómpre ir a Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Arrastre a rede engadida desde o lado dereito de Redes lóxicas sen asignar cara á esquerda ata Redes lóxicas asignadas:
Arroz. 4 - antes de engadir unha rede.
Arroz. 5 - despois de engadir unha rede.
Para conectar varias redes a un host de forma masiva, é conveniente asignarlles unha(s) etiqueta(s) ao crear redes e engadir redes por etiquetas.
Despois de crear a rede, os hosts pasarán ao estado Non operativo ata que a rede se engada a todos os nodos do clúster. Este comportamento é causado pola marca Requirir todo na pestana Clúster ao crear unha rede nova. No caso de que a rede non sexa necesaria en todos os nodos do clúster, esta bandeira pódese desactivar e, a continuación, cando se engade a rede a un host, estará á dereita na sección Non requirida e poderás escoller se queres conectar. a un host específico.
Arroz. 6: seleccione un atributo de requisito de rede.
específico de HPE
Case todos os fabricantes teñen ferramentas que melloran a usabilidade dos seus produtos. Usando HPE como exemplo, son útiles AMS (Servizo de xestión sen axentes, amsd para iLO5, hp-ams para iLO4) e SSA (Administrador de almacenamento intelixente, que traballa cun controlador de disco), etc.
Conectando o repositorio de HPE
Importamos a clave e conectamos os repositorios HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repoo seguinte contido:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcpConsulta o contido do repositorio e a información do paquete (para referencia):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsdInstalación e lanzamento:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsdUn exemplo de utilidade para traballar cun controlador de disco
Iso é todo por agora. Nos seguintes artigos penso falar sobre algunhas operacións e aplicacións básicas. Por exemplo, como facer VDI en oVirt.
Fonte: www.habr.com