oVirt 2 stundu laikā. 3. daļa. Papildu iestatījumi

Šajā rakstā mēs apskatīsim vairākus izvēles, bet noderīgus iestatījumus:

• izmantojot pārvaldnieka papildu nosaukumus;
• savienojot autentifikāciju, izmantojot Active Directory;
• Mutlipātisks;
• jaudas vadība;
• SSL sertifikāta aizstāšana;
• arhivēšana;
• saimniekdatora pārvaldības saskarne (kabīne);
• VLAN;
• HPE specifisks.

Šis raksts ir turpinājums, sākumu skatiet oVirt pēc 2 stundām 1. daļa и 2. daļa.

Blogs

1. Ievads
2. Pārvaldnieka (ovirt-motora) un hipervizoru (saimnieku) uzstādīšana
3. Papildu iestatījumi – esam klāt

Papildu pārvaldnieka iestatījumi

Ērtības labad mēs uzstādīsim papildu pakotnes:

$ sudo yum install bash-completion vim

Lai iespējotu komandu pabeigšanu, bash pabeigšanai ir jāpārslēdzas uz bash.

Papildu DNS nosaukumu pievienošana

Tas būs nepieciešams, ja vajadzēs izveidot savienojumu ar pārvaldnieku, izmantojot alternatīvu nosaukumu (CNAME, aizstājvārdu vai tikai īsu nosaukumu bez domēna sufiksa). Drošības apsvērumu dēļ pārvaldnieks pieļauj savienojumus, tikai izmantojot atļauto vārdu sarakstu.

Izveidojiet konfigurācijas failu:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

šādu saturu:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

un restartējiet pārvaldnieku:

$ sudo systemctl restart ovirt-engine

Autentifikācijas iestatīšana, izmantojot AD

oVirt ir iebūvēta lietotāju bāze, taču tiek atbalstīti arī ārējie LDAP nodrošinātāji, t.sk. A.D.

Vienkāršākais tipiskas konfigurācijas veids ir palaist vedni un restartēt pārvaldnieku:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Meistara darba piemērs
$ sudo ovirt-engine-extension-aaa-ldap-setup
Pieejamās LDAP implementācijas:
...
3 — Active Directory
...
Lūdzu izvēlieties: 3
Lūdzu, ievadiet Active Directory meža nosaukumu: example.com

Lūdzu, atlasiet izmantojamo protokolu (startTLS, ldaps, vienkāršs) [sāktTLS]:
Lūdzu, atlasiet metodi, lai iegūtu PEM kodētu CA sertifikātu (fails, URL, iekļauts, sistēma, nedrošs): URL
URL: wwwca.example.com/myRootCA.pem
Ievadiet meklēšanas lietotāja atšifrējumu (piemēram, uid=lietotājvārds,dc=example,dc=com vai atstājiet tukšu anonīmiem): CN=oVirt-Engine,CN=Lietotāji,DC=piemērs,DC=com
Ievadiet meklēšanas lietotāja paroli: *parole*
[ INFO ] Mēģinājums izveidot saiti, izmantojot 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Vai jūs gatavojaties izmantot vienoto pierakstīšanos virtuālajām mašīnām (jā, nē) [Jā]:
Lūdzu, norādiet profila nosaukumu, kas būs redzams lietotājiem [example.com]:
Lūdzu, norādiet akreditācijas datus, lai pārbaudītu pieteikšanās plūsmu:
Ievadiet lietotājvārdu: kādsAnyUser
Ievadiet lietotāja paroli:
...
[INFO] Pieteikšanās secība ir veiksmīgi izpildīta
...
Izvēlieties izpildāmo testa secību (Gatavs, Pārtraukt, Pieteikties, Meklēt) [Gatavs]:
[INFO] Posms: Darījuma iestatīšana
...
KONFIGURĀCIJAS KOPSAVILKUMS
...

Vedņa izmantošana ir piemērota vairumam gadījumu. Sarežģītām konfigurācijām iestatījumi tiek veikti manuāli. Sīkāka informācija oVirt dokumentācijā, Lietotāji un lomas. Pēc veiksmīgas dzinēja savienošanas ar AD savienojuma logā un cilnē parādīsies papildu profils Atļaujas Sistēmas objektiem ir iespēja piešķirt atļaujas AD lietotājiem un grupām. Jāpiebilst, ka lietotāju un grupu ārējais direktorijs var būt ne tikai AD, bet arī IPA, eDirectory u.c.

Daudzceļu

Ražošanas vidē uzglabāšanas sistēmai jābūt savienotai ar resursdatoru, izmantojot vairākus neatkarīgus, vairākus I/O ceļus. Kā likums, sistēmā CentOS (un līdz ar to arī oVirt) nav problēmu ar vairāku ceļu montāžu uz ierīci (find_multipaths jā). Papildu FCoE iestatījumi ir ierakstīti 2. daļa. Ir vērts pievērst uzmanību krātuves sistēmas ražotāja ieteikumam - daudzi iesaka izmantot apļveida politiku, bet pēc noklusējuma Enterprise Linux 7 tiek izmantots servisa laiks.

Kā piemēru izmantojot 3PAR
un dokuments HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux un OracleVM servera ieviešanas rokasgrāmata EL ir izveidots kā resursdators ar Generic-ALUA Persona 2, kuram iestatījumos /etc/multipath.conf tiek ievadītas šādas vērtības:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Pēc tam tiek dota komanda restartēt:

systemctl restart multipathd

Rīsi. 1 ir noklusējuma vairāku I/O politika.

Rīsi. 2 — vairāku I/O politika pēc iestatījumu piemērošanas.

Enerģijas pārvaldības iestatīšana

Ļauj veikt, piemēram, iekārtas aparatūras atiestatīšanu, ja Dzinējs ilgstoši nevar saņemt atbildi no saimniekdatora. Īstenots ar žogu aģenta starpniecību.

Aprēķināt -> Saimnieki -> HOST — Rediģēt -> Enerģijas pārvaldība, pēc tam iespējojiet "Iespējot enerģijas pārvaldību" un pievienojiet aģentu - "Pievienot žoga aģentu" -> +.

Mēs norādām veidu (piemēram, iLO5 jānorāda ilo4), ipmi interfeisa nosaukumu/adresi, kā arī lietotājvārdu/paroli. Ieteicams izveidot atsevišķu lietotāju (piemēram, oVirt-PM) un iLO gadījumā piešķirt viņam privilēģijas:

• Pieslēgties
• Attālā konsole
• Virtuālā barošana un atiestatīšana
• Virtuālie mediji
• Konfigurējiet iLO iestatījumus
• Administrēt lietotāju kontus

Nejautājiet, kāpēc tas tā ir, tas tika izvēlēts empīriski. Konsoles žogu aģentam ir nepieciešams mazāk tiesību.

Iestatot piekļuves kontroles sarakstus, jāpatur prātā, ka aģents darbojas nevis dzinējā, bet “kaimiņos esošā” resursdatorā (tā sauktajā enerģijas pārvaldības starpniekserverī), t.i., ja klasterī ir tikai viens mezgls, jaudas pārvaldība darbosies nebūs.

SSL iestatīšana

Pilnas oficiālās instrukcijas - iekšā dokumentācija, D pielikums: oVirt un SSL — oVirt Engine SSL/TLS sertifikāta aizstāšana.

Sertifikāts var būt vai nu no mūsu korporatīvās CA, vai no ārējas komerciālas sertifikācijas iestādes.

Svarīga piezīme: Sertifikāts ir paredzēts savienojumam ar pārvaldnieku un neietekmēs saziņu starp Dzinēju un mezgliem – tie izmantos Dzinēja izdotos pašparakstītos sertifikātus.

Prasības:

• izdevējas SI sertifikāts PEM formātā ar visu ķēdi līdz saknes CA (no pakārtotā izdevēja CA sākumā līdz saknei beigās);
• sertifikāts Apache, ko izsniedz izdevēja CA (arī papildināta ar visu CA sertifikātu ķēdi);
• privātā atslēga Apache, bez paroles.

Pieņemsim, ka mūsu izdevējā CA darbojas CentOS, ko sauc par subca.example.com, un pieprasījumi, atslēgas un sertifikāti atrodas direktorijā /etc/pki/tls/.

Mēs veicam dublējumus un izveidojam pagaidu direktoriju:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Lejupielādējiet sertifikātus, veiciet to no savas darbstacijas vai pārsūtiet citā ērtā veidā:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Rezultātā jums vajadzētu redzēt visus 3 failus:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Sertifikātu instalēšana

Kopējiet failus un atjauniniet uzticamības sarakstus:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Pievienot/atjaunināt konfigurācijas failus:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Pēc tam restartējiet visus ietekmētos pakalpojumus:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Gatavs! Ir pienācis laiks izveidot savienojumu ar pārvaldnieku un pārbaudīt, vai savienojums ir aizsargāts ar parakstītu SSL sertifikātu.

