Para comodidade, instalaremos paquetes adicionais:
$ sudo yum install bash-completion vim
Para activar a finalización de comandos, a completación de bash require cambiar a bash.
Engadindo nomes DNS adicionais
Isto será necesario cando teñas que conectarte co xestor mediante un nome alternativo (CNAME, alias ou só un nome curto sen un sufixo de dominio). Por motivos de seguridade, o xestor só permite conexións mediante a lista de nomes permitidos.
Crea un ficheiro de configuración:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Un exemplo de traballo de mestre
$ sudo ovirt-engine-extension-aaa-ldap-setup
Implementacións LDAP dispoñibles:
...
3 - Active Directory
...
Por favor, seleccione: 3
Introduza o nome do bosque de Active Directory: example.com
Selecciona o protocolo que queres usar (startTLS, ldaps, plain) [startTLS]:
Seleccione o método para obter o certificado de CA codificado PEM (Ficheiro, URL, Inline, System, Insecure): URL
URL: wwwca.example.com/myRootCA.pem
Introduza o DN do usuario de busca (por exemplo, uid=nome de usuario, dc=exemplo, dc=com ou déixeo baleiro para anónimo): CN=oVirt-Engine,CN=Usuarios,DC=exemplo,DC=com
Introduza o contrasinal de usuario de busca: *contrasinal*
[ INFORMACIÓN ] Tentando vincular usando 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Vai usar o inicio de sesión único para máquinas virtuais (si, non) [Si]:
Especifique o nome do perfil que será visible para os usuarios [example.com]:
Proporcione as credenciais para probar o fluxo de inicio de sesión:
Introduce o nome de usuario: someAnyUser
Introduza o contrasinal de usuario:
...
[INFO] A secuencia de inicio de sesión executouse correctamente
...
Seleccione a secuencia de proba para executar (Feito, Abortar, Iniciar sesión, Busca) [Feito]:
[INFO] Etapa: configuración da transacción
...
RESUMO DE CONFIGURACIÓN
...
Usar o asistente é adecuado para a maioría dos casos. Para configuracións complexas, a configuración realízase manualmente. Máis detalles na documentación de oVirt, Usuarios e roles. Despois de conectar correctamente o motor a AD, aparecerá un perfil adicional na xanela de conexión e na pestana Permisos Os obxectos do sistema teñen a capacidade de conceder permisos a usuarios e grupos de AD. Nótese que o directorio externo de usuarios e grupos pode ser non só AD, senón tamén IPA, eDirectory, etc.
Multirutas
Nun ambiente de produción, o sistema de almacenamento debe estar conectado ao host a través de varias rutas de E/S independentes e múltiples. Como regra xeral, en CentOS (e, polo tanto, oVirt) non hai problemas para montar varios camiños a un dispositivo (find_multipaths si). As configuracións adicionais para FCoE están escritas 2a parte. Paga a pena prestar atención á recomendación do fabricante do sistema de almacenamento: moitos recomendan usar a política de round-robin, pero por defecto en Enterprise Linux úsase o tempo de servizo 7.
Arroz. 1 é a política de E/S múltiple predeterminada.
Arroz. 2: política de E/S múltiples despois de aplicar a configuración.
Configurar a xestión de enerxía
Permítelle realizar, por exemplo, un restablecemento de hardware da máquina se o motor non pode recibir unha resposta do host durante moito tempo. Implementado a través de Fence Agent.
Compute -> Hosts -> ACOLLIDA - Editar -> Xestión de enerxía, despois habilitar "Activar a xestión de enerxía" e engadir un axente - "Engadir axente de cerca" -> +.
Indicamos o tipo (por exemplo, para iLO5 cómpre especificar ilo4), o nome/enderezo da interface ipmi, así como o nome de usuario/contrasinal. Recoméndase crear un usuario separado (por exemplo, oVirt-PM) e, no caso de iLO, darlle privilexios:
Iniciar sesión
Consola remota
Potencia virtual e reinicio
Medios virtuais
Configurar a configuración de iLO
Administrar contas de usuario
Non preguntes por que é así, escolleuse empíricamente. O axente de esgrima da consola require menos dereitos.
