A kényelem érdekében további csomagokat telepítünk:
$ sudo yum install bash-completion vim
A parancs-kiegészítés engedélyezéséhez a bash-befejezéshez bash-ra kell váltani.
További DNS-nevek hozzáadása
Erre akkor lesz szükség, ha más néven (CNAME, álnév vagy csak egy rövid név domain utótag nélkül) kell csatlakoznia a kezelőhöz. Biztonsági okokból a kezelő csak az engedélyezett névlista használatával engedélyezi a kapcsolatokat.
Hozzon létre egy konfigurációs fájlt:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Példa a mester munkájára
$ sudo ovirt-engine-extension-aaa-ldap-setup
Elérhető LDAP implementációk:
...
3 – Active Directory
...
Kérlek, válassz: 3
Adja meg az Active Directory erdő nevét: example.com
Kérjük, válassza ki a használni kívánt protokollt (startTLS, ldaps, sima) [startTLS]:
Kérjük, válassza ki a PEM kódolású CA-tanúsítvány beszerzésének módját (fájl, URL, soron belüli, rendszer, nem biztonságos): URL
URL: wwwca.example.com/myRootCA.pem
Írja be a keresési felhasználó DN-jét (például uid=felhasználónév,dc=example,dc=com vagy hagyja üresen, ha névtelen): CN=oVirt-Engine,CN=Felhasználók,DC=példa,DC=com
Írja be a kereső felhasználói jelszavát: *Jelszó*
[ INFORMÁCIÓ ] Összekötési kísérlet a 'CN=oVirt-Engine,CN=Users,DC=example,DC=com' használatával
Használni fogja az egyszeri bejelentkezést a virtuális gépekhez (igen, nem) [Igen]:
Kérjük, adja meg a felhasználók számára látható profilnevet [example.com]:
Kérjük, adja meg a hitelesítő adatokat a bejelentkezési folyamat teszteléséhez:
Adja meg felhasználónevét: someAnyUser
Adja meg a felhasználói jelszót:
...
[INFO] A bejelentkezési szekvencia sikeresen végrehajtva
...
Válassza ki a végrehajtandó tesztsorozatot (Kész, Megszakítás, Bejelentkezés, Keresés) [Kész]:
[INFO] Szakasz: Tranzakció beállítása
...
KONFIGURÁCIÓS ÖSSZEFOGLALÓ
...
A varázsló használata a legtöbb esetben megfelelő. Összetett konfigurációk esetén a beállításokat manuálisan kell végrehajtani. További részletek az oVirt dokumentációjában, Felhasználók és szerepek. Miután sikeresen csatlakoztatta a motort az AD-hez, egy további profil jelenik meg a csatlakozási ablakban és a fülön Engedélyek A rendszerobjektumok képesek engedélyeket adni az AD-felhasználóknak és -csoportoknak. Megjegyzendő, hogy a felhasználók és csoportok külső könyvtára nem csak AD lehet, hanem IPA, eDirectory stb.
Többutas
Éles környezetben a tárolórendszert több független, több I/O útvonalon keresztül kell csatlakoztatni a gazdagéphez. Általános szabály, hogy a CentOS-ben (és így az oVirtben) nincs probléma több útvonal összeállításával egy eszközhöz (find_multipaths yes). Az FCoE további beállításai be vannak írva 2. rész. Érdemes odafigyelni a tárolórendszer gyártójának ajánlására - sokan a körbe-körözési szabályzatot javasolják, de az Enterprise Linux 7-ben alapértelmezés szerint a szervizidő használatos.
Rizs. Az 1 az alapértelmezett többszörös I/O házirend.
Rizs. 2 - több I/O házirend a beállítások alkalmazása után.
Az energiagazdálkodás beállítása
Lehetővé teszi például a gép hardveres alaphelyzetbe állítását, ha a motor hosszú ideig nem tud választ kapni a gazdagéptől. Kerítésügynökön keresztül valósul meg.
Számítás -> Gazdagépek -> HOST - Szerkesztés -> Energiagazdálkodás, majd engedélyezze az "Energiagazdálkodás engedélyezése" lehetőséget, és adjon hozzá egy ügynököt - "Kerítési ügynök hozzáadása" -> +.
Jelöljük a típust (például az iLO5-nél meg kell adni az ilo4-et), az ipmi interfész nevét/címét, valamint a felhasználónevet/jelszót. Javasoljuk, hogy hozzon létre egy külön felhasználót (például oVirt-PM), és iLO esetén adjon neki jogosultságokat:
Bejelentkezés
Távoli konzol
Virtuális tápellátás és visszaállítás
Virtuális média
Konfigurálja az iLO beállításait
Felhasználói fiókok adminisztrálása
Ne kérdezd, miért van ez így, empirikusan választották ki. A konzolos kerítésügynök kevesebb jogot igényel.
