oVirt 2 óra múlva. 3. rész További beállítások

Ebben a cikkben számos opcionális, de hasznos beállítást fogunk megvizsgálni:

• további nevek használatával a menedzser számára;
• hitelesítés csatlakoztatása Active Directoryon keresztül;
• Mutlippathing;
• energiagazdálkodás;
• SSL tanúsítvány cseréje;
• archiválás;
• gazdagép kezelési felület (pilótafülke);
• VLAN;
• HPE specifikus.

Ez a cikk a folytatás, kezdésnek lásd az oVirt 2 óra múlva Часть 1 и Part 2.

Cikkek

1. Bevezetés
2. A menedzser (ovirt-engine) és a hypervisorok (hostok) telepítése
3. További beállítások – Itt vagyunk

További kezelői beállítások

A kényelem érdekében további csomagokat telepítünk:

$ sudo yum install bash-completion vim

A parancs-kiegészítés engedélyezéséhez a bash-befejezéshez bash-ra kell váltani.

További DNS-nevek hozzáadása

Erre akkor lesz szükség, ha más néven (CNAME, álnév vagy csak egy rövid név domain utótag nélkül) kell csatlakoznia a kezelőhöz. Biztonsági okokból a kezelő csak az engedélyezett névlista használatával engedélyezi a kapcsolatokat.

Hozzon létre egy konfigurációs fájlt:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

a következő tartalom:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

és indítsa újra a kezelőt:

$ sudo systemctl restart ovirt-engine

Hitelesítés beállítása AD-n keresztül

Az oVirt beépített felhasználói bázissal rendelkezik, de külső LDAP szolgáltatók is támogatottak, pl. HIRDETÉS.

Egy tipikus konfiguráció legegyszerűbb módja a varázsló elindítása és a kezelő újraindítása:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Példa a mester munkájára
$ sudo ovirt-engine-extension-aaa-ldap-setup
Elérhető LDAP implementációk:
...
3 – Active Directory
...
Kérlek, válassz: 3
Adja meg az Active Directory erdő nevét: example.com

Kérjük, válassza ki a használni kívánt protokollt (startTLS, ldaps, sima) [startTLS]:
Kérjük, válassza ki a PEM kódolású CA-tanúsítvány beszerzésének módját (fájl, URL, soron belüli, rendszer, nem biztonságos): URL
URL: wwwca.example.com/myRootCA.pem
Írja be a keresési felhasználó DN-jét (például uid=felhasználónév,dc=example,dc=com vagy hagyja üresen, ha névtelen): CN=oVirt-Engine,CN=Felhasználók,DC=példa,DC=com
Írja be a kereső felhasználói jelszavát: *Jelszó*
[ INFORMÁCIÓ ] Összekötési kísérlet a 'CN=oVirt-Engine,CN=Users,DC=example,DC=com' használatával
Használni fogja az egyszeri bejelentkezést a virtuális gépekhez (igen, nem) [Igen]:
Kérjük, adja meg a felhasználók számára látható profilnevet [example.com]:
Kérjük, adja meg a hitelesítő adatokat a bejelentkezési folyamat teszteléséhez:
Adja meg felhasználónevét: someAnyUser
Adja meg a felhasználói jelszót:
...
[INFO] A bejelentkezési szekvencia sikeresen végrehajtva
...
Válassza ki a végrehajtandó tesztsorozatot (Kész, Megszakítás, Bejelentkezés, Keresés) [Kész]:
[INFO] Szakasz: Tranzakció beállítása
...
KONFIGURÁCIÓS ÖSSZEFOGLALÓ
...

A varázsló használata a legtöbb esetben megfelelő. Összetett konfigurációk esetén a beállításokat manuálisan kell végrehajtani. További részletek az oVirt dokumentációjában, Felhasználók és szerepek. Miután sikeresen csatlakoztatta a motort az AD-hez, egy további profil jelenik meg a csatlakozási ablakban és a fülön Engedélyek A rendszerobjektumok képesek engedélyeket adni az AD-felhasználóknak és -csoportoknak. Megjegyzendő, hogy a felhasználók és csoportok külső könyvtára nem csak AD lehet, hanem IPA, eDirectory stb.

Többutas

Éles környezetben a tárolórendszert több független, több I/O útvonalon keresztül kell csatlakoztatni a gazdagéphez. Általános szabály, hogy a CentOS-ben (és így az oVirtben) nincs probléma több útvonal összeállításával egy eszközhöz (find_multipaths yes). Az FCoE további beállításai be vannak írva 2. rész. Érdemes odafigyelni a tárolórendszer gyártójának ajánlására - sokan a körbe-körözési szabályzatot javasolják, de az Enterprise Linux 7-ben alapértelmezés szerint a szervizidő használatos.

Példaként a 3PAR használatával
és dokumentálni HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux és OracleVM Server Implementation Guide Az EL Hostként jön létre a Generic-ALUA Persona 2-vel, amelyhez a következő értékek kerülnek be az /etc/multipath.conf beállításokba:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Ezután az újraindítási parancsot adjuk ki:

systemctl restart multipathd

Rizs. Az 1 az alapértelmezett többszörös I/O házirend.

Rizs. 2 - több I/O házirend a beállítások alkalmazása után.

Az energiagazdálkodás beállítása

Lehetővé teszi például a gép hardveres alaphelyzetbe állítását, ha a motor hosszú ideig nem tud választ kapni a gazdagéptől. Kerítésügynökön keresztül valósul meg.

Számítás -> Gazdagépek -> HOST - Szerkesztés -> Energiagazdálkodás, majd engedélyezze az "Energiagazdálkodás engedélyezése" lehetőséget, és adjon hozzá egy ügynököt - "Kerítési ügynök hozzáadása" -> +.

Jelöljük a típust (például az iLO5-nél meg kell adni az ilo4-et), az ipmi interfész nevét/címét, valamint a felhasználónevet/jelszót. Javasoljuk, hogy hozzon létre egy külön felhasználót (például oVirt-PM), és iLO esetén adjon neki jogosultságokat:

• Bejelentkezés
• Távoli konzol
• Virtuális tápellátás és visszaállítás
• Virtuális média
• Konfigurálja az iLO beállításait
• Felhasználói fiókok adminisztrálása

Ne kérdezd, miért van ez így, empirikusan választották ki. A konzolos kerítésügynök kevesebb jogot igényel.

A hozzáférés-vezérlési listák felállításakor szem előtt kell tartani, hogy az ügynök nem a motoron fut, hanem egy „szomszédos” gazdagépen (az úgynevezett Power Management Proxy-n), azaz ha csak egy csomópont van a fürtben, az energiagazdálkodás működni fog nem fogja.

SSL beállítása

Teljes hivatalos útmutatás - be dokumentáció, D függelék: oVirt és SSL – Az oVirt Engine SSL/TLS tanúsítvány cseréje.

A tanúsítvány a vállalati CA-tól vagy egy külső kereskedelmi tanúsító hatóságtól származhat.

Fontos megjegyzés: A tanúsítvány a menedzserhez való csatlakozásra szolgál, és nem befolyásolja a motor és a csomópontok közötti kommunikációt - az Engine által kiadott önaláírt tanúsítványokat fogják használni.

követelmények:

• a kibocsátó hitelesítésszolgáltató tanúsítványa PEM formátumban, a teljes lánccal a gyökér CA-ig (a kiállító alárendelt CA-tól az elején a gyökérig);
• a kibocsátó CA által kiadott Apache tanúsítvány (kiegészülve a CA tanúsítványok teljes láncával is);
• privát kulcs Apache-hoz, jelszó nélkül.

Tegyük fel, hogy a kibocsátó hitelesítésszolgáltatónk CentOS-t futtat, melynek neve subca.example.com, és a kérések, kulcsok és tanúsítványok az /etc/pki/tls/ könyvtárban találhatók.

Biztonsági mentést készítünk és ideiglenes könyvtárat készítünk:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Töltse le a tanúsítványokat, hajtsa végre a munkaállomásról, vagy vigye át más kényelmes módon:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Ennek eredményeként mind a 3 fájlt látnia kell:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Tanúsítványok telepítése

Másolja ki a fájlokat és frissítse a megbízhatósági listákat:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Konfigurációs fájlok hozzáadása/frissítése:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Ezután indítsa újra az összes érintett szolgáltatást:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Kész! Itt az ideje, hogy csatlakozzon a kezelőhöz, és ellenőrizze, hogy a kapcsolatot aláírt SSL-tanúsítvány védi-e.

archiválás

Hol lennénk nélküle? Ebben a részben a menedzser archiválásról lesz szó, a virtuális gépek archiválása külön téma. Naponta egyszer készítünk archív másolatokat, és tároljuk őket például NFS-en keresztül ugyanabban a rendszerben, ahol az ISO-képeket is elhelyeztük - mynfs1.example.com:/exports/ovirt-backup. Nem ajánlott az archívumokat ugyanazon a gépen tárolni, ahol a motor fut.