Arhivēšana

Kur mēs būtu bez viņas? Šajā sadaļā mēs runāsim par pārvaldnieku arhivēšanu; VM arhivēšana ir atsevišķs jautājums. Reizi dienā veidosim arhīva kopijas un uzglabāsim tās, piemēram, izmantojot NFS, tajā pašā sistēmā, kur ievietojām ISO attēlus - mynfs1.example.com:/exports/ovirt-backup. Nav ieteicams glabāt arhīvus tajā pašā iekārtā, kurā darbojas dzinējs.

Instalējiet un iespējojiet autofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Izveidosim skriptu:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

šādu saturu:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Faila padarīšana par izpildāmu:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Tagad katru vakaru mēs saņemsim pārvaldnieka iestatījumu arhīvu.

Resursdatora pārvaldības saskarne

Kabīne — moderna administratīvā saskarne Linux sistēmām. Šajā gadījumā tas veic ESXi tīmekļa saskarnei līdzīgu lomu.

Rīsi. 3 — paneļa izskats.

Instalēšana ir ļoti vienkārša, jums ir nepieciešamas kabīnes pakotnes un spraudnis cockpit-ovirt-dashboard:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Kabīnes iespējošana:

$ sudo systemctl enable --now cockpit.socket

Ugunsmūra iestatīšana:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Tagad varat izveidot savienojumu ar resursdatoru: https://[Host IP or FQDN]:9090

VLAN

Jums vajadzētu lasīt vairāk par tīkliem dokumentācija. Ir daudz iespēju; šeit mēs aprakstīsim virtuālo tīklu savienošanu.

Lai savienotu citus apakštīklus, tie vispirms jāapraksta konfigurācijā: Network -> Networks -> New, šeit tikai nosaukums ir obligāts lauks; Izvēles rūtiņa VM tīkls, kas ļauj iekārtām izmantot šo tīklu, ir iespējota, taču, lai pievienotu atzīmi, ir jābūt iespējotai. Iespējot VLAN marķēšanu, ievadiet VLAN numuru un noklikšķiniet uz Labi.

Tagad jums jādodas uz Aprēķināt saimniekdatorus -> Saimnieki -> kvmNN -> Tīkla saskarnes -> Iestatīt saimniekdatorus. Velciet pievienoto tīklu no Nepiešķirto loģisko tīklu labās puses uz kreiso uz Piešķirtie loģiskie tīkli:

Rīsi. 4 — pirms tīkla pievienošanas.

Rīsi. 5 - pēc tīkla pievienošanas.

Lai resursdatoram masveidā pievienotu vairākus tīklus, ir ērti tiem piešķirt iezīmi(-es), veidojot tīklus, un pievienot tīklus pēc etiķetēm.

Pēc tīkla izveides resursdatori pāries stāvoklī Nedarbojas, līdz tīkls tiks pievienots visiem klastera mezgliem. Šo darbību izraisa karodziņa Require All (Pieprasīt visu) cilnē Cluster, veidojot jaunu tīklu. Gadījumā, ja tīkls nav nepieciešams visos klastera mezglos, šo karogu var atspējot, tad, kad tīkls tiks pievienots resursdatoram, tas būs labajā pusē sadaļā Non Required un jūs varat izvēlēties, vai izveidot savienojumu. to konkrētam saimniekdatoram.

Rīsi. 6 — atlasiet tīkla prasību atribūtu.

HPE specifisks

Gandrīz visiem ražotājiem ir instrumenti, kas uzlabo viņu produktu lietojamību. Izmantojot HPE kā piemēru, noder AMS (Agentless Management Service, amsd priekš iLO5, hp-ams priekš iLO4) un SSA (Smart Storage Administrator, darbs ar diska kontrolleri) u.c.

HPE repozitorija pievienošana
Mēs importējam atslēgu un savienojam HPE repozitorijus:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

šādu saturu:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Skatīt repozitorija saturu un pakotnes informāciju (uzziņai):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Uzstādīšana un palaišana:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Lietderības piemērs darbam ar diska kontrolleri

Tas pagaidām ir viss. Nākamajos rakstos es plānoju runāt par dažām pamata darbībām un lietojumprogrammām. Piemēram, kā izveidot VDI programmā oVirt.

Avots: www.habr.com