oVirt dalam 2 jam. Bagian 3. Pengaturan tambahan

Pada artikel ini kita akan melihat sejumlah pengaturan opsional namun berguna:

• menggunakan nama tambahan untuk manajer;
• menghubungkan otentikasi melalui Direktori Aktif;
• Mutlipating;
• manajemen daya;
• mengganti sertifikat SSL;
• pengarsipan;
• antarmuka manajemen host (kokpit);
• VLAN;
• spesifik HPE.

Artikel ini merupakan kelanjutan, lihat oVirt dalam 2 jam untuk permulaan Часть 1 и Bagian 2.

Artikel

1. pengenalan
2. Memasang manajer (ovirt-engine) dan hypervisor (host)
3. Pengaturan tambahan - Kami di sini

Pengaturan manajer tambahan

Untuk kenyamanan, kami akan menginstal paket tambahan:

$ sudo yum install bash-completion vim

Untuk mengaktifkan penyelesaian perintah, penyelesaian bash memerlukan peralihan ke bash.

Menambahkan nama DNS tambahan

Ini akan diperlukan ketika Anda perlu terhubung ke pengelola menggunakan nama alternatif (CNAME, alias, atau hanya nama pendek tanpa akhiran domain). Untuk alasan keamanan, pengelola mengizinkan koneksi hanya menggunakan daftar nama yang diizinkan.

Buat file konfigurasi:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

konten berikut:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

dan mulai ulang manajer:

$ sudo systemctl restart ovirt-engine

Menyiapkan otentikasi melalui AD

oVirt memiliki basis pengguna bawaan, tetapi penyedia LDAP eksternal juga didukung, termasuk. IKLAN.

Cara paling sederhana untuk konfigurasi umum adalah meluncurkan wizard dan memulai ulang pengelola:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Contoh karya seorang master
$ sudo ovirt-engine-extension-aaa-ldap-setup
Implementasi LDAP yang tersedia:
...
3 - Direktori Aktif
...
Silahkan pilih: 3
Silakan masukkan nama Hutan Direktori Aktif: example.com

Silakan pilih protokol yang akan digunakan (startTLS, ldaps, plain) [mulaiTLS]:
Silakan pilih metode untuk mendapatkan sertifikat CA berkode PEM (File, URL, Inline, Sistem, Tidak Aman): URL
URL: wwwca.example.com/myRootCA.pem
Masukkan DN pengguna pencarian (misalnya uid=username,dc=example,dc=com atau biarkan kosong untuk anonim): CN=oVirt-Engine,CN=Pengguna,DC=contoh,DC=com
Masukkan kata sandi pengguna pencarian: *kata sandi*
[ INFO ] Mencoba mengikat menggunakan 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Apakah Anda akan menggunakan Sistem Masuk Tunggal untuk Mesin Virtual (Ya, Tidak) [Iya]:
Silakan tentukan nama profil yang akan terlihat oleh pengguna [example.com]:
Harap berikan kredensial untuk menguji alur login:
Masukkan nama pengguna: beberapaPengguna Apapun
Masukkan kata sandi pengguna:
...
[INFO] Urutan login berhasil dijalankan
...
Pilih urutan pengujian yang akan dijalankan (Selesai, Batalkan, Masuk, Cari) [Selesai]:
[INFO] Tahap : Setup transaksi
...
RINGKASAN KONFIGURASI
...

Menggunakan wizard cocok untuk sebagian besar kasus. Untuk konfigurasi yang rumit, pengaturan dilakukan secara manual. Detail selengkapnya di dokumentasi oVirt, Pengguna dan Peran. Setelah berhasil menghubungkan Engine ke AD, profil tambahan akan muncul di jendela koneksi, dan pada tab izin Objek sistem memiliki kemampuan untuk memberikan izin kepada pengguna dan grup AD. Perlu dicatat bahwa direktori eksternal pengguna dan grup tidak hanya dapat berupa AD, tetapi juga IPA, eDirectory, dll.

Multipath

Dalam lingkungan produksi, sistem penyimpanan harus terhubung ke host melalui beberapa jalur I/O yang independen. Sebagai aturan, di CentOS (dan karenanya oVirt) tidak ada masalah dengan merakit beberapa jalur ke perangkat (find_multipaths ya). Pengaturan tambahan untuk FCoE tertulis di bagian ke-2. Perlu memperhatikan rekomendasi dari produsen sistem penyimpanan - banyak yang merekomendasikan penggunaan kebijakan round-robin, tetapi secara default di Enterprise Linux 7 waktu layanan digunakan.

Menggunakan 3PAR sebagai contoh
dan mendokumentasikan Panduan Implementasi HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux, dan OracleVM Server EL dibuat sebagai Host dengan Generic-ALUA Persona 2, yang nilai-nilai berikut dimasukkan ke dalam pengaturan /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Setelah itu perintah untuk memulai kembali diberikan:

systemctl restart multipathd

Beras. 1 adalah kebijakan beberapa I/O default.

Beras. 2 - beberapa kebijakan I/O setelah menerapkan pengaturan.

Menyiapkan manajemen daya

Memungkinkan Anda melakukan, misalnya, reset perangkat keras mesin jika Mesin tidak dapat menerima respons dari Host untuk waktu yang lama. Diimplementasikan melalui Agen Pagar.

Hitung -> Host -> HOST — Edit -> Manajemen Daya, lalu aktifkan “Aktifkan Manajemen Daya” dan tambahkan agen — “Tambahkan Agen Pagar” -> +.

Kami menunjukkan jenisnya (misalnya, untuk iLO5 Anda perlu menentukan ilo4), nama/alamat antarmuka ipmi, serta nama pengguna/kata sandi. Disarankan untuk membuat pengguna terpisah (misalnya, oVirt-PM) dan, dalam kasus iLO, berikan dia hak istimewa:

• Login
• Konsol Jarak Jauh
• Kekuatan Virtual dan Reset
• Media Virtual
• Konfigurasikan Pengaturan iLO
• Kelola Akun Pengguna

Jangan tanya mengapa demikian, ini dipilih secara empiris. Agen anggar konsol memerlukan lebih sedikit hak.

Saat menyiapkan daftar kontrol akses, Anda harus ingat bahwa agen tidak berjalan pada mesin, tetapi pada host “tetangga” (yang disebut Proksi Manajemen Daya), yaitu jika hanya ada satu node di cluster, manajemen daya akan berfungsi tidak akan.

Menyiapkan SSL

Instruksi resmi lengkap - masuk dokumentasi, Lampiran D: oVirt dan SSL — Mengganti Sertifikat SSL/TLS Mesin oVirt.

Sertifikat dapat berasal dari CA perusahaan kami atau dari otoritas sertifikat komersial eksternal.

Catatan penting: Sertifikat ini dimaksudkan untuk menghubungkan ke manajer dan tidak akan mempengaruhi komunikasi antara Mesin dan node - mereka akan menggunakan sertifikat yang ditandatangani sendiri yang dikeluarkan oleh Mesin.

Persyaratan:

• sertifikat CA penerbit dalam format PEM, dengan seluruh rantai hingga root CA (dari CA penerbit bawahan di awal hingga root di akhir);
• sertifikat untuk Apache yang diterbitkan oleh CA penerbit (juga dilengkapi dengan seluruh rangkaian sertifikat CA);
• kunci pribadi untuk Apache, tanpa kata sandi.

Anggaplah CA penerbit kita menjalankan CentOS, bernama subca.example.com, dan permintaan, kunci, dan sertifikat terletak di direktori /etc/pki/tls/.

Kami melakukan pencadangan dan membuat direktori sementara:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Unduh sertifikat, jalankan dari stasiun kerja Anda atau transfer dengan cara lain yang nyaman:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Hasilnya, Anda akan melihat ketiga file tersebut:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Memasang sertifikat

Salin file dan perbarui daftar kepercayaan:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Tambahkan/perbarui file konfigurasi:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Selanjutnya, mulai ulang semua layanan yang terpengaruh:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Siap! Saatnya menyambung ke pengelola dan memeriksa apakah sambungan dilindungi oleh sertifikat SSL yang ditandatangani.

Pengarsipan

Di mana kita tanpa dia? Di bagian ini kita akan berbicara tentang pengarsipan manajer; pengarsipan VM adalah masalah terpisah. Kami akan membuat salinan arsip sekali sehari dan menyimpannya melalui NFS, misalnya, pada sistem yang sama tempat kami menempatkan image ISO - mynfs1.example.com:/exports/ovirt-backup. Tidak disarankan untuk menyimpan arsip di mesin yang sama dengan tempat Mesin dijalankan.

Instal dan aktifkan autofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Mari buat skrip:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

konten berikut:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Membuat file dapat dieksekusi:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Sekarang setiap malam kami akan menerima arsip pengaturan manajer.

Antarmuka manajemen host

Kokpit — antarmuka administratif modern untuk sistem Linux. Dalam hal ini, ia menjalankan peran yang mirip dengan antarmuka web ESXi.

Beras. 3 — tampilan panel.

Instalasinya sangat sederhana, Anda memerlukan paket cockpit dan plugin cockpit-ovirt-dashboard:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Mengaktifkan Kokpit:

$ sudo systemctl enable --now cockpit.socket

Pengaturan firewall:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Sekarang Anda dapat terhubung ke host: https://[Host IP atau FQDN]:9090

VLAN

Anda harus membaca lebih lanjut tentang jaringan di dokumentasi. Ada banyak kemungkinan, berikut akan kami uraikan cara menghubungkan jaringan virtual.

Untuk menghubungkan subnet lain, subnet tersebut harus dijelaskan terlebih dahulu dalam konfigurasi: Jaringan -> Jaringan -> Baru, di sini hanya nama yang wajib diisi; Kotak centang Jaringan VM, yang memungkinkan mesin menggunakan jaringan ini, diaktifkan, namun untuk menghubungkan tag harus diaktifkan Aktifkan penandaan VLAN, masukkan nomor VLAN dan klik OK.

Sekarang Anda harus pergi ke Hitung host -> Host -> kvmNN -> Antarmuka Jaringan -> Atur Jaringan Host. Seret jaringan yang ditambahkan dari sisi kanan Unassigned Logical Networks ke kiri ke Assigned Logical Networks:

Beras. 4 - sebelum menambahkan jaringan.

Beras. 5 - setelah menambahkan jaringan.

Untuk menghubungkan beberapa jaringan ke sebuah host secara massal, akan lebih mudah jika Anda menetapkan label pada jaringan tersebut saat membuat jaringan, dan menambahkan jaringan berdasarkan label.

Setelah jaringan dibuat, host akan masuk ke keadaan Non Operasional hingga jaringan ditambahkan ke semua node di cluster. Perilaku ini disebabkan oleh tanda Wajibkan Semua pada tab Klaster saat membuat jaringan baru. Jika jaringan tidak diperlukan di semua node cluster, tanda ini dapat dinonaktifkan, kemudian ketika jaringan ditambahkan ke host, jaringan tersebut akan berada di sebelah kanan di bagian Tidak Diperlukan dan Anda dapat memilih apakah akan terhubung itu ke host tertentu.

Beras. 6—pilih atribut persyaratan jaringan.

spesifik HPE

Hampir semua produsen memiliki alat yang meningkatkan kegunaan produknya. Menggunakan HPE sebagai contoh, AMS (Agentless Management Service, amsd untuk iLO5, hp-ams untuk iLO4) dan SSA (Smart Storage Administrator, bekerja dengan pengontrol disk), dll.

Menghubungkan repositori HPE
Kami mengimpor kunci dan menghubungkan repositori HPE:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

konten berikut:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Lihat isi repositori dan informasi paket (untuk referensi):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Instalasi dan peluncuran:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Contoh utilitas untuk bekerja dengan pengontrol disk

Itu saja untuk saat ini. Dalam artikel berikut saya berencana untuk berbicara tentang beberapa operasi dan aplikasi dasar. Misalnya saja cara membuat VDI di oVirt.

Sumber: www.habr.com