oVirt תוך 2 שעות. חלק 3. הגדרות נוספות

במאמר זה, נבחן מספר הגדרות אופציונליות אך שימושיות:

• באמצעות שמות חלופיים עבור המנהל;
• חיבור אימות באמצעות Active Directory;
• Mutlipathing;
• ניהול צריכת חשמל;
• החלפת תעודת SSL;
• אחסון בארכיון;
• ממשק ניהול מארח (קוקפיט);
• רשתות VLAN;
• HPE ספציפי.

מאמר זה הוא המשך, התחל לראות oVirt בעוד שעתיים חלק מ- 1 и חלק 2.

מאמרים

1. מבוא
2. התקנת המנהל (מנוע אוווירט) והיפרוויזורים (מארחים)
3. הגדרות נוספות - אנחנו כאן

הגדרות מנהל נוספות

מטעמי נוחות, נתקין חבילות נוספות:

$ sudo yum install bash-completion vim

כדי לאפשר השלמה אוטומטית של פקודות השלמת bash, עבור ל-bash.

הוספת שמות DNS נוספים

זה יידרש כאשר אתה צריך להתחבר למנהל באמצעות שם חלופי (CNAME, כינוי, או רק שם קצר ללא סיומת דומיין). מטעמי אבטחה, המנהל מאפשר רק חיבורים לרשימת השמות המותרים.

צור קובץ תצורה:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

התוכן הבא:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

והפעל מחדש את המנהל:

$ sudo systemctl restart ovirt-engine

הגדרת אימות באמצעות AD

ל-oVirt בסיס משתמשים מובנה, אך נתמכים גם ספקי LDAP חיצוניים, כולל. מוֹדָעָה.

הדרך הפשוטה ביותר לתצורה טיפוסית היא להפעיל את האשף ולהפעיל מחדש את המנהל:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

דוגמה לאשף
$ sudo ovirt-engine-extension-aaa-ldap-setup
יישומי LDAP זמינים:
...
3 - Active Directory
...
בבקשה תבחר: 3
אנא הזן את שם יער Active Directory: example.com

אנא בחר פרוטוקול לשימוש (startTLS, ldaps, plain) [startTLS]:
אנא בחר שיטה לקבלת אישור CA מקודד PEM (קובץ, כתובת אתר, מוטבע, מערכת, לא מאובטח): כתובת האתר
כתובת האתר: wwwca.example.com/myRootCA.pem
הזן את DN המשתמש בחיפוש (לדוגמה uid=username,dc=example,dc=com או השאר ריק עבור אנונימי): CN=oVirt-Engine,CN=Users,DC=example,DC=com
הזן סיסמת משתמש לחיפוש: *סיסמה*
[ מידע ] ניסיון לאגד באמצעות 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
האם אתה מתכוון להשתמש בכניסה יחידה למכונות וירטואליות (כן, לא) [כן]:
אנא ציין את שם הפרופיל שיהיה גלוי למשתמשים [example.com]:
אנא ספק אישורים לבדיקת זרימת הכניסה:
הכנס שם משתמש: someAnyUser
הזן סיסמת משתמש:
...
[ מידע ] רצף הכניסה בוצע בהצלחה
...
בחר רצף בדיקה לביצוע (סיום, ביטול, התחברות, חיפוש) [בוצע]:
[ מידע ] שלב: הגדרת העסקה
...
תקציר תצורה
...

השימוש באשף מתאים לרוב המקרים. עבור תצורות מורכבות, ההגדרות מתבצעות באופן ידני. פרטים נוספים בתיעוד oVirt, משתמשים ותפקידים. לאחר חיבור המנוע בהצלחה ל-AD, יופיע פרופיל נוסף בחלון החיבור, וב- הרשאות לאובייקטי מערכת יש את היכולת להעניק הרשאות למשתמשי וקבוצות AD. יש לציין שהמדריך החיצוני של משתמשים וקבוצות יכול להיות לא רק AD, אלא גם IPA, eDirectory וכו'.

ריבוי דרכים

בסביבת ייצור, מערכת האחסון חייבת להיות מחוברת למארח באמצעות נתיבי קלט/פלט מרובים, עצמאיים, מרובים. ככלל, ב-CentOS (ולכן oVirt'e) אין בעיות בבניית מספר נתיבים למכשיר (find_multipaths כן). הגדרות נוספות עבור FCoE מתוארות ב חלק 2. כדאי לשים לב להמלצה של יצרן האחסון - רבים ממליצים להשתמש במדיניות ה-round robin, בעוד כברירת מחדל Enterprise Linux 7 משתמש בזמן שירות.

על הדוגמה של 3PAR
ולתעד HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux ו-OracleVM Server מדריך ליישום EL נוצר כמארח עם Generic-ALUA Persona 2, שעבורו הערכים הבאים מוזנים בהגדרות /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

לאחר מכן ניתנת הפקודה להפעלה מחדש:

systemctl restart multipathd

אורז. 1 היא ברירת המחדל של מדיניות הקלט/פלט מרובה.

אורז. 2 - מדיניות I/O מרובה לאחר החלת ההגדרות.

הגדרת ניהול צריכת חשמל

מאפשר לך לבצע, למשל, איפוס קשיח של המכונה אם המנוע לא יכול לקבל תגובה מהמארח במשך זמן רב. מיושם באמצעות סוכן הגדר.

מחשב -> מארחים -> HOST - ערוך -> ניהול צריכת חשמל, ולאחר מכן הפעל את "הפעל ניהול צריכת חשמל" והוסף סוכן - "הוסף סוכן גדר" -> +.

ציין את הסוג (לדוגמה, עבור iLO5, עליך לציין ilo4), את השם/הכתובת של ממשק ה-ipmi ואת שם המשתמש/הסיסמה. מומלץ ליצור משתמש נפרד (לדוגמה, oVirt-PM) ובמקרה של iLO לתת לו הרשאות:

• התחברות
• קונסולה מרחוק
• כוח ואיפוס וירטואלי
• מדיה וירטואלית
• הגדר את הגדרות iLO
• ניהול חשבונות משתמש

אל תשאלו למה זה כך, זה נבחר באופן אמפירי. סוכן גידור הקונסולות דורש קבוצה קטנה יותר של זכויות.

בעת הגדרת רשימות בקרת גישה, יש לזכור כי הסוכן אינו פועל על המנוע, אלא על המארח "השכן" (מה שנקרא Power Management Proxy), כלומר, אם יש רק צומת אחד ב- אשכול, ניהול צריכת החשמל יעבוד לא.

הגדרת SSL

הוראות רשמיות מלאות - ב תיעוד, נספח ד': oVirt ו-SSL - החלפת תעודת oVirt Engine SSL/TLS.

האישור יכול להיות מ-CA הארגוני שלנו או מ-CA מסחרי חיצוני.

הערה חשובה: התעודה נועדה להתחבר למנהל, לא תשפיע על האינטראקציה בין המנוע והצמתים - הם ישתמשו בתעודות בחתימה עצמית שהונפקו על ידי המנוע.

דרישות:

• אישור ה-CA המנפיק בפורמט PEM, עם כל השרשרת ל-CA השורש (מההנפקה הכפופה בהתחלה ועד השורש בסוף);
• אישור לאפצ'י שהונפק על ידי ה-CA המנפיק (גם מלא עם כל שרשרת תעודות ה-CA);
• מפתח פרטי עבור Apache, ללא סיסמה.

נניח שה-CA המנפיק שלנו מריץ CentOS, הנקרא subca.example.com, והבקשות, המפתחות והאישורים נמצאים בספרייה /etc/pki/tls/.

בצע גיבויים וצור ספרייה זמנית:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

הורד אישורים, הפעל אותם מתחנת העבודה שלך או העבר אותם בדרך נוחה אחרת:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

כתוצאה מכך, אתה אמור לראות את כל 3 הקבצים:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

התקנת תעודות

העתק קבצים ועדכן רשימות אמון:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

הוסף/עדכן קובצי תצורה:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

לאחר מכן, הפעל מחדש את כל השירותים המושפעים:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

מוּכָן! זה הזמן להתחבר למנהל ולבדוק שהחיבור מאובטח עם תעודת SSL חתומה.

בארכיון

איפה בלעדיה! בחלק זה, נדבר על ארכיון המנהל, ארכיון ה-VM הוא נושא נפרד. ניצור עותקי ארכיון פעם ביום ונשמור אותם על NFS, למשל, באותה מערכת שבה מיקמנו את תמונות ה-ISO - mynfs1.example.com:/exports/ovirt-backup. לא מומלץ לאחסן ארכיונים על אותה מכונה שבה פועל המנוע.

התקן והפעל אוטומטיים:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

צור סקריפט:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

התוכן הבא:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

הפיכת הקובץ לאפשרי הפעלה:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

כעת בכל ערב נקבל ארכיון של הגדרות מנהל.

ממשק ניהול מארח

תא טייס הוא ממשק ניהול מודרני למערכות לינוקס. במקרה זה, הוא מבצע תפקיד דומה לממשק האינטרנט של ESXi.

אורז. 3 - מראה הפאנל.

ההתקנה פשוטה מאוד, אתה צריך חבילות של תא הטייס ואת הפלאגין של לוח המחוונים של תא הטייס:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

החלפת תא הטייס:

$ sudo systemctl enable --now cockpit.socket

הגדרת חומת אש:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

כעת אתה יכול להתחבר למארח: https://[Host IP or FQDN]:9090

רשתות VLAN

קרא עוד על רשתות ב תיעוד. ישנן אפשרויות רבות, כאן נתאר את החיבור של רשתות וירטואליות.

כדי לחבר רשתות משנה אחרות, תחילה יש לתאר אותן בתצורה: רשת -> רשתות -> חדש, כאן רק השם הוא שדה חובה; תיבת הסימון רשת VM, המאפשרת למכונות להשתמש ברשת זו, מופעלת, וכדי לחבר את התג, עליך להפעיל אפשר תיוג VLAN, הזן את מספר ה-VLAN ולחץ על אישור.

כעת עליך לעבור ל-Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks hosts. גרור את הרשת שנוספה מהצד הימני של רשתות לוגיות לא מוקצות לשמאל אל רשתות לוגיות מוקצות:

אורז. 4 - לפני הוספת הרשת.

אורז. 5 - לאחר הוספת הרשת.

לחיבור המוני של מספר רשתות למארח, נוח להקצות להם תווית/ות בעת יצירת רשתות, ולהוסיף רשתות לפי תוויות.

לאחר יצירת הרשת, המארחים יעברו למצב Non Operational עד שהרשת תתווסף לכל צמתי האשכול. התנהגות זו מופעלת על ידי הדגל Require All בכרטיסייה Cluster בעת יצירת רשת חדשה. במקרה בו אין צורך ברשת בכל הצמתים של האשכול, ניתן להשבית תכונה זו, ואז הרשת, בעת הוספת מארח, תהיה בצד ימין בסעיף Non Required ותוכל לבחור אם לחבר אותה אל מארח ספציפי.

אורז. 6 - בחירת הסימן של דרישת הרשת.

HPE ספציפי

כמעט לכל היצרנים יש כלים המשפרים את השימושיות של המוצרים שלהם. שימוש ב-HPE כדוגמה, AMS (שירות ניהול ללא סוכן, amsd עבור iLO5, hp-ams עבור iLO4) ו-SSA (מנהל אחסון חכם, עבודה עם בקר דיסק) וכו' שימושיים.

חיבור מאגר HPE
ייבא את המפתח וחבר את מאגרי HPE:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

התוכן הבא:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

צפה בתוכן המאגר ובמידע על החבילה (לעיון):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

התקנה והשקה:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

דוגמה לכלי השירות לעבודה עם בקר דיסק

זה הכל לעת עתה. במאמרים הבאים אני מתכנן לכסות כמה פעולות ויישומים בסיסיים. לדוגמה, איך ליצור VDI ב-oVirt.

מקור: www.habr.com