2 сааттын ичинде oVirt. 3-бөлүк. Кошумча орнотуулар

Бул макалада биз бир катар кошумча, бирок пайдалуу орнотууларды карап чыгабыз:

• менеджер үчүн кошумча ысымдарды колдонуу;
• Active Directory аркылуу аутентификацияны туташтыруу;
• Мультипатия;
• бийликти башкаруу;
• SSL сертификатын алмаштыруу;
• архивдөө;
• хост башкаруу интерфейси (кокпит);
• VLANлар;
• HPE өзгөчө.

Бул макаланын уландысы, башталышы үчүн 2 сааттын ичинде oVirt караңыз бөлүгү 1 и 2-бөлүк.

Макалалар

1. тааныштыруу
2. Менеджерди (ovirt-мотор) жана гипервизорлорду (хостторду) орнотуу
3. Кошумча орнотуулар - Биз бул жердебиз

Кошумча менеджер жөндөөлөрү

Ыңгайлуулук үчүн биз кошумча пакеттерди орнотобуз:

$ sudo yum install bash-completion vim

Буйруктун аяктоосун иштетүү үчүн, bash бүтүрүү үчүн bash'ка өтүү керек.

Кошумча DNS аталыштарын кошуу

Бул башка ат (CNAME, лакап ат же домендин суффикси жок кыска аталыш) аркылуу менеджерге туташуу керек болгондо талап кылынат. Коопсуздук себептеринен улам, башкаруучу аттардын уруксат берилген тизмесин колдонуу менен гана туташууга уруксат берет.

Конфигурация файлын түзүңүз:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

төмөнкү мазмун:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

жана менеджерди кайра иштетиңиз:

$ sudo systemctl restart ovirt-engine

AD аркылуу аутентификацияны орнотуу

oVirt камтылган колдонуучу базасы бар, бирок тышкы LDAP камсыздоочулары да колдоого алынат, анын ичинде. А.Д.

Кадимки конфигурациянын эң жөнөкөй жолу устаны ишке киргизүү жана менеджерди кайра иштетүү:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Агайдын ишинин мисалы
$ sudo ovirt-мотор-кеңейтүү-ааа-лдап-орнотуу
Жеткиликтүү LDAP ишке ашыруулары:
...
3 - Active Directory
...
Тандаңыз: 3
Сураныч, Active Directory Forest атын киргизиңиз: example.com

Сураныч, колдонуу үчүн протоколду тандаңыз (startTLS, ldaps, plain) [startTLS]:
PEM коддолгон CA сертификатын алуу ыкмасын тандаңыз (Файл, URL, Inline, Система, Кооптуу): URL
URL: wwwca.example.com/myRootCA.pem
Издөөчү колдонуучунун DN дарегин киргизиңиз (мисалы, uid=username,dc=example,dc=com же анонимдүү үчүн бош калтырыңыз): CN = oVirt-Engine, CN = Колдонуучулар, DC = мисал, DC = com
Издөө колдонуучусунун сырсөзүн киргизиңиз: *купуя сөз*
[ INFO ] 'CN=oVirt-Engine,CN=Users,DC=example,DC=com' аркылуу туташтыруу аракети
Виртуалдык машиналар үчүн бир жолу кирүү мүмкүнчүлүгүн колдоносузбу (ооба, жок) [Ооба]:
Сураныч, колдонуучуларга көрүнүүчү профиль атын көрсөтүңүз [example.com]:
Сураныч, кирүү агымын текшерүү үчүн эсептик дайындарды бериңиз:
Колдонуучунун атын киргизиңиз: someAnyUser
Колдонуучунун сырсөзүн киргизиңиз:
...
[INFO] Кирүү ырааттуулугу ийгиликтүү аткарылды
...
Аткаруу үчүн сыноо ырааттуулугун тандаңыз (Бүттү, Токтотуу, Кирүү, Издөө) [Бүттү]:
[INFO] Этап: Транзакцияны орнотуу
...
КОНФИГУРАЦИЯЛЫК КЫСКАЧА
...

Устатты колдонуу көпчүлүк учурларда ылайыктуу. Татаал конфигурациялар үчүн орнотуулар кол менен аткарылат. oVirt документтеринде көбүрөөк маалымат, Колдонуучулар жана ролдор. Кыймылдаткычты ADга ийгиликтүү туташтыргандан кийин, кошумча профиль туташуу терезесинде жана өтмөктө пайда болот Уруксаат берүүнүн тартиби Системалык объекттер AD колдонуучуларына жана топторуна уруксаттарды берүү мүмкүнчүлүгүнө ээ. Белгилей кетсек, колдонуучулардын жана топтордун тышкы каталогу AD гана эмес, IPA, eDirectory ж.б.

Көп жолдуу

Өндүрүштүк чөйрөдө сактоо тутуму бир нече көз карандысыз, бир нече I/O жолдору аркылуу хост менен туташтырылууга тийиш. Эреже катары, CentOSдо (ошондуктан oVirt) түзмөккө бир нече жолду чогултууда эч кандай көйгөйлөр жок (find_multipaths ооба). FCoE үчүн кошумча орнотуулар жазылган 2-бөлүк. Сактоо тутумунун өндүрүүчүсүнүн сунушуна көңүл буруу керек - көптөр тегерек режимди колдонууну сунушташат, бирок Enterprise Linux 7де демейки боюнча кызмат убактысы колдонулат.

Мисал катары 3PAR колдонуу
жана документ HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux жана OracleVM серверин ишке ашыруу боюнча колдонмо EL Generic-ALUA Persona 2 менен Хост катары түзүлгөн, ал үчүн /etc/multipath.conf жөндөөлөрүнө төмөнкү маанилер киргизилет:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Андан кийин кайра баштоо буйругу берилет:

systemctl restart multipathd

Күрүч. 1 демейки бир нече киргизүү/чыгаруу саясаты.

Күрүч. 2 - орнотууларды колдонгондон кийин бир нече I/O саясаты.

Кубат башкарууну орнотуу

Эгер Кыймылдаткыч узак убакыт бою Хосттан жооп ала албаса, мисалы, машинанын аппараттык жабдыктарын баштапкы абалга келтирүүгө мүмкүндүк берет. Fence Agent аркылуу ишке ашырылат.

Эсептөө -> Хосттар -> HOST — Түзөтүү -> Энергияны башкаруу, андан кийин “Электр кубатын башкарууну иштетүү” функциясын иштетиңиз жана агентти кошуңуз — “Тосмо агентти кошуу” -> +.

Биз түрүн (мисалы, iLO5 үчүн ilo4 көрсөтүшүңүз керек), ipmi интерфейсинин атын/дарегин, ошондой эле колдонуучунун атын/паролду көрсөтөбүз. Өзүнчө колдонуучуну түзүү (мисалы, oVirt-PM) жана iLO учурда ага артыкчылыктарды берүү сунушталат:

• Кирүү
• Remote Console
• Виртуалдык кубат жана баштапкы абалга келтирүү
• Виртуалдык медиа
• iLO Орнотууларын конфигурациялаңыз
• Колдонуучунун каттоо эсептерин башкаруу

Эмне үчүн мындай деп сурабаңыз, ал эмпирикалык түрдө тандалып алынган. Консолдук тосмо агенти азыраак укуктарды талап кылат.

Мүмкүнчүлүктү көзөмөлдөө тизмелерин орнотуп жатканда, агент кыймылдаткычта эмес, “коңшу” хостто (Электр кубаттуулугун башкаруу прокси деп аталган) иштей турганын эстен чыгарбоо керек, б.а., кластерде бир гана түйүн болсо, күч башкаруу иштейт болбойт.

SSL орнотулууда

Толук расмий көрсөтмөлөр - жылы документтер, Тиркеме D: oVirt жана SSL — oVirt Engine SSL/TLS сертификатын алмаштыруу.

Тастыктама биздин корпоративдик CAдан же тышкы коммерциялык тастыктама органынан болушу мүмкүн.

Маанилүү эскертүү: Сертификат менеджерге туташуу үчүн арналган жана Кыймылдаткыч менен түйүндөрдүн ортосундагы байланышка таасир этпейт - алар Engine тарабынан берилген өз алдынча кол коюлган сертификаттарды колдонушат.

талаптар:

• ПЭМ форматындагы СА чыгаруучу күбөлүк, бүтүндөй тизмеги СА тамырына чейин (башында СА берген баш ийгенден аягындагы тамырга чейин);
• эмитент CA тарабынан берилген Apache сертификаты (ошондой эле CA сертификаттарынын бардык тизмеги менен толукталган);
• Apache үчүн купуя ачкыч, сырсөзсүз.

Биздин чыгаруучу CA subca.example.com деп аталган CentOS менен иштеп жатат деп ойлойлу жана сурамдар, ачкычтар жана сертификаттар /etc/pki/tls/ каталогунда жайгашкан.

Биз камдык көчүрмөлөрдү жасап, убактылуу каталогду түзөбүз:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Сертификаттарды жүктөп алыңыз, аны жумушчу станцияңыздан аткарыңыз же башка ыңгайлуу жол менен өткөрүп алыңыз:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Натыйжада, сиз бардык 3 файлды көрүшүңүз керек:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Сертификаттарды орнотуу

Файлдарды көчүрүп, ишеним тизмелерин жаңыртыңыз:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Конфигурация файлдарын кошуу/жаңыртуу:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Андан кийин, бардык жабыркаган кызматтарды өчүрүп күйгүзүңүз:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Даяр! Менеджерге туташып, байланыш кол коюлган SSL сертификаты менен корголгондугун текшерүүгө убакыт келди.

Архивдөө

Ансыз биз кайда болмокпуз? Бул бөлүмдө биз менеджер архивдөө жөнүндө сүйлөшөбүз; VM архивдөө өзүнчө маселе. Биз күнүнө бир жолу архивдик көчүрмөлөрдү жасап, аларды NFS аркылуу сактайбыз, мисалы, биз ISO сүрөттөрүн жайгаштырган системада - mynfs1.example.com:/exports/ovirt-backup. Архивдерди кыймылдаткыч иштеп жаткан бир эле машинада сактоо сунушталбайт.

Автоматтарды орнотуу жана иштетүү:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Скрипт түзөлү:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

төмөнкү мазмун:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Файлды аткарылуучу кылуу:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Эми ар бир түнү биз менеджер орнотууларынын архивин алабыз.

Хост башкаруу интерфейси

урушуу үчүн аянтча — Linux системалары үчүн заманбап административдик интерфейс. Бул учурда, ал ESXi веб интерфейсине окшош ролду аткарат.

Күрүч. 3 — панелдин көрүнүшү.

Орнотуу абдан жөнөкөй, сизге кабина пакеттери жана cockpit-ovirt-даshboard плагин керек:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Кокпитти иштетүү:

$ sudo systemctl enable --now cockpit.socket

Firewall орнотуу:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Эми сиз хостко туташа аласыз: https://[Host IP же FQDN]:9090

VLANлар

Тармактар ​​жөнүндө көбүрөөк окушуңуз керек документтер. Көптөгөн мүмкүнчүлүктөр бар, бул жерде биз виртуалдык тармактарды туташтырууну сүрөттөп беребиз.

Башка ички тармактарды туташтыруу үчүн алар адегенде конфигурацияда сүрөттөлүшү керек: Тармак -> Тармактар ​​-> Жаңы, бул жерде аты гана милдеттүү талаа; Машиналарга бул тармакты колдонууга уруксат берүүчү VM Network белгилөө кутучасы иштетилген, бирок тегди туташтыруу үчүн иштетүү керек VLAN тегдерин иштетүү, VLAN номерин киргизип, OK басыңыз.

Эми сиз Эсептөө хосттору -> Хосттар -> kvmNN -> Тармак интерфейстери -> Хост тармактарын орнотууга өтүшүңүз керек. Кошулган тармакты Дайындалбаган Логикалык Тармактардын оң жагынан солго Тапшырылган Логикалык Тармактарга сүйрөңүз:

Күрүч. 4 - тармакты кошуудан мурун.

Күрүч. 5 - тармакты кошкондон кийин.

Көптөгөн тармактарды хостко жапырт туташтыруу үчүн, тармактарды түзүүдө аларга энбелги(лер)ди дайындоо жана энбелгилер боюнча тармактарды кошуу ыңгайлуу.

Тармак түзүлгөндөн кийин, түйүн кластердеги бардык түйүндөргө кошулмайынча, хосттор Иштебей турган абалга өтөт. Бул жаңы тармакты түзүүдө Кластер өтмөгүндөгү Require All желекчеси менен шартталган. Кластердин бардык түйүндөрүндө тармак керек болбосо, бул желек өчүрүлүшү мүмкүн, андан кийин тармак хостко кошулганда, ал талап кылынбаган бөлүмдө оң жакта болот жана сиз туташууну тандай аласыз. аны белгилүү бир хостко.

Күрүч. 6—тармактын талап атрибутун тандаңыз.

HPE өзгөчө

Дээрлик бардык өндүрүүчүлөрдүн өнүмдөрүнүн колдонууга жарамдуулугун жакшыртуучу куралдары бар. Мисал катары HPE колдонуу, AMS (Agentless Management Service, iLO5 үчүн amsd, iLO4 үчүн hp-ams) жана SSA (Smart Storage Administrator, диск контроллери менен иштөө) ж.б. пайдалуу.

HPE репозиторийин туташтыруу
Биз ачкычты импорттоп, HPE репозиторийлерин туташтырабыз:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

төмөнкү мазмун:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Репозиторийдин мазмунун жана пакет маалыматын көрүү (маалымат үчүн):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Орнотуу жана ишке киргизүү:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Диск контроллери менен иштөө үчүн пайдалуу программанын мисалы

Азырынча баары ушул. Кийинки макалаларда мен кээ бир негизги операциялар жана тиркемелер жөнүндө сөз кылууну пландаштырып жатам. Мисалы, oVirtте VDI кантип жасоо керек.

Source: www.habr.com