Az autof telepítése és engedélyezése:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Hozzunk létre egy szkriptet:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

a következő tartalom:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

A fájl futtathatóvá tétele:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Mostantól minden este megkapjuk a kezelői beállítások archívumát.

Gazdakezelő felület

Pilótafülke — modern adminisztrációs felület Linux rendszerek számára. Ebben az esetben az ESXi webes felületéhez hasonló szerepet tölt be.

Rizs. 3 – a panel megjelenése.

A telepítés nagyon egyszerű, szükség van a pilótafülke-csomagokra és a cockpit-ovirt-dashboard bővítményre:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Pilótafülke engedélyezése:

$ sudo systemctl enable --now cockpit.socket

Tűzfal beállítása:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Most már csatlakozhat a gazdagéphez: https://[Host IP vagy FQDN]:9090

VLAN

A hálózatokról itt érdemes többet olvasni dokumentáció. Számos lehetőség van, itt a virtuális hálózatok összekapcsolását írjuk le.

Más alhálózatok csatlakoztatásához először le kell írni azokat a konfigurációban: Hálózat -> Hálózatok -> Új, itt csak a név kötelező mező; A virtuálisgép-hálózat jelölőnégyzet, amely lehetővé teszi a gépek számára a hálózat használatát, engedélyezve van, de a címke csatlakoztatásához engedélyezni kell VLAN-címkézés engedélyezése, írja be a VLAN-számot, és kattintson az OK gombra.

Most el kell mennie a Számítógépek -> Gazdagépek -> kvmNN -> Hálózati interfészek -> Hosthálózatok beállítása menüpontra. Húzza a hozzáadott hálózatot a Hozzárendelt logikai hálózatok jobb oldaláról balra a Hozzárendelt logikai hálózatokba:

Rizs. 4 - a hálózat hozzáadása előtt.

Rizs. 5 - hálózat hozzáadása után.

Ha több hálózatot szeretne tömegesen csatlakoztatni egy gazdagéphez, célszerű címkéket rendelni hozzájuk a hálózatok létrehozásakor, és a hálózatokat címkékkel kell hozzáadni.

A hálózat létrehozása után a gazdagépek nem működő állapotba kerülnek, amíg a hálózatot hozzá nem adják a fürt összes csomópontjához. Ezt a viselkedést az Új hálózat létrehozásakor a Fürt lapon lévő Minden megkövetelése jelző okozza. Abban az esetben, ha nincs szükség a hálózatra a fürt összes csomópontján, ez a jelző letiltható, majd amikor a hálózatot hozzáadjuk egy gazdagéphez, a jobb oldalon lesz a Nem szükséges részben, és kiválaszthatja, hogy csatlakozik-e egy adott gazdagéphez.

Rizs. 6 – válasszon egy hálózati követelmény attribútumot.

HPE specifikus

Szinte minden gyártó rendelkezik olyan eszközökkel, amelyek javítják termékei használhatóságát. A HPE példájaként hasznosak az AMS (ügynök nélküli felügyeleti szolgáltatás, amsd az iLO5-höz, hp-ams az iLO4-hez) és az SSA (Smart Storage Administrator, lemezvezérlővel dolgozó) stb.

A HPE adattár csatlakoztatása
Importáljuk a kulcsot és csatlakoztatjuk a HPE-tárolókat:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

a következő tartalom:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

A tár tartalmának és a csomaginformációk megtekintése (referenciaként):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Telepítés és indítás:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Példa a lemezvezérlővel végzett munka segédprogramjára

Ez minden most. A következő cikkekben néhány alapvető műveletről és alkalmazásról szeretnék beszélni. Például, hogyan készítsünk VDI-t az oVirtben.

Forrás: will.com