ProHoster > Blog > Stjórnsýsla > oVirt á 2 klst. Part 3. Viðbótarstillingar

oVirt á 2 klst. Part 3. Viðbótarstillingar

Í þessari grein munum við skoða nokkrar valfrjálsar en gagnlegar stillingar:

Þessi grein er framhald, byrjaðu að sjá oVirt eftir 2 klukkustundir Часть 1 и Part 2.

Greinar

  1. Inngangur
  2. Uppsetning stjórnanda (ovirt-engine) og hypervisors (hýsingar)
  3. Viðbótarstillingar - Við erum hér

Viðbótarstillingar stjórnanda

Til hægðarauka munum við setja upp viðbótarpakka:

$ sudo yum install bash-completion vim

Til að virkja sjálfvirka útfyllingu bash-completion skipana skaltu skipta yfir í bash.

Bætir við viðbótar DNS nöfnum

Þess verður krafist þegar þú þarft að tengjast stjórnandanum með öðru nafni (CNAME, alias, eða bara stutt nafn án lénsviðskeyti). Af öryggisástæðum leyfir stjórnandinn aðeins tengingar við leyfilegan nafnalista.

Búðu til stillingarskrá:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

eftirfarandi efni:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

og endurræstu stjórnandann:

$ sudo systemctl restart ovirt-engine

Stilla auðkenningu í gegnum AD

oVirt er með innbyggðan notendagrunn en ytri LDAP veitendur eru einnig studdir, þ.m.t. AD.

Einfaldasta leiðin fyrir dæmigerða uppsetningu er að ræsa töframanninn og endurræsa stjórnandann:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Dæmi um galdramanninn
$ sudo ovirt-engine-extension-aaa-ldap-uppsetning
Tiltækar LDAP útfærslur:
...
3 - Active Directory
...
Vinsamlegast veldu: 3
Vinsamlega sláðu inn heiti Active Directory skógar: example.com

Vinsamlegast veldu samskiptareglur til að nota (startTLS, ldaps, plain) [byrjaTLS]:
Vinsamlega veldu aðferð til að fá PEM kóðuð CA vottorð (Skrá, URL, Inline, System, Insecure): URL
URL: wwwca.example.com/myRootCA.pem
Sláðu inn DN leitarnotanda (til dæmis uid=notandanafn,dc=example,dc=com eða skildu eftir autt fyrir nafnlausan): CN=oVirt-Engine,CN=Notendur,DC=dæmi,DC=com
Sláðu inn lykilorð leitarnotanda: *lykilorð*
[ UPPLÝSINGAR ] Reynir að binda með því að nota 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Ætlarðu að nota Single Sign-On fyrir sýndarvélar (já, nei) [Já]:
Vinsamlegast tilgreindu prófílnafn sem verður sýnilegt notendum [example.com]:
Vinsamlegast gefðu upp skilríki til að prófa innskráningarflæði:
Sláðu inn notandanafn: someAnyUser
Sláðu inn lykilorð notanda:
...
[UPPLÝSINGAR] Innskráningarröð tókst
...
Veldu prófunarröð til að framkvæma (Lokið, Hætta við, Innskráning, Leita) [Lokið]:
[ UPPLÝSINGAR ] Stig: Uppsetning viðskipta
...
SAMANTEKT SAMSETNINGAR
...

Notkun töframannsins hentar í flestum tilfellum. Fyrir flóknar stillingar eru stillingar gerðar handvirkt. Nánari upplýsingar í oVirt skjölunum, Notendur og hlutverk. Eftir að vélin hefur tengst AD, mun viðbótarsnið birtast í tengingarglugganum og á Heimildir kerfishlutir hafa getu til að veita AD notendum og hópum heimildir. Það skal tekið fram að ytri skráin yfir notendur og hópa getur ekki aðeins verið AD, heldur einnig IPA, eDirectory osfrv.

Fjölleiðar

Í framleiðsluumhverfi verður geymslukerfið að vera tengt við hýsilinn í gegnum margar, óháðar, margar inn-/útleiðir. Að jafnaði, í CentOS (og þar af leiðandi oVirt'e) eru engin vandamál með að byggja margar leiðir að tækinu (find_multipaths já). Viðbótarstillingum fyrir FCoE er lýst í 2. hluti. Það er þess virði að fylgjast með ráðleggingum geymsluframleiðandans - margir mæla með því að nota hringrásarstefnuna, en sjálfgefið er Enterprise Linux 7 sem notar þjónustutíma.

Um dæmið um 3PAR
og skjal HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux og OracleVM Server Framkvæmdaleiðbeiningar EL er búið til sem gestgjafi með Generic-ALUA Persona 2, þar sem eftirfarandi gildi eru færð inn í /etc/multipath.conf stillingunum:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Þá er skipunin um að endurræsa gefin:

systemctl restart multipathd

oVirt á 2 klst. Part 3. Viðbótarstillingar
Hrísgrjón. 1 er sjálfgefin margfeldi I/O stefna.

oVirt á 2 klst. Part 3. Viðbótarstillingar
Hrísgrjón. 2 - margfeldi I / O stefna eftir að stillingunum hefur verið beitt.

Power Management Stilling

Gerir þér kleift að framkvæma, til dæmis, harða endurstillingu á vélinni ef vélin getur ekki fengið svar frá gestgjafanum í langan tíma. Framkvæmt í gegnum girðingarfulltrúa.

Reikna -> Gestgjafar -> HOST - Breyta -> Orkustýring, kveiktu síðan á "Virkja orkustjórnun" og bættu við umboðsmanni - "Bæta við girðingarfulltrúa" -> +.

Tilgreindu gerð (til dæmis fyrir iLO5, þú þarft að tilgreina ilo4), nafn/heimilisfang ipmi viðmótsins og notendanafn/lykilorð. Mælt er með því að búa til sérstakan notanda (til dæmis oVirt-PM) og, ef um iLO er að ræða, gefa honum réttindi:

  • Skrá inn
  • Fjarstýring
  • Sýndarafl og endurstilla
  • Sýndarmiðill
  • Stilltu iLO stillingar
  • Stjórna notendareikningum

Ekki spyrja hvers vegna það er svo, það er valið með reynslu. Stjórnborðsgirðingin krefst minni réttinda.

Þegar aðgangsstýringarlistar eru settir upp ber að hafa í huga að umboðsmaðurinn keyrir ekki á vélinni heldur á „nágranna“ hýsilinn (svokallaða Power Management Proxy), þ.e.a.s. ef það er aðeins einn hnút í þyrping, orkustjórnun mun virka mun ekki.

Að setja upp SSL

Fullar opinberar leiðbeiningar - inn skjöl, Viðauki D: oVirt og SSL - Skipt um oVirt Engine SSL/TLS vottorðið.

Vottorðið getur verið frá fyrirtækis CA okkar eða frá utanaðkomandi viðskipta CA.

Mikilvæg athugasemd: vottorðinu er ætlað að tengjast stjórnandanum, mun ekki hafa áhrif á samskipti vélarinnar og hnútanna - þeir munu nota sjálfundirrituð vottorð sem gefin eru út af vélinni.

Kröfur:

  • vottorð útgefanda CA á PEM sniði, með allri keðjunni að rót CA (frá víkjandi útgáfu í upphafi til rótar í lok);
  • vottorð fyrir Apache gefið út af CA sem gefur út (einnig heill með allri keðju CA vottorða);
  • einkalykill fyrir Apache, ekkert lykilorð.

Segjum sem svo að útgefandi CA okkar sé að keyra CentOS, sem kallast subca.example.com, og beiðnir, lyklar og skírteini eru í /etc/pki/tls/ möppunni.

Framkvæma afrit og búa til tímabundna skrá:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Sæktu vottorð, keyrðu það frá vinnustöðinni þinni eða fluttu það á annan þægilegan hátt:

[myuser@mydesktop] $ scp -3 causer@subca.example.com:/etc/pki/tls/cachain.pem mgmt@ovirt.example.com:/opt/certs
[myuser@mydesktop] $ scp -3 causer@subca.example.com:/etc/pki/tls/private/ovirt.key mgmt@ovirt.example.com:/opt/certs
[myuser@mydesktop] $ scp -3 causer@subca.example.com/etc/pki/tls/certs/ovirt.crt mgmt@ovirt.example.com:/opt/certs

Fyrir vikið ættir þú að sjá allar 3 skrárnar:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Að setja upp vottorð

Afritaðu skrár og uppfærðu traustlista:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Bæta við/uppfæra stillingarskrár:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf
ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""
$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf
SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf
# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Næst skaltu endurræsa alla þjónustu sem verða fyrir áhrifum:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Tilbúið! Það er kominn tími til að tengjast stjórnandanum og athuga hvort tengingin sé tryggð með undirrituðu SSL vottorði.

Geymslu

Hvar án hennar! Í þessum hluta munum við tala um geymslu stjórnanda, geymslu VM er sérstakt mál. Við munum gera geymsluafrit einu sinni á dag og geymum þau yfir NFS, til dæmis á sama kerfi og við settum ISO myndirnar - mynfs1.example.com:/exports/ovirt-backup. Ekki er mælt með því að geyma skjalasafn á sömu vél og vélin er í gangi.

Settu upp og virkjaðu sjálfvirka virkni:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Búðu til handrit:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

eftirfarandi efni:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Að gera skrána keyranlega:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Nú á hverju kvöldi munum við fá skjalasafn yfir stjórnendastillingar.

Viðmót gestgjafastjórnunar

Cockpit er nútímalegt stjórnunarviðmót fyrir Linux kerfi. Í þessu tilviki gegnir það hlutverki svipað og ESXi vefviðmótið.

oVirt á 2 klst. Part 3. Viðbótarstillingar
Hrísgrjón. 3 - útlit spjaldsins.

Uppsetningin er mjög einföld, þú þarft cockpit pakka og cockpit-ovirt-dashboard viðbótina:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Skipt um stjórnklefa:

$ sudo systemctl enable --now cockpit.socket

Eldveggsstilling:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Nú geturðu tengst gestgjafanum: https://[Host IP or FQDN]:9090

VLAN

Lestu meira um netkerfi í skjöl. Það eru margir möguleikar, hér munum við lýsa tengingu sýndarneta.

Til að tengja önnur undirnet þarf fyrst að lýsa þeim í uppsetningunni: Net -> Netkerfi -> Nýtt, hér er aðeins nafnið áskilið svæði; VM Network gátreiturinn, sem gerir vélum kleift að nota þetta net, er virkur og til að tengja merkið verður þú að virkja Virkja VLAN merkingu, sláðu inn VLAN númerið og smelltu á OK.

Nú þarftu að fara í Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks hosts. Dragðu viðbætt net frá hægri hlið óúthlutað rökræn net til vinstri í úthlutað rökræn net:

oVirt á 2 klst. Part 3. Viðbótarstillingar
Hrísgrjón. 4 - áður en netkerfinu er bætt við.

oVirt á 2 klst. Part 3. Viðbótarstillingar
Hrísgrjón. 5 - eftir að netkerfinu hefur verið bætt við.

Fyrir fjöldatengingu nokkurra neta við hýsil er þægilegt að úthluta þeim merki(um) þegar netkerfi eru stofnuð og bæta netkerfum við eftir merkimiðum.

Eftir að netið er búið til munu vélar fara í óvirkt ástand þar til netinu er bætt við alla klasahnúta. Þessi hegðun er kveikt af fánanum Krefjast allra á Cluster flipanum þegar nýtt net er búið til. Ef ekki er þörf á neti á öllum hnútum þyrpingarinnar, er hægt að slökkva á þessum eiginleika, þá verður netið, þegar hýsil er bætt við, til hægri í hlutanum sem ekki er krafist og þú getur valið hvort það eigi að tengja það við ákveðinn gestgjafi.

oVirt á 2 klst. Part 3. Viðbótarstillingar
Hrísgrjón. 6 — val á merki um netkröfur.

HPE sértækt

Næstum allir framleiðendur hafa verkfæri sem bæta notagildi vöru sinna. Með því að nota HPE sem dæmi, AMS (Agentless Management Service, amsd fyrir iLO5, hp-ams fyrir iLO4) og SSA (Smart Storage Administrator, vinna með diskastýringu) o.s.frv.

Að tengja HPE geymsluna
Flyttu inn lykilinn og tengdu HPE geymslurnar:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

eftirfarandi efni:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Skoðaðu innihald geymslunnar og upplýsingar um pakkann (til viðmiðunar):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Uppsetning og gangsetning:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Dæmi um tólið til að vinna með diskastýringu
oVirt á 2 klst. Part 3. Viðbótarstillingar

Það er allt í bili. Í eftirfarandi greinum ætla ég að fjalla um nokkrar grunnaðgerðir og forrit. Til dæmis, hvernig á að búa til VDI í oVirt.

Heimild: www.habr.com