oVirt ing 2 jam. Part 3. Setelan tambahan

Ing artikel iki kita bakal ndeleng sawetara setelan opsional nanging migunani:

• nggunakake jeneng tambahan kanggo manager;
• nyambungake otentikasi liwat Active Directory;
• Mutlipathing;
• manajemen daya;
• ngganti sertifikat SSL;
• pengarsipan;
• antarmuka manajemen host (kokpit);
• VLAN;
• spesifik HPE.

Artikel iki minangka tutugan, ndeleng oVirt ing 2 jam kanggo wiwitan Bagéan saka 1 и bagean 2.

Artikel

1. Pambuka
2. Instalasi manager (ovirt-engine) lan hypervisor (host)
3. Setelan tambahan - We are kene

Setelan manajer tambahan

Kanggo penak, kita bakal nginstal paket tambahan:

$ sudo yum install bash-completion vim

Kanggo ngaktifake printah completion, bash-completion mbutuhake ngalih menyang bash.

Nambahake jeneng DNS tambahan

Iki bakal dibutuhake nalika sampeyan kudu nyambung menyang manajer nggunakake jeneng alternatif (CNAME, alias, utawa mung jeneng singkat tanpa sufiks domain). Kanggo alasan keamanan, manajer ngidini sambungan mung nggunakake dhaptar jeneng sing diidini.

Nggawe file konfigurasi:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

isi ing ngisor iki:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

lan miwiti maneh manajer:

$ sudo systemctl restart ovirt-engine

Nggawe otentikasi liwat AD

oVirt duwe basis pangguna sing dibangun, nanging panyedhiya LDAP eksternal uga didhukung, kalebu. A.D.

Cara paling gampang kanggo konfigurasi khas yaiku ngluncurake tuntunan lan miwiti maneh manajer:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Tuladha karya master
$ sudo ovirt-engine-extension-aaa-ldap-setup
Implementasi LDAP sing kasedhiya:
...
3 - Direktori Aktif
...
Pilih: 3
Mangga ketik jeneng Active Directory Forest: example.com

Pilih protokol sing arep digunakake (startTLS, ldaps, polos) [wiwitTLS]:
Pilih cara kanggo entuk sertifikat CA sing dienkode PEM (File, URL, Inline, Sistem, Ora Aman): URL
URL: wwwca.example.com/myRootCA.pem
Ketik DN pangguna telusuran (contone uid=username,dc=example,dc=com utawa kosongake kanggo anonim): CN=oVirt-Engine,CN=Panganggo,DC=conto,DC=com
Ketik tembung sandhi pangguna telusuran: *sandi*
[ INFO ] Nyoba ikatan nggunakake 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Apa sampeyan arep nggunakake Single Sign-On kanggo Mesin Virtual (Ya, Ora) [Ya]:
Mangga nemtokake jeneng profil sing bakal katon kanggo pangguna [conto.com]:
Mangga wenehi kredensial kanggo nyoba alur login:
Ketik jeneng pangguna: someAnyUser
Ketik sandhi pangguna:
...
[INFO] Urutan mlebu kasil dieksekusi
...
Pilih urutan tes kanggo dieksekusi (Rampung, Batal, Login, Telusuri) [Rampung]:
[INFO] Tahap: Persiyapan transaksi
...
RINGKASAN KONFIGURASI
...

Nggunakake tuntunan cocok kanggo umume kasus. Kanggo konfigurasi rumit, setelan ditindakake kanthi manual. Rincian liyane ing dokumentasi oVirt, Pangguna lan Peran. Sawise kasil nyambungake Engine menyang AD, profil tambahan bakal katon ing jendhela sambungan, lan ing tab Ijin Obyek sistem nduweni kemampuan kanggo menehi ijin marang pangguna lan grup AD. Perlu dicathet yen direktori eksternal pangguna lan grup bisa uga ora mung AD, nanging uga IPA, eDirectory, lsp.

