oVirt ao anatin'ny 2 ora. Fizarana 3. Fikirana fanampiny

Ato amin'ity lahatsoratra ity isika dia hijery toe-javatra maromaro azo atao nefa mahasoa:

• mampiasa anarana fanampiny ho an'ny mpitantana;
• mampifandray ny fanamarinana amin'ny alàlan'ny Active Directory;
• Mutlipathing;
• fitantanana herinaratra;
• fanoloana taratasy fanamarinana SSL;
• fitahirizana;
• interface fitantanana mpampiantrano (cockpit);
• VLAN;
• HPE manokana.

Tohiny ity lahatsoratra ity, jereo ny oVirt ao anatin'ny 2 ora ho an'ny fanombohana Ampahany amin'ny 1 и ampahany amin'ny 2.

Articles

1. fampidirana
2. Fametrahana ny mpitantana (ovirt-engine) sy hypervisors (hosts)
3. Fikirana fanampiny - Eto izahay

Fikirana mpitantana fanampiny

Ho fanamorana dia hametraka fonosana fanampiny izahay:

$ sudo yum install bash-completion vim

Mba hahafahana mamita ny baiko, ny bash-completion dia mila miova amin'ny bash.

Manampy anarana DNS fanampiny

Ilaina izany rehefa mila mifandray amin'ny mpitantana mampiasa anarana hafa ianao (CNAME, alias, na anarana fohy tsy misy tovana domaine). Noho ny antony fiarovana, ny mpitantana dia mamela ny fifandraisana amin'ny fampiasana ny lisitry ny anarana navela.

Mamorona fisie fanamafisana:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

ireto votoaty manaraka ireto:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

ary avereno indray ny mpitantana:

$ sudo systemctl restart ovirt-engine

Mametraka fanamarinana amin'ny alàlan'ny AD

oVirt dia manana toby mpampiasa naorina, fa ny mpamatsy LDAP ivelany dia tohana ihany koa, anisan'izany. Taorian'i JK

Ny fomba tsotra indrindra amin'ny fanamafisana mahazatra dia ny manomboka ny mpamosavy ary mamerina ny mpitantana:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Ohatra amin'ny asan'ny tompo
$ sudo ovirt-engine-extension-aaa-ldap-setup
Fampiharana LDAP misy:
...
3 - Active Directory
...
Safidio azafady: 3
Ampidiro azafady ny anarana Active Directory Forest: example.com

Safidio azafady ny protocol ampiasaina (startTLS, ldaps, plain) [startTLS]:
Azafady, mifidiana fomba hahazoana ny mari-pankasitrahana CA misy kaody PEM (File, URL, Inline, System, Insecure): URL
URL: wwwca.example.com/myRootCA.pem
Ampidiro DN mpampiasa fikarohana (ohatra uid=username,dc=example,dc=com na avelao ho banga raha tsy mitonona anarana): CN=oVirt-Engine,CN=Users,DC=ohatra,DC=com
Ampidiro ny tenimiafina mpampiasa fikarohana: * tenimiafina*
[ INFO ] Miezaka mamehy mampiasa 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Hampiasa Sign-On tokana ho an'ny milina virtoaly ve ianao (Eny, Tsia) [Eny]:
Azafady, mariho ny anaran'ny mombamomba izay ho hitan'ny mpampiasa [example.com]:
Mba omeo fahazoan-dàlana hitsapana ny fizotry ny fidirana:
Ampidiro ny anaran'ny mpampiasa: someAnyUser
Ampidiro ny tenimiafina mpampiasa:
...
[INFO] Vita soa aman-tsara ny filaharana fidirana
...
Safidio ny filaharan'ny fitsapana hotanterahina (Vita, Abort, Login, Search) [vita]:
[INFO] Dingana: Fametrahana ny fifampiraharahana
...
FAMINTINANA ny CONFIGURATION
...

Ny fampiasana ny wizard dia mety amin'ny ankamaroan'ny tranga. Ho an'ny fanamafisana sarotra dia atao amin'ny tanana ny fandrindrana. Ny antsipiriany bebe kokoa ao amin'ny antontan-taratasy oVirt, Mpampiasa sy andraikitra. Aorian'ny fampifandraisana am-pahombiazana ny Engine amin'ny AD, dia hisy mombamomba fanampiny hiseho eo amin'ny varavarankelin'ny fifandraisana, ary eo amin'ny tabilao Permissions Ny zavatra rafitra dia manana fahafahana manome alalana ireo mpampiasa sy vondrona AD. Tsara homarihina fa ny lahatahiry ivelany an'ny mpampiasa sy ny vondrona dia mety tsy ho AD ihany, fa koa IPA, eDirectory, sns.

Multipathing

Ao amin'ny tontolo famokarana, ny rafitra fitahirizana dia tsy maintsy mifandray amin'ny mpampiantrano amin'ny alàlan'ny lalana I/O mahaleo tena maro. Amin'ny ankapobeny, ao amin'ny CentOS (ary noho izany oVirt) dia tsy misy olana amin'ny fanangonana lalana maromaro mankany amin'ny fitaovana iray (find_multipaths eny). Fikirana fanampiny ho an'ny FCoE no voasoratra ao fizarana faha-2. Ilaina ny mandinika ny tolo-kevitry ny mpanamboatra rafitra fitahirizana - maro no manoro hevitra amin'ny fampiasana ny politikan'ny round-robin, fa amin'ny alàlan'ny default amin'ny serivisy Enterprise Linux 7 dia ampiasaina.

Mampiasa 3PAR ho ohatra
ary document HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux, ary OracleVM Server Guide Implementation EL dia noforonina ho mpampiantrano miaraka amin'ny Generic-ALUA Persona 2, izay ampidirana ireto soatoavina manaraka ireto ao amin'ny sehatra /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Aorian'izay dia omena ny baiko hanombohana indray:

systemctl restart multipathd

vary. 1 no fitsipika I/O maromaro.

vary. 2 - politikan'ny I/O maromaro aorian'ny fampiharana ny fanovana.

Fametrahana fitantanana herinaratra

Mamela anao hanao, ohatra, ny famerenana ny fitaovana amin'ny milina raha tsy afaka mahazo valiny avy amin'ny mpampiantrano mandritra ny fotoana maharitra ny Engine. Nampiharina tamin'ny alàlan'ny Fence Agent.

Compute -> Hosts -> HOST - Hanova -> Fitantanana herinaratra, avy eo avelao ny "Enable Power Management" ary ampio mpandraharaha - "Add Fence Agent" -> +.

Tondroinay ny karazana (ohatra, ho an'ny iLO5 mila mamaritra ny ilo4), ny anarana/adiresy amin'ny interface ipmi, ary koa ny anaran'ny mpampiasa/password. Amporisihina ny hamorona mpampiasa iray manokana (ohatra, oVirt-PM) ary, raha iLO, omeo tombontsoa izy:

• Hiditra
• Remote Console
• Hery virtoaly sy Reset
• Virtual Media
• Amboary ny Settings iLO
• Mitantana kaonty mpampiasa

Aza manontany hoe nahoana no toy izany, dia nofinidy empirically. Mitaky zo vitsy kokoa ny mpandraharaha fencing console.

Rehefa manangana lisitry ny fanaraha-maso ny fidirana dia tokony hotadidinao fa tsy mandeha amin'ny motera ilay mpiasa, fa amin'ny mpampiantrano "mpifanolo-bodirindrina" (ilay antsoina hoe Power Management Proxy), izany hoe, raha tsy misy afa-tsy node iray ao amin'ny cluster, hiasa ny fitantanana herinaratra tsy izany.

Fametrahana SSL

Torolàlana ofisialy feno - in tahirin-kevitra, Fanampiny D: oVirt sy SSL — Fanoloana ny oVirt Engine SSL/TLS Certificate.

Ny taratasy fanamarinana dia mety ho avy amin'ny orinasanay CA na avy amin'ny fahefana fanamarinana ara-barotra ivelany.

Fanamarihana manan-danja: Ny taratasy fanamarinana dia natao hifandraisana amin'ny mpitantana ary tsy hisy fiantraikany amin'ny fifandraisana eo amin'ny Engine sy ny nodes - hampiasa ny mari-pankasitrahana nosoniavin'ny tenany avy amin'ny Engine izy ireo.

fepetra takiana:

• taratasy fanamarinana ny famoahana CA amin'ny endrika PEM, miaraka amin'ny rojo manontolo ka hatrany amin'ny fakany CA (avy amin'ny mpiahy mamoaka CA eo am-piandohana ka hatramin'ny fotony amin'ny farany);
• mari-pankasitrahana ho an'ny Apache navoakan'ny CA namoaka (ampiana ihany koa ny rojo mari-pankasitrahana CA manontolo);
• fanalahidy manokana ho an'ny Apache, tsy misy tenimiafina.

Andao atao hoe ny famoahana CA antsika dia mihazakazaka CentOS, antsoina hoe subca.example.com, ary ny fangatahana, ny fanalahidy ary ny mari-pankasitrahana dia hita ao amin'ny lahatahiry /etc/pki/tls/.

Manao backup izahay ary mamorona lahatahiry vonjimaika:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Misintona taratasy fanamarinana, tanteraho ao amin'ny toeram-piasanao na alefaso amin'ny fomba hafa mety:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Vokatr'izany dia tokony ho hitanao ny rakitra 3 rehetra:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Fametrahana taratasy fanamarinana

Adikao ny rakitra ary havaozy ny lisitry ny fitokisana:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Ampio/havaozy ny fisie fanitsiana:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Manaraka, avereno indray ny serivisy voakasika rehetra:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Vonona! Fotoana izao hifandraisana amin'ny mpitantana ary jereo fa voaaro amin'ny alàlan'ny fanamarinana SSL voasonia ny fifandraisana.

