Radi praktičnosti, instalirat ćemo dodatne pakete:
$ sudo yum install bash-completion vim
Da bi se omogućilo dovršavanje naredbi, bash-dovršavanje zahtijeva prebacivanje na bash.
Dodavanje dodatnih DNS imena
Ovo će biti potrebno kada se trebate povezati s upraviteljem koristeći alternativno ime (CNAME, alias ili samo kratko ime bez sufiksa domene). Iz sigurnosnih razloga, upravitelj dopušta veze samo korištenjem dopuštenog popisa imena.
Napravite konfiguracijsku datoteku:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Primjer magistarskog rada
$ sudo ovirt-proširenje-motora-aaa-ldap-postavljanje
Dostupne LDAP implementacije:
...
3 - Active Directory
...
Molimo izaberite: 3
Unesite naziv šume Active Directory: example.com
Odaberite protokol za korištenje (startTLS, ldaps, plain) [startTLS]:
Odaberite metodu za dobivanje PEM kodiranog CA certifikata (Datoteka, URL, Inline, Sustav, Nesiguran): URL
URL: wwwca.example.com/myRootCA.pem
Unesite DN korisnika za pretraživanje (na primjer uid=username,dc=example,dc=com ili ostavite prazno za anonimno): CN=oVirt-Engine,CN=Korisnici,DC=primjer,DC=com
Unesite korisničku lozinku za pretraživanje: *lozinka*
[ INFO ] Pokušaj vezanja pomoću 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Hoćete li koristiti jedinstvenu prijavu za virtualne strojeve (Da, Ne) [Da]:
Navedite naziv profila koji će biti vidljiv korisnicima [example.com]:
Unesite vjerodajnice za testiranje tijeka prijave:
Unesite korisničko ime: someAnyUser
Unesite korisničku lozinku:
...
[INFO] Slijed prijave uspješno je izvršen
...
Odaberite niz testova za izvršenje (Gotovo, Prekid, Prijava, Pretraživanje) [Gotovo]:
[INFO] Faza: Postavljanje transakcije
...
SAŽETAK KONFIGURACIJE
...
Korištenje čarobnjaka prikladno je za većinu slučajeva. Za složene konfiguracije, postavke se izvode ručno. Više detalja u oVirt dokumentaciji, Korisnici i uloge. Nakon uspješnog povezivanja Enginea s AD-om, pojavit će se dodatni profil u prozoru za povezivanje i na kartici Dozvole Objekti sustava imaju mogućnost davanja dopuštenja AD korisnicima i grupama. Treba napomenuti da vanjski imenik korisnika i grupa može biti ne samo AD, već i IPA, eDirectory itd.
Višestruki put
U proizvodnom okruženju, sustav za pohranu mora biti povezan s glavnim računalom preko više neovisnih, višestrukih I/O putova. U pravilu u CentOS-u (a samim time i oVirt-u) nema problema s sklapanjem više staza do uređaja (find_multipaths da). Dodatne postavke za FCoE su zapisane u 2. dio. Vrijedno je obratiti pozornost na preporuku proizvođača sustava za pohranu - mnogi preporučuju korištenje kružne politike, ali prema zadanim postavkama u Enterprise Linuxu 7 koristi se servisno vrijeme.
Riža. 2 - politika višestrukih I/O nakon primjene postavki.
Postavljanje upravljanja napajanjem
Omogućuje vam izvođenje, na primjer, hardverskog resetiranja stroja ako Engine ne može primiti odgovor od glavnog računala dulje vrijeme. Implementirano putem Fence Agenta.
Označavamo tip (na primjer, za iLO5 morate navesti ilo4), naziv/adresu ipmi sučelja, kao i korisničko ime/lozinku. Preporuča se kreirati zasebnog korisnika (na primjer, oVirt-PM) i, u slučaju iLO-a, dati mu privilegije:
Prijava
Udaljena konzola
Virtualno napajanje i resetiranje
Virtualni mediji
Konfigurirajte iLO postavke
Administriranje korisničkih računa
Ne pitajte zašto je to tako, odabrano je empirijski. Agent za ograđivanje konzole zahtijeva manje prava.
Prilikom postavljanja popisa kontrole pristupa, trebali biste imati na umu da agent ne radi na motoru, već na "susjednom" hostu (tzv. Power Management Proxy), tj. ako postoji samo jedan čvor u klasteru, upravljanje napajanjem će raditi neće.
Postavljanje SSL-a
Potpune službene upute - u dokumentacija, Dodatak D: oVirt i SSL — Zamjena SSL/TLS certifikata oVirt Enginea.
Certifikat može biti ili od našeg korporativnog CA ili od vanjskog komercijalnog tijela za izdavanje certifikata.
Važna napomena: Certifikat je namijenjen za povezivanje s upraviteljem i neće utjecati na komunikaciju između Enginea i čvorova - oni će koristiti samopotpisane certifikate koje izdaje Engine.
Zahtjevi:
certifikat CA izdavatelja u PEM formatu, s cijelim lancem do korijenskog CA (od podređenog CA izdavatelja na početku do korijenskog na kraju);
certifikat za Apache koji je izdao CA izdavatelj (također dopunjen cijelim lancem CA certifikata);
privatni ključ za Apache, bez lozinke.
Pretpostavimo da naš CA izdaje pokreće CentOS, pod nazivom subca.example.com, a zahtjevi, ključevi i certifikati nalaze se u direktoriju /etc/pki/tls/.
Izrađujemo sigurnosne kopije i kreiramo privremeni imenik:
Spreman! Vrijeme je da se povežete s upraviteljem i provjerite je li veza zaštićena potpisanim SSL certifikatom.
Arhiviranje
Gdje bismo bili bez nje? U ovom odjeljku govorit ćemo o arhiviranju upravitelja; VM arhiviranje je posebna tema. Izrađivat ćemo arhivske kopije jednom dnevno i pohranjivati ih putem NFS-a, na primjer, na istom sustavu gdje smo postavili ISO slike - mynfs1.example.com:/exports/ovirt-backup. Ne preporučuje se pohranjivanje arhiva na isti stroj na kojem je pokrenut Engine.
Sada se možete spojiti na host: https://[Host IP ili FQDN]:9090
vlans
Trebali biste pročitati više o mrežama u dokumentacija. Postoji mnogo mogućnosti, ovdje ćemo opisati povezivanje virtualnih mreža.
Za povezivanje drugih podmreža, prvo ih je potrebno opisati u konfiguraciji: Mreža -> Mreže -> Nova, ovdje je samo naziv obavezno polje; Potvrdni okvir VM Network, koji dopušta strojevima da koriste ovu mrežu, je omogućen, ali za povezivanje mora biti omogućena oznaka Omogući VLAN označavanje, unesite VLAN broj i kliknite OK.
Sada trebate otići na Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Povucite dodanu mrežu s desne strane Nedodijeljenih logičkih mreža ulijevo u Dodijeljene logičke mreže:
Riža. 4 - prije dodavanja mreže.
Riža. 5 - nakon dodavanja mreže.
Za skupno povezivanje više mreža s hostom, zgodno je dodijeliti im oznaku(e) prilikom stvaranja mreža i dodati mreže po oznakama.
Nakon što je mreža stvorena, hostovi će prijeći u stanje Neoperativno dok se mreža ne doda svim čvorovima u klasteru. Ovo ponašanje uzrokovano je oznakom Zahtijevaj sve na kartici Klaster prilikom stvaranja nove mreže. U slučaju kada mreža nije potrebna na svim čvorovima klastera, ova se zastavica može onemogućiti, a kada se mreža doda hostu, bit će s desne strane u odjeljku Nije potrebno i možete odabrati želite li se povezati to određenom domaćinu.
Riža. 6—odaberite atribut mrežnog zahtjeva.
HPE specifično
Gotovo svi proizvođači imaju alate koji poboljšavaju upotrebljivost njihovih proizvoda. Koristeći HPE kao primjer, korisni su AMS (Usluga upravljanja bez agenta, amsd za iLO5, hp-ams za iLO4) i SSA (Smart Storage Administrator, rad s kontrolerom diska), itd.
Povezivanje HPE repozitorija
Uvozimo ključ i povezujemo HPE repozitorije:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo