Հարմարության համար մենք կտեղադրենք լրացուցիչ փաթեթներ.
$ sudo yum install bash-completion vim
Հրամանի ավարտը միացնելու համար bash-completion-ը պահանջում է անցնել bash-ի:
Լրացուցիչ DNS անունների ավելացում
Սա կպահանջվի, երբ դուք պետք է միանաք կառավարչին՝ օգտագործելով այլընտրանքային անուն (CNAME, կեղծանուն կամ պարզապես կարճ անուն առանց տիրույթի վերջածանցի): Անվտանգության նկատառումներից ելնելով, կառավարիչը թույլ է տալիս կապեր հաստատել միայն անունների թույլատրված ցանկի միջոցով:
Ստեղծեք կազմաձևման ֆայլ.
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Վարպետի աշխատանքի օրինակ
$ sudo ovirt-engine-extension-aaa-ldap-setup
Հասանելի LDAP իրականացումներ.
...
3 - Active Directory
...
Խնդրում ենք ընտրել՝ 3
Խնդրում ենք մուտքագրել Active Directory Forest անունը. example.com
Խնդրում ենք ընտրել օգտագործման արձանագրությունը (startTLS, ldaps, պարզ) [startTLS]:
Խնդրում ենք ընտրել PEM կոդավորված CA վկայական ստանալու եղանակը (Ֆայլ, URL, Ներդիր, Համակարգ, Անապահով). URL
URL: wwwca.example.com/myRootCA.pem
Մուտքագրեք որոնման օգտվողի DN-ն (օրինակ՝ uid=username,dc=example,dc=com կամ թողեք դատարկ՝ անանունի համար): CN=oVirt-Շարժիչ,CN=Օգտագործողներ,DC=օրինակ,DC=com
Մուտքագրեք որոնման օգտվողի գաղտնաբառը. *գաղտնաբառ*
[ INFO ] Փորձում ենք կապել՝ օգտագործելով 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Պատրաստվու՞մ եք օգտագործել Single Sign-On վիրտուալ մեքենաների համար (Այո, Ոչ) [Այո]:
Խնդրում ենք նշել պրոֆիլի անունը, որը տեսանելի կլինի օգտատերերին [example.com]:
Խնդրում ենք տրամադրել հավատարմագրեր՝ մուտքի հոսքը ստուգելու համար.
Մուտքագրեք օգտվողի անունը. someAnyUser
Մուտքագրեք օգտվողի գաղտնաբառը.
...
[INFO] Մուտքի հաջորդականությունը հաջողությամբ կատարվեց
...
Ընտրեք փորձարկման հաջորդականությունը կատարման համար (Կատարված, դադարեցված, Մուտք, Որոնում) [Կատարած]:
[INFO] Փուլ. Գործարքի կարգավորում
...
ԿԱԶՄԱՎՈՐՄԱՆ ԱՄՓՈՓՈՒՄ
...
Վիզարդի օգտագործումը հարմար է շատ դեպքերում: Բարդ կոնֆիգուրացիաների համար կարգավորումները կատարվում են ձեռքով: Լրացուցիչ մանրամասներ oVirt փաստաթղթերում, Օգտագործողները և դերերը. Շարժիչը AD-ին հաջողությամբ միացնելուց հետո միացման պատուհանում և ներդիրում կհայտնվի լրացուցիչ պրոֆիլ Թույլտվությունները Համակարգի օբյեկտներն ունեն AD օգտվողներին և խմբերին թույլտվություններ տրամադրելու հնարավորություն: Նշենք, որ օգտատերերի և խմբերի արտաքին գրացուցակը կարող է լինել ոչ միայն AD, այլ նաև IPA, eDirectory և այլն։
Բազմաբնակարան ճանապարհ
Արտադրական միջավայրում պահեստավորման համակարգը պետք է միացված լինի հոսթին բազմաթիվ անկախ, բազմաթիվ I/O ուղիների միջոցով: Որպես կանոն, CentOS-ում (և հետևաբար oVirt-ում) որևէ սարքի մի քանի ուղիներ հավաքելու հետ կապված խնդիրներ չկան (find_multipaths այո): FCoE-ի լրացուցիչ կարգավորումները գրված են 2-րդ մաս. Արժե ուշադրություն դարձնել պահեստավորման համակարգի արտադրողի առաջարկությանը. շատերը խորհուրդ են տալիս օգտագործել շրջանաձև քաղաքականությունը, բայց Enterprise Linux-ում լռելյայնորեն օգտագործվում է ծառայության ժամանակը:
Բրինձ. 1-ը լռելյայն բազմակի I/O քաղաքականություն է:
Բրինձ. 2 - մի քանի I/O քաղաքականություն կարգավորումները կիրառելուց հետո:
Էլեկտրաէներգիայի կառավարման կարգավորում
Թույլ է տալիս կատարել, օրինակ, սարքի ապարատային վերականգնում, եթե Շարժիչը երկար ժամանակ չի կարող պատասխան ստանալ Հոսթից: Իրականացվում է Fence Agent-ի միջոցով:
Հաշվել -> Հոսթներ -> ՏՈՒՆ — Խմբագրել -> Էներգիայի կառավարում, ապա միացնել «Միացնել էներգիայի կառավարումը» և ավելացնել գործակալ — «Ավելացնել ցանկապատի գործակալ» -> +.
Մենք նշում ենք տեսակը (օրինակ, iLO5-ի համար անհրաժեշտ է նշել ilo4), ipmi ինտերֆեյսի անունը/հասցեն, ինչպես նաև օգտագործողի անունը/գաղտնաբառը։ Խորհուրդ է տրվում ստեղծել առանձին օգտատեր (օրինակ՝ oVirt-PM) և iLO-ի դեպքում նրան արտոնություններ տալ.
Մուտք
Հեռակառավարման վահանակ
Վիրտուալ սնուցում և վերակայում
Վիրտուալ մեդիա
Կարգավորեք iLO-ի կարգավորումները
Կառավարեք օգտվողների հաշիվները
Մի հարցրեք, թե ինչու է դա այդպես, այն ընտրվել է էմպիրիկորեն: Վահանակով սուսերամարտի գործակալը պահանջում է ավելի քիչ իրավունքներ:
Մուտքի վերահսկման ցուցակները կարգավորելիս պետք է հիշել, որ գործակալն աշխատում է ոչ թե շարժիչով, այլ «հարևան» հոսթով (այսպես կոչված՝ Power Management Proxy), այսինքն՝ եթե կլաստերում կա միայն մեկ հանգույց, էներգիայի կառավարումը կաշխատի չի լինի.
SSL-ի կարգավորում
Ամբողջական պաշտոնական հրահանգները՝ մուտքագրված փաստաթղթավորում, Հավելված D. oVirt և SSL — oVirt Engine SSL/TLS վկայագրի փոխարինում:
Վկայագիրը կարող է լինել կամ մեր կորպորատիվ CA-ից կամ արտաքին առևտրային հավաստագրման մարմնից:
Կարևոր նշում. Վկայագիրը նախատեսված է կառավարչի հետ միանալու համար և չի ազդի Շարժիչի և հանգույցների միջև հաղորդակցության վրա. նրանք կօգտագործեն Շարժիչի կողմից տրված ինքնաստորագրված վկայագրեր:
պահանջները:
թողարկող CA-ի վկայականը PEM ձևաչափով, ամբողջ շղթայով մինչև CA արմատը (սկզբում ստորադաս թողարկող CA-ից մինչև արմատը վերջում).
թողարկող CA-ի կողմից տրված սերտիֆիկատ Apache-ի համար (նաև լրացվում է CA վկայագրերի ամբողջ շղթայով);
անձնական բանալի Apache-ի համար՝ առանց գաղտնաբառի:
Ենթադրենք, որ մեր թողարկող CA-ն աշխատում է CentOS-ով, որը կոչվում է subca.example.com, և հարցումները, բանալիներն ու վկայագրերը գտնվում են /etc/pki/tls/ գրացուցակում:
Մենք կատարում ենք կրկնօրինակում և ստեղծում ժամանակավոր գրացուցակ.
Պատրաստ. Ժամանակն է միանալ մենեջերին և ստուգել, որ կապը պաշտպանված է ստորագրված SSL վկայականով:
Արխիվացում
Որտե՞ղ կլինեինք մենք առանց նրա: Այս բաժնում մենք կխոսենք մենեջերի արխիվացման մասին, VM-ի արխիվացումը առանձին խնդիր է: Մենք արխիվային պատճեններ կստեղծենք օրական մեկ անգամ և կպահենք դրանք NFS-ի միջոցով, օրինակ, նույն համակարգում, որտեղ տեղադրեցինք ISO պատկերները՝ mynfs1.example.com:/exports/ovirt-backup: Խորհուրդ չի տրվում արխիվները պահել նույն մեքենայի վրա, որտեղ աշխատում է Շարժիչը:
Այժմ դուք կարող եք միանալ հոսթին՝ https://[Host IP or FQDN]:9090
VLAN- ներ
Դուք պետք է ավելին կարդաք ցանցերի մասին փաստաթղթավորում. Շատ հնարավորություններ կան, այստեղ մենք նկարագրելու ենք վիրտուալ ցանցերի միացումը:
Այլ ենթացանցերը միացնելու համար դրանք նախ պետք է նկարագրվեն կոնֆիգուրացիայի մեջ՝ Ցանց -> Ցանցեր -> Նոր, այստեղ միայն անունը պարտադիր դաշտ է; VM Network վանդակը, որը թույլ է տալիս մեքենաներին օգտագործել այս ցանցը, միացված է, բայց միացնելու համար պիտակը պետք է միացված լինի: Միացնել VLAN հատկորոշումը, մուտքագրեք VLAN համարը և սեղմեք OK:
Այժմ դուք պետք է գնաք Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks: Քաշեք ավելացված ցանցը չնշանակված տրամաբանական ցանցերի աջ կողմից դեպի ձախ՝ նշանակված տրամաբանական ցանցերի մեջ.
Բրինձ. 4 - ցանց ավելացնելուց առաջ:
Բրինձ. 5 - ցանց ավելացնելուց հետո:
Բազմաթիվ ցանցեր հոսթին զանգվածաբար միացնելու համար հարմար է ցանցեր ստեղծելիս պիտակ(ներ) նշանակել նրանց և ցանցեր ավելացնել ըստ պիտակների:
Ցանցի ստեղծումից հետո հոսթները կմտնեն ոչ գործառնական վիճակ, մինչև ցանցը ավելացվի կլաստերի բոլոր հանգույցներին: Այս վարքագիծը պայմանավորված է Cluster ներդիրի Require All դրոշով նոր ցանց ստեղծելիս: Այն դեպքում, երբ ցանցն անհրաժեշտ չէ կլաստերի բոլոր հանգույցներին, այս դրոշը կարող է անջատվել, այնուհետև, երբ ցանցն ավելացվի հոսթին, այն կլինի աջ կողմում՝ «Չպահանջվող» բաժնում, և դուք կարող եք ընտրել՝ արդյոք միանալ: այն կոնկրետ հյուրընկալողին:
Բրինձ. 6 — ընտրեք ցանցի պահանջի հատկանիշ:
HPE հատուկ
Գրեթե բոլոր արտադրողներն ունեն գործիքներ, որոնք բարելավում են իրենց արտադրանքի օգտագործելիությունը: Որպես օրինակ օգտագործելով HPE-ն, օգտակար են AMS-ը (Agentless Management Service, amsd iLO5-ի համար, hp-ams iLO4-ի համար) և SSA (Smart Storage Administrator, աշխատում է սկավառակի կարգավորիչի հետ) և այլն:
HPE պահեստի միացում
Մենք ներմուծում ենք բանալին և միացնում HPE պահեստները.
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo
Սկավառակի վերահսկիչի հետ աշխատելու օգտակար ծրագրի օրինակ
Առայժմ այսքանը: Հետևյալ հոդվածներում ես նախատեսում եմ խոսել մի քանի հիմնական գործողությունների և հավելվածների մասին: Օրինակ, ինչպես պատրաստել VDI oVirt-ում: