oVirt di 2 saetan de. Part 3. Mîhengên Additional

Di vê gotarê de em ê li çend mîhengên vebijarkî lê bikêr binêrin:

• ji bo rêveber navên din bikar tînin;
• girêdana erêkirinê bi navgîniya Active Directory;
• Mutlipathing;
• rêveberiya hêzê;
• li şûna sertîfîkaya SSL;
• arşîvkirin;
• pêwendiya rêveberiya mêvandar (cockpit);
• VLANs;
• HPE taybet.

Ev gotar berdewamiyek e, ji bo destpêkê di 2 saetan de oVirt bibînin Beşek 1 и beş 2.

Zimanî babet

1. Pîrozbahiyê
2. Sazkirina gerînendeyê (ovirt-motor) û hypervisors (host)
3. Mîhengên Zêdetir - Em li vir in

Mîhengên rêveberê zêde

Ji bo rehetiyê, em ê pakêtên din saz bikin:

$ sudo yum install bash-completion vim

Ji bo çalakkirina temamkirina fermanê, ji bo temamkirina bash veguherîna bash hewce dike.

Zêdekirina navên DNS yên din

Dema ku hûn hewce ne ku hûn bi navek alternatîf (CNAME, navnav, an tenê navek kurt bêyî paşgirek domainê) bi rêveberê re têkildar bibin ev ê hewce bike. Ji ber sedemên ewlehiyê, rêveber tenê bi karanîna navnîşa destûrkirî ya navan destûr dide girêdanan.

Pelê veavakirinê biafirîne:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

naveroka jêrîn:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

û rêveberê ji nû ve bidin destpêkirin:

$ sudo systemctl restart ovirt-engine

Sazkirina erêkirinê bi AD

oVirt xwedan bingehek bikarhênerek çêkirî ye, lê pêşkêşkerên LDAP yên derveyî jî têne piştgirî kirin, tevî. A.D.

Awayê herî hêsan ji bo veavakirinek tîpîk destpêkirina sêrbaz û ji nû ve destpêkirina rêveber e:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Nimûneyek ji karê masterê
$ sudo ovirt-engine-extension-aaa-ldap-setup
Pêkanîna LDAP-a berdest:
...
3 - Active Directory
...
Ji kerema xwe hilbijêre: 3
Ji kerema xwe navê Daristana Active Directory binivîse: example.com

Ji kerema xwe protokola ku bikar bînin hilbijêrin (startTLS, ldaps, sade) [destpêkirinTLS]:
Ji kerema xwe rêbazek ji bo bidestxistina sertîfîkaya CA-ya kodkirî ya PEM hilbijêrin (Pel, URL, Inline, Pergal, Neewle): URL
Nav û nîşanên babetî: wwwca.example.com/myRootCA.pem
DN bikarhênerê lêgerînê binivîse (mînak uid=navê bikarhêner,dc=nimûne,dc=com an jî ji bo nenas vala bihêle): CN=oVirt-Engine,CN=Bikarhêner,DC=nimûne,DC=com
Şîfreya bikarhênerê lêgerînê binivîse: *şîfre*
[ INFO ] Hewldana girêdanê bi karanîna 'CN=oVirt-Engine,CN=Bikarhêner,DC=nimûne,DC=com'
Ma hûn ê ji bo Makîneyên Virtual Têketinek Yekane bikar bînin (Erê, Na) [Erê]:
Ji kerema xwe navê profîla ku dê ji bikarhêneran re xuya bibe diyar bike [example.com]:
Ji kerema xwe ji bo ceribandina herikîna têketinê pêbaweriyan peyda bikin:
Navê bikarhêner binivîse: someAnyUser
Şîfreya bikarhêner binivîse:
...
[INFO] Rêzeya têketinê bi serfirazî hate darve kirin
...
Rêzeya testê ya ji bo darvekirinê hilbijêrin (Dest, Betalkirin, Têketin, Lêgerîn) [Done]:
[INFO] Qonax: Sazkirina danûstendinê
...
KURTEYA PÊKANÎNÊ
...

Bikaranîna sêrbaz ji bo pir rewşan guncan e. Ji bo veavakirinên tevlihev, mîheng bi destan têne kirin. Zêdetir hûrgulî di belgeyên oVirt de, Bikarhêner û Rol. Piştî ku bi serfirazî Engine bi AD-ê ve girêdide, dê di pencereya pêwendiyê de, û li ser tabê, profîlek din xuya bibe Destûr Tiştên pergalê xwedan şiyana ku destûrê bidin bikarhêner û komên AD-ê hene. Divê were zanîn ku pelrêça derveyî ya bikarhêner û koman dikare ne tenê AD, lê di heman demê de IPA, eDirectory, hwd jî be.

Multipathing

Di hawîrdorek hilberandinê de, pêdivî ye ku pergala hilanînê bi gelek riyên I/O yên serbixwe, pirjimar ve bi mêvandarê ve were girêdan. Wekî qaîdeyek, di CentOS-ê de (û ji ber vê yekê oVirt) di berhevkirina gelek rêyên amûrek de pirsgirêk tune (find_multipaths erê). Mîhengên zêde yên ji bo FCoE tê de têne nivîsandin beşa 2. Hêja ye ku bala xwe bidin pêşniyara hilberînerê pergala hilanînê - pir kes pêşniyar dikin ku polîtîkaya dor-robin bikar bînin, lê ji hêla xwerû ve di Enterprise Linux 7 de karûbarê-dem tê bikar anîn.

3PAR wekî mînakek bikar bînin
û belge Rêbernameya Pêkanîna Servera HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux, û OracleVM EL bi Generic-ALUA Persona 2 re wekî Hostek tête çêkirin, ji bo ku nirxên jêrîn di mîhengan de têne danîn /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Piştî wê fermana ji nû ve destpêkirinê tê dayîn:

systemctl restart multipathd

Birinc. 1 polîtîkaya piralî ya I/O ya xwerû ye.

Birinc. 2 - Polîtîkaya pirjimar I/O piştî sepandina mîhengan.

Sazkirina rêveberiya hêzê

Destûrê dide we ku hûn, bo nimûne, vesazkirina hardware ya makîneyê pêk bînin heke Engine ji bo demek dirêj nikaribe bersivek ji Mêvandar bistîne. Bi rêya Fence Agent ve hatî pêkanîn.

Bihejmêre -> Mêvandar -> MAZÛBAN - Biguherîne -> Rêvebiriya Hêzê, dûv re "Rêveberiya Hêzê çalak bike" çalak bike û nûnerek lê zêde bike - "Agent Fence lê zêde bike" -> +.

Em cureyê destnîşan dikin (mînak, ji bo iLO5 hûn hewce ne ku ilo4 diyar bikin), nav / navnîşana pêwendiya ipmi, û her weha navê bikarhêner / şîfreya bikarhêner. Tête pêşniyar kirin ku bikarhênerek cihêreng biafirînin (mînak, oVirt-PM) û, di doza iLO de, îmtiyazan bidin wî:

• Login
• Konsolê dûr
• Hêza Virtual û Reset
• Media Virtual
• Mîhengên iLO saz bikin
• Hesabên Bikarhêner Birêvebirin

Nepirsin çima ev wusa ye, ew bi ezmûnî hate hilbijartin. Karmendê xefika konsolê kêmtir mafan hewce dike.

Dema ku navnîşên kontrolkirina gihîştinê saz dikin, divê hûn ji bîr mekin ku ajan ne li ser motorê, lê li ser mêvandarek "cîran" (ku jê re tê gotin Proxy Rêvebiriya Hêzê) dimeşîne, ango heke di komê de tenê yek nodek hebe, rêveberiya hêzê dê bixebite neyê.

Sazkirina SSL

talîmatên fermî yên bêkêmasî - in belgekirin, Pêvek D: oVirt û SSL - Veguheztina Sertîfîkaya OVirt Engine SSL/TLS.

Sertîfîka dikare ji CA ya pargîdaniya me an jî ji rayedarek sertîfîkaya bazirganî ya derveyî be.

Nîşeya girîng: Sertîfîka ji bo girêdana bi rêveberê re hatî armanc kirin û dê bandorê li pêwendiya di navbera Engine û girêkan de neke - ew ê sertîfîkayên xwe-îmzakirî yên ku ji hêla Engine ve hatine derxistin bikar bînin.

Hewce:

• sertîfîkaya CA-ya çapkirinê ya bi formata PEM-ê, bi tevahî zincîra heya CA-ya bingehîn (ji CA-ya jêrîn a ku di destpêkê de heya kokê li dawiyê);
• sertîfîkayek ji bo Apache ku ji hêla CA-yê ve hatî weşandin (di heman demê de ji hêla tevahiya zincîra sertîfîkayên CA-yê ve hatî zêdekirin);
• mifteya taybet ji bo Apache, bêyî şîfre.

Ka em bihesibînin ku CA-ya me ya çapkirî CentOS-ê bi navê subca.example.com dimeşîne, û daxwaz, mift û sertîfîkayên di pelrêça /etc/pki/tls/ de cih digirin.

Em hilanînê pêk tînin û pelrêçek demkî diafirînin:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Sertîfîkayan dakêşin, wê ji qereqola xweya xebatê pêk bînin an bi rengek din guncan veguhezînin:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Wekî encamek, divê hûn hemî 3 pelan bibînin:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Sazkirina sertîfîkayan

Pelan kopî bikin û navnîşên pêbaweriyê nûve bikin:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Pelên veavakirinê zêde bikin/nûve bikin:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Piştre, hemî karûbarên bandorkirî ji nû ve bidin destpêkirin:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Amade! Wext e ku meriv bi gerînendeyê ve were girêdan û kontrol bike ka girêdan bi sertîfîkayek SSL-ya îmzekirî ve hatî parastin.

Arşîvkirin

Em ê bêyî wê li ku bin? Di vê beşê de em ê li ser arşîvkirina rêveberê biaxivin; Arşîvkirina VM pirsgirêkek cûda ye. Em ê rojê carekê kopiyên arşîvê çêkin û wan bi riya NFS-ê hilînin, mînakî, li ser heman pergala ku me wêneyên ISO-yê lê danîne - mynfs1.example.com:/exports/ovirt-backup. Ew nayê pêşniyar kirin ku arşîvên li ser heman makîneya ku Engine lê dixebite hilînin.

Xweseran saz bikin û çalak bikin:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Ka em skrîptekê çêbikin:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

naveroka jêrîn:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Çêkirina pelê pêkan:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Naha her şev em ê arşîvek mîhengên rêveberê bistînin.

Navbera rêveberiya mêvandar

Cihê ajovan - navgînek îdarî ya nûjen ji bo pergalên Linux. Di vê rewşê de, ew rolek mîna navgîniya tevna ESXi pêk tîne.

Birinc. 3 - xuyabûna panelê.

Sazkirin pir hêsan e, ji we re pakêtên kockpit û pêveka cockpit-ovirt-dashboard hewce ne:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Çalakkirina Cockpit:

$ sudo systemctl enable --now cockpit.socket

Sazkirina Firewall:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Naha hûn dikarin bi mêvandarê ve girêdin: https://[Host IP an FQDN]:9090

VLANs

Pêdivî ye ku hûn di derheqê torê de bêtir bixwînin belgekirin. Gelek îmkan hene, li vir em ê girêdana torên virtual diyar bikin.

Ji bo girêdana şebekeyên din, divê ewil di veavakirinê de werin ravekirin: Tor -> Tor -> Nû, li vir tenê nav qada pêdivî ye; Qutiya kontrolê ya Tora VM-ê, ku destûrê dide makîneyan ku vê torê bikar bînin, çalak e, lê ji bo girêdana tag divê were çalak kirin. Nîşankirina VLAN çalak bike, hejmara VLAN binivîse û OK bitikîne.

Naha hûn hewce ne ku biçin Compute hosts -> Hosts -> kvmNN -> Navberên Torê -> Setup Host Torres. Tora lêzêdekirî ji milê rastê yên Torên Mantiqî yên Nenaskirî ber bi çepê ve bikişîne nav Tora Mantiqî ya Destnîşankirî:

Birinc. 4 - berî ku torê lê zêde bike.

Birinc. 5 - piştî zêdekirina torê.

Ji bo girêdana gelek toran bi mêvandarek bi girseyî re, hêsan e ku meriv etîketek(an) ji wan re dema afirandina toran veqetîne, û toran bi etîketan zêde bike.

Piştî ku torê hate afirandin, mêvandar dê biçin rewşa Ne Operasyonel heya ku tor li hemî girêkên di komê de were zêdekirin. Dema ku torgilokek nû diafirîne ev tevger ji hêla ala Require All-ê ya li ser tabloya Cluster-ê ve tête çêkirin. Di rewşek ku tora li ser hemî girêkên komê ne hewce ye, ev ala dikare were neçalak kirin, wê hingê gava ku tor li mêvandarek were zêdekirin, ew ê di beşa Ne Pêwîst de li milê rastê be û hûn dikarin hilbijêrin ka meriv pê ve girêdide. ew ji mêvandarek taybetî re.

Birinc. 6 - taybetmendiyek pêdiviya torê hilbijêrin.

HPE taybet

Hema hema hemî hilberîner amûrên ku karanîna hilberên xwe baştir dikin hene. Bikaranîna HPE wekî mînak, AMS (Xizmeta Rêvebiriya Bê Agent, amsd ji bo iLO5, hp-ams ji bo iLO4) û SSA (Rêveberê Storage Smart, bi kontrolkerek dîskê re dixebite) û hwd.

Girêdana depoya HPE
Em mifteyê derdixin û depoyên HPE ve girêdidin:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

naveroka jêrîn:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Naveroka depoyê û agahdariya pakêtê bibînin (ji bo referansê):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Sazkirin û destpêkirin:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Nimûneyek amûrek ji bo xebitandina bi kontrolkerek dîskê

Ji bo niha ev hemû. Di gotarên jêrîn de ez plan dikim ku li ser hin operasyon û serîlêdanên bingehîn biaxivim. Mînakî, meriv çawa di oVirt de VDI çêbike.

Source: www.habr.com