oVirt za 2 sata. Dio 3. Dodatne postavke

U ovom ćemo članku pogledati niz neobaveznih, ali korisnih postavki:

• koristeći dodatna imena za upravitelja;
• povezivanje autentifikacije putem Active Directory;
• Mutlipathing;
• upravljanje napajanjem;
• zamjena SSL certifikata;
• arhiviranje;
• sučelje za upravljanje hostom (kokpit);
• vlans;
• HPE specifično.

Ovaj članak je nastavak, pogledajte oVirt za 2 sata za početak Часть 1 и Dio 2.

Članci

1. Uvod
2. Instalacija upravitelja (ovirt-engine) i hipervizora (hostova)
3. Dodatne postavke - Tu smo

Dodatne postavke upravitelja

Radi praktičnosti, instalirat ćemo dodatne pakete:

$ sudo yum install bash-completion vim

Da bi se omogućilo dovršavanje naredbi, bash-dovršavanje zahtijeva prebacivanje na bash.

Dodavanje dodatnih DNS imena

Ovo će biti potrebno kada se trebate povezati s upraviteljem koristeći alternativno ime (CNAME, alias ili samo kratko ime bez sufiksa domene). Iz sigurnosnih razloga, upravitelj dopušta veze samo korištenjem dopuštenog popisa imena.

Napravite konfiguracijsku datoteku:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

sljedeći sadržaj:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

i ponovno pokrenite upravitelja:

$ sudo systemctl restart ovirt-engine

Postavljanje autentifikacije putem AD-a

oVirt ima ugrađenu korisničku bazu, ali podržani su i vanjski LDAP pružatelji usluga, uklj. OGLAS.

Najjednostavniji način za tipičnu konfiguraciju je pokretanje čarobnjaka i ponovno pokretanje upravitelja:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Primjer magistarskog rada
$ sudo ovirt-proširenje-motora-aaa-ldap-postavljanje
Dostupne LDAP implementacije:
...
3 - Active Directory
...
Molimo izaberite: 3
Unesite naziv šume Active Directory: example.com

Odaberite protokol za korištenje (startTLS, ldaps, plain) [startTLS]:
Odaberite metodu za dobivanje PEM kodiranog CA certifikata (Datoteka, URL, Inline, Sustav, Nesiguran): URL
URL: wwwca.example.com/myRootCA.pem
Unesite DN korisnika za pretraživanje (na primjer uid=username,dc=example,dc=com ili ostavite prazno za anonimno): CN=oVirt-Engine,CN=Korisnici,DC=primjer,DC=com
Unesite korisničku lozinku za pretraživanje: *lozinka*
[ INFO ] Pokušaj vezanja pomoću 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Hoćete li koristiti jedinstvenu prijavu za virtualne strojeve (Da, Ne) [Da]:
Navedite naziv profila koji će biti vidljiv korisnicima [example.com]:
Unesite vjerodajnice za testiranje tijeka prijave:
Unesite korisničko ime: someAnyUser
Unesite korisničku lozinku:
...
[INFO] Slijed prijave uspješno je izvršen
...
Odaberite niz testova za izvršenje (Gotovo, Prekid, Prijava, Pretraživanje) [Gotovo]:
[INFO] Faza: Postavljanje transakcije
...
SAŽETAK KONFIGURACIJE
...

Korištenje čarobnjaka prikladno je za većinu slučajeva. Za složene konfiguracije, postavke se izvode ručno. Više detalja u oVirt dokumentaciji, Korisnici i uloge. Nakon uspješnog povezivanja Enginea s AD-om, pojavit će se dodatni profil u prozoru za povezivanje i na kartici Dozvole Objekti sustava imaju mogućnost davanja dopuštenja AD korisnicima i grupama. Treba napomenuti da vanjski imenik korisnika i grupa može biti ne samo AD, već i IPA, eDirectory itd.

Višestruki put

U proizvodnom okruženju, sustav za pohranu mora biti povezan s glavnim računalom preko više neovisnih, višestrukih I/O putova. U pravilu u CentOS-u (a samim time i oVirt-u) nema problema s sklapanjem više staza do uređaja (find_multipaths da). Dodatne postavke za FCoE su zapisane u 2. dio. Vrijedno je obratiti pozornost na preporuku proizvođača sustava za pohranu - mnogi preporučuju korištenje kružne politike, ali prema zadanim postavkama u Enterprise Linuxu 7 koristi se servisno vrijeme.

Koristeći 3PAR kao primjer
i dokument Vodič za implementaciju HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux i OracleVM poslužitelja EL je kreiran kao Host s Generic-ALUA Persona 2, za koji se u postavke /etc/multipath.conf unose sljedeće vrijednosti:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Nakon toga daje se naredba za ponovno pokretanje:

systemctl restart multipathd

Riža. 1 je zadana višestruka I/O politika.

Riža. 2 - politika višestrukih I/O nakon primjene postavki.

Postavljanje upravljanja napajanjem

Omogućuje vam izvođenje, na primjer, hardverskog resetiranja stroja ako Engine ne može primiti odgovor od glavnog računala dulje vrijeme. Implementirano putem Fence Agenta.

Računanje -> Domaćini -> DOMAĆIN — Uredi -> Upravljanje napajanjem, zatim omogućite "Omogući upravljanje napajanjem" i dodajte agenta — "Dodaj agenta ograde" -> +.

Označavamo tip (na primjer, za iLO5 morate navesti ilo4), naziv/adresu ipmi sučelja, kao i korisničko ime/lozinku. Preporuča se kreirati zasebnog korisnika (na primjer, oVirt-PM) i, u slučaju iLO-a, dati mu privilegije:

• Prijava
• Udaljena konzola
• Virtualno napajanje i resetiranje
• Virtualni mediji
• Konfigurirajte iLO postavke
• Administriranje korisničkih računa

Ne pitajte zašto je to tako, odabrano je empirijski. Agent za ograđivanje konzole zahtijeva manje prava.

Prilikom postavljanja popisa kontrole pristupa, trebali biste imati na umu da agent ne radi na motoru, već na "susjednom" hostu (tzv. Power Management Proxy), tj. ako postoji samo jedan čvor u klasteru, upravljanje napajanjem će raditi neće.

Postavljanje SSL-a

Potpune službene upute - u dokumentacija, Dodatak D: oVirt i SSL — Zamjena SSL/TLS certifikata oVirt Enginea.

Certifikat može biti ili od našeg korporativnog CA ili od vanjskog komercijalnog tijela za izdavanje certifikata.

Važna napomena: Certifikat je namijenjen za povezivanje s upraviteljem i neće utjecati na komunikaciju između Enginea i čvorova - oni će koristiti samopotpisane certifikate koje izdaje Engine.

Zahtjevi:

• certifikat CA izdavatelja u PEM formatu, s cijelim lancem do korijenskog CA (od podređenog CA izdavatelja na početku do korijenskog na kraju);
• certifikat za Apache koji je izdao CA izdavatelj (također dopunjen cijelim lancem CA certifikata);
• privatni ključ za Apache, bez lozinke.

Pretpostavimo da naš CA izdaje pokreće CentOS, pod nazivom subca.example.com, a zahtjevi, ključevi i certifikati nalaze se u direktoriju /etc/pki/tls/.

Izrađujemo sigurnosne kopije i kreiramo privremeni imenik:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Preuzmite certifikate, izvršite to sa svoje radne stanice ili prenesite na neki drugi prikladan način:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Kao rezultat, trebali biste vidjeti sve 3 datoteke:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Instalacija certifikata

Kopirajte datoteke i ažurirajte popise povjerenja:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Dodaj/ažuriraj konfiguracijske datoteke:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Zatim ponovno pokrenite sve zahvaćene usluge:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Spreman! Vrijeme je da se povežete s upraviteljem i provjerite je li veza zaštićena potpisanim SSL certifikatom.

Arhiviranje

Gdje bismo bili bez nje? U ovom odjeljku govorit ćemo o arhiviranju upravitelja; VM arhiviranje je posebna tema. Izrađivat ćemo arhivske kopije jednom dnevno i pohranjivati ​​ih putem NFS-a, na primjer, na istom sustavu gdje smo postavili ISO slike - mynfs1.example.com:/exports/ovirt-backup. Ne preporučuje se pohranjivanje arhiva na isti stroj na kojem je pokrenut Engine.

Instalirajte i omogućite autofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Kreirajmo skriptu:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

sljedeći sadržaj:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Učinite datoteku izvršnom:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Sada ćemo svaku večer primati arhivu postavki upravitelja.

Sučelje za upravljanje hostom

Pilotska kabina — moderno administrativno sučelje za Linux sustave. U ovom slučaju ima ulogu sličnu ESXi web sučelju.

Riža. 3 — izgled ploče.

Instalacija je vrlo jednostavna, potrebni su vam paketi za kokpit i dodatak za kokpit-ovirt-dashboard:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Omogućavanje kokpita:

$ sudo systemctl enable --now cockpit.socket

Postavljanje vatrozida:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Sada se možete spojiti na host: https://[Host IP ili FQDN]:9090

vlans

Trebali biste pročitati više o mrežama u dokumentacija. Postoji mnogo mogućnosti, ovdje ćemo opisati povezivanje virtualnih mreža.

Za povezivanje drugih podmreža, prvo ih je potrebno opisati u konfiguraciji: Mreža -> Mreže -> Nova, ovdje je samo naziv obavezno polje; Potvrdni okvir VM Network, koji dopušta strojevima da koriste ovu mrežu, je omogućen, ali za povezivanje mora biti omogućena oznaka Omogući VLAN označavanje, unesite VLAN broj i kliknite OK.

Sada trebate otići na Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Povucite dodanu mrežu s desne strane Nedodijeljenih logičkih mreža ulijevo u Dodijeljene logičke mreže:

Riža. 4 - prije dodavanja mreže.

Riža. 5 - nakon dodavanja mreže.

Za skupno povezivanje više mreža s hostom, zgodno je dodijeliti im oznaku(e) prilikom stvaranja mreža i dodati mreže po oznakama.

Nakon što je mreža stvorena, hostovi će prijeći u stanje Neoperativno dok se mreža ne doda svim čvorovima u klasteru. Ovo ponašanje uzrokovano je oznakom Zahtijevaj sve na kartici Klaster prilikom stvaranja nove mreže. U slučaju kada mreža nije potrebna na svim čvorovima klastera, ova se zastavica može onemogućiti, a kada se mreža doda hostu, bit će s desne strane u odjeljku Nije potrebno i možete odabrati želite li se povezati to određenom domaćinu.

Riža. 6—odaberite atribut mrežnog zahtjeva.

HPE specifično

Gotovo svi proizvođači imaju alate koji poboljšavaju upotrebljivost njihovih proizvoda. Koristeći HPE kao primjer, korisni su AMS (Usluga upravljanja bez agenta, amsd za iLO5, hp-ams za iLO4) i SSA (Smart Storage Administrator, rad s kontrolerom diska), itd.

Povezivanje HPE repozitorija
Uvozimo ključ i povezujemo HPE repozitorije:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

sljedeći sadržaj:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Pogledajte sadržaj repozitorija i informacije o paketu (za referencu):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Instalacija i pokretanje:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Primjer uslužnog programa za rad s kontrolerom diska

To je sve za sada. U sljedećim člancima planiram govoriti o nekim osnovnim operacijama i primjenama. Na primjer, kako napraviti VDI u oVirtu.

Izvor: www.habr.com