Ao configurar as listas de control de acceso, debes ter en conta que o axente non se executa no motor, senón nun host "veciño" (o chamado Power Management Proxy), é dicir, se só hai un nodo no clúster, a xestión de enerxía funcionará non o fará.
Configurando SSL
Instrucións oficiais completas - en documentación, Apéndice D: oVirt e SSL — Substitución do certificado SSL/TLS do motor oVirt.
O certificado pode ser da nosa CA corporativa ou dunha autoridade de certificación comercial externa.
Nota importante: o certificado está pensado para conectarse co xestor e non afectará á comunicación entre o motor e os nodos; utilizarán certificados autoasinados emitidos polo motor.
Requisitos:
certificado da CA emisora en formato PEM, con toda a cadea ata a CA raíz (desde a CA emisora subordinada ao principio ata a raíz ao final);
un certificado para Apache emitido pola CA emisora (tamén complementado por toda a cadea de certificados CA);
clave privada para Apache, sen contrasinal.
Supoñamos que a nosa CA emisora executa CentOS, chamada subca.example.com, e que as solicitudes, as claves e os certificados están no directorio /etc/pki/tls/.
Realizamos copias de seguridade e creamos un directorio temporal:
Listo! É hora de conectarse co xestor e comprobar que a conexión está protexida por un certificado SSL asinado.
Arquivado
Onde estaríamos sen ela? Nesta sección falaremos sobre o arquivado do xestor; o arquivo de VM é un problema aparte. Faremos copias de arquivo unha vez ao día e almacenaremos mediante NFS, por exemplo, no mesmo sistema onde colocamos as imaxes ISO - mynfs1.example.com:/exports/ovirt-backup. Non se recomenda almacenar arquivos na mesma máquina na que se está a executar o motor.
Agora podes conectarte ao host: https://[Host IP or FQDN]:9090
VLAN
Debería ler máis sobre as redes en documentación. Hai moitas posibilidades, aquí imos describir a conexión de redes virtuais.
Para conectar outras subredes, primeiro hai que describirlas na configuración: Rede -> Redes -> Novo, aquí só o nome é un campo obrigatorio; A caixa de verificación Rede VM, que permite que as máquinas utilicen esta rede, está habilitada, pero para conectar a etiqueta debe estar activada Activar a etiquetaxe VLAN, introduza o número de VLAN e prema en Aceptar.
Agora cómpre ir a Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Arrastre a rede engadida desde o lado dereito de Redes lóxicas sen asignar cara á esquerda ata Redes lóxicas asignadas:
Arroz. 4 - antes de engadir unha rede.
Arroz. 5 - despois de engadir unha rede.
Para conectar varias redes a un host de forma masiva, é conveniente asignarlles unha(s) etiqueta(s) ao crear redes e engadir redes por etiquetas.
Despois de crear a rede, os hosts pasarán ao estado Non operativo ata que a rede se engada a todos os nodos do clúster. Este comportamento é causado pola marca Requirir todo na pestana Clúster ao crear unha rede nova. No caso de que a rede non sexa necesaria en todos os nodos do clúster, esta bandeira pódese desactivar e, a continuación, cando se engade a rede a un host, estará á dereita na sección Non requirida e poderás escoller se queres conectar. a un host específico.
Arroz. 6: seleccione un atributo de requisito de rede.
específico de HPE
Case todos os fabricantes teñen ferramentas que melloran a usabilidade dos seus produtos. Usando HPE como exemplo, son útiles AMS (Servizo de xestión sen axentes, amsd para iLO5, hp-ams para iLO4) e SSA (Administrador de almacenamento intelixente, que traballa cun controlador de disco), etc.
Conectando o repositorio de HPE
Importamos a clave e conectamos os repositorios HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo