oVirt 2 цагийн дотор. 3-р хэсэг. Нэмэлт тохиргоо

Энэ нийтлэлд бид хэд хэдэн нэмэлт боловч ашигтай тохиргоог авч үзэх болно:

• менежерийн нэмэлт нэрийг ашиглах;
• Active Directory-ээр дамжуулан баталгаажуулалтыг холбох;
• Олон талт байдал;
• эрчим хүчний менежмент;
• SSL сертификатыг солих;
• архивлах;
• хостын удирдлагын интерфейс (кокпит);
• VLAN;
• HPE тусгай.

Энэ нийтлэл нь үргэлжлэл бөгөөд эхэнд нь 2 цагийн дараа oVirt-ийг үзнэ үү 1-ийн хэсэг и 2-р хэсэг.

Зүйл

1. Танилцуулга
2. Менежер (ovirt-engine) болон гипервизоруудыг (хостууд) суурилуулах
3. Нэмэлт тохиргоо - Бид энд байна

Менежерийн нэмэлт тохиргоо

Тохиромжтой болгохын тулд бид нэмэлт багцуудыг суулгах болно:

$ sudo yum install bash-completion vim

Командын гүйцэтгэлийг идэвхжүүлэхийн тулд bash-г дуусгах нь bash руу шилжих шаардлагатай.

Нэмэлт DNS нэрийг нэмж байна

Энэ нь менежертэй өөр нэр (CNAME, alias, эсвэл домэйны дагаваргүй зүгээр л богино нэр) ашиглан холбогдох шаардлагатай үед шаардлагатай болно. Аюулгүй байдлын үүднээс менежер зөвхөн зөвшөөрөгдсөн нэрсийн жагсаалтыг ашиглан холболт хийхийг зөвшөөрдөг.

Тохиргооны файл үүсгэх:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

дараах агуулга:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

болон менежерийг дахин эхлүүлнэ үү:

$ sudo systemctl restart ovirt-engine

AD-ээр дамжуулан баталгаажуулалтыг тохируулж байна

oVirt нь суурилагдсан хэрэглэгчийн баазтай боловч гадаад LDAP үйлчилгээ үзүүлэгчдийг дэмждэг. А.Д.

Ердийн тохиргооны хамгийн энгийн арга бол шидтэнг ажиллуулж, менежерийг дахин эхлүүлэх явдал юм.

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Мастерын ажлын жишээ
$ sudo ovirt-хөдөлгүүрийн өргөтгөл-aaa-ldap-тохируулга
Боломжтой LDAP хэрэгжүүлэлтүүд:
...
3 - Active Directory
...
Сонгоно уу: 3
Active Directory Forest нэрийг оруулна уу: example.com

Ашиглах протоколыг сонгоно уу (startTLS, ldaps, энгийн) [startTLS]:
PEM кодлогдсон CA гэрчилгээ авах аргыг сонгоно уу (Файл, URL, Inline, Систем, Аюулгүй): URL
URL: wwwca.example.com/myRootCA.pem
Хайлтын хэрэглэгчийн DN-г оруулна уу (жишээ нь uid=username,dc=example,dc=com эсвэл нэргүй бол хоосон орхи): CN = oVirt-Engine, CN = Хэрэглэгчид, DC = жишээ, DC = com
Хайлтын хэрэглэгчийн нууц үгийг оруулна уу: *нууц үг*
[ МЭДЭЭЛЭЛ ] 'CN=oVirt-Engine,CN=Users,DC=example,DC=com' ашиглан холбохыг оролдож байна
Та Виртуал машинуудад нэг удаа нэвтрэхийг ашиглах гэж байна уу (Тийм, Үгүй) [Тийм]:
Хэрэглэгчдэд харагдах профайлын нэрийг зааж өгнө үү [example.com]:
Нэвтрэх урсгалыг шалгахын тулд итгэмжлэлүүдийг оруулна уу:
Хэрэглэгчийн нэрийг оруулна уу: someAnyUser
Хэрэглэгчийн нууц үгийг оруулна уу:
...
[МЭДЭЭЛЭЛ] Нэвтрэх дарааллыг амжилттай гүйцэтгэсэн
...
Гүйцэтгэх тестийн дарааллыг сонгоно уу (Дууссан, цуцлах, нэвтрэх, хайх) [Дууссан]:
[МЭДЭЭЛЭЛ] Үе шат: Гүйлгээний тохиргоо
...
ТОХИРУУЛГА
...

Ихэнх тохиолдолд шидтэнг ашиглах нь тохиромжтой. Нарийн төвөгтэй тохиргооны хувьд тохиргоог гараар хийдэг. oVirt баримт бичигт дэлгэрэнгүй мэдээлэл, Хэрэглэгчид ба үүрэг. Хөдөлгүүрийг AD-д амжилттай холбосны дараа холболтын цонх болон таб дээр нэмэлт профайл гарч ирнэ Зөвшөөрөл Системийн объектууд нь AD хэрэглэгчид болон бүлгүүдэд зөвшөөрөл олгох чадвартай. Хэрэглэгчид болон бүлгүүдийн гадаад лавлах нь зөвхөн AD төдийгүй IPA, eDirectory гэх мэт байж болно гэдгийг тэмдэглэх нь зүйтэй.

Олон зам

Үйлдвэрлэлийн орчинд хадгалах систем нь олон бие даасан, олон оролт гаралтын замаар хосттой холбогдсон байх ёстой. Дүрмээр бол, CentOS (тиймээс oVirt) дээр төхөөрөмж рүү олон замыг угсахад ямар ч асуудал гардаггүй (find_multipaths тийм). FCoE-ийн нэмэлт тохиргоог энд бичсэн болно 2-р хэсэг. Хадгалах системийн үйлдвэрлэгчийн зөвлөмжийг анхаарч үзэх нь зүйтэй юм - олон хүн тойргийн бодлогыг ашиглахыг зөвлөж байна, гэхдээ Enterprise Linux 7-д анхдагчаар үйлчилгээний хугацааг ашигладаг.

3PAR-ийг жишээ болгон ашиглаж байна
болон баримт бичиг HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux болон OracleVM серверийг хэрэгжүүлэх гарын авлага EL нь Generic-ALUA Persona 2-тэй хост хэлбэрээр бүтээгдсэн бөгөөд үүний тулд дараах утгуудыг /etc/multipath.conf тохиргоонд оруулсан болно.

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Үүний дараа дахин эхлүүлэх командыг өгнө:

systemctl restart multipathd

Цагаан будаа. 1 нь анхдагч олон оролт/гаралтын бодлого юм.

Цагаан будаа. 2 - тохиргоог хэрэглэсний дараа олон оролт гаралтын бодлого.

Эрчим хүчний менежментийг тохируулж байна

Жишээлбэл, хэрэв Хөдөлгүүр нь Хостоос удаан хугацаанд хариу хүлээж авахгүй бол төхөөрөмжийн техник хангамжийг дахин тохируулах боломжийг танд олгоно. Fence Agent-ээр дамжуулан хэрэгжүүлсэн.

Тооцоолох -> Хостууд -> ХОСТ — Засварлах -> Эрчим хүчний менежментийг сонгоод "Цахилгааны удирдлагыг идэвхжүүлэх" -ийг идэвхжүүлж, агент нэмнэ - "Хашааны агент нэмэх" -> +.

Бид төрөл (жишээлбэл, iLO5-ийн хувьд та ilo4-ийг зааж өгөх хэрэгтэй), ipmi интерфейсийн нэр/хаяг, мөн хэрэглэгчийн нэр/нууц үгийг зааж өгнө. Тусдаа хэрэглэгч (жишээлбэл, oVirt-PM) үүсгэхийг зөвлөж байна, iLO-ийн хувьд түүнд давуу эрх олгохыг зөвлөж байна.

• Нэвтрэх
• Алсын удирдлагатай консол
• Виртуал тэжээл ба дахин тохируулах
• Виртуал медиа
• iLO тохиргоог хийнэ үү
• Хэрэглэгчийн бүртгэлийг удирдах

Яагаад ийм байгааг бүү асуу, үүнийг эмпирик байдлаар сонгосон. Консолын хашаа барих агент нь бага эрх шаарддаг.

Хандалтын хяналтын жагсаалтыг тохируулахдаа агент нь хөдөлгүүр дээр биш, харин "хөрш" хост дээр (эрчим хүчний удирдлагын прокси гэж нэрлэгддэг), өөрөөр хэлбэл кластерт зөвхөн нэг зангилаа байгаа бол ажилладаг гэдгийг санах хэрэгтэй. эрчим хүчний удирдлага ажиллах болно болохгүй.

SSL-г тохируулж байна

Бүрэн албан ёсны заавар - дотор баримт бичиг, Хавсралт D: oVirt ба SSL — oVirt Engine SSL/TLS гэрчилгээг солих.

Сертификат нь манай байгууллагын CA эсвэл гадаад арилжааны гэрчилгээний байгууллагаас байж болно.

Анхаарах зүйл: Сертификат нь менежертэй холбогдоход зориулагдсан бөгөөд Хөдөлгүүр ба зангилааны хоорондох холбоонд нөлөөлөхгүй - тэд Хөдөлгүүрээс олгосон өөрөө гарын үсэг зурсан гэрчилгээг ашиглана.

Шаардлагууд:

• CA-г гаргаж буй гэрчилгээг PEM форматаар, язгуур СА хүртэл бүхэл бүтэн гинжин хэлхээтэй (Эхнээс СА гаргаж буй захирагчаас төгсгөлд нь үндэс хүртэл);
• Гаргагч CA-аас гаргасан Apache-д зориулсан гэрчилгээ (Мөн CA гэрчилгээний бүх сүлжээгээр нэмэлт);
• Apache-д зориулсан хувийн түлхүүр, нууц үггүй.

Бидний гаргаж буй CA нь subca.example.com гэж нэрлэгддэг CentOS үйлдлийн системтэй бөгөөд хүсэлт, түлхүүр, гэрчилгээ нь /etc/pki/tls/ лавлахад байрлаж байна гэж бодъё.

Бид нөөцлөлт хийж, түр зуурын лавлах үүсгэдэг:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Сертификатуудыг татаж авах, өөрийн ажлын станцаас гүйцэтгэх эсвэл өөр тохиромжтой аргаар шилжүүлэх:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Үүний үр дүнд та бүх 3 файлыг харах ёстой:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Сертификатуудыг суулгаж байна

Файлуудыг хуулж, итгэлцлийн жагсаалтыг шинэчлэх:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Тохиргооны файлуудыг нэмэх/шинэчлэх:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Дараа нь нөлөөлөлд өртсөн бүх үйлчилгээг дахин эхлүүлнэ үү:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Бэлэн! Менежертэй холбогдож, холболт нь гарын үсэг зурсан SSL сертификатаар хамгаалагдсан эсэхийг шалгах цаг болжээ.

Архивлаж байна

Түүнгүйгээр бид хаана байх байсан бэ? Энэ хэсэгт бид менежерийн архивын талаар ярих болно; VM архивлах нь тусдаа асуудал юм. Бид өдөрт нэг удаа архивын хуулбар хийж, тэдгээрийг NFS-ээр дамжуулан, жишээлбэл, ISO дүрсийг байрлуулсан систем дээр хадгална - mynfs1.example.com:/exports/ovirt-backup. Хөдөлгүүр ажиллаж байгаа машин дээр архивыг хадгалахыг зөвлөдөггүй.

Автоматыг суулгаж идэвхжүүлнэ үү:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Скрипт үүсгэцгээе:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

дараах агуулга:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Файлыг гүйцэтгэх боломжтой болгох:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Одоо орой бүр бид менежерийн тохиргооны архивыг хүлээн авах болно.

Хост удирдлагын интерфейс

Cockpit — Линукс системд зориулсан орчин үеийн удирдлагын интерфейс. Энэ тохиолдолд ESXi вэб интерфэйстэй төстэй үүрэг гүйцэтгэдэг.

Цагаан будаа. 3 - самбарын харагдах байдал.

Суурилуулалт нь маш энгийн, танд бүхээгийн багцууд болон cockpit-ovirt-хяналтын самбарын залгаас хэрэгтэй:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Бүхээгийг идэвхжүүлж байна:

$ sudo systemctl enable --now cockpit.socket

Галт ханын тохиргоо:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Одоо та хосттой холбогдож болно: https://[Host IP or FQDN]:9090

VLAN

Та сүлжээний талаар илүү ихийг унших хэрэгтэй баримт бичиг. Олон боломжууд байдаг, энд бид виртуал сүлжээг холбох талаар тайлбарлах болно.

Бусад дэд сүлжээг холбохын тулд тэдгээрийг эхлээд тохиргоонд тайлбарлах ёстой: Сүлжээ -> Сүлжээ -> Шинэ, энд зөвхөн нэр нь шаардлагатай талбар юм; Машинуудад энэ сүлжээг ашиглах боломжийг олгодог VM Network checkbox идэвхжсэн боловч холбогдох шошгыг идэвхжүүлсэн байх шаардлагатай. VLAN тэмдэглэгээг идэвхжүүлэх, VLAN дугаараа оруулаад OK дарна уу.

Одоо та Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks руу очих хэрэгтэй. Нэмэгдсэн сүлжээг хуваарилагдаагүй логик сүлжээнүүдийн баруун талаас зүүн тийш чирж томилогдсон логик сүлжээнүүд рүү чирнэ үү.

Цагаан будаа. 4 - сүлжээ нэмэхээс өмнө.

Цагаан будаа. 5 - сүлжээг нэмсний дараа.

Олон сүлжээг хост руу бөөнөөр нь холбохын тулд сүлжээ үүсгэх үед тэдгээрт шошго (үүд) оноож, сүлжээг шошгоор нь нэмэх нь тохиромжтой.

Сүлжээг үүсгэсний дараа сүлжээг кластерын бүх зангилаанд нэмэх хүртэл хостууд Үйлдлийн бус төлөвт шилжинэ. Энэ үйлдэл нь шинэ сүлжээ үүсгэх үед Cluster tab дээрх Require All дарцагаас үүдэлтэй. Кластерын бүх зангилаа дээр сүлжээ шаардлагагүй тохиолдолд энэ тугийг идэвхгүй болгож болно, дараа нь сүлжээг хост руу нэмэх үед энэ нь "Шаардлагагүй" хэсэгт баруун талд байх бөгөөд та холбогдох эсэхээ сонгох боломжтой. тодорхой хост руу.

Цагаан будаа. 6—сүлжээний шаардлагын шинж чанарыг сонгоно уу.

HPE тусгай

Бараг бүх үйлдвэрлэгчид бүтээгдэхүүнийхээ ашиглалтыг сайжруулах хэрэгсэлтэй байдаг. HPE-г жишээ болгон ашиглавал AMS (Agentless Management Service, iLO5-д зориулсан amsd, iLO4-д зориулсан hp-ams) болон SSA (Smart Storage Administrator, диск хянагчтай ажиллах) гэх мэт нь ашигтай.

HPE репозиторыг холбож байна
Бид түлхүүрийг оруулж, HPE хадгалах газрыг холбодог:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

дараах агуулга:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Хадгалах сангийн агуулга болон багцын мэдээллийг харах (лавлагаа болгон):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Суулгах, эхлүүлэх:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Диск хянагчтай ажиллах хэрэгслийн жишээ

Одоохондоо ийм л байна. Дараах нийтлэлүүдэд би зарим үндсэн үйлдлүүд болон хэрэглээний талаар ярихаар төлөвлөж байна. Жишээлбэл, oVirt дээр VDI хэрхэн хийх талаар.

Эх сурвалж: www.habr.com