2시간 안에 버티세요. 3부. 추가 설정

이 문서에서는 선택 사항이지만 유용한 여러 설정을 살펴보겠습니다.

• 관리자에 대한 추가 이름 사용;
• Active Directory를 통해 인증 연결;
• 다중화;
• 전원 관리;
• SSL 인증서 교체;
• 보관;
• 호스트 관리 인터페이스(콕핏);
• VLAN;
• HPE 특정.

이 기사는 계속됩니다. 시작 부분은 2시간 후 oVirt를 참조하세요. Часть 1 и 일부 2.

조항

1. 소개
2. 관리자(ovirt-engine) 및 하이퍼바이저(호스트) 설치
3. 추가 설정 - 현재 위치

추가 관리자 설정

편의를 위해 추가 패키지를 설치하겠습니다.

$ sudo yum install bash-completion vim

명령 완성을 활성화하려면 bash-completion을 bash로 전환해야 합니다.

추가 DNS 이름 추가

이는 대체 이름(CNAME, 별칭 또는 도메인 접미사가 없는 짧은 이름)을 사용하여 관리자에 연결해야 할 때 필요합니다. 보안상의 이유로 관리자는 허용된 이름 목록을 사용한 연결만 허용합니다.

구성 파일을 만듭니다.

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

다음 내용 :

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

관리자를 다시 시작합니다.

$ sudo systemctl restart ovirt-engine

AD를 통한 인증 설정

oVirt에는 사용자 기반이 내장되어 있지만 외부 LDAP 공급자도 지원됩니다. 기원 후.

일반적인 구성을 위한 가장 간단한 방법은 마법사를 시작하고 관리자를 다시 시작하는 것입니다.

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

주인의 작품의 예
$ sudo ovirt-엔진-확장-aaa-ldap-설정
사용 가능한 LDAP 구현:
...
3 - 액티브 디렉토리
...
선택 해주세요: 3
Active Directory 포리스트 이름을 입력하세요. example.com

사용할 프로토콜을 선택하세요(startTLS, ldaps, plain). [시작TLS]:
PEM으로 인코딩된 CA 인증서를 얻기 위한 방법을 선택하십시오(파일, URL, 인라인, 시스템, 안전하지 않음): URL
URL : wwwca.example.com/myRootCA.pem
검색 사용자 DN을 입력하세요(예: uid=username,dc=example,dc=com 또는 익명의 경우 비워 두세요). CN=oVirt-Engine,CN=사용자,DC=예,DC=com
검색 사용자 비밀번호 입력: *비밀번호*
[ 정보 ] 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'을 사용하여 바인딩을 시도하고 있습니다.
가상 머신에 Single Sign-On을 사용하시겠습니까?(예, 아니요) [예]:
사용자에게 표시될 프로필 이름을 지정하세요. [example.com]:
로그인 흐름을 테스트하려면 자격 증명을 입력하세요.
사용자 이름 입력: someAnyUser
사용자 비밀번호를 입력하세요:
...
[정보] 로그인 시퀀스가 ​​성공적으로 실행되었습니다.
...
실행할 테스트 시퀀스 선택(완료, 중단, 로그인, 검색) [완료]:
[정보] 단계: 거래 설정
...
구성 요약
...

마법사를 사용하는 것은 대부분의 경우에 적합합니다. 복잡한 구성의 경우 설정이 수동으로 수행됩니다. oVirt 문서에 대한 자세한 내용은 사용자 및 역할. 엔진을 AD에 성공적으로 연결하면 연결 창과 탭에 추가 프로필이 나타납니다. 권한 시스템 개체에는 AD 사용자 및 그룹에 권한을 부여하는 기능이 있습니다. 사용자 및 그룹의 외부 디렉터리는 AD뿐만 아니라 IPA, eDirectory 등일 수도 있습니다.

다중 경로

프로덕션 환경에서는 스토리지 시스템이 여러 개의 독립적인 여러 I/O 경로를 통해 호스트에 연결되어야 합니다. 일반적으로 CentOS(및 oVirt)에서는 장치에 대한 여러 경로를 조합하는 데 문제가 없습니다(find_multipaths yes). FCoE에 대한 추가 설정은 다음과 같습니다. 2 부분. 스토리지 시스템 제조업체의 권장 사항에 주목할 필요가 있습니다. 많은 사람들이 라운드 로빈 정책 사용을 권장하지만 Enterprise Linux 7에서는 기본적으로 서비스 시간이 사용됩니다.

3PAR을 예로 사용
그리고 문서 HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux 및 OracleVM 서버 구현 가이드 EL은 Generic-ALUA Persona 2를 사용하여 호스트로 생성되며 /etc/multipath.conf 설정에 다음 값이 입력됩니다.

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

그런 다음 다시 시작하라는 명령이 제공됩니다.

systemctl restart multipathd

쌀. 1은 기본 다중 I/O 정책입니다.

쌀. 2 - 설정 적용 후 다중 I/O 정책.

전원 관리 설정

예를 들어, 엔진이 오랫동안 호스트로부터 응답을 받을 수 없는 경우 머신의 하드웨어 재설정을 수행할 수 있습니다. Fence Agent를 통해 구현됩니다.

컴퓨팅 -> 호스트 -> HOST — 편집 -> 전원 관리를 선택한 다음 "전원 관리 활성화"를 활성화하고 에이전트를 추가합니다. — "펜스 에이전트 추가" -> +.

유형(예: iLO5의 경우 ilo4를 지정해야 함), ipmi 인터페이스의 이름/주소 및 사용자 이름/암호를 나타냅니다. 별도의 사용자(예: oVirt-PM)를 생성하고 iLO의 경우 해당 사용자에게 권한을 부여하는 것이 좋습니다.

• 로그인
• 원격 콘솔
• 가상 전원 및 재설정
• 가상 미디어
• iLO 설정 구성
• 사용자 계정 관리

왜 그런지 묻지 마십시오. 경험적으로 선택되었습니다. 콘솔 펜싱 에이전트에는 더 적은 권한이 필요합니다.

액세스 제어 목록을 설정할 때 에이전트는 엔진이 아니라 "이웃" 호스트(소위 전원 관리 프록시)에서 실행된다는 점을 명심해야 합니다. 즉, 클러스터에 노드가 하나만 있는 경우 전원 관리가 작동합니다 ~하지 않을 것이다.

SSL 설정

전체 공식 지침 - in 선적 서류 비치, 부록 D: oVirt 및 SSL - oVirt 엔진 SSL/TLS 인증서 교체.

인증서는 회사 CA 또는 외부 상용 인증 기관에서 제공될 수 있습니다.

중요 참고 사항: 인증서는 관리자에 연결하기 위한 것이며 엔진과 노드 간의 통신에 영향을 주지 않습니다. 엔진에서 발급한 자체 서명된 인증서를 사용합니다.

요구 사항 :

• PEM 형식의 발급 CA 인증서(전체 체인이 루트 CA까지 포함)(시작의 하위 발급 CA부터 끝의 루트까지)
• 발급 CA에서 발급한 Apache용 인증서(또한 전체 CA 인증서 체인으로 보완됨)
• 비밀번호가 없는 Apache용 개인 키입니다.

발급 CA가 subca.example.com이라는 CentOS를 실행하고 있고 요청, 키 및 인증서가 /etc/pki/tls/ 디렉터리에 있다고 가정해 보겠습니다.

백업을 수행하고 임시 디렉터리를 만듭니다.

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

인증서를 다운로드하고 워크스테이션에서 수행하거나 다른 편리한 방법으로 전송하십시오.

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

결과적으로 다음 3개 파일이 모두 표시됩니다.

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

인증서 설치

파일을 복사하고 신뢰 목록을 업데이트합니다.

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

구성 파일 추가/업데이트:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

그런 다음 영향을 받는 모든 서비스를 다시 시작합니다.

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

준비가 된! 이제 관리자에 연결하여 서명된 SSL 인증서로 연결이 보호되는지 확인할 차례입니다.

아카이빙

그녀 없이 우리는 어디에 있을까요? 이 섹션에서는 관리자 아카이빙에 대해 설명합니다. VM 아카이빙은 별도의 문제입니다. 하루에 한 번 아카이브 복사본을 만들고 NFS를 통해 ISO 이미지를 배치한 동일한 시스템(mynfs1.example.com:/exports/ovirt-backup)에 저장합니다. 엔진이 실행되는 동일한 머신에 아카이브를 저장하는 것은 권장되지 않습니다.

autofs를 설치하고 활성화합니다.

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

스크립트를 작성해 보겠습니다.

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

다음 내용 :

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

파일을 실행 가능하게 만들기:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

이제 매일 밤 관리자 설정 아카이브를 받게 됩니다.

호스트 관리 인터페이스

조종석 — Linux 시스템을 위한 최신 관리 인터페이스입니다. 이 경우 ESXi 웹 인터페이스와 유사한 역할을 수행합니다.

쌀. 3 — 패널의 모습.

설치는 매우 간단합니다. Cockpit 패키지와 Cockpit-ovirt-dashboard 플러그인이 필요합니다.

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

조종석 활성화:

$ sudo systemctl enable --now cockpit.socket

방화벽 설정:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

이제 호스트에 연결할 수 있습니다: https://[호스트 IP 또는 FQDN]:9090

VLAN

네트워크에 대한 자세한 내용은 다음에서 읽어야 합니다. 선적 서류 비치. 많은 가능성이 있습니다. 여기서는 가상 네트워크 연결에 대해 설명하겠습니다.

다른 서브넷을 연결하려면 먼저 구성(네트워크 -> 네트워크 -> 새로 만들기)에서 설명해야 합니다. 여기서는 이름만 필수 필드입니다. 머신이 이 네트워크를 사용할 수 있도록 하는 VM 네트워크 확인란이 활성화되어 있지만 연결하려면 태그를 활성화해야 합니다. VLAN 태그 활성화, VLAN 번호를 입력하고 확인을 클릭하세요.

이제 컴퓨팅 호스트 -> 호스트 -> kvmNN -> 네트워크 인터페이스 -> 호스트 네트워크 설정으로 이동해야 합니다. 할당되지 않은 논리 네트워크의 오른쪽에서 추가된 네트워크를 할당된 논리 네트워크로 왼쪽으로 드래그합니다.

쌀. 4 - 네트워크를 추가하기 전.

쌀. 5 - 네트워크를 추가한 후.

여러 네트워크를 호스트에 일괄 연결하려면 네트워크 생성 시 라벨을 할당하고, 라벨별로 네트워크를 추가하는 것이 편리합니다.

네트워크가 생성된 후 호스트는 네트워크가 클러스터의 모든 노드에 추가될 때까지 비작동 상태로 전환됩니다. 이 동작은 새 네트워크를 생성할 때 클러스터 탭의 모두 요구 플래그로 인해 발생합니다. 클러스터의 모든 노드에서 네트워크가 필요하지 않은 경우 이 플래그를 비활성화할 수 있습니다. 그런 다음 네트워크가 호스트에 추가되면 네트워크가 필요하지 않음 섹션의 오른쪽에 표시되며 연결 여부를 선택할 수 있습니다. 특정 호스트에 보냅니다.

쌀. 6 - 네트워크 요구 사항 속성을 선택합니다.

HPE 특정

거의 모든 제조업체에는 제품의 유용성을 향상시키는 도구가 있습니다. HPE를 예로 들면 AMS(Agentless Management Service, iLO5용 amsd, iLO4용 hp-ams) 및 SSA(Smart Storage Administrator, 디스크 컨트롤러와 작동) 등이 유용합니다.

HPE 저장소 연결
키를 가져오고 HPE 리포지토리를 연결합니다.

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

다음 내용 :

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

저장소 콘텐츠 및 패키지 정보 보기(참조용):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

설치 및 실행:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

디스크 컨트롤러 작업을 위한 유틸리티의 예

지금은 여기까지입니다. 다음 기사에서는 몇 가지 기본 작업과 응용 프로그램에 대해 이야기할 계획입니다. 예를 들어 oVirt에서 VDI를 만드는 방법입니다.

출처 : habr.com