A hozzáférés-vezérlési listák felállításakor szem előtt kell tartani, hogy az ügynök nem a motoron fut, hanem egy „szomszédos” gazdagépen (az úgynevezett Power Management Proxy-n), azaz ha csak egy csomópont van a fürtben, az energiagazdálkodás működni fog nem fogja.
SSL beállítása
Teljes hivatalos útmutatás - be dokumentáció, D függelék: oVirt és SSL – Az oVirt Engine SSL/TLS tanúsítvány cseréje.
A tanúsítvány a vállalati CA-tól vagy egy külső kereskedelmi tanúsító hatóságtól származhat.
Fontos megjegyzés: A tanúsítvány a menedzserhez való csatlakozásra szolgál, és nem befolyásolja a motor és a csomópontok közötti kommunikációt - az Engine által kiadott önaláírt tanúsítványokat fogják használni.
követelmények:
a kibocsátó hitelesítésszolgáltató tanúsítványa PEM formátumban, a teljes lánccal a gyökér CA-ig (a kiállító alárendelt CA-tól az elején a gyökérig);
a kibocsátó CA által kiadott Apache tanúsítvány (kiegészülve a CA tanúsítványok teljes láncával is);
privát kulcs Apache-hoz, jelszó nélkül.
Tegyük fel, hogy a kibocsátó hitelesítésszolgáltatónk CentOS-t futtat, melynek neve subca.example.com, és a kérések, kulcsok és tanúsítványok az /etc/pki/tls/ könyvtárban találhatók.
Biztonsági mentést készítünk és ideiglenes könyvtárat készítünk:
Kész! Itt az ideje, hogy csatlakozzon a kezelőhöz, és ellenőrizze, hogy a kapcsolatot aláírt SSL-tanúsítvány védi-e.
archiválás
Hol lennénk nélküle? Ebben a részben a menedzser archiválásról lesz szó, a virtuális gépek archiválása külön téma. Naponta egyszer készítünk archív másolatokat, és tároljuk őket például NFS-en keresztül ugyanabban a rendszerben, ahol az ISO-képeket is elhelyeztük - mynfs1.example.com:/exports/ovirt-backup. Nem ajánlott az archívumokat ugyanazon a gépen tárolni, ahol a motor fut.
Most már csatlakozhat a gazdagéphez: https://[Host IP vagy FQDN]:9090
VLAN
A hálózatokról itt érdemes többet olvasni dokumentáció. Számos lehetőség van, itt a virtuális hálózatok összekapcsolását írjuk le.
Más alhálózatok csatlakoztatásához először le kell írni azokat a konfigurációban: Hálózat -> Hálózatok -> Új, itt csak a név kötelező mező; A virtuálisgép-hálózat jelölőnégyzet, amely lehetővé teszi a gépek számára a hálózat használatát, engedélyezve van, de a címke csatlakoztatásához engedélyezni kell VLAN-címkézés engedélyezése, írja be a VLAN-számot, és kattintson az OK gombra.
Most el kell mennie a Számítógépek -> Gazdagépek -> kvmNN -> Hálózati interfészek -> Hosthálózatok beállítása menüpontra. Húzza a hozzáadott hálózatot a Hozzárendelt logikai hálózatok jobb oldaláról balra a Hozzárendelt logikai hálózatokba:
Rizs. 4 - a hálózat hozzáadása előtt.
Rizs. 5 - hálózat hozzáadása után.
Ha több hálózatot szeretne tömegesen csatlakoztatni egy gazdagéphez, célszerű címkéket rendelni hozzájuk a hálózatok létrehozásakor, és a hálózatokat címkékkel kell hozzáadni.
A hálózat létrehozása után a gazdagépek nem működő állapotba kerülnek, amíg a hálózatot hozzá nem adják a fürt összes csomópontjához. Ezt a viselkedést az Új hálózat létrehozásakor a Fürt lapon lévő Minden megkövetelése jelző okozza. Abban az esetben, ha nincs szükség a hálózatra a fürt összes csomópontján, ez a jelző letiltható, majd amikor a hálózatot hozzáadjuk egy gazdagéphez, a jobb oldalon lesz a Nem szükséges részben, és kiválaszthatja, hogy csatlakozik-e egy adott gazdagéphez.
Rizs. 6 – válasszon egy hálózati követelmény attribútumot.
HPE specifikus
Szinte minden gyártó rendelkezik olyan eszközökkel, amelyek javítják termékei használhatóságát. A HPE példájaként hasznosak az AMS (ügynök nélküli felügyeleti szolgáltatás, amsd az iLO5-höz, hp-ams az iLO4-hez) és az SSA (Smart Storage Administrator, lemezvezérlővel dolgozó) stb.
A HPE adattár csatlakoztatása
Importáljuk a kulcsot és csatlakoztatjuk a HPE-tárolókat:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo