o2 時間以内に仮想化します。 パート 3. 追加設定

この記事では、いくつかのオプションですが便利な設定について説明します。

• マネージャーに追加の名前を使用する;
• Active Directory 経由で認証を接続する;
• 多重化;
• パワー管理;
• SSL証明書を置き換える;
• アーカイブする;
• ホスト管理インターフェイス (コックピット);
• VLAN;
• HPE 固有.

この記事は続きです。最初は「2 時間の oVirt」を参照してください。 Часть1 и パート2.

物品

1. 導入
2. マネージャー (ovirt-engine) とハイパーバイザー (ホスト) のインストール
3. 追加設定 - ここにあります

追加のマネージャー設定

便宜上、追加のパッケージをインストールします。

$ sudo yum install bash-completion vim

コマンド補完を有効にするには、bash 補完で bash に切り替える必要があります。

DNS 名の追加

これは、代替名 (CNAME、エイリアス、またはドメイン サフィックスのない単なる短い名前) を使用してマネージャーに接続する必要がある場合に必要になります。 セキュリティ上の理由から、マネージャーは、許可された名前のリストを使用した接続のみを許可します。

構成ファイルを作成します。

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

次のコンテンツ：

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

そしてマネージャーを再起動します。

$ sudo systemctl restart ovirt-engine

AD経由の認証を設定する

oVirt にはユーザー ベースが組み込まれていますが、外部 LDAP プロバイダーもサポートされています。 広告。

一般的な構成の最も簡単な方法は、ウィザードを起動してマネージャーを再起動することです。

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

マスターの作品の一例
$ sudo ovirt-engine-extension-aaa-ldap-setup
利用可能な LDAP 実装:
...
3 - アクティブディレクトリ
...
選んでください： 3
Active Directory フォレスト名を入力してください: example.com

使用するプロトコルを選択してください (startTLS、ldaps、plain) [TLSの開始]:
PEM エンコードされた CA 証明書を取得する方法を選択してください (ファイル、URL、インライン、システム、安全でない): URL
URL： wwwca.example.com/myRootCA.pem
検索ユーザー DN を入力します (例: uid=username,dc=example,dc=com、または匿名の場合は空のままにします)。 CN=oVirt-Engine、CN=ユーザー、DC=例、DC=com
検索ユーザーのパスワードを入力してください: *パスワード*
[ 情報 ] 'CN=oVirt-Engine,CN=Users,DC=example,DC=com' を使用してバインドしようとしています
仮想マシンにシングル サインオンを使用しますか (はい、いいえ) [はい]:
ユーザーに表示されるプロファイル名を指定してください [例.com]:
ログイン フローをテストするには、認証情報を入力してください。
ユーザーネームを入力してください： 誰かのユーザー
ユーザーのパスワードを入力してください:
...
[情報] ログインシーケンスが正常に実行されました
...
実行するテスト シーケンスを選択します (完了、中止、ログイン、検索) [終わり]:
[情報] ステージ: トランザクションのセットアップ
...
構成の概要
...

ウィザードの使用は、ほとんどの場合に適しています。 複雑な構成の場合は、手動で設定を行います。 詳細については、oVirt ドキュメントを参照してください。 ユーザーと役割。 エンジンが AD に正常に接続されると、追加のプロファイルが接続ウィンドウとタブに表示されます。 権限 システム オブジェクトには、AD ユーザーおよびグループにアクセス許可を付与する機能があります。 ユーザーおよびグループの外部ディレクトリは AD だけでなく、IPA、eDirectory なども可能であることに注意してください。

マルチパス

実稼働環境では、ストレージ システムは複数の独立した複数の I/O パスを介してホストに接続する必要があります。 原則として、CentOS (したがって oVirt) では、デバイスへの複数のパスをアセンブルすることに問題はありません (find_multipaths Yes)。 FCoE の追加設定は次の場所に書かれています。 2パート。 ストレージ システムのメーカーの推奨事項に注意を払う価値があります。多くのメーカーではラウンドロビン ポリシーの使用を推奨していますが、Enterprise Linux 7 ではデフォルトでサービスタイムが使用されます。

例として 3PAR を使用する
そして文書 HPE 3PAR Red Hat Enterprise Linux、CentOS Linux、Oracle Linux、および OracleVM Server 実装ガイド EL は Generic-ALUA ペルソナ 2 を使用してホストとして作成され、次の値が設定 /etc/multipath.conf に入力されます。

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

その後、再起動するコマンドが与えられます。

systemctl restart multipathd

米。 1 はデフォルトの複数 I/O ポリシーです。

米。 2 - 設定を適用した後の複数の I/O ポリシー。

電源管理の設定

たとえば、エンジンがホストからの応答を長期間受信できない場合に、マシンのハードウェア リセットを実行できます。 Fence Agent を通じて実装されます。

コンピューティング -> ホスト -> HOST — [編集] -> [電源管理] を選択し、[電源管理を有効にする] を有効にしてエージェントを追加します。 - [フェンス エージェントの追加] -> +.

タイプ (たとえば、iLO5 の場合は ilo4 を指定する必要があります)、ipmi インターフェイスの名前/アドレス、およびユーザー名/パスワードを示します。 別のユーザー (oVirt-PM など) を作成し、iLO の場合はそのユーザーに権限を与えることをお勧めします。

• ログイン
• リモートコンソール
• 仮想電源とリセット
• 仮想メディア
• iLO 設定の構成
• ユーザーアカウントの管理

なぜそうなるのかは聞かないでください。経験的に選ばれたものです。 コンソールフェンシングエージェントに必要な権限は少なくなります。

アクセス コントロール リストを設定するときは、エージェントがエンジン上ではなく、「隣接する」ホスト (いわゆる電源管理プロキシ) 上で実行されることに留意する必要があります。つまり、クラスタ内にノードが XNUMX つしかない場合、電源管理は機能します 〜されません.

SSLの設定

完全な公式説明書 - で ドキュメンテーション、付録 D: oVirt と SSL — oVirt エンジンの SSL/TLS 証明書の置き換え。

証明書は、当社の企業 CA または外部の商用認証局から取得できます。

重要な注意事項: 証明書はマネージャーに接続することを目的としており、エンジンとノード間の通信には影響しません。エンジンによって発行された自己署名証明書が使用されます。

要件：

• PEM 形式の発行 CA の証明書。ルート CA までのチェーン全体 (最初の下位発行 CA から最後のルートまで)。
• 発行元 CA によって発行された Apache の証明書 (CA 証明書のチェーン全体によっても補足されます)。
• Apache の秘密キー (パスワードなし)。

発行 CA が subca.example.com という CentOS を実行しており、リクエスト、キー、証明書が /etc/pki/tls/ ディレクトリにあると仮定します。

バックアップを実行し、一時ディレクトリを作成します。

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

証明書をダウンロードしてワークステーションから実行するか、別の便利な方法で転送します。

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

その結果、3 つのファイルがすべて表示されるはずです。

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

証明書のインストール

ファイルをコピーし、信頼リストを更新します。

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

構成ファイルを追加/更新します。

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

次に、影響を受けるすべてのサービスを再起動します。

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

準備ができて！ 次に、マネージャーに接続し、接続が署名された SSL 証明書によって保護されていることを確認します。

アーカイブ

彼女なしでは私たちはどこにいるでしょうか？ このセクションではマネージャーのアーカイブについて説明しますが、VM のアーカイブは別の問題です。 アーカイブ コピーを 1 日に 01 回作成し、NFS 経由で、たとえば ISO イメージを配置したのと同じシステム (mynfsXNUMX.example.com:/exports/ovirt-backup) に保存します。 エンジンが実行されているのと同じマシンにアーカイブを保存することはお勧めできません。

autofs をインストールして有効にします。

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

スクリプトを作成しましょう。

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

次のコンテンツ：

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

ファイルを実行可能にする:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

これからは毎晩マネージャー設定のアーカイブを受け取ることになります。

ホスト管理インターフェース

コックピット — Linux システム用の最新の管理インターフェイス。 この場合、ESXi Web インターフェイスと同様の役割を実行します。

米。 3 — パネルの外観。

インストールは非常に簡単です。コックピット パッケージとコックピット-ovirt-ダッシュボード プラグインが必要です。

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

コックピットを有効にする:

$ sudo systemctl enable --now cockpit.socket

ファイアウォールの設定:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

これで、ホストに接続できるようになります: https://[ホスト IP または FQDN]:9090

VLAN

ネットワークについて詳しくは、次の記事を参照してください。 ドキュメンテーション。 多くの可能性がありますが、ここでは仮想ネットワークの接続について説明します。

他のサブネットに接続するには、まず設定でそれらのサブネットを説明する必要があります: [ネットワーク] -> [ネットワーク] -> [新規]。ここでは名前のみが必須フィールドです。 マシンがこのネットワークを使用できるようにする [VM ネットワーク] チェックボックスが有効になっていますが、接続するにはタグを有効にする必要があります VLAN タグ付けを有効にする、VLAN 番号を入力し、「OK」をクリックします。

次に、[コンピューティング ホスト] -> [ホスト] -> [kvmNN] -> [ネットワーク インターフェイス] -> [ホスト ネットワークのセットアップ] に移動する必要があります。 追加したネットワークを、[未割り当ての論理ネットワーク] の右側から左側の [割り当て済みの論理ネットワーク] にドラッグします。

米。 4 - ネットワークを追加する前。

米。 5 - ネットワークを追加した後。

複数のネットワークを一括してホストに接続するには、ネットワークの作成時にネットワークにラベルを割り当て、ラベルごとにネットワークを追加すると便利です。

ネットワークが作成された後、ネットワークがクラ​​スター内のすべてのノードに追加されるまで、ホストは非稼働状態になります。 この動作は、新しいネットワークを作成するときに [クラスター] タブの [すべて必須] フラグが原因で発生します。 クラスターのすべてのノードでネットワークが必要ない場合は、このフラグを無効にすることができます。ネットワークがホストに追加されると、右側の「不要」セクションに表示され、接続するかどうかを選択できます。特定のホストに送信します。

米。 6 - ネットワーク要件属性を選択します。

HPE 固有

ほぼすべてのメーカーは、製品の使いやすさを向上させるツールを持っています。 HPE を例に挙げると、AMS (Agentless Management Service、iLO5 の場合は amsd、iLO4 の場合は hp-ams) や SSA (Smart Storage Administrator、ディスク コントローラーと連携する) などが便利です。

HPE リポジトリへの接続
キーをインポートし、HPE リポジトリに接続します。

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

次のコンテンツ：

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

リポジトリの内容とパッケージ情報を表示します (参考用)。

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

インストールと起動:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

ディスク コントローラを操作するためのユーティリティの例

それは今のところすべてです。 次の記事では、基本的な操作と応用について説明する予定です。 たとえば、oVirt で VDI を作成する方法。

出所： habr.com