Fir d'Bequemlechkeet installéiere mir zousätzlech Packagen:
$ sudo yum install bash-completion vim
Fir d'Kommandoofschloss z'aktivéieren, erfuerdert d'Bash-Completion de Wiessel op Bash.
Zousätzlech DNS Nimm derbäi
Dëst ass erfuerderlech wann Dir mam Manager mat engem alternativen Numm verbënnt (CNAME, Alias oder just e kuerzen Numm ouni Domain Suffix). Aus Sécherheetsgrënn erlaabt de Manager Verbindungen nëmme mat der erlaabt Lëscht vun Nimm.
Erstellt eng Konfiguratiounsdatei:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
E Beispill vun enger Meeschtesch Aarbecht
$ sudo ovirt-engine-extension-aaa-ldap-setup
Verfügbar LDAP Implementatiounen:
...
3 - Active Directory
...
Wielt w.e.g.: 3
Gitt w.e.g. den Active Directory Forest Numm an: example.com
Wielt w.e.g. Protokoll fir ze benotzen (startTLS, ldaps, plain) [startTLS]:
Wielt w.e.g. Method fir PEM-kodéiert CA Zertifika ze kréien (Datei, URL, Inline, System, Onsécher): URL
URL: wwwca.example.com/myRootCA.pem
Gitt Sich Benotzer DN (zum Beispill uid = Benotzernumm, dc = Beispill, dc = com oder loosst eidel fir anonym): CN=oVirt-Engine,CN=Users,DC=Beispill,DC=com
Gitt Sich Benotzer Passwuert: *Passwuert*
[ INFO ] Versicht ze binden mat 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Gitt Dir Single Sign-On fir virtuell Maschinnen (Jo, Nee) [Jo]:
Gitt w.e.g. de Profilnumm un, dee fir d'Benotzer siichtbar ass [example.com]:
Gitt w.e.g. Umeldungsinformatiounen un fir de Loginflow ze testen:
Gitt de Benotzernumm an: SomeAnyUser
Gitt Benotzer Passwuert:
...
[INFO] Login Sequenz erfollegräich ausgefouert
...
Wielt Testsequenz fir auszeféieren (Fäerdeg, Ofbriechen, Login, Sich) [Gemaach]:
[INFO] Etapp: Transaktioun Setup
...
CONFIGURATION SUMMARY
...
D'Benotzung vum Wizard ass fir déi meescht Fäll gëeegent. Fir komplex Konfiguratiounen ginn Astellunge manuell gemaach. Méi Detailer an der oVirt Dokumentatioun, Benotzer a Rollen. Nodeems Dir de Motor mat AD erfollegräich verbënnt, erschéngt en zousätzleche Profil an der Verbindungsfenster an op der Tab Permis Systemobjekter hunn d'Fäegkeet Permissiounen un AD Benotzer a Gruppen ze ginn. Et sollt bemierkt datt den externen Verzeechnes vu Benotzer a Gruppen net nëmmen AD sinn, awer och IPA, eDirectory, etc.
Méi Weeër
An engem Produktiounsëmfeld muss de Späichersystem mam Host iwwer verschidde onofhängeg, multiple I/O Weeër verbonne sinn. An der Regel, am CentOS (an dofir oVirt) gi keng Probleemer mat der Versammlung vu verschidde Weeër op en Apparat (find_multipaths jo). Zousätzlech Astellunge fir FCoE sinn ageschriwwen 2. Deel. Et ass derwäert oppassen op d'Empfehlung vum Stockage System Hiersteller - vill empfeelen d'Round-Robin Politik ze benotzen, awer Standard an Enterprise Linux 7 Service-Zäit gëtt benotzt.
Reis. 2 - Multiple I/O Politik no der Uwendung vun Astellungen.
Power Management Ariichten
Erlaabt Iech, zum Beispill, e Hardware-Reset vun der Maschinn auszeféieren, wann de Motor keng Äntwert vum Host fir eng laang Zäit kritt. Ëmgesat duerch Fence Agent.
Berechnen -> Hosten -> Provider - Edit -> Power Management, aktivéiert dann "Enable Power Management" a füügt en Agent derbäi - "Fence Agent addéieren" -> +.
Mir weisen den Typ un (zum Beispill, fir iLO5 musst Dir ilo4 spezifizéieren), den Numm / Adress vun der ipmi Interface, souwéi de Benotzernumm / Passwuert. Et ass recommandéiert e separate Benotzer ze kreéieren (zum Beispill oVirt-PM) an, am Fall vun iLO, him Privilegien ze ginn:
Login
Remote Console
Virtuell Kraaft a Reset
Virtuell Medien
Konfiguréieren iLO Astellungen
Verwalte Benotzerkonten
Frot net firwat dat esou ass, et gouf empiresch gewielt. De Konsol Fechter Agent erfuerdert manner Rechter.
Wann Dir Zougangskontrolllëschten opstellt, sollt Dir am Kapp behalen datt den Agent net um Motor leeft, mee op engem "Nopesch" Host (de sougenannte Power Management Proxy), dh wann et nëmmen een Node am Cluster ass, Muecht Gestioun wäert Aarbecht wäert net.
SSL Ariichten
Voll offiziell Uweisungen - an Dokumentatioun, Appendix D: oVirt an SSL - Ersetzen vum oVirt Engine SSL/TLS Zertifika.
Den Zertifika kann entweder vun eisem Corporate CA oder vun enger externer kommerziell Zertifika Autoritéit sinn.
Wichteg Notiz: Den Zertifika ass geduecht fir mam Manager ze verbannen a wäert d'Kommunikatioun tëscht dem Motor an den Noden net beaflossen - si benotze selbst ënnerschriwwene Certificaten, déi vum Engine erausginn.
Ufuerderunge:
Certificat vun der erausginn CA am PEM Format, mat der ganzer Kette bis zu der root CA (vum subordinate erausginn CA am Ufank un der Wuerzel um Enn);
e Zertifikat fir Apache ausgestallt vun der erausginn CA (och ergänzt vun der ganzer Kette vun CA Certificaten);
private Schlëssel fir Apache, ouni Passwuert.
Loosst eis unhuelen datt eis erausginn CA leeft CentOS, genannt subca.example.com, an d'Ufroen, Schlësselen an Certificaten sinn am /etc/pki/tls/ Verzeichnis.
Mir maachen Backups a kreéieren en temporäre Verzeichnis:
Fäerdeg! Et ass Zäit fir mam Manager ze verbannen an ze kontrolléieren ob d'Verbindung mat engem ënnerschriwwene SSL Zertifika geschützt ass.
Archivéieren
Wou wiere mir ouni hatt? An dëser Sektioun schwätze mir iwwer Managerarchivéieren; VM Archivéieren ass en separaten Thema. Mir maachen Archivkopien eemol am Dag a späicheren se iwwer NFS, zum Beispill, am selwechte System wou mir d'ISO Biller plazéiert hunn - mynfs1.example.com:/exports/ovirt-backup. Et ass net recommandéiert Archiven op der selwechter Maschinn ze späicheren wou de Motor leeft.
Elo kënnt Dir mam Host verbannen: https://[Host IP oder FQDN]:9090
VLANen
Dir sollt méi iwwer Netzwierker liesen an Dokumentatioun. Et gi vill Méiglechkeeten, hei wäerte mir d'Verbindung vu virtuelle Netzwierker beschreiwen.
Fir aner Ënnernetzer ze verbannen, musse se als éischt an der Konfiguratioun beschriwwe ginn: Netzwierk -> Netzwierker -> Nei, hei ass nëmmen den Numm en erfuerderleche Feld; D'VM Network Checkbox, déi Maschinnen erlaabt dëst Netzwierk ze benotzen, ass aktivéiert, awer fir ze verbannen muss de Tag aktivéiert sinn Aktivéiert VLAN Tagging, gitt d'VLAN Nummer a klickt OK.
Elo musst Dir op Compute Hosts goen -> Hosts -> kvmNN -> Network Interfaces -> Host Networks installéieren. Drag de addéierten Netzwierk vun der rietser Säit vun Unassigned Logical Networks op déi lénks an Assigned Logical Networks:
Reis. 4 - ier Dir e Netzwierk bäidréit.
Reis. 5 - nodeems Dir en Netz bäigefüügt huet.
Fir verschidde Netzwierker mat engem Host a bulk ze verbannen, ass et bequem fir hinnen e Label (en) ze ginn wann Dir Netzwierker erstellt, an Netzwierker duerch Etiketten derbäi.
Nodeems d'Netzwierk erstallt ass, ginn d'Host an den Non Operational Staat bis d'Netzwierk un all Noden am Cluster bäigefüügt gëtt. Dëst Verhalen gëtt verursaacht duerch de Require All Fändel op der Cluster Tab wann Dir en neit Netzwierk erstellt. Am Fall wou d'Netzwierk net op all Wirbelen vum Cluster gebraucht gëtt, kann dëse Fändel deaktivéiert ginn, dann wann d'Netzwierk zu engem Host bäigefüügt gëtt, ass et op der rietser Säit an der Non Required Sektioun an Dir kënnt wielen ob Dir verbënnt et zu engem spezifesche Host.
Reis. 6 - Wielt e Reseau Ufuerderung Attribut.
HPE spezifesch
Bal all Hiersteller hunn Tools déi d'Benotzerfrëndlechkeet vun hire Produkter verbesseren. Benotzt HPE als Beispill, AMS (Agentless Management Service, amsd fir iLO5, hp-ams fir iLO4) an SSA (Smart Storage Administrator, mat engem Disk Controller schaffen), etc.
Den HPE Repository verbannen
Mir importéieren de Schlëssel a verbannen d'HPE Repositories:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo
E Beispill vun engem Utility fir mat engem Disk Controller ze schaffen
Dat ass alles fir de Moment. An de folgenden Artikelen plangen ech iwwer e puer grondleeënd Operatiounen an Uwendungen ze schwätzen. Zum Beispill, wéi VDI an oVirt ze maachen.