ÄrtÄ«bas labad mÄs uzstÄdÄ«sim papildu pakotnes:
$ sudo yum install bash-completion vim
Lai iespÄjotu komandu pabeigÅ”anu, bash pabeigÅ”anai ir jÄpÄrslÄdzas uz bash.
Papildu DNS nosaukumu pievienoŔana
Tas bÅ«s nepiecieÅ”ams, ja vajadzÄs izveidot savienojumu ar pÄrvaldnieku, izmantojot alternatÄ«vu nosaukumu (CNAME, aizstÄjvÄrdu vai tikai Ä«su nosaukumu bez domÄna sufiksa). DroŔības apsvÄrumu dÄļ pÄrvaldnieks pieļauj savienojumus, tikai izmantojot atļauto vÄrdu sarakstu.
Izveidojiet konfigurÄcijas failu:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Meistara darba piemÄrs
$ sudo ovirt-engine-extension-aaa-ldap-setup
PieejamÄs LDAP implementÄcijas:
...
3 ā Active Directory
...
LÅ«dzu izvÄlieties: 3
Lūdzu, ievadiet Active Directory meža nosaukumu: example.com
LÅ«dzu, atlasiet izmantojamo protokolu (startTLS, ldaps, vienkÄrÅ”s) [sÄktTLS]:
LÅ«dzu, atlasiet metodi, lai iegÅ«tu PEM kodÄtu CA sertifikÄtu (fails, URL, iekļauts, sistÄma, nedroÅ”s): URL
URL: wwwca.example.com/myRootCA.pem
Ievadiet meklÄÅ”anas lietotÄja atÅ”ifrÄjumu (piemÄram, uid=lietotÄjvÄrds,dc=example,dc=com vai atstÄjiet tukÅ”u anonÄ«miem): CN=oVirt-Engine,CN=LietotÄji,DC=piemÄrs,DC=com
Ievadiet meklÄÅ”anas lietotÄja paroli: *parole*
[ INFO ] MÄÄ£inÄjums izveidot saiti, izmantojot 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Vai jÅ«s gatavojaties izmantot vienoto pierakstÄ«Å”anos virtuÄlajÄm maŔīnÄm (jÄ, nÄ) [JÄ]:
LÅ«dzu, norÄdiet profila nosaukumu, kas bÅ«s redzams lietotÄjiem [example.com]:
LÅ«dzu, norÄdiet akreditÄcijas datus, lai pÄrbaudÄ«tu pieteikÅ”anÄs plÅ«smu:
Ievadiet lietotÄjvÄrdu: kÄdsAnyUser
Ievadiet lietotÄja paroli:
...
[INFO] PieteikÅ”anÄs secÄ«ba ir veiksmÄ«gi izpildÄ«ta
...
IzvÄlieties izpildÄmo testa secÄ«bu (Gatavs, PÄrtraukt, Pieteikties, MeklÄt) [Gatavs]:
[INFO] Posms: Darījuma iestatīŔana
...
KONFIGURÄCIJAS KOPSAVILKUMS
...
VedÅa izmantoÅ”ana ir piemÄrota vairumam gadÄ«jumu. SarežģītÄm konfigurÄcijÄm iestatÄ«jumi tiek veikti manuÄli. SÄ«kÄka informÄcija oVirt dokumentÄcijÄ, LietotÄji un lomas. PÄc veiksmÄ«gas dzinÄja savienoÅ”anas ar AD savienojuma logÄ un cilnÄ parÄdÄ«sies papildu profils Atļaujas SistÄmas objektiem ir iespÄja pieŔķirt atļaujas AD lietotÄjiem un grupÄm. JÄpiebilst, ka lietotÄju un grupu ÄrÄjais direktorijs var bÅ«t ne tikai AD, bet arÄ« IPA, eDirectory u.c.
Daudzceļu
RažoÅ”anas vidÄ uzglabÄÅ”anas sistÄmai jÄbÅ«t savienotai ar resursdatoru, izmantojot vairÄkus neatkarÄ«gus, vairÄkus I/O ceļus. KÄ likums, sistÄmÄ CentOS (un lÄ«dz ar to arÄ« oVirt) nav problÄmu ar vairÄku ceļu montÄžu uz ierÄ«ci (find_multipaths jÄ). Papildu FCoE iestatÄ«jumi ir ierakstÄ«ti 2. daļa. Ir vÄrts pievÄrst uzmanÄ«bu krÄtuves sistÄmas ražotÄja ieteikumam - daudzi iesaka izmantot apļveida politiku, bet pÄc noklusÄjuma Enterprise Linux 7 tiek izmantots servisa laiks.
RÄ«si. 2 ā vairÄku I/O politika pÄc iestatÄ«jumu piemÄroÅ”anas.
EnerÄ£ijas pÄrvaldÄ«bas iestatÄ«Å”ana
Ä»auj veikt, piemÄram, iekÄrtas aparatÅ«ras atiestatÄ«Å”anu, ja DzinÄjs ilgstoÅ”i nevar saÅemt atbildi no saimniekdatora. ÄŖstenots ar žogu aÄ£enta starpniecÄ«bu.
MÄs norÄdÄm veidu (piemÄram, iLO5 jÄnorÄda ilo4), ipmi interfeisa nosaukumu/adresi, kÄ arÄ« lietotÄjvÄrdu/paroli. Ieteicams izveidot atseviŔķu lietotÄju (piemÄram, oVirt-PM) un iLO gadÄ«jumÄ pieŔķirt viÅam privilÄÄ£ijas:
PieslÄgties
AttÄlÄ konsole
VirtuÄlÄ baroÅ”ana un atiestatÄ«Å”ana
VirtuÄlie mediji
KonfigurÄjiet iLO iestatÄ«jumus
AdministrÄt lietotÄju kontus
NejautÄjiet, kÄpÄc tas tÄ ir, tas tika izvÄlÄts empÄ«riski. Konsoles žogu aÄ£entam ir nepiecieÅ”ams mazÄk tiesÄ«bu.
Iestatot piekļuves kontroles sarakstus, jÄpatur prÄtÄ, ka aÄ£ents darbojas nevis dzinÄjÄ, bet ākaimiÅos esoÅ”Äā resursdatorÄ (tÄ sauktajÄ enerÄ£ijas pÄrvaldÄ«bas starpniekserverÄ«), t.i., ja klasterÄ« ir tikai viens mezgls, jaudas pÄrvaldÄ«ba darbosies nebÅ«s.
SSL iestatīŔana
Pilnas oficiÄlÄs instrukcijas - iekÅ”Ä dokumentÄcija, D pielikums: oVirt un SSL ā oVirt Engine SSL/TLS sertifikÄta aizstÄÅ”ana.
SertifikÄts var bÅ«t vai nu no mÅ«su korporatÄ«vÄs CA, vai no ÄrÄjas komerciÄlas sertifikÄcijas iestÄdes.
SvarÄ«ga piezÄ«me: SertifikÄts ir paredzÄts savienojumam ar pÄrvaldnieku un neietekmÄs saziÅu starp DzinÄju un mezgliem ā tie izmantos DzinÄja izdotos paÅ”parakstÄ«tos sertifikÄtus.
Prasības:
izdevÄjas SI sertifikÄts PEM formÄtÄ ar visu Ä·Ädi lÄ«dz saknes CA (no pakÄrtotÄ izdevÄja CA sÄkumÄ lÄ«dz saknei beigÄs);
sertifikÄts Apache, ko izsniedz izdevÄja CA (arÄ« papildinÄta ar visu CA sertifikÄtu Ä·Ädi);
privÄtÄ atslÄga Apache, bez paroles.
PieÅemsim, ka mÅ«su izdevÄjÄ CA darbojas CentOS, ko sauc par subca.example.com, un pieprasÄ«jumi, atslÄgas un sertifikÄti atrodas direktorijÄ /etc/pki/tls/.
MÄs veicam dublÄjumus un izveidojam pagaidu direktoriju:
Gatavs! Ir pienÄcis laiks izveidot savienojumu ar pÄrvaldnieku un pÄrbaudÄ«t, vai savienojums ir aizsargÄts ar parakstÄ«tu SSL sertifikÄtu.
