Untuk kenyamanan, kami akan menginstal paket tambahan:
$ sudo yum install bash-completion vim
Untuk mengaktifkan penyelesaian perintah, penyelesaian bash memerlukan peralihan ke bash.
Menambahkan nama DNS tambahan
Ini akan diperlukan ketika Anda perlu terhubung ke pengelola menggunakan nama alternatif (CNAME, alias, atau hanya nama pendek tanpa akhiran domain). Untuk alasan keamanan, pengelola mengizinkan koneksi hanya menggunakan daftar nama yang diizinkan.
Buat file konfigurasi:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Contoh karya seorang master
$ sudo ovirt-engine-extension-aaa-ldap-setup
Implementasi LDAP yang tersedia:
...
3 - Direktori Aktif
...
Silahkan pilih: 3
Silakan masukkan nama Hutan Direktori Aktif: example.com
Silakan pilih protokol yang akan digunakan (startTLS, ldaps, plain) [mulaiTLS]:
Silakan pilih metode untuk mendapatkan sertifikat CA berkode PEM (File, URL, Inline, Sistem, Tidak Aman): URL
URL: wwwca.example.com/myRootCA.pem
Masukkan DN pengguna pencarian (misalnya uid=username,dc=example,dc=com atau biarkan kosong untuk anonim): CN=oVirt-Engine,CN=Pengguna,DC=contoh,DC=com
Masukkan kata sandi pengguna pencarian: *kata sandi*
[ INFO ] Mencoba mengikat menggunakan 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Apakah Anda akan menggunakan Sistem Masuk Tunggal untuk Mesin Virtual (Ya, Tidak) [Iya]:
Silakan tentukan nama profil yang akan terlihat oleh pengguna [example.com]:
Harap berikan kredensial untuk menguji alur login:
Masukkan nama pengguna: beberapaPengguna Apapun
Masukkan kata sandi pengguna:
...
[INFO] Urutan login berhasil dijalankan
...
Pilih urutan pengujian yang akan dijalankan (Selesai, Batalkan, Masuk, Cari) [Selesai]:
[INFO] Tahap : Setup transaksi
...
RINGKASAN KONFIGURASI
...
Menggunakan wizard cocok untuk sebagian besar kasus. Untuk konfigurasi yang rumit, pengaturan dilakukan secara manual. Detail selengkapnya di dokumentasi oVirt, Pengguna dan Peran. Setelah berhasil menghubungkan Engine ke AD, profil tambahan akan muncul di jendela koneksi, dan pada tab izin Objek sistem memiliki kemampuan untuk memberikan izin kepada pengguna dan grup AD. Perlu dicatat bahwa direktori eksternal pengguna dan grup tidak hanya dapat berupa AD, tetapi juga IPA, eDirectory, dll.
Multipath
Dalam lingkungan produksi, sistem penyimpanan harus terhubung ke host melalui beberapa jalur I/O yang independen. Sebagai aturan, di CentOS (dan karenanya oVirt) tidak ada masalah dengan merakit beberapa jalur ke perangkat (find_multipaths ya). Pengaturan tambahan untuk FCoE tertulis di bagian ke-2. Perlu memperhatikan rekomendasi dari produsen sistem penyimpanan - banyak yang merekomendasikan penggunaan kebijakan round-robin, tetapi secara default di Enterprise Linux 7 waktu layanan digunakan.
Setelah itu perintah untuk memulai kembali diberikan:
systemctl restart multipathd
Beras. 1 adalah kebijakan beberapa I/O default.
Beras. 2 - beberapa kebijakan I/O setelah menerapkan pengaturan.
Menyiapkan manajemen daya
Memungkinkan Anda melakukan, misalnya, reset perangkat keras mesin jika Mesin tidak dapat menerima respons dari Host untuk waktu yang lama. Diimplementasikan melalui Agen Pagar.
Kami menunjukkan jenisnya (misalnya, untuk iLO5 Anda perlu menentukan ilo4), nama/alamat antarmuka ipmi, serta nama pengguna/kata sandi. Disarankan untuk membuat pengguna terpisah (misalnya, oVirt-PM) dan, dalam kasus iLO, berikan dia hak istimewa:
Login
Konsol Jarak Jauh
Kekuatan Virtual dan Reset
Media Virtual
Konfigurasikan Pengaturan iLO
Kelola Akun Pengguna
Jangan tanya mengapa demikian, ini dipilih secara empiris. Agen anggar konsol memerlukan lebih sedikit hak.
Saat menyiapkan daftar kontrol akses, Anda harus ingat bahwa agen tidak berjalan pada mesin, tetapi pada host “tetangga” (yang disebut Proksi Manajemen Daya), yaitu jika hanya ada satu node di cluster, manajemen daya akan berfungsi tidak akan.
Menyiapkan SSL
Instruksi resmi lengkap - masuk dokumentasi, Lampiran D: oVirt dan SSL — Mengganti Sertifikat SSL/TLS Mesin oVirt.
Sertifikat dapat berasal dari CA perusahaan kami atau dari otoritas sertifikat komersial eksternal.
Catatan penting: Sertifikat ini dimaksudkan untuk menghubungkan ke manajer dan tidak akan mempengaruhi komunikasi antara Mesin dan node - mereka akan menggunakan sertifikat yang ditandatangani sendiri yang dikeluarkan oleh Mesin.
Persyaratan:
sertifikat CA penerbit dalam format PEM, dengan seluruh rantai hingga root CA (dari CA penerbit bawahan di awal hingga root di akhir);
sertifikat untuk Apache yang diterbitkan oleh CA penerbit (juga dilengkapi dengan seluruh rangkaian sertifikat CA);
kunci pribadi untuk Apache, tanpa kata sandi.
Anggaplah CA penerbit kita menjalankan CentOS, bernama subca.example.com, dan permintaan, kunci, dan sertifikat terletak di direktori /etc/pki/tls/.
Kami melakukan pencadangan dan membuat direktori sementara:
Siap! Saatnya menyambung ke pengelola dan memeriksa apakah sambungan dilindungi oleh sertifikat SSL yang ditandatangani.
Pengarsipan
Di mana kita tanpa dia? Di bagian ini kita akan berbicara tentang pengarsipan manajer; pengarsipan VM adalah masalah terpisah. Kami akan membuat salinan arsip sekali sehari dan menyimpannya melalui NFS, misalnya, pada sistem yang sama tempat kami menempatkan image ISO - mynfs1.example.com:/exports/ovirt-backup. Tidak disarankan untuk menyimpan arsip di mesin yang sama dengan tempat Mesin dijalankan.
Sekarang Anda dapat terhubung ke host: https://[Host IP atau FQDN]:9090
VLAN
Anda harus membaca lebih lanjut tentang jaringan di dokumentasi. Ada banyak kemungkinan, berikut akan kami uraikan cara menghubungkan jaringan virtual.
Untuk menghubungkan subnet lain, subnet tersebut harus dijelaskan terlebih dahulu dalam konfigurasi: Jaringan -> Jaringan -> Baru, di sini hanya nama yang wajib diisi; Kotak centang Jaringan VM, yang memungkinkan mesin menggunakan jaringan ini, diaktifkan, namun untuk menghubungkan tag harus diaktifkan Aktifkan penandaan VLAN, masukkan nomor VLAN dan klik OK.
Sekarang Anda harus pergi ke Hitung host -> Host -> kvmNN -> Antarmuka Jaringan -> Atur Jaringan Host. Seret jaringan yang ditambahkan dari sisi kanan Unassigned Logical Networks ke kiri ke Assigned Logical Networks:
Beras. 4 - sebelum menambahkan jaringan.
Beras. 5 - setelah menambahkan jaringan.
Untuk menghubungkan beberapa jaringan ke sebuah host secara massal, akan lebih mudah jika Anda menetapkan label pada jaringan tersebut saat membuat jaringan, dan menambahkan jaringan berdasarkan label.
Setelah jaringan dibuat, host akan masuk ke keadaan Non Operasional hingga jaringan ditambahkan ke semua node di cluster. Perilaku ini disebabkan oleh tanda Wajibkan Semua pada tab Klaster saat membuat jaringan baru. Jika jaringan tidak diperlukan di semua node cluster, tanda ini dapat dinonaktifkan, kemudian ketika jaringan ditambahkan ke host, jaringan tersebut akan berada di sebelah kanan di bagian Tidak Diperlukan dan Anda dapat memilih apakah akan terhubung itu ke host tertentu.
Beras. 6—pilih atribut persyaratan jaringan.
spesifik HPE
Hampir semua produsen memiliki alat yang meningkatkan kegunaan produknya. Menggunakan HPE sebagai contoh, AMS (Agentless Management Service, amsd untuk iLO5, hp-ams untuk iLO4) dan SSA (Smart Storage Administrator, bekerja dengan pengontrol disk), dll.
Menghubungkan repositori HPE
Kami mengimpor kunci dan menghubungkan repositori HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo
Contoh utilitas untuk bekerja dengan pengontrol disk
Itu saja untuk saat ini. Dalam artikel berikut saya berencana untuk berbicara tentang beberapa operasi dan aplikasi dasar. Misalnya saja cara membuat VDI di oVirt.