An dësem Artikel wäerte mir eng Rei vun fakultativ awer nëtzlech Astellunge kucken:
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
Dësen Artikel ass eng Fortsetzung, kuckt oVirt an 2 Stonnen fir den Ufank и .
Artikelen
- Zousätzlech Astellungen - Mir sinn hei
Zousätzlech Manager Astellunge
Fir d'Bequemlechkeet installéiere mir zousätzlech Packagen:
$ sudo yum install bash-completion vimFir d'Kommandoofschloss z'aktivéieren, erfuerdert d'Bash-Completion de Wiessel op Bash.
Zousätzlech DNS Nimm derbäi
Dëst ass erfuerderlech wann Dir mam Manager mat engem alternativen Numm verbënnt (CNAME, Alias oder just e kuerzen Numm ouni Domain Suffix). Aus Sécherheetsgrënn erlaabt de Manager Verbindungen nëmme mat der erlaabt Lëscht vun Nimm.
Erstellt eng Konfiguratiounsdatei:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conffolgenden Inhalt:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"an de Manager nei starten:
$ sudo systemctl restart ovirt-engineAstellung vun der Authentifikatioun iwwer AD
oVirt huet eng agebaute Benotzerbasis, awer extern LDAP Ubidder ginn och ënnerstëtzt, inkl. A.D.
Deen einfachste Wee fir eng typesch Konfiguratioun ass de Wizard ze starten an de Manager nei ze starten:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engineE Beispill vun enger Meeschtesch Aarbecht
$ sudo ovirt-engine-extension-aaa-ldap-setup
Verfügbar LDAP Implementatiounen:
...
3 - Active Directory
...
Wielt w.e.g.: 3
Gitt w.e.g. den Active Directory Forest Numm an: example.com
Wielt w.e.g. Protokoll fir ze benotzen (startTLS, ldaps, plain) [startTLS]:
Wielt w.e.g. Method fir PEM-kodéiert CA Zertifika ze kréien (Datei, URL, Inline, System, Onsécher): URL
URL:
Gitt Sich Benotzer DN (zum Beispill uid = Benotzernumm, dc = Beispill, dc = com oder loosst eidel fir anonym): CN=oVirt-Engine,CN=Users,DC=Beispill,DC=com
Gitt Sich Benotzer Passwuert: *Passwuert*
[ INFO ] Versicht ze binden mat 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Gitt Dir Single Sign-On fir virtuell Maschinnen (Jo, Nee) [Jo]:
Gitt w.e.g. de Profilnumm un, dee fir d'Benotzer siichtbar ass [example.com]:
Gitt w.e.g. Umeldungsinformatiounen un fir de Loginflow ze testen:
Gitt de Benotzernumm an: SomeAnyUser
Gitt Benotzer Passwuert:
...
[INFO] Login Sequenz erfollegräich ausgefouert
...
Wielt Testsequenz fir auszeféieren (Fäerdeg, Ofbriechen, Login, Sich) [Gemaach]:
[INFO] Etapp: Transaktioun Setup
...
CONFIGURATION SUMMARY
...
D'Benotzung vum Wizard ass fir déi meescht Fäll gëeegent. Fir komplex Konfiguratiounen ginn Astellunge manuell gemaach. Méi Detailer an der oVirt Dokumentatioun, . Nodeems Dir de Motor mat AD erfollegräich verbënnt, erschéngt en zousätzleche Profil an der Verbindungsfenster an op der Tab Permis Systemobjekter hunn d'Fäegkeet Permissiounen un AD Benotzer a Gruppen ze ginn. Et sollt bemierkt datt den externen Verzeechnes vu Benotzer a Gruppen net nëmmen AD sinn, awer och IPA, eDirectory, etc.
Méi Weeër
An engem Produktiounsëmfeld muss de Späichersystem mam Host iwwer verschidde onofhängeg, multiple I/O Weeër verbonne sinn. An der Regel, am CentOS (an dofir oVirt) gi keng Probleemer mat der Versammlung vu verschidde Weeër op en Apparat (find_multipaths jo). Zousätzlech Astellunge fir FCoE sinn ageschriwwen . Et ass derwäert oppassen op d'Empfehlung vum Stockage System Hiersteller - vill empfeelen d'Round-Robin Politik ze benotzen, awer Standard an Enterprise Linux 7 Service-Zäit gëtt benotzt.
