oVirt per 2 valandas. 3 dalis. Papildomi nustatymai

Šiame straipsnyje apžvelgsime keletą neprivalomų, bet naudingų nustatymų:

• naudojant papildomus vadovo vardus;
• prisijungimas prie autentifikavimo per Active Directory;
• Sutrikimas;
• galios valdymas;
• SSL sertifikato pakeitimas;
• archyvavimas;
• pagrindinio kompiuterio valdymo sąsaja (kabina);
• VLAN;
• Specifinis HPE.

Šis straipsnis yra tęsinys, pradžią žr. oVirt po 2 valandų Часть 1 и Dalis 2.

Straipsniai

1. įvedimas
2. Tvarkyklės (ovirt-engine) ir hipervizorių (host'ų) įdiegimas
3. Papildomi nustatymai – mes čia

Papildomi valdytojo nustatymai

Patogumui įdiegsime papildomus paketus:

$ sudo yum install bash-completion vim

Norint įgalinti komandų užbaigimą, bash-completion reikia perjungti į bash.

Papildomų DNS pavadinimų pridėjimas

To reikės, kai reikės prisijungti prie valdytojo naudojant alternatyvų pavadinimą (CNAME, slapyvardį arba tiesiog trumpą pavadinimą be domeno galūnės). Saugumo sumetimais valdytojas leidžia prisijungti tik naudodamas leistiną vardų sąrašą.

Sukurkite konfigūracijos failą:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

toks turinys:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

ir iš naujo paleiskite tvarkyklę:

$ sudo systemctl restart ovirt-engine

Autentifikavimo nustatymas naudojant AD

oVirt turi integruotą vartotojų bazę, tačiau palaikomi ir išoriniai LDAP teikėjai, įskaitant. REKLAMA.

Paprasčiausias tipinės konfigūracijos būdas yra paleisti vedlį ir iš naujo paleisti tvarkyklę:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Meistro darbo pavyzdys
$ sudo ovirt-engine-extension-aaa-ldap-setup
Galimi LDAP diegimai:
...
3 – Active Directory
...
Prašome pasirinkti: 3
Įveskite Active Directory miško pavadinimą: example.com

Pasirinkite naudotiną protokolą (startTLS, ldaps, paprastas) [startTLS]:
Pasirinkite būdą, kaip gauti PEM koduotą CA sertifikatą (failas, URL, eilutė, sistema, nesaugus): URL adresas
URL: wwwca.example.com/myRootCA.pem
Įveskite paieškos vartotojo DN (pavyzdžiui, uid=naudotojo vardas,dc=example,dc=com arba palikite tuščią anonimiškam): CN=oVirt-Engine,CN=Vartotojai,DC=pavyzdys,DC=com
Įveskite paieškos vartotojo slaptažodį: *Slaptažodis*
[ INFORMACIJA ] Bandoma susieti naudojant „CN=oVirt-Engine,CN=Users,DC=example,DC=com“
Ar ketinate naudoti vieną virtualiųjų mašinų prisijungimą (taip, ne) [taip]:
Nurodykite profilio pavadinimą, kuris bus matomas naudotojams [example.com]:
Pateikite kredencialus, kad patikrintumėte prisijungimo eigą:
Įveskite vartotojo vardą: kai kurieAnyUser
Įveskite vartotojo slaptažodį:
...
[INFO] Prisijungimo seka sėkmingai įvykdyta
...
Pasirinkite vykdytiną bandymo seką (atlikta, nutraukti, prisijungti, ieškoti) [Padaryta]:
[INFO] Etapas: operacijos sąranka
...
KONFIGŪRACIJOS SANTRAUKA
...

Vedlio naudojimas tinka daugeliu atvejų. Sudėtingų konfigūracijų nustatymai atliekami rankiniu būdu. Daugiau informacijos rasite oVirt dokumentacijoje, Vartotojai ir vaidmenys. Sėkmingai prijungus variklį prie AD, prisijungimo lange ir skirtuke atsiras papildomas profilis Leidimai Sistemos objektai turi galimybę suteikti leidimus AD vartotojams ir grupėms. Pažymėtina, kad išorinis vartotojų ir grupių katalogas gali būti ne tik AD, bet ir IPA, eDirectory ir kt.

Multipatingas

Gamybos aplinkoje saugojimo sistema turi būti prijungta prie pagrindinio kompiuterio per kelis nepriklausomus, kelis įvesties / išvesties kelius. Paprastai „CentOS“ (taigi ir „oVirt“) nėra problemų surenkant kelis kelius į įrenginį (find_multipaths taip). Papildomi FCoE nustatymai įrašyti 2 dalis. Verta atkreipti dėmesį į saugyklos sistemos gamintojo rekomendaciją - daugelis rekomenduoja naudoti „apvalaus“ politiką, tačiau pagal nutylėjimą „Enterprise Linux 7“ naudojamas aptarnavimo laikas.

Kaip pavyzdį naudojant 3PAR
ir dokumentas HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux ir OracleVM serverio diegimo vadovas EL sukurtas kaip pagrindinis kompiuteris su „Generic-ALUA Persona 2“, kurio parametruose /etc/multipath.conf įvedamos šios reikšmės:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Po to duodama komanda paleisti iš naujo:

systemctl restart multipathd

Ryžiai. 1 yra numatytoji kelių I/O strategija.

Ryžiai. 2 – kelių I/O politika pritaikius nustatymus.

Energijos valdymo nustatymas

Leidžia, pavyzdžiui, iš naujo nustatyti įrenginio aparatinę įrangą, jei variklis ilgą laiką negali gauti atsakymo iš pagrindinio kompiuterio. Įgyvendinta per Tvoros agentą.

Apskaičiuoti -> Priegloba -> HOST - Redaguoti -> Energijos valdymas, tada įgalinkite "Įgalinti energijos valdymą" ir pridėkite agentą - "Pridėti tvoros agentą" -> +.

Nurodome tipą (pavyzdžiui, iLO5 reikia nurodyti ilo4), ipmi sąsajos pavadinimą/adresą, taip pat vartotojo vardą/slaptažodį. Rekomenduojama sukurti atskirą vartotoją (pavyzdžiui, oVirt-PM) ir iLO atveju suteikti jam privilegijas:

• Prisijungti
• Nuotolinė konsolė
• Virtualus maitinimas ir atstatymas
• Virtuali laikmena
• Konfigūruokite iLO nustatymus
• Administruoti vartotojų paskyras

Neklauskite, kodėl taip yra, tai buvo pasirinkta empiriškai. Konsolės tvoros agentas reikalauja mažiau teisių.

Nustatydami prieigos kontrolės sąrašus, turėtumėte nepamiršti, kad agentas veikia ne variklyje, o „gretimame“ pagrindiniame kompiuteryje (vadinamajame galios valdymo tarpiniame serveryje), t. y. jei klasteryje yra tik vienas mazgas, galios valdymas veiks nebus.

SSL nustatymas

Visos oficialios instrukcijos – į dokumentacija, D priedas: oVirt ir SSL – oVirt variklio SSL/TLS sertifikato pakeitimas.

Sertifikatas gali būti iš mūsų įmonės CA arba iš išorinės komercinės sertifikatų institucijos.

Svarbi pastaba: Sertifikatas skirtas prisijungti prie vadybininko ir neturės įtakos Variklio ir mazgų komunikacijai – jie naudos savarankiškai pasirašytus Variklio išduotus sertifikatus.

reikalavimai:

• išduodančiosios CA sertifikatas PEM formatu, su visa grandine iki šakninės CA (nuo pavaldžios išduodančios CA pradžioje iki šakninės pabaigoje);
• sertifikatą išduodančios CA išduotas Apache sertifikatas (taip pat papildytas visa CA sertifikatų grandine);
• privatus Apache raktas be slaptažodžio.

Tarkime, kad mūsų išduodančioje CA veikia CentOS, vadinama subca.example.com, o užklausos, raktai ir sertifikatai yra /etc/pki/tls/ kataloge.

Kuriame atsargines kopijas ir sukuriame laikiną katalogą:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Atsisiųskite sertifikatus, atlikite tai iš savo darbo vietos arba perkelkite kitu patogiu būdu:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Dėl to turėtumėte matyti visus 3 failus:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Sertifikatų diegimas

Nukopijuokite failus ir atnaujinkite pasitikėjimo sąrašus:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Pridėti / atnaujinti konfigūracijos failus:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Tada iš naujo paleiskite visas paveiktas paslaugas:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Pasiruošę! Atėjo laikas prisijungti prie tvarkyklės ir patikrinti, ar ryšys apsaugotas pasirašytu SSL sertifikatu.

Archyvavimas

Kur mes būtume be jos? Šioje dalyje kalbėsime apie vadovo archyvavimą, VM archyvavimas yra atskira tema. Kartą per dieną kursime atsargines kopijas ir saugosime jas per NFS, pavyzdžiui, toje pačioje sistemoje, kur įdėjome ISO atvaizdus – mynfs1.example.com:/exports/ovirt-backup. Nerekomenduojama archyvų laikyti tame pačiame įrenginyje, kuriame veikia variklis.

Įdiekite ir įgalinkite „autof“:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Sukurkime scenarijų:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

toks turinys:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Padaryti failą vykdomąjį:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Dabar kiekvieną vakarą gausime valdytojo nustatymų archyvą.

Prieglobos valdymo sąsaja

Atvira kabina — moderni administracinė sąsaja Linux sistemoms. Šiuo atveju jis atlieka panašų vaidmenį kaip ESXi žiniatinklio sąsaja.

Ryžiai. 3 — plokštės išvaizda.

Diegimas labai paprastas, jums reikia kabinos paketų ir kabinos-ovirt-dashboard papildinio:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Kabinos įjungimas:

$ sudo systemctl enable --now cockpit.socket

Ugniasienės sąranka:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Dabar galite prisijungti prie pagrindinio kompiuterio: https://[Pagrindinio kompiuterio IP arba FQDN]:9090

VLAN

Daugiau apie tinklus turėtumėte perskaityti dokumentacija. Galimybių yra daug, čia aprašysime virtualių tinklų prijungimą.

Norint prijungti kitus potinklius, pirmiausia juos reikia aprašyti konfigūracijoje: Network -> Networks -> New, čia tik pavadinimas yra privalomas laukas; VM tinklo žymimasis laukelis, leidžiantis įrenginiams naudoti šį tinklą, yra įjungtas, bet norint prijungti žymą turi būti įjungta Įgalinti VLAN žymėjimą, įveskite VLAN numerį ir spustelėkite Gerai.

Dabar reikia eiti į Apskaičiuoti pagrindinius kompiuterius -> Pagrindiniai kompiuteriai -> kvmNN -> Tinklo sąsajos -> Nustatyti pagrindinius tinklus. Vilkite pridėtą tinklą iš dešinės Nepriskirtų loginių tinklų pusės į kairę į Priskirtus loginius tinklus:

Ryžiai. 4 – prieš pridedant tinklą.

Ryžiai. 5 - pridėjus tinklą.

Norint masiškai prijungti kelis tinklus prie pagrindinio kompiuterio, patogu priskirti jiems etiketę (-es) kuriant tinklus ir pridėti tinklus pagal etiketes.

Sukūrus tinklą, pagrindiniai kompiuteriai pereis į neveikiančią būseną, kol tinklas bus įtrauktas į visus klasterio mazgus. Tokį elgesį sukelia žyma Reikalauti visko skirtuke Klasteris kuriant naują tinklą. Tuo atveju, kai tinklo nereikia visuose klasterio mazguose, šią vėliavėlę galima išjungti, tada, kai tinklas bus įtrauktas į pagrindinį kompiuterį, jis bus dešinėje skiltyje Nereikalingas ir galėsite pasirinkti, ar prisijungti. tai konkrečiam šeimininkui.

Ryžiai. 6 – pasirinkite tinklo reikalavimo atributą.

Specifinis HPE

Beveik visi gamintojai turi įrankius, kurie pagerina jų gaminių naudojimo patogumą. Kaip pavyzdį naudojant HPE, praverčia AMS (angl. Agentless Management Service, amsd for iLO5, hp-ams for iLO4) ir SSA (Smart Storage Administrator, darbas su disko valdikliu) ir kt.

HPE saugyklos prijungimas
Importuojame raktą ir prijungiame HPE saugyklas:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

toks turinys:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Peržiūrėkite saugyklos turinį ir paketo informaciją (nuoroda):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Diegimas ir paleidimas:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Naudingumo, skirto darbui su disko valdikliu, pavyzdys

Tai kol kas viskas. Tolesniuose straipsniuose ketinu pakalbėti apie kai kurias pagrindines operacijas ir programas. Pavyzdžiui, kaip sukurti VDI oVirt.

Šaltinis: www.habr.com