oVirt 2 ժամում. Մաս 3. Լրացուցիչ կարգավորումներ

Այս հոդվածում մենք կանդրադառնանք մի շարք ընտրովի, բայց օգտակար պարամետրեր.

• օգտագործելով լրացուցիչ անուններ կառավարչի համար;
• միացնելով նույնականացումը Active Directory-ի միջոցով;
• Բազմակողմանիություն;
• ուժի Կառավարում;
• SSL վկայագրի փոխարինում;
• արխիվացում;
• հյուրընկալող կառավարման ինտերֆեյս (նավախցիկ);
• VLAN- ներ;
• HPE հատուկ.

Այս հոդվածը շարունակությունն է, սկզբի համար տե՛ս oVirt-ը 2 ժամից 1- ի մի մասը и մաս 2.

Հոդվածներ

1. Ներածություն
2. Մենեջերի (ovirt-շարժիչ) և հիպերվիզորների (հոսթների) տեղադրում
3. Լրացուցիչ կարգավորումներ - Մենք այստեղ ենք

Կառավարչի լրացուցիչ կարգավորումներ

Հարմարության համար մենք կտեղադրենք լրացուցիչ փաթեթներ.

$ sudo yum install bash-completion vim

Հրամանի ավարտը միացնելու համար bash-completion-ը պահանջում է անցնել bash-ի:

Լրացուցիչ DNS անունների ավելացում

Սա կպահանջվի, երբ դուք պետք է միանաք կառավարչին՝ օգտագործելով այլընտրանքային անուն (CNAME, կեղծանուն կամ պարզապես կարճ անուն առանց տիրույթի վերջածանցի): Անվտանգության նկատառումներից ելնելով, կառավարիչը թույլ է տալիս կապեր հաստատել միայն անունների թույլատրված ցանկի միջոցով:

Ստեղծեք կազմաձևման ֆայլ.

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

հետևյալ բովանդակությունը.

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

և վերագործարկեք կառավարիչը.

$ sudo systemctl restart ovirt-engine

Նույնականացման կարգավորում AD-ի միջոցով

oVirt-ն ունի ներկառուցված օգտատերերի բազա, սակայն աջակցվում են նաև արտաքին LDAP մատակարարները, ներառյալ: ՀԱՅՏԱՐԱՐՈՒԹՅՈՒՆ.

Տիպիկ կազմաձևման համար ամենապարզ միջոցը մոգը գործարկելն է և կառավարիչը վերագործարկելը.

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Վարպետի աշխատանքի օրինակ
$ sudo ovirt-engine-extension-aaa-ldap-setup
Հասանելի LDAP իրականացումներ.
...
3 - Active Directory
...
Խնդրում ենք ընտրել՝ 3
Խնդրում ենք մուտքագրել Active Directory Forest անունը. example.com

Խնդրում ենք ընտրել օգտագործման արձանագրությունը (startTLS, ldaps, պարզ) [startTLS]:
Խնդրում ենք ընտրել PEM կոդավորված CA վկայական ստանալու եղանակը (Ֆայլ, URL, Ներդիր, Համակարգ, Անապահով). URL
URL: wwwca.example.com/myRootCA.pem
Մուտքագրեք որոնման օգտվողի DN-ն (օրինակ՝ uid=username,dc=example,dc=com կամ թողեք դատարկ՝ անանունի համար): CN=oVirt-Շարժիչ,CN=Օգտագործողներ,DC=օրինակ,DC=com
Մուտքագրեք որոնման օգտվողի գաղտնաբառը. *գաղտնաբառ*
[ INFO ] Փորձում ենք կապել՝ օգտագործելով 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Պատրաստվու՞մ եք օգտագործել Single Sign-On վիրտուալ մեքենաների համար (Այո, Ոչ) [Այո]:
Խնդրում ենք նշել պրոֆիլի անունը, որը տեսանելի կլինի օգտատերերին [example.com]:
Խնդրում ենք տրամադրել հավատարմագրեր՝ մուտքի հոսքը ստուգելու համար.
Մուտքագրեք օգտվողի անունը. someAnyUser
Մուտքագրեք օգտվողի գաղտնաբառը.
...
[INFO] Մուտքի հաջորդականությունը հաջողությամբ կատարվեց
...
Ընտրեք փորձարկման հաջորդականությունը կատարման համար (Կատարված, դադարեցված, Մուտք, Որոնում) [Կատարած]:
[INFO] Փուլ. Գործարքի կարգավորում
...
ԿԱԶՄԱՎՈՐՄԱՆ ԱՄՓՈՓՈՒՄ
...

Վիզարդի օգտագործումը հարմար է շատ դեպքերում: Բարդ կոնֆիգուրացիաների համար կարգավորումները կատարվում են ձեռքով: Լրացուցիչ մանրամասներ oVirt փաստաթղթերում, Օգտագործողները և դերերը. Շարժիչը AD-ին հաջողությամբ միացնելուց հետո միացման պատուհանում և ներդիրում կհայտնվի լրացուցիչ պրոֆիլ Թույլտվությունները Համակարգի օբյեկտներն ունեն AD օգտվողներին և խմբերին թույլտվություններ տրամադրելու հնարավորություն: Նշենք, որ օգտատերերի և խմբերի արտաքին գրացուցակը կարող է լինել ոչ միայն AD, այլ նաև IPA, eDirectory և այլն։

Բազմաբնակարան ճանապարհ

Արտադրական միջավայրում պահեստավորման համակարգը պետք է միացված լինի հոսթին բազմաթիվ անկախ, բազմաթիվ I/O ուղիների միջոցով: Որպես կանոն, CentOS-ում (և հետևաբար oVirt-ում) որևէ սարքի մի քանի ուղիներ հավաքելու հետ կապված խնդիրներ չկան (find_multipaths այո): FCoE-ի լրացուցիչ կարգավորումները գրված են 2-րդ մաս. Արժե ուշադրություն դարձնել պահեստավորման համակարգի արտադրողի առաջարկությանը. շատերը խորհուրդ են տալիս օգտագործել շրջանաձև քաղաքականությունը, բայց Enterprise Linux-ում լռելյայնորեն օգտագործվում է ծառայության ժամանակը:

Օգտագործելով 3PAR որպես օրինակ
և փաստաթուղթ HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux և OracleVM սերվերի ներդրման ուղեցույց EL-ը ստեղծվել է որպես Հոսթ Generic-ALUA Persona 2-ով, որի համար հետևյալ արժեքները մուտքագրվում են /etc/multipath.conf.

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Որից հետո տրվում է վերագործարկման հրամանը.

systemctl restart multipathd

Բրինձ. 1-ը լռելյայն բազմակի I/O քաղաքականություն է:

Բրինձ. 2 - մի քանի I/O քաղաքականություն կարգավորումները կիրառելուց հետո:

Էլեկտրաէներգիայի կառավարման կարգավորում

Թույլ է տալիս կատարել, օրինակ, սարքի ապարատային վերականգնում, եթե Շարժիչը երկար ժամանակ չի կարող պատասխան ստանալ Հոսթից: Իրականացվում է Fence Agent-ի միջոցով:

Հաշվել -> Հոսթներ -> ՏՈՒՆ — Խմբագրել -> Էներգիայի կառավարում, ապա միացնել «Միացնել էներգիայի կառավարումը» և ավելացնել գործակալ — «Ավելացնել ցանկապատի գործակալ» -> +.

Մենք նշում ենք տեսակը (օրինակ, iLO5-ի համար անհրաժեշտ է նշել ilo4), ipmi ինտերֆեյսի անունը/հասցեն, ինչպես նաև օգտագործողի անունը/գաղտնաբառը։ Խորհուրդ է տրվում ստեղծել առանձին օգտատեր (օրինակ՝ oVirt-PM) և iLO-ի դեպքում նրան արտոնություններ տալ.

• Մուտք
• Հեռակառավարման վահանակ
• Վիրտուալ սնուցում և վերակայում
• Վիրտուալ մեդիա
• Կարգավորեք iLO-ի կարգավորումները
• Կառավարեք օգտվողների հաշիվները

Մի հարցրեք, թե ինչու է դա այդպես, այն ընտրվել է էմպիրիկորեն: Վահանակով սուսերամարտի գործակալը պահանջում է ավելի քիչ իրավունքներ:

Մուտքի վերահսկման ցուցակները կարգավորելիս պետք է հիշել, որ գործակալն աշխատում է ոչ թե շարժիչով, այլ «հարևան» հոսթով (այսպես կոչված՝ Power Management Proxy), այսինքն՝ եթե կլաստերում կա միայն մեկ հանգույց, էներգիայի կառավարումը կաշխատի չի լինի.

SSL-ի կարգավորում

Ամբողջական պաշտոնական հրահանգները՝ մուտքագրված փաստաթղթավորում, Հավելված D. oVirt և SSL — oVirt Engine SSL/TLS վկայագրի փոխարինում:

Վկայագիրը կարող է լինել կամ մեր կորպորատիվ CA-ից կամ արտաքին առևտրային հավաստագրման մարմնից:

Կարևոր նշում. Վկայագիրը նախատեսված է կառավարչի հետ միանալու համար և չի ազդի Շարժիչի և հանգույցների միջև հաղորդակցության վրա. նրանք կօգտագործեն Շարժիչի կողմից տրված ինքնաստորագրված վկայագրեր:

պահանջները:

• թողարկող CA-ի վկայականը PEM ձևաչափով, ամբողջ շղթայով մինչև CA արմատը (սկզբում ստորադաս թողարկող CA-ից մինչև արմատը վերջում).
• թողարկող CA-ի կողմից տրված սերտիֆիկատ Apache-ի համար (նաև լրացվում է CA վկայագրերի ամբողջ շղթայով);
• անձնական բանալի Apache-ի համար՝ առանց գաղտնաբառի:

Ենթադրենք, որ մեր թողարկող CA-ն աշխատում է CentOS-ով, որը կոչվում է subca.example.com, և հարցումները, բանալիներն ու վկայագրերը գտնվում են /etc/pki/tls/ գրացուցակում:

Մենք կատարում ենք կրկնօրինակում և ստեղծում ժամանակավոր գրացուցակ.

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Ներբեռնեք վկայագրերը, կատարեք այն ձեր աշխատանքային կայանից կամ փոխանցեք այն մեկ այլ հարմար եղանակով.

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Արդյունքում, դուք պետք է տեսնեք բոլոր 3 ֆայլերը.

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Վկայականների տեղադրում

Պատճենեք ֆայլերը և թարմացրեք վստահության ցուցակները.

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Ավելացնել/թարմացնել կազմաձևման ֆայլերը.

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Հաջորդը, վերագործարկեք բոլոր տուժած ծառայությունները.

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Պատրաստ. Ժամանակն է միանալ մենեջերին և ստուգել, ​​որ կապը պաշտպանված է ստորագրված SSL վկայականով:

Արխիվացում

Որտե՞ղ կլինեինք մենք առանց նրա: Այս բաժնում մենք կխոսենք մենեջերի արխիվացման մասին, VM-ի արխիվացումը առանձին խնդիր է: Մենք արխիվային պատճեններ կստեղծենք օրական մեկ անգամ և կպահենք դրանք NFS-ի միջոցով, օրինակ, նույն համակարգում, որտեղ տեղադրեցինք ISO պատկերները՝ mynfs1.example.com:/exports/ovirt-backup: Խորհուրդ չի տրվում արխիվները պահել նույն մեքենայի վրա, որտեղ աշխատում է Շարժիչը:

Տեղադրեք և միացրեք autofs.

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Եկեք ստեղծենք սցենար.

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

հետևյալ բովանդակությունը.

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Ֆայլը գործարկելի դարձնելը.

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Այժմ ամեն գիշեր մենք կստանանք մենեջերի կարգավորումների արխիվ:

Հոսթի կառավարման ինտերֆեյս

Նավախցիկ — ժամանակակից վարչական ինտերֆեյս Linux համակարգերի համար: Այս դեպքում այն ​​կատարում է ESXi վեբ ինտերֆեյսի նման դեր:

Բրինձ. 3 — վահանակի տեսքը.

Տեղադրումը շատ պարզ է, ձեզ անհրաժեշտ են խցիկի փաթեթներ և cockpit-ovirt-dashboard plugin.

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Միացնելով Cockpit.

$ sudo systemctl enable --now cockpit.socket

Firewall-ի կարգավորում.

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Այժմ դուք կարող եք միանալ հոսթին՝ https://[Host IP or FQDN]:9090

VLAN- ներ

Դուք պետք է ավելին կարդաք ցանցերի մասին փաստաթղթավորում. Շատ հնարավորություններ կան, այստեղ մենք նկարագրելու ենք վիրտուալ ցանցերի միացումը:

Այլ ենթացանցերը միացնելու համար դրանք նախ պետք է նկարագրվեն կոնֆիգուրացիայի մեջ՝ Ցանց -> Ցանցեր -> Նոր, այստեղ միայն անունը պարտադիր դաշտ է; VM Network վանդակը, որը թույլ է տալիս մեքենաներին օգտագործել այս ցանցը, միացված է, բայց միացնելու համար պիտակը պետք է միացված լինի: Միացնել VLAN հատկորոշումը, մուտքագրեք VLAN համարը և սեղմեք OK:

Այժմ դուք պետք է գնաք Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks: Քաշեք ավելացված ցանցը չնշանակված տրամաբանական ցանցերի աջ կողմից դեպի ձախ՝ նշանակված տրամաբանական ցանցերի մեջ.

Բրինձ. 4 - ցանց ավելացնելուց առաջ:

Բրինձ. 5 - ցանց ավելացնելուց հետո:

Բազմաթիվ ցանցեր հոսթին զանգվածաբար միացնելու համար հարմար է ցանցեր ստեղծելիս պիտակ(ներ) նշանակել նրանց և ցանցեր ավելացնել ըստ պիտակների:

Ցանցի ստեղծումից հետո հոսթները կմտնեն ոչ գործառնական վիճակ, մինչև ցանցը ավելացվի կլաստերի բոլոր հանգույցներին: Այս վարքագիծը պայմանավորված է Cluster ներդիրի Require All դրոշով նոր ցանց ստեղծելիս: Այն դեպքում, երբ ցանցն անհրաժեշտ չէ կլաստերի բոլոր հանգույցներին, այս դրոշը կարող է անջատվել, այնուհետև, երբ ցանցն ավելացվի հոսթին, այն կլինի աջ կողմում՝ «Չպահանջվող» բաժնում, և դուք կարող եք ընտրել՝ արդյոք միանալ: այն կոնկրետ հյուրընկալողին:

Բրինձ. 6 — ընտրեք ցանցի պահանջի հատկանիշ:

HPE հատուկ

Գրեթե բոլոր արտադրողներն ունեն գործիքներ, որոնք բարելավում են իրենց արտադրանքի օգտագործելիությունը: Որպես օրինակ օգտագործելով HPE-ն, օգտակար են AMS-ը (Agentless Management Service, amsd iLO5-ի համար, hp-ams iLO4-ի համար) և SSA (Smart Storage Administrator, աշխատում է սկավառակի կարգավորիչի հետ) և այլն:

HPE պահեստի միացում
Մենք ներմուծում ենք բանալին և միացնում HPE պահեստները.

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

հետևյալ բովանդակությունը.

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Դիտեք պահեստի բովանդակությունը և փաթեթի տեղեկատվությունը (հղման համար).

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Տեղադրում և գործարկում.

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Սկավառակի վերահսկիչի հետ աշխատելու օգտակար ծրագրի օրինակ

Առայժմ այսքանը: Հետևյալ հոդվածներում ես նախատեսում եմ խոսել մի քանի հիմնական գործողությունների և հավելվածների մասին: Օրինակ, ինչպես պատրաստել VDI oVirt-ում:

Source: www.habr.com