Benotzt 3PAR als Beispill
an Dokument EL gëtt als Host mat Generic-ALUA Persona 2 erstallt, fir déi déi folgend Wäerter an d'Astellungen /etc/multipath.conf agefouert ginn:
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}Duerno gëtt de Kommando fir nei ze starten:
systemctl restart multipathd
Reis. 1 ass d'Default Multiple I/O Politik.
Reis. 2 - Multiple I/O Politik no der Uwendung vun Astellungen.
Power Management Ariichten
Erlaabt Iech, zum Beispill, e Hardware-Reset vun der Maschinn auszeféieren, wann de Motor keng Äntwert vum Host fir eng laang Zäit kritt. Ëmgesat duerch Fence Agent.
Berechnen -> Hosten -> Provider - Edit -> Power Management, aktivéiert dann "Enable Power Management" a füügt en Agent derbäi - "Fence Agent addéieren" -> +.
Mir weisen den Typ un (zum Beispill, fir iLO5 musst Dir ilo4 spezifizéieren), den Numm / Adress vun der ipmi Interface, souwéi de Benotzernumm / Passwuert. Et ass recommandéiert e separate Benotzer ze kreéieren (zum Beispill oVirt-PM) an, am Fall vun iLO, him Privilegien ze ginn:
- Login
- Remote Console
- Virtuell Kraaft a Reset
- Virtuell Medien
- Konfiguréieren iLO Astellungen
- Verwalte Benotzerkonten
Frot net firwat dat esou ass, et gouf empiresch gewielt. De Konsol Fechter Agent erfuerdert manner Rechter.
Wann Dir Zougangskontrolllëschten opstellt, sollt Dir am Kapp behalen datt den Agent net um Motor leeft, mee op engem "Nopesch" Host (de sougenannte Power Management Proxy), dh wann et nëmmen een Node am Cluster ass, Muecht Gestioun wäert Aarbecht wäert net.
SSL Ariichten
Voll offiziell Uweisungen - an , Appendix D: oVirt an SSL - Ersetzen vum oVirt Engine SSL/TLS Zertifika.
Den Zertifika kann entweder vun eisem Corporate CA oder vun enger externer kommerziell Zertifika Autoritéit sinn.
Wichteg Notiz: Den Zertifika ass geduecht fir mam Manager ze verbannen a wäert d'Kommunikatioun tëscht dem Motor an den Noden net beaflossen - si benotze selbst ënnerschriwwene Certificaten, déi vum Engine erausginn.
Ufuerderunge:
- Certificat vun der erausginn CA am PEM Format, mat der ganzer Kette bis zu der root CA (vum subordinate erausginn CA am Ufank un der Wuerzel um Enn);
- e Zertifikat fir Apache ausgestallt vun der erausginn CA (och ergänzt vun der ganzer Kette vun CA Certificaten);
- private Schlëssel fir Apache, ouni Passwuert.
Loosst eis unhuelen datt eis erausginn CA leeft CentOS, genannt subca.example.com, an d'Ufroen, Schlësselen an Certificaten sinn am /etc/pki/tls/ Verzeichnis.
Mir maachen Backups a kreéieren en temporäre Verzeichnis:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certsLuet Certificaten erof, maacht se vun Ärer Aarbechtsstatioun oder transferéiert se op eng aner praktesch Manéier:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certsAls Resultat sollt Dir all 3 Dateien gesinn:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.keyInstallatioun vun Certificaten
Kopéiert d'Dateien an update d'Vertrauenslëschten:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.serviceKonfiguratiounsdateien addéieren / aktualiséieren:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.confENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confSSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cerAls nächst, start all betraff Servicer nei:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.serviceFäerdeg! Et ass Zäit fir mam Manager ze verbannen an ze kontrolléieren ob d'Verbindung mat engem ënnerschriwwene SSL Zertifika geschützt ass.
Archivéieren
Wou wiere mir ouni hatt? An dëser Sektioun schwätze mir iwwer Managerarchivéieren; VM Archivéieren ass en separaten Thema. Mir maachen Archivkopien eemol am Dag a späicheren se iwwer NFS, zum Beispill, am selwechte System wou mir d'ISO Biller plazéiert hunn - mynfs1.example.com:/exports/ovirt-backup. Et ass net recommandéiert Archiven op der selwechter Maschinn ze späicheren wou de Motor leeft.
Autofs installéieren an aktivéieren:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofsLoosst eis e Skript erstellen:
$ sudo vim /etc/cron.daily/make.oVirt.backup.shfolgenden Inhalt:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;D'Datei ausféierbar maachen:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.shElo kréien mir all Nuecht en Archiv vun Manager Astellungen.
Host Management Interface
- eng modern administrativ Interface fir Linux Systemer. An dësem Fall mécht et eng Roll ähnlech zu der ESXi Web Interface.
Reis. 3 - Erscheinung vum Panel.
Installatioun ass ganz einfach, Dir braucht d'Cockpit Packagen an de Cockpit-ovirt-Dashboard Plugin:
$ sudo yum install cockpit cockpit-ovirt-dashboard -yCockpit aktivéieren:
$ sudo systemctl enable --now cockpit.socketFirewall Setup:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentElo kënnt Dir mam Host verbannen: https://[Host IP oder FQDN]:9090
VLANen
Dir sollt méi iwwer Netzwierker liesen an . Et gi vill Méiglechkeeten, hei wäerte mir d'Verbindung vu virtuelle Netzwierker beschreiwen.
Fir aner Ënnernetzer ze verbannen, musse se als éischt an der Konfiguratioun beschriwwe ginn: Netzwierk -> Netzwierker -> Nei, hei ass nëmmen den Numm en erfuerderleche Feld; D'VM Network Checkbox, déi Maschinnen erlaabt dëst Netzwierk ze benotzen, ass aktivéiert, awer fir ze verbannen muss de Tag aktivéiert sinn Aktivéiert VLAN Tagging, gitt d'VLAN Nummer a klickt OK.
Elo musst Dir op Compute Hosts goen -> Hosts -> kvmNN -> Network Interfaces -> Host Networks installéieren. Drag de addéierten Netzwierk vun der rietser Säit vun Unassigned Logical Networks op déi lénks an Assigned Logical Networks:
Reis. 4 - ier Dir e Netzwierk bäidréit.
Reis. 5 - nodeems Dir en Netz bäigefüügt huet.
Fir verschidde Netzwierker mat engem Host a bulk ze verbannen, ass et bequem fir hinnen e Label (en) ze ginn wann Dir Netzwierker erstellt, an Netzwierker duerch Etiketten derbäi.
Nodeems d'Netzwierk erstallt ass, ginn d'Host an den Non Operational Staat bis d'Netzwierk un all Noden am Cluster bäigefüügt gëtt. Dëst Verhalen gëtt verursaacht duerch de Require All Fändel op der Cluster Tab wann Dir en neit Netzwierk erstellt. Am Fall wou d'Netzwierk net op all Wirbelen vum Cluster gebraucht gëtt, kann dëse Fändel deaktivéiert ginn, dann wann d'Netzwierk zu engem Host bäigefüügt gëtt, ass et op der rietser Säit an der Non Required Sektioun an Dir kënnt wielen ob Dir verbënnt et zu engem spezifesche Host.
Reis. 6 - Wielt e Reseau Ufuerderung Attribut.
HPE spezifesch
Bal all Hiersteller hunn Tools déi d'Benotzerfrëndlechkeet vun hire Produkter verbesseren. Benotzt HPE als Beispill, AMS (Agentless Management Service, amsd fir iLO5, hp-ams fir iLO4) an SSA (Smart Storage Administrator, mat engem Disk Controller schaffen), etc.
Den HPE Repository verbannen
Mir importéieren de Schlëssel a verbannen d'HPE Repositories:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repofolgenden Inhalt:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcpKuckt de Repository Inhalt a Packageinformatioun (fir Referenz):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsdInstallatioun a Start:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsdE Beispill vun engem Utility fir mat engem Disk Controller ze schaffen
Dat ass alles fir de Moment. An de folgenden Artikelen plangen ech iwwer e puer grondleeënd Operatiounen an Uwendungen ze schwätzen. Zum Beispill, wéi VDI an oVirt ze maachen.
Source: will.com