oVirt 2 сағатта. 3-бөлім. Қосымша параметрлер

Бұл мақалада біз бірнеше қосымша, бірақ пайдалы параметрлерді қарастырамыз:

• менеджер үшін қосымша атауларды пайдалану;
• Active Directory арқылы аутентификацияны қосу;
• Мультипатия;
• қуатты басқару;
• SSL сертификатын ауыстыру;
• мұрағаттау;
• хостты басқару интерфейсі (кокпит);
• VLAN-лар;
• HPE арнайы.

Бұл мақаланың жалғасы, басын 2 сағаттан кейін oVirt бөлімінен қараңыз 1 бөлігі и 2 бөлігі.

Мақалалар

1. Кіріспе
2. Менеджерді (ovirt-engine) және гипервизорларды (хосттар) орнату
3. Қосымша параметрлер - Біз осындамыз

Қосымша менеджер параметрлері

Ыңғайлы болу үшін біз қосымша пакеттерді орнатамыз:

$ sudo yum install bash-completion vim

Пәрменді аяқтауды қосу үшін bash-аяқтауы bash-қа ауысуды қажет етеді.

Қосымша DNS атауларын қосу

Бұл менеджерге балама атау (CNAME, бүркеншік ат немесе домен жұрнағы жоқ жай ғана қысқа атау) арқылы қосылу қажет болғанда қажет болады. Қауіпсіздік мақсатында менеджер тек рұқсат етілген атаулар тізімін пайдаланып қосылымдарға рұқсат береді.

Конфигурация файлын жасаңыз:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

келесі мазмұн:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

және менеджерді қайта іске қосыңыз:

$ sudo systemctl restart ovirt-engine

AD арқылы аутентификацияны орнату

oVirt-тің кірістірілген пайдаланушы базасы бар, бірақ сыртқы LDAP провайдерлеріне де қолдау көрсетіледі, соның ішінде. А.Д.

Әдеттегі конфигурацияның ең қарапайым жолы - шеберді іске қосу және менеджерді қайта іске қосу:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Шебер жұмысының мысалы
$ sudo ovirt-engine-extension-aaa-ldap-орнату
Қолжетімді LDAP енгізулері:
...
3 - Active Directory
...
Таңдауыңызды сұраймыз: 3
Active Directory Forest атауын енгізіңіз: example.com

Пайдалану үшін протоколды таңдаңыз (startTLS, ldaps, қарапайым) [startTLS]:
PEM кодталған CA сертификатын алу әдісін таңдаңыз (Файл, URL, Inline, Жүйе, Қауіпсіз): URL
URL: wwwca.example.com/myRootCA.pem
Іздеу пайдаланушысының DN-ін енгізіңіз (мысалы, uid=username,dc=example,dc=com немесе анонимді үшін бос қалдырыңыз): CN=oVirt-Engine,CN=Пайдаланушылар, DC=мысал, DC=com
Іздеу пайдаланушысының құпия сөзін енгізіңіз: *пароль*
[ INFO ] 'CN=oVirt-Engine,CN=Users,DC=example,DC=com' арқылы байланыстыру әрекеті
Виртуалды машиналар үшін бір рет кіру мүмкіндігін пайдаланғыңыз келе ме (иә, жоқ) [Иә]:
Пайдаланушыларға көрінетін профиль атын көрсетіңіз [example.com]:
Жүйеге кіру ағынын тексеру үшін тіркелгі деректерін беріңіз:
Қолданушы атын енгізіңіз: someAnyUser
Пайдаланушы құпия сөзін енгізіңіз:
...
[INFO] Жүйеге кіру реті сәтті орындалды
...
Орындалатын сынақ ретін таңдаңыз (Дайын, Тоқтату, Кіру, Іздеу) [Дайын]:
[INFO] Кезең: транзакцияны орнату
...
КОНФИГУРАЦИЯЛЫҚ ҚОРЫТЫНДЫ
...

Шеберді пайдалану көп жағдайда қолайлы. Күрделі конфигурациялар үшін параметрлер қолмен орындалады. Қосымша мәліметтер oVirt құжаттамасында, Пайдаланушылар мен рөлдер. Қозғалтқышты AD жүйесіне сәтті қосқаннан кейін қосылым терезесінде және қойындысында қосымша профиль пайда болады Рұқсаттар Жүйе нысандарының AD пайдаланушылары мен топтарына рұқсаттар беру мүмкіндігі бар. Айта кету керек, пайдаланушылар мен топтардың сыртқы каталогы тек AD емес, сонымен қатар IPA, eDirectory және т.б.

Көп жол

Өндірістік ортада сақтау жүйесі хостқа бірнеше тәуелсіз, бірнеше енгізу/шығару жолдары арқылы қосылуы керек. Әдетте, CentOS жүйесінде (демек, oVirt) құрылғыға бірнеше жолдарды жинауда проблемалар болмайды (find_multipaths иә). FCoE үшін қосымша параметрлер жазылған 2-ші бөлім. Сақтау жүйесін өндірушінің ұсынысына назар аударған жөн - көбісі айналым саясатын пайдалануды ұсынады, бірақ Enterprise Linux 7-де әдепкі бойынша қызмет уақыты пайдаланылады.

Мысал ретінде 3PAR пайдалану
және құжат HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux және OracleVM серверін енгізу нұсқаулығы EL Generic-ALUA Persona 2 жүйесі бар хост ретінде жасалған, ол үшін /etc/multipath.conf параметрлеріне келесі мәндер енгізіледі:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Осыдан кейін қайта іске қосу пәрмені беріледі:

systemctl restart multipathd

Күріш. 1 әдепкі бірнеше енгізу/шығару саясаты болып табылады.

Күріш. 2 - параметрлерді қолданғаннан кейін бірнеше енгізу/шығару саясаты.

Қуатты басқаруды орнату

Мысалы, егер Қозғалтқыш ұзақ уақыт бойы Хосттан жауап ала алмаса, құрылғының аппараттық құралдарын қалпына келтіруді орындауға мүмкіндік береді. Fence Agent арқылы жүзеге асырылады.

Есептеу -> Хосттар -> HOST — Өңдеу -> Қуатты басқару, одан кейін “Қуатты басқаруды қосу” опциясын қосыңыз және агентті қосыңыз — “Қоршау агентін қосу” -> +.

Біз түрін (мысалы, iLO5 үшін ilo4 көрсетуіңіз керек), ipmi интерфейсінің атын/мекен-жайын, сондай-ақ пайдаланушы атын/құпия сөзді көрсетеміз. Жеке пайдаланушыны жасау ұсынылады (мысалы, oVirt-PM) және iLO жағдайында оған артықшылықтар беріңіз:

• Кіру
• Қашықтағы консоль
• Виртуалды қуат және қалпына келтіру
• Виртуалды БАҚ
• iLO параметрлерін конфигурациялаңыз
• Пайдаланушы тіркелгілерін басқару

Неліктен бұлай деп сұрамаңыз, ол эмпирикалық түрде таңдалды. Консольді қоршау агенті азырақ құқықтарды талап етеді.

Қол жеткізуді басқару тізімдерін орнатқан кезде, агент қозғалтқышта емес, «көрші» хостта (қуатты басқару прокси деп аталатын) жұмыс істейтінін есте ұстаған жөн, яғни кластерде бір ғана түйін болса, қуатты басқару жұмыс істейді болмайды.

SSL орнату

Толық ресми нұсқаулар - в құжаттама, Қосымша D: oVirt және SSL — oVirt Engine SSL/TLS сертификатын ауыстыру.

Сертификат біздің корпоративтік CA-дан немесе сыртқы коммерциялық сертификаттау органынан болуы мүмкін.

Маңызды ескерту: Сертификат менеджерге қосылуға арналған және Қозғалтқыш пен түйіндер арасындағы байланысқа әсер етпейді - олар Қозғалтқыш берген өздігінен қол қойылған сертификаттарды пайдаланады.

талаптар:

• Бүкіл тізбегі СА түбіріне дейін (басында СА шығаратын бағынушыдан соңындағы түбірге дейін) PEM форматындағы СА шығарушы куәлігі;
• эмитент CA берген Apache сертификаты (сонымен қатар CA сертификаттарының бүкіл тізбегімен толықтырылған);
• құпия сөзсіз Apache үшін жеке кілт.

Біздің эмиссиялық CA subca.example.com деп аталатын CentOS жүйесінде жұмыс істейді және сұраулар, кілттер және сертификаттар /etc/pki/tls/ каталогында орналасқан делік.

Біз сақтық көшірме жасаймыз және уақытша каталог жасаймыз:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Куәліктерді жүктеп алыңыз, оны жұмыс станцияңыздан орындаңыз немесе басқа ыңғайлы жолмен тасымалдаңыз:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Нәтижесінде сіз барлық 3 файлды көресіз:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Сертификаттарды орнату

Файлдарды көшіріп, сенімді тізімдерді жаңартыңыз:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Конфигурация файлдарын қосу/жаңарту:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Әрі қарай, барлық зардап шеккен қызметтерді қайта іске қосыңыз:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Дайын! Менеджерге қосылу және қосылым қол қойылған SSL сертификатымен қорғалғанын тексеру уақыты келді.

Мұрағаттау

Онсыз біз қайда болар едік? Бұл бөлімде менеджердің мұрағаттауы туралы айтатын боламыз; VM мұрағаттау - бұл бөлек мәселе. Біз күніне бір рет мұрағат көшірмелерін жасап, оларды NFS арқылы сақтаймыз, мысалы, ISO кескіндерін орналастырған жүйеде - mynfs1.example.com:/exports/ovirt-backup. Мұрағаттарды Қозғалтқыш жұмыс істеп тұрған құрылғыда сақтау ұсынылмайды.

Автоматты орнату және қосу:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Сценарий жасайық:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

келесі мазмұн:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Файлды орындалатын етіп жасау:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Енді әр түнде біз менеджер параметрлерінің мұрағатын аламыз.

Хостты басқару интерфейсі

Кокпит — Linux жүйелеріне арналған заманауи әкімшілік интерфейс. Бұл жағдайда ол ESXi веб-интерфейсіне ұқсас рөл атқарады.

Күріш. 3 — панельдің сыртқы түрі.

Орнату өте қарапайым, сізге кабина пакеттері мен cockpit-ovirt-бақылау тақтасының плагині қажет:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Кокпитті қосу:

$ sudo systemctl enable --now cockpit.socket

Брандмауэр орнату:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Енді сіз хостқа қосыла аласыз: https://[Host IP немесе FQDN]:9090

VLAN-лар

Желілер туралы көбірек оқуыңыз керек құжаттама. Көптеген мүмкіндіктер бар, мұнда біз виртуалды желілерді қосуды сипаттайтын боламыз.

Басқа ішкі желілерді қосу үшін олар алдымен конфигурацияда сипатталуы керек: Желі -> Желілер -> Жаңа, мұнда тек атау міндетті өріс болып табылады; Машиналарға осы желіні пайдалануға мүмкіндік беретін VM желісі құсбелгісі қосылған, бірақ тегті қосу үшін қосу керек. VLAN тегтерін қосу, VLAN нөмірін енгізіп, OK түймесін басыңыз.

Енді сізге хосттарды есептеу -> Хосттар -> kvmNN -> Желілік интерфейстер -> Хост желілерін орнату тармағына өту керек. Қосылған желіні тағайындалмаған логикалық желілердің оң жағынан солға, тағайындалған логикалық желілерге сүйреңіз:

Күріш. 4 - желіні қоспас бұрын.

Күріш. 5 - желіні қосқаннан кейін.

Бірнеше желіні хостқа жаппай қосу үшін желілерді құру кезінде оларға белгі(лер) тағайындау және белгілер бойынша желілерді қосу ыңғайлы.

Желі жасалғаннан кейін желі кластердегі барлық түйіндерге қосылғанша хосттар Жұмыс істемейтін күйге өтеді. Бұл әрекет жаңа желіні жасау кезінде Кластер қойындысындағы Барлығын талап ету жалаушасынан туындайды. Кластердің барлық түйіндерінде желі қажет болмаған жағдайда, бұл жалаушаны өшіруге болады, содан кейін желі хостқа қосылғанда, ол Міндетті емес бөлімінде оң жақта болады және қосылуды таңдауға болады. ол белгілі бір хостқа.

Күріш. 6—желі талабының төлсипатын таңдаңыз.

HPE арнайы

Барлық дерлік өндірушілерде өз өнімдерінің қолайлылығын жақсартатын құралдар бар. Мысал ретінде HPE пайдалану, AMS (Agentless Management Service, iLO5 үшін amsd, iLO4 үшін hp-ams) және SSA (Smart Storage Administrator, диск контроллерімен жұмыс істеу) және т.б. пайдалы.

HPE репозиторийін қосу
Біз кілтті импорттаймыз және HPE репозиторийлерін қосамыз:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

келесі мазмұн:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Репозиторий мазмұнын және бума ақпаратын көру (анықтама үшін):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Орнату және іске қосу:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Диск контроллерімен жұмыс істеуге арналған утилитаның мысалы

Әзірге бәрі осы. Келесі мақалаларда мен кейбір негізгі операциялар мен қолданбалар туралы айтуды жоспарлап отырмын. Мысалы, oVirt жүйесінде VDI қалай жасауға болады.

Ақпарат көзі: www.habr.com