ArhivÄÅ”ana
Kur mÄs bÅ«tu bez viÅas? Å ajÄ sadaÄ¼Ä mÄs runÄsim par pÄrvaldnieku arhivÄÅ”anu; VM arhivÄÅ”ana ir atseviŔķs jautÄjums. Reizi dienÄ veidosim arhÄ«va kopijas un uzglabÄsim tÄs, piemÄram, izmantojot NFS, tajÄ paÅ”Ä sistÄmÄ, kur ievietojÄm ISO attÄlus - mynfs1.example.com:/exports/ovirt-backup. Nav ieteicams glabÄt arhÄ«vus tajÄ paÅ”Ä iekÄrtÄ, kurÄ darbojas dzinÄjs.
Tagad varat izveidot savienojumu ar resursdatoru: https://[Host IP or FQDN]:9090
VLAN
Jums vajadzÄtu lasÄ«t vairÄk par tÄ«kliem dokumentÄcija. Ir daudz iespÄju; Å”eit mÄs aprakstÄ«sim virtuÄlo tÄ«klu savienoÅ”anu.
Lai savienotu citus apakÅ”tÄ«klus, tie vispirms jÄapraksta konfigurÄcijÄ: Network -> Networks -> New, Å”eit tikai nosaukums ir obligÄts lauks; IzvÄles rÅ«tiÅa VM tÄ«kls, kas ļauj iekÄrtÄm izmantot Å”o tÄ«klu, ir iespÄjota, taÄu, lai pievienotu atzÄ«mi, ir jÄbÅ«t iespÄjotai. IespÄjot VLAN marÄ·ÄÅ”anu, ievadiet VLAN numuru un noklikŔķiniet uz Labi.
Tagad jums jÄdodas uz AprÄÄ·inÄt saimniekdatorus -> Saimnieki -> kvmNN -> TÄ«kla saskarnes -> IestatÄ«t saimniekdatorus. Velciet pievienoto tÄ«klu no NepieŔķirto loÄ£isko tÄ«klu labÄs puses uz kreiso uz PieŔķirtie loÄ£iskie tÄ«kli:
RÄ«si. 4 ā pirms tÄ«kla pievienoÅ”anas.
RÄ«si. 5 - pÄc tÄ«kla pievienoÅ”anas.
Lai resursdatoram masveidÄ pievienotu vairÄkus tÄ«klus, ir Ärti tiem pieŔķirt iezÄ«mi(-es), veidojot tÄ«klus, un pievienot tÄ«klus pÄc etiÄ·etÄm.
PÄc tÄ«kla izveides resursdatori pÄries stÄvoklÄ« Nedarbojas, lÄ«dz tÄ«kls tiks pievienots visiem klastera mezgliem. Å o darbÄ«bu izraisa karodziÅa Require All (PieprasÄ«t visu) cilnÄ Cluster, veidojot jaunu tÄ«klu. GadÄ«jumÄ, ja tÄ«kls nav nepiecieÅ”ams visos klastera mezglos, Å”o karogu var atspÄjot, tad, kad tÄ«kls tiks pievienots resursdatoram, tas bÅ«s labajÄ pusÄ sadaÄ¼Ä Non Required un jÅ«s varat izvÄlÄties, vai izveidot savienojumu. to konkrÄtam saimniekdatoram.
RÄ«si. 6 ā atlasiet tÄ«kla prasÄ«bu atribÅ«tu.
HPE specifisks
GandrÄ«z visiem ražotÄjiem ir instrumenti, kas uzlabo viÅu produktu lietojamÄ«bu. Izmantojot HPE kÄ piemÄru, noder AMS (Agentless Management Service, amsd priekÅ” iLO5, hp-ams priekÅ” iLO4) un SSA (Smart Storage Administrator, darbs ar diska kontrolleri) u.c.
HPE repozitorija pievienoŔana
MÄs importÄjam atslÄgu un savienojam HPE repozitorijus:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo
Tas pagaidÄm ir viss. NÄkamajos rakstos es plÄnoju runÄt par dažÄm pamata darbÄ«bÄm un lietojumprogrammÄm. PiemÄram, kÄ izveidot VDI programmÄ oVirt.