Multipathing

Ing lingkungan produksi, sistem panyimpenan kudu disambungake menyang host liwat macem-macem independen, macem-macem jalur I / O. Minangka aturan, ing CentOS (lan mulane oVirt) ora ana masalah karo ngumpulake pirang-pirang jalur menyang piranti (find_multipaths ya). Setelan tambahan kanggo FCoE ditulis ing bagean 2. Sampeyan kudu menehi perhatian marang rekomendasi pabrikan sistem panyimpenan - akeh sing nyaranake nggunakake kabijakan round-robin, nanging kanthi standar ing Enterprise Linux 7 wektu layanan digunakake.

Nggunakake 3PAR minangka conto
lan dokumen HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux, lan OracleVM Server Pandhuan Implementasi EL digawe minangka Host karo Generic-ALUA Persona 2, sing nilai ing ngisor iki dilebokake ing setelan /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Sawise printah kanggo miwiti maneh diwenehi:

systemctl restart multipathd

Gabah. 1 minangka kabijakan sawetara I/O standar.

Gabah. 2 - sawetara kabijakan I / O sawise nglamar setelan.

Nyetel manajemen daya

Ngidini sampeyan nindakake, contone, reset hardware saka mesin yen Engine ora bisa nampa respon saka Host kanggo dangu. Dilaksanakake liwat Agen Pagar.

Komputasi -> Host -> PUNGKAS - Owahi -> Manajemen Daya, banjur aktifake "Aktifake Manajemen Daya" lan tambahake agen - "Tambah Agen Pagar" -> +.

Kita nuduhake jinis (contone, kanggo iLO5 sampeyan kudu nemtokake ilo4), jeneng / alamat antarmuka ipmi, uga jeneng pangguna / sandhi. Disaranake nggawe pangguna sing kapisah (contone, oVirt-PM) lan, ing kasus iLO, menehi hak istimewa:

• Mlebu
• Remote Console
• Daya Virtual lan Reset
• Media virtual
• Konfigurasi Setelan iLO
• Ngatur Akun Panganggo

Aja takon kenapa kaya ngono, dipilih kanthi empiris. Agen pagar konsol mbutuhake hak sing luwih sithik.

Nalika nyetel dhaptar kontrol akses, sampeyan kudu elinga yen agen ora mlaku ing mesin, nanging ing host "tanggane" (sing diarani Power Management Proxy), yaiku, yen mung ana siji simpul ing kluster, manajemen daya bakal bisa ЅЅµµ ± ± ±.

Nggawe SSL

Pandhuan resmi lengkap - ing dokumentasi, Lampiran D: oVirt lan SSL — Ngganti Sertifikat SSL/TLS Engine oVirt.

Sertifikat kasebut bisa uga saka CA perusahaan utawa saka panguwasa sertifikat komersial eksternal.

Cathetan penting: Sertifikat kasebut dimaksudake kanggo nyambung menyang manajer lan ora bakal mengaruhi komunikasi antarane Mesin lan kelenjar - dheweke bakal nggunakake sertifikat sing ditandatangani dhewe sing diterbitake dening Mesin.

Syarat:

• sertifikat saka CA nerbitake ing format PEM, karo kabeh chain nganti ROOT CA (saka bawahan nerbitake CA ing awal kanggo ROOT ing mburi);
• sertifikat kanggo Apache sing diterbitake dening CA sing nerbitake (uga ditambah karo kabeh sertifikat CA);
• tombol pribadi kanggo Apache, tanpa sandi.

Ayo nganggep CA nerbitake kita mlaku CentOS, diarani subca.example.com, lan panjaluk, kunci, lan sertifikat ana ing direktori /etc/pki/tls/.

Kita nindakake serep lan nggawe direktori sementara:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Download sertifikat, lakoni saka workstation utawa transfer kanthi cara liyane sing trep:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Akibaté, sampeyan kudu ndeleng kabeh 3 file:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Nginstal sertifikat

Salin file lan nganyari dhaptar kapercayan:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Tambah / nganyari file konfigurasi:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Sabanjure, miwiti maneh kabeh layanan sing kena pengaruh:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

siyap! Wektu kanggo nyambung menyang manajer lan priksa manawa sambungan kasebut dilindhungi dening sertifikat SSL sing wis ditandatangani.

Pengarsipan

Ngendi kita tanpa dheweke? Ing bagean iki kita bakal ngomong babagan pengarsipan manajer; Pengarsipan VM minangka masalah sing kapisah. Kita bakal nggawe salinan arsip sapisan dina lan nyimpen liwat NFS, contone, ing sistem padha ngendi kita sijine gambar ISO - mynfs1.example.com:/exports/ovirt-backup. Ora dianjurake kanggo nyimpen arsip ing mesin sing padha ing ngendi Mesin mlaku.

Instal lan aktifake autofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Ayo nggawe skrip:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

isi ing ngisor iki:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Nggawe file bisa dieksekusi:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Saiki saben wengi kita bakal nampa arsip setelan manager.

Antarmuka manajemen host

Cockpit — antarmuka administratif modern kanggo sistem Linux. Ing kasus iki, nindakake peran sing padha karo antarmuka web ESXi.

Gabah. 3 - katon saka panel.

Instalasi gampang banget, sampeyan butuh paket kokpit lan plugin cockpit-ovirt-dashboard:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Ngaktifake kokpit:

$ sudo systemctl enable --now cockpit.socket

Setelan firewall:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Saiki sampeyan bisa nyambung menyang host: https: // [Host IP utawa FQDN]: 9090

VLAN

Sampeyan kudu maca liyane babagan jaringan ing dokumentasi. Ana akeh kemungkinan, kene kita bakal njlèntrèhaké nyambungake jaringan virtual.

Kanggo nyambungake subnet liyane, kudu diterangake dhisik ing konfigurasi: Jaringan -> Jaringan -> Anyar, ing kene mung jeneng lapangan sing dibutuhake; Kothak VM Network, sing ngidini mesin nggunakake jaringan iki, diaktifake, nanging kanggo nyambungake tag kudu diaktifake Aktifake VLAN tagging, ketik nomer VLAN banjur klik OK.

Saiki sampeyan kudu pindhah menyang Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Seret jaringan sing ditambahake saka sisih tengen Jaringan Logis sing Ora Ditugasake menyang ngiwa menyang Jaringan Logis sing Ditugasake:

Gabah. 4 - sadurunge nambah jaringan.

Gabah. 5 - sawise nambah jaringan.

Kanggo nyambungake sawetara jaringan menyang host ing akeh, iku trep kanggo nemtokake label (s) kanggo wong-wong mau nalika nggawe jaringan, lan nambah jaringan dening label.

Sawise jaringan digawe, host bakal pindhah menyang negara Non Operasional nganti jaringan ditambahake menyang kabeh simpul ing kluster. Prilaku iki disebabake dening Require All flag ing tab Cluster nalika nggawe jaringan anyar. Yen jaringan ora dibutuhake ing kabeh simpul kluster, gendera iki bisa dipateni, banjur nalika jaringan ditambahake menyang host, bakal ana ing sisih tengen ing bagean Non Required lan sampeyan bisa milih arep nyambungake. menyang host tartamtu.

Gabah. 6—pilih atribut syarat jaringan.

spesifik HPE

Meh kabeh manufaktur duwe alat sing nambah kegunaan produke. Nggunakake HPE minangka conto, AMS (Agentless Management Service, amsd kanggo iLO5, hp-ams kanggo iLO4) lan SSA (Smart Storage Administrator, nggarap pengontrol disk), etc.

Nyambungake repositori HPE
Kita ngimpor kunci lan nyambungake repositori HPE:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

isi ing ngisor iki:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Deleng isi repositori lan informasi paket (kanggo referensi):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Instalasi lan miwiti:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Conto sarana kanggo nggarap pengontrol disk

Semono wae. Ing artikel ing ngisor iki, aku arep ngomong babagan sawetara operasi lan aplikasi dhasar. Contone, carane nggawe VDI ing oVirt.

Source: www.habr.com