Энэ нийтлэлд бид хэд хэдэн нэмэлт боловч ашигтай тохиргоог авч үзэх болно:
менежерийн нэмэлт нэрийг ашиглах ;Active Directory-ээр дамжуулан баталгаажуулалтыг холбох ;Олон талт байдал ;эрчим хүчний менежмент ;SSL сертификатыг солих ;архивлах ;хостын удирдлагын интерфейс (кокпит) ;VLAN ;HPE тусгай .
Энэ нийтлэл нь үргэлжлэл бөгөөд эхэнд нь 2 цагийн дараа oVirt-ийг үзнэ үү
Зүйл
Танилцуулга Менежер (ovirt-engine) болон гипервизоруудыг (хостууд) суурилуулах - Нэмэлт тохиргоо - Бид энд байна
Менежерийн нэмэлт тохиргоо
Тохиромжтой болгохын тулд бид нэмэлт багцуудыг суулгах болно:
$ sudo yum install bash-completion vim
Командын гүйцэтгэлийг идэвхжүүлэхийн тулд bash-г дуусгах нь bash руу шилжих шаардлагатай.
Нэмэлт DNS нэрийг нэмж байна
Энэ нь менежертэй өөр нэр (CNAME, alias, эсвэл домэйны дагаваргүй зүгээр л богино нэр) ашиглан холбогдох шаардлагатай үед шаардлагатай болно. Аюулгүй байдлын үүднээс менежер зөвхөн зөвшөөрөгдсөн нэрсийн жагсаалтыг ашиглан холболт хийхийг зөвшөөрдөг.
Тохиргооны файл үүсгэх:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
дараах агуулга:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"
болон менежерийг дахин эхлүүлнэ үү:
$ sudo systemctl restart ovirt-engine
AD-ээр дамжуулан баталгаажуулалтыг тохируулж байна
oVirt нь суурилагдсан хэрэглэгчийн баазтай боловч гадаад LDAP үйлчилгээ үзүүлэгчдийг дэмждэг. А.Д.
Ердийн тохиргооны хамгийн энгийн арга бол шидтэнг ажиллуулж, менежерийг дахин эхлүүлэх явдал юм.
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine
Мастерын ажлын жишээ
$ sudo ovirt-хөдөлгүүрийн өргөтгөл-aaa-ldap-тохируулга
Боломжтой LDAP хэрэгжүүлэлтүүд:
...
3 - Active Directory
...
Сонгоно уу: 3
Active Directory Forest нэрийг оруулна уу: example.com
Ашиглах протоколыг сонгоно уу (startTLS, ldaps, энгийн) [startTLS]:
PEM кодлогдсон CA гэрчилгээ авах аргыг сонгоно уу (Файл, URL, Inline, Систем, Аюулгүй): URL
URL:
Хайлтын хэрэглэгчийн DN-г оруулна уу (жишээ нь uid=username,dc=example,dc=com эсвэл нэргүй бол хоосон орхи): CN = oVirt-Engine, CN = Хэрэглэгчид, DC = жишээ, DC = com
Хайлтын хэрэглэгчийн нууц үгийг оруулна уу: *нууц үг*
[ МЭДЭЭЛЭЛ ] 'CN=oVirt-Engine,CN=Users,DC=example,DC=com' ашиглан холбохыг оролдож байна
Та Виртуал машинуудад нэг удаа нэвтрэхийг ашиглах гэж байна уу (Тийм, Үгүй) [Тийм]:
Хэрэглэгчдэд харагдах профайлын нэрийг зааж өгнө үү [example.com]:
Нэвтрэх урсгалыг шалгахын тулд итгэмжлэлүүдийг оруулна уу:
Хэрэглэгчийн нэрийг оруулна уу: someAnyUser
Хэрэглэгчийн нууц үгийг оруулна уу:
...
[МЭДЭЭЛЭЛ] Нэвтрэх дарааллыг амжилттай гүйцэтгэсэн
...
Гүйцэтгэх тестийн дарааллыг сонгоно уу (Дууссан, цуцлах, нэвтрэх, хайх) [Дууссан]:
[МЭДЭЭЛЭЛ] Үе шат: Гүйлгээний тохиргоо
...
ТОХИРУУЛГА
...
Ихэнх тохиолдолд шидтэнг ашиглах нь тохиромжтой. Нарийн төвөгтэй тохиргооны хувьд тохиргоог гараар хийдэг. oVirt баримт бичигт дэлгэрэнгүй мэдээлэл,
Олон зам
Үйлдвэрлэлийн орчинд хадгалах систем нь олон бие даасан, олон оролт гаралтын замаар хосттой холбогдсон байх ёстой. Дүрмээр бол, CentOS (тиймээс oVirt) дээр төхөөрөмж рүү олон замыг угсахад ямар ч асуудал гардаггүй (find_multipaths тийм). FCoE-ийн нэмэлт тохиргоог энд бичсэн болно
3PAR-ийг жишээ болгон ашиглаж байна
болон баримт бичиг
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}
Үүний дараа дахин эхлүүлэх командыг өгнө:
systemctl restart multipathd
Цагаан будаа. 1 нь анхдагч олон оролт/гаралтын бодлого юм.
Цагаан будаа. 2 - тохиргоог хэрэглэсний дараа олон оролт гаралтын бодлого.
Эрчим хүчний менежментийг тохируулж байна
Жишээлбэл, хэрэв Хөдөлгүүр нь Хостоос удаан хугацаанд хариу хүлээж авахгүй бол төхөөрөмжийн техник хангамжийг дахин тохируулах боломжийг танд олгоно. Fence Agent-ээр дамжуулан хэрэгжүүлсэн.
Тооцоолох -> Хостууд -> ХОСТ — Засварлах -> Эрчим хүчний менежментийг сонгоод "Цахилгааны удирдлагыг идэвхжүүлэх" -ийг идэвхжүүлж, агент нэмнэ - "Хашааны агент нэмэх" -> +.
Бид төрөл (жишээлбэл, iLO5-ийн хувьд та ilo4-ийг зааж өгөх хэрэгтэй), ipmi интерфейсийн нэр/хаяг, мөн хэрэглэгчийн нэр/нууц үгийг зааж өгнө. Тусдаа хэрэглэгч (жишээлбэл, oVirt-PM) үүсгэхийг зөвлөж байна, iLO-ийн хувьд түүнд давуу эрх олгохыг зөвлөж байна.
- Нэвтрэх
- Алсын удирдлагатай консол
- Виртуал тэжээл ба дахин тохируулах
- Виртуал медиа
- iLO тохиргоог хийнэ үү
- Хэрэглэгчийн бүртгэлийг удирдах
Яагаад ийм байгааг бүү асуу, үүнийг эмпирик байдлаар сонгосон. Консолын хашаа барих агент нь бага эрх шаарддаг.
Хандалтын хяналтын жагсаалтыг тохируулахдаа агент нь хөдөлгүүр дээр биш, харин "хөрш" хост дээр (эрчим хүчний удирдлагын прокси гэж нэрлэгддэг), өөрөөр хэлбэл кластерт зөвхөн нэг зангилаа байгаа бол ажилладаг гэдгийг санах хэрэгтэй. эрчим хүчний удирдлага ажиллах болно болохгүй.
SSL-г тохируулж байна
Бүрэн албан ёсны заавар - дотор
Сертификат нь манай байгууллагын CA эсвэл гадаад арилжааны гэрчилгээний байгууллагаас байж болно.
Анхаарах зүйл: Сертификат нь менежертэй холбогдоход зориулагдсан бөгөөд Хөдөлгүүр ба зангилааны хоорондох холбоонд нөлөөлөхгүй - тэд Хөдөлгүүрээс олгосон өөрөө гарын үсэг зурсан гэрчилгээг ашиглана.
Шаардлагууд:
- CA-г гаргаж буй гэрчилгээг PEM форматаар, язгуур СА хүртэл бүхэл бүтэн гинжин хэлхээтэй (Эхнээс СА гаргаж буй захирагчаас төгсгөлд нь үндэс хүртэл);
- Гаргагч CA-аас гаргасан Apache-д зориулсан гэрчилгээ (Мөн CA гэрчилгээний бүх сүлжээгээр нэмэлт);
- Apache-д зориулсан хувийн түлхүүр, нууц үггүй.
Бидний гаргаж буй CA нь subca.example.com гэж нэрлэгддэг CentOS үйлдлийн системтэй бөгөөд хүсэлт, түлхүүр, гэрчилгээ нь /etc/pki/tls/ лавлахад байрлаж байна гэж бодъё.
Бид нөөцлөлт хийж, түр зуурын лавлах үүсгэдэг:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs
Сертификатуудыг татаж авах, өөрийн ажлын станцаас гүйцэтгэх эсвэл өөр тохиромжтой аргаар шилжүүлэх:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs
Үүний үр дүнд та бүх 3 файлыг харах ёстой:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.key
Сертификатуудыг суулгаж байна
Файлуудыг хуулж, итгэлцлийн жагсаалтыг шинэчлэх:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service
Тохиргооны файлуудыг нэмэх/шинэчлэх:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf
ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""
$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf
SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf
# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer
Дараа нь нөлөөлөлд өртсөн бүх үