Í þessari grein munum við skoða nokkrar valfrjálsar en gagnlegar stillingar:
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
Þessi grein er framhald, byrjaðu að sjá oVirt eftir 2 klukkustundir и .
Greinar
- Viðbótarstillingar - Við erum hér
Viðbótarstillingar stjórnanda
Til hægðarauka munum við setja upp viðbótarpakka:
$ sudo yum install bash-completion vimTil að virkja sjálfvirka útfyllingu bash-completion skipana skaltu skipta yfir í bash.
Bætir við viðbótar DNS nöfnum
Þess verður krafist þegar þú þarft að tengjast stjórnandanum með öðru nafni (CNAME, alias, eða bara stutt nafn án lénsviðskeyti). Af öryggisástæðum leyfir stjórnandinn aðeins tengingar við leyfilegan nafnalista.
Búðu til stillingarskrá:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.confeftirfarandi efni:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"og endurræstu stjórnandann:
$ sudo systemctl restart ovirt-engineStilla auðkenningu í gegnum AD
oVirt er með innbyggðan notendagrunn en ytri LDAP veitendur eru einnig studdir, þ.m.t. AD.
Einfaldasta leiðin fyrir dæmigerða uppsetningu er að ræsa töframanninn og endurræsa stjórnandann:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engineDæmi um galdramanninn
$ sudo ovirt-engine-extension-aaa-ldap-uppsetning
Tiltækar LDAP útfærslur:
...
3 - Active Directory
...
Vinsamlegast veldu: 3
Vinsamlega sláðu inn heiti Active Directory skógar: example.com
Vinsamlegast veldu samskiptareglur til að nota (startTLS, ldaps, plain) [byrjaTLS]:
Vinsamlega veldu aðferð til að fá PEM kóðuð CA vottorð (Skrá, URL, Inline, System, Insecure): URL
URL:
Sláðu inn DN leitarnotanda (til dæmis uid=notandanafn,dc=example,dc=com eða skildu eftir autt fyrir nafnlausan): CN=oVirt-Engine,CN=Notendur,DC=dæmi,DC=com
Sláðu inn lykilorð leitarnotanda: *lykilorð*
[ UPPLÝSINGAR ] Reynir að binda með því að nota 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Ætlarðu að nota Single Sign-On fyrir sýndarvélar (já, nei) [Já]:
Vinsamlegast tilgreindu prófílnafn sem verður sýnilegt notendum [example.com]:
Vinsamlegast gefðu upp skilríki til að prófa innskráningarflæði:
Sláðu inn notandanafn: someAnyUser
Sláðu inn lykilorð notanda:
...
[UPPLÝSINGAR] Innskráningarröð tókst
...
Veldu prófunarröð til að framkvæma (Lokið, Hætta við, Innskráning, Leita) [Lokið]:
[ UPPLÝSINGAR ] Stig: Uppsetning viðskipta
...
SAMANTEKT SAMSETNINGAR
...
Notkun töframannsins hentar í flestum tilfellum. Fyrir flóknar stillingar eru stillingar gerðar handvirkt. Nánari upplýsingar í oVirt skjölunum, . Eftir að vélin hefur tengst AD, mun viðbótarsnið birtast í tengingarglugganum og á Heimildir kerfishlutir hafa getu til að veita AD notendum og hópum heimildir. Það skal tekið fram að ytri skráin yfir notendur og hópa getur ekki aðeins verið AD, heldur einnig IPA, eDirectory osfrv.
Fjölleiðar
Í framleiðsluumhverfi verður geymslukerfið að vera tengt við hýsilinn í gegnum margar, óháðar, margar inn-/útleiðir. Að jafnaði, í CentOS (og þar af leiðandi oVirt'e) eru engin vandamál með að byggja margar leiðir að tækinu (find_multipaths já). Viðbótarstillingum fyrir FCoE er lýst í . Það er þess virði að fylgjast með ráðleggingum geymsluframleiðandans - margir mæla með því að nota hringrásarstefnuna, en sjálfgefið er Enterprise Linux 7 sem notar þjónustutíma.
Um dæmið um 3PAR
og skjal EL er búið til sem gestgjafi með Generic-ALUA Persona 2, þar sem eftirfarandi gildi eru færð inn í /etc/multipath.conf stillingunum:
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}Þá er skipunin um að endurræsa gefin:
systemctl restart multipathd
Hrísgrjón. 1 er sjálfgefin margfeldi I/O stefna.
Hrísgrjón. 2 - margfeldi I / O stefna eftir að stillingunum hefur verið beitt.
Power Management Stilling
Gerir þér kleift að framkvæma, til dæmis, harða endurstillingu á vélinni ef vélin getur ekki fengið svar frá gestgjafanum í langan tíma. Framkvæmt í gegnum girðingarfulltrúa.
Reikna -> Gestgjafar -> HOST - Breyta -> Orkustýring, kveiktu síðan á "Virkja orkustjórnun" og bættu við umboðsmanni - "Bæta við girðingarfulltrúa" -> +.
Tilgreindu gerð (til dæmis fyrir iLO5, þú þarft að tilgreina ilo4), nafn/heimilisfang ipmi viðmótsins og notendanafn/lykilorð. Mælt er með því að búa til sérstakan notanda (til dæmis oVirt-PM) og, ef um iLO er að ræða, gefa honum réttindi:
- Skrá inn
- Fjarstýring
- Sýndarafl og endurstilla
- Sýndarmiðill
- Stilltu iLO stillingar
- Stjórna notendareikningum
Ekki spyrja hvers vegna það er svo, það er valið með reynslu. Stjórnborðsgirðingin krefst minni réttinda.
Þegar aðgangsstýringarlistar eru settir upp ber að hafa í huga að umboðsmaðurinn keyrir ekki á vélinni heldur á „nágranna“ hýsilinn (svokallaða Power Management Proxy), þ.e.a.s. ef það er aðeins einn hnút í þyrping, orkustjórnun mun virka mun ekki.
Að setja upp SSL
Fullar opinberar leiðbeiningar - inn , Viðauki D: oVirt og SSL - Skipt um oVirt Engine SSL/TLS vottorðið.
Vottorðið getur verið frá fyrirtækis CA okkar eða frá utanaðkomandi viðskipta CA.
Mikilvæg athugasemd: vottorðinu er ætlað að tengjast stjórnandanum, mun ekki hafa áhrif á samskipti vélarinnar og hnútanna - þeir munu nota sjálfundirrituð vottorð sem gefin eru út af vélinni.
Kröfur:
- vottorð útgefanda CA á PEM sniði, með allri keðjunni að rót CA (frá víkjandi útgáfu í upphafi til rótar í lok);
- vottorð fyrir Apache gefið út af CA sem gefur út (einnig heill með allri keðju CA vottorða);
- einkalykill fyrir Apache, ekkert lykilorð.
Segjum sem svo að útgefandi CA okkar sé að keyra CentOS, sem kallast subca.example.com, og beiðnir, lyklar og skírteini eru í /etc/pki/tls/ möppunni.
Framkvæma afrit og búa til tímabundna skrá:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certsSæktu vottorð, keyrðu það frá vinnustöðinni þinni eða fluttu það á annan þægilegan hátt:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certsFyrir vikið ættir þú að sjá allar 3 skrárnar:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.keyAð setja upp vottorð
Afritaðu skrár og uppfærðu traustlista:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.serviceBæta við/uppfæra stillingarskrár:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.confENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confSSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cerNæst skaltu endurræsa alla þjónustu sem verða fyrir áhrifum:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.serviceTilbúið! Það er kominn tími til að tengjast stjórnandanum og athuga hvort tengingin sé tryggð með undirrituðu SSL vottorði.
Geymslu
Hvar án hennar! Í þessum hluta munum við tala um geymslu stjórnanda, geymslu VM er sérstakt mál. Við munum gera geymsluafrit einu sinni á dag og geymum þau yfir NFS, til dæmis á sama kerfi og við settum ISO myndirnar - mynfs1.example.com:/exports/ovirt-backup. Ekki er mælt með því að geyma skjalasafn á sömu vél og vélin er í gangi.
Settu upp og virkjaðu sjálfvirka virkni:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofsBúðu til handrit:
$ sudo vim /etc/cron.daily/make.oVirt.backup.sheftirfarandi efni:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;Að gera skrána keyranlega:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.shNú á hverju kvöldi munum við fá skjalasafn yfir stjórnendastillingar.
Viðmót gestgjafastjórnunar
er nútímalegt stjórnunarviðmót fyrir Linux kerfi. Í þessu tilviki gegnir það hlutverki svipað og ESXi vefviðmótið.
Hrísgrjón. 3 - útlit spjaldsins.
Uppsetningin er mjög einföld, þú þarft cockpit pakka og cockpit-ovirt-dashboard viðbótina:
$ sudo yum install cockpit cockpit-ovirt-dashboard -ySkipt um stjórnklefa:
$ sudo systemctl enable --now cockpit.socketEldveggsstilling:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentNú geturðu tengst gestgjafanum: https://[Host IP or FQDN]:9090
VLAN
Lestu meira um netkerfi í . Það eru margir möguleikar, hér munum við lýsa tengingu sýndarneta.
Til að tengja önnur undirnet þarf fyrst að lýsa þeim í uppsetningunni: Net -> Netkerfi -> Nýtt, hér er aðeins nafnið áskilið svæði; VM Network gátreiturinn, sem gerir vélum kleift að nota þetta net, er virkur og til að tengja merkið verður þú að virkja Virkja VLAN merkingu, sláðu inn VLAN númerið og smelltu á OK.
Nú þarftu að fara í Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks hosts. Dragðu viðbætt net frá hægri hlið óúthlutað rökræn net til vinstri í úthlutað rökræn net:
Hrísgrjón. 4 - áður en netkerfinu er bætt við.
Hrísgrjón. 5 - eftir að netkerfinu hefur verið bætt við.
Fyrir fjöldatengingu nokkurra neta við hýsil er þægilegt að úthluta þeim merki(um) þegar netkerfi eru stofnuð og bæta netkerfum við eftir merkimiðum.
Eftir að netið er búið til munu vélar fara í óvirkt ástand þar til netinu er bætt við alla klasahnúta. Þessi hegðun er kveikt af fánanum Krefjast allra á Cluster flipanum þegar nýtt net er búið til. Ef ekki er þörf á neti á öllum hnútum þyrpingarinnar, er hægt að slökkva á þessum eiginleika, þá verður netið, þegar hýsil er bætt við, til hægri í hlutanum sem ekki er krafist og þú getur valið hvort það eigi að tengja það við ákveðinn gestgjafi.
Hrísgrjón. 6 — val á merki um netkröfur.
HPE sértækt
Næstum allir framleiðendur hafa verkfæri sem bæta notagildi vöru sinna. Með því að nota HPE sem dæmi, AMS (Agentless Management Service, amsd fyrir iLO5, hp-ams fyrir iLO4) og SSA (Smart Storage Administrator, vinna með diskastýringu) o.s.frv.
Að tengja HPE geymsluna
Flyttu inn lykilinn og tengdu HPE geymslurnar:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repoeftirfarandi efni:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcpSkoðaðu innihald geymslunnar og upplýsingar um pakkann (til viðmiðunar):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsdUppsetning og gangsetning:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsdDæmi um tólið til að vinna með diskastýringu
Það er allt í bili. Í eftirfarandi greinum ætla ég að fjalla um nokkrar grunnaðgerðir og forrit. Til dæmis, hvernig á að búa til VDI í oVirt.
Heimild: www.habr.com