🥇oVirt за 2 часа. Дел 3: Напредни поставки

Во оваа статија ќе разгледаме голем број опционални, но корисни поставки:

користејќи дополнителни имиња за менаџерот;
поврзување на автентикација преку Active Directory;
Мултипат;
Моќен менаџмент;
замена на SSL сертификат;
архивирање;
интерфејс за управување со домаќинот (кокпит);
VLAN;
Специфичен за HPE.

Оваа статија е продолжение, погледнете oVirt за 2 часа за почеток Часть 1 и Дел 2.

членовите

Вовед
Инсталација на менаџер (ovirt-мотор) и хипервизори (домаќини)
Дополнителни поставки - Тука сме

Дополнителни поставки на менаџерот

За погодност, ќе инсталираме дополнителни пакети:

$ sudo yum install bash-completion vim

За да се овозможи завршување на командата, баш-завршувањето бара префрлување на баш.

Додавање дополнителни имиња на DNS

Ова ќе биде потребно кога треба да се поврзете со менаџерот користејќи алтернативно име (CNAME, алијас или само кратко име без наставка на домен). Од безбедносни причини, менаџерот дозволува врски само користејќи ја дозволената листа со имиња.

Направете конфигурациска датотека:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

следната содржина:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

и рестартирајте го менаџерот:

$ sudo systemctl restart ovirt-engine

Поставување автентикација преку АД

oVirt има вградена корисничка база, но поддржани се и надворешни провајдери на LDAP, вкл. А.Д.

Наједноставниот начин за типична конфигурација е да го стартувате волшебникот и да го рестартирате менаџерот:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Пример за мајсторска работа
$ sudo ovirt-engine-extension-aaa-ldap-setup
Достапни имплементации на LDAP:
...
3 - Активен директориум
...
Ве молиме изберете: 3
Ве молиме внесете име на шумата на Active Directory: example.com

Изберете протокол за користење (startTLS, ldaps, обичен) [startTLS]:
Ве молиме изберете метод за да добиете сертификат CA кодиран со PEM (Датотека, URL, Вграден, Систем, Небезбеден): URL
URL: wwwca.example.com/myRootCA.pem
Внесете DN на корисникот за пребарување (на пример uid=корисничко име,dc=пример,dc=com или оставете празно за анонимно): CN=oVirt-Engine,CN=Корисници,DC=пример,DC=com
Внесете корисничка лозинка за пребарување: *лозинка*
[ ИНФО ] Обид за врзување со помош на „CN=oVirt-Engine,CN=Users,DC=example,DC=com“
Дали ќе користите еднократно најавување за виртуелни машини (Да, не) [Да]:
Ве молиме наведете го името на профилот што ќе биде видливо за корисниците [example.com]:
Ве молиме наведете акредитиви за тестирање на протокот за најавување:
Внесете корисничко име: некој кој билоКорисник
Внесете корисничка лозинка:
...
[ИНФО] Секвенцата за најавување е успешно извршена
...
Изберете тест низа за извршување (Готово, прекин, најавување, пребарување) [Направено]:
[ИНФО] Фаза: Поставување трансакција
...
РЕЗИМЕ НА КОНФИГУРАЦИЈАТА
...

Користењето на волшебникот е погодно за повеќето случаи. За сложени конфигурации, поставките се вршат рачно. Повеќе детали во документацијата oVirt, Корисници и улоги. По успешно поврзување на моторот со АД, ќе се појави дополнителен профил во прозорецот за поврзување и на картичката Дозволи Системските објекти имаат можност да даваат дозволи на корисници и групи на АД. Треба да се напомене дека надворешниот директориум на корисници и групи може да биде не само AD, туку и IPA, eDirectory итн.

Мултипатирање

Во производствена средина, системот за складирање мора да биде поврзан со домаќинот преку повеќе независни, повеќе В/И патеки. Како по правило, во CentOS (а со тоа и oVirt) нема проблеми со склопување на повеќе патеки до уред (find_multipaths да). Дополнителни поставки за FCoE се напишани во 2 дел. Вреди да се обрне внимание на препораката на производителот на системот за складирање - многумина препорачуваат користење на политиката за кружен пат, но стандардно во Enterprise Linux 7 се користи сервисно време.

Користејќи го 3PAR како пример
и документ Водич за имплементација на серверот HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux и OracleVM EL е креиран како домаќин со Generic-ALUA Persona 2, за кој во поставките се внесуваат следните вредности /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

После тоа се дава командата за рестартирање:

systemctl restart multipathd

Ориз. 1 е стандардната политика за повеќекратни I/O.

Ориз. 2 - повеќекратна политика за влез/излез по примената на поставките.

Поставување на управување со енергија

Ви овозможува да извршите, на пример, хардверско ресетирање на машината ако моторот не може да добие одговор од Домаќинот долго време. Имплементиран преку Fence Agent.

Пресметајте -> Домаќини -> HOST — Уреди -> Управување со енергија, потоа овозможете „Овозможи управување со енергијата“ и додајте агент — „Додај агент за ограда“ -> +.

Го означуваме типот (на пример, за iLO5 треба да го наведете ilo4), името/адресата на интерфејсот ipmi, како и корисничкото име/лозинка. Се препорачува да се создаде посебен корисник (на пример, oVirt-PM) и, во случај на iLO, да му се дадат привилегии:

најави се
Далечинска конзола
Виртуелно напојување и ресетирање
Виртуелни медиуми
Конфигурирајте ги поставките за iLO
Администрирајте кориснички сметки

Не прашувајте зошто е тоа така, тоа е избрано емпириски. Застапникот за оградување на конзолата бара помалку права.

Кога поставувате списоци за контрола на пристап, треба да имате на ум дека агентот работи не на моторот, туку на „соседниот“ домаќин (т.н. прокси за управување со енергија), т.е., ако има само еден јазол во кластерот, управувањето со енергијата ќе функционира нема.

Поставување SSL

Целосни официјални упатства - во документација, Додаток D: oVirt и SSL — Замена на сертификатот oVirt Engine SSL/TLS.

Сертификатот може да биде или од нашиот корпоративен CA или од надворешен орган за комерцијален сертификат.

Важна забелешка: Сертификатот е наменет за поврзување со менаџерот и нема да влијае на комуникацијата помеѓу моторот и јазлите - тие ќе користат самопотпишани сертификати издадени од Engine.

Барања:

сертификат за издавачката ИС во формат PEM, со целиот синџир до коренот CA (од подредениот издавач CA на почетокот до коренот на крајот);
сертификат за Apache издаден од издавачот CA (исто така дополнет со целиот синџир на сертификати CA);
приватен клуч за Apache, без лозинка.

Да претпоставиме дека нашата издавачка CA работи CentOS, наречен subca.example.com, а барањата, клучевите и сертификатите се наоѓаат во директориумот /etc/pki/tls/.

Ние правиме резервни копии и создаваме привремен директориум:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Преземете сертификати, изведете ги од вашата работна станица или префрлете ги на друг пригоден начин:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Како резултат на тоа, треба да ги видите сите 3 датотеки:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Инсталирање сертификати

Копирајте ги датотеките и ажурирајте ги списоците за доверба:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Додадете/ажурирајте ги конфигурациските датотеки:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Следно, рестартирајте ги сите засегнати услуги:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Подготвени! Време е да се поврзете со менаџерот и да проверите дали врската е заштитена со потпишан SSL сертификат.

Архивирање

Каде ќе бевме без неа? Во овој дел ќе зборуваме за архивирање на менаџерот; архивирањето на VM е посебно прашање. Ќе правиме архивски копии еднаш дневно и ќе ги складираме преку NFS, на пример, на истиот систем каде што ги сместивме ISO сликите - mynfs1.example.com:/exports/ovirt-backup. Не се препорачува чување архиви на истата машина каде што работи Моторот.

Инсталирајте и овозможете autofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Ајде да создадеме скрипта:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

следната содржина:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Да се направи датотеката извршна:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Сега секоја вечер ќе добиваме архива со поставки на менаџерот.

Интерфејс за управување со домаќинот

Пилотската кабина — модерен административен интерфејс за Linux системи. Во овој случај, тој врши улога слична на веб-интерфејсот ESXi.

Ориз. 3 — изглед на панелот.

Инсталирањето е многу едноставно, потребни ви се пакетите на кокпитот и додатокот cockpit-ovirt-dashboard:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Овозможување кокпит:

$ sudo systemctl enable --now cockpit.socket

Поставување на заштитен ѕид:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Сега можете да се поврзете со домаќинот: https://[Host IP or FQDN]:9090

VLAN

Треба да прочитате повеќе за мрежи во документација. Има многу можности, овде ќе опишеме поврзување на виртуелни мрежи.

За поврзување на други подмрежи, тие прво мора да се опишат во конфигурацијата: Мрежа -> Мрежи -> Ново, тука само името е задолжително поле; Полето за избор на VM Network, кое им овозможува на машините да ја користат оваа мрежа, е овозможено, но за поврзување, ознаката мора да биде овозможена Овозможете означување VLAN, внесете го VLAN бројот и кликнете OK.

Сега треба да отидете до Пресметај хостови -> Домаќини -> kvmNN -> Мрежни интерфејси -> Поставување мрежи на домаќини. Повлечете ја додадената мрежа од десната страна на Недоделените логички мрежи налево во Доделени логички мрежи:

Ориз. 4 - пред да додадете мрежа.

Ориз. 5 - по додавање мрежа.

За да се поврзат повеќе мрежи со домаќин на големо, погодно е да им се додели етикета(и) при креирање мрежи и да се додаваат мрежи по етикети.

Откако ќе се креира мрежата, хостовите ќе одат во неоперативна состојба додека мрежата не се додаде на сите јазли во кластерот. Ова однесување е предизвикано од знамето Потребни се сите на јазичето Кластер при креирање нова мрежа. Во случај кога мрежата не е потребна на сите јазли на кластерот, ова знаменце може да се оневозможи, а потоа кога мрежата ќе се додаде на хост, таа ќе биде десно во делот Не е потребно и можете да изберете дали да се поврзете тоа на одреден домаќин.

Ориз. 6-одберете атрибут за барање мрежа.

Специфичен за HPE

Речиси сите производители имаат алатки кои ја подобруваат употребливоста на нивните производи. Користејќи го HPE како пример, корисни се AMS (Услуга за управување без агент, amsd за iLO5, hp-ams за iLO4) и SSA (Администратор за паметно складирање, работа со контролер на диск) итн.

Поврзување на складиштето HPE
Го увезуваме клучот и ги поврзуваме складиштата на HPE:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

следната содржина:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Погледнете ја содржината на складиштето и информациите за пакетот (за референца):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Инсталација и лансирање:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Пример за алатка за работа со контролер на диск

Тоа е се за сега. Во следните статии планирам да зборувам за некои основни операции и апликации. На пример, како да направите VDI во oVirt.

Извор: www.habr.com

oVirt за 2 часа. Дел 3. Дополнителни поставки

членовите

Дополнителни поставки на менаџерот

Додавање дополнителни имиња на DNS

Поставување автентикација преку АД

Мултипатирање

Поставување на управување со енергија

Поставување SSL

Инсталирање сертификати

Архивирање

Интерфејс за управување со домаќинот

VLAN

Специфичен за HPE