Archiving

Aiza ho aiza isika raha tsy misy azy? Ato amin'ity fizarana ity dia hiresaka momba ny fitahirizana mpitantana; Olana misaraka ny VM archiving. Hanao kopia arisiva indray mandeha isan'andro izahay ary hitahiry azy ireo amin'ny alàlan'ny NFS, ohatra, amin'ny rafitra iray izay nametrahanay ny sary ISO - mynfs1.example.com:/exports/ovirt-backup. Tsy soso-kevitra ny mitahiry arisiva amin'ny milina iray izay iasan'ny Engine.

Ampidiro sy avelao ny autofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Andao hamorona script:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

ireto votoaty manaraka ireto:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Ny fanaovana ny rakitra azo tanterahana:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Ankehitriny isan'alina dia hahazo arisiva amin'ny firafitry ny mpitantana izahay.

Interface fitantanana mpampiantrano

Cockpit — interface fitantanana maoderina ho an'ny rafitra Linux. Amin'ity tranga ity, dia manao anjara mitovy amin'ny ESXi web interface.

vary. 3 - ny endriky ny tontonana.

Tena tsotra ny fametrahana, mila ny fonosana cockpit sy ny plugin cockpit-ovirt-dashboard ianao:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Mampandeha Cockpit:

$ sudo systemctl enable --now cockpit.socket

Fametrahana firewall:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Afaka mifandray amin'ny mpampiantrano ianao izao: https://[Host IP na FQDN]:9090

VLAN

Tokony hamaky bebe kokoa momba ny tambajotra in tahirin-kevitra. Betsaka ny azo atao, eto isika dia hamaritra ny mampifandray ireo tambajotra virtoaly.

Mba hampifandraisana ny subnets hafa dia tsy maintsy faritana amin'ny config aloha izy ireo: Tambajotra -> Tambajotra -> Vaovao, ny anarana ihany no sehatra ilaina; Ny boaty VM Network, izay ahafahan'ny milina mampiasa ity tambajotra ity, dia alefa, fa ny mampifandray ny tag dia tsy maintsy alefa. Alefaso ny fametahana VLAN, ampidiro ny laharana VLAN ary tsindrio OK.

Mila mandeha any amin'ny Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks ianao. Tariho ny tamba-jotra fanampiny avy eo amin'ny ilany havanana amin'ny Unassigned Logical Networks miankavia mankany amin'ny Assigned Logical Networks:

vary. 4 - alohan'ny hampidirana tambajotra.

vary. 5 - aorian'ny fampidirana tambajotra.

Mba hampifandraisana tambajotra marobe amin'ny mpampiantrano iray amin'ny ampahany dia mety ny manome marika (s) azy ireo rehefa mamorona tambajotra, ary manampy tambajotra amin'ny marika.

Aorian'ny famoronana ny tambajotra, ny mpampiantrano dia hiditra ao amin'ny fanjakana tsy miasa mandra-pahatongan'ny tambajotra amin'ny node rehetra ao amin'ny cluster. Ity fihetsika ity dia vokatry ny saina Mitaky ny rehetra eo amin'ny tabilao Cluster rehefa mamorona tambajotra vaovao. Raha toa ka tsy ilaina ny tambajotra amin'ny node rehetra amin'ny cluster, ity sainam-pirenena ity dia mety ho kilemaina, avy eo rehefa ampidirina amin'ny mpampiantrano ny tambajotra dia ho eo amin'ny ankavanana ao amin'ny fizarana Tsy ilaina ary azonao atao ny misafidy raha hifandray. izany amin'ny mpampiantrano manokana.

vary. 6—misafidiana toetra takina amin'ny tambajotra.

HPE manokana

Saika ny mpanamboatra rehetra dia manana fitaovana manatsara ny fampiasana ny vokatra. Amin'ny fampiasana HPE ho ohatra, AMS (Agentless Management Service, amsd for iLO5, hp-ams for iLO4) ary SSA (Smart Storage Administrator, miasa miaraka amin'ny controller disk), sns.

Mampifandray ny tahiry HPE
Manafatra ny lakile izahay ary mampifandray ny tahiry HPE:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

ireto votoaty manaraka ireto:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Jereo ny atiny fitehirizana sy ny fampahafantarana fonosana (ho reference):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Fametrahana sy fandefasana:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Ohatra iray amin'ny fitaovana ampiasaina amin'ny fanaraha-maso ny kapila

Izay ihany aloha izao. Amin'ny lahatsoratra manaraka dia mikasa ny hiresaka momba ny asa fototra sy ny fampiharana sasany aho. Ohatra, ny fomba hanaovana VDI amin'ny oVirt.

Source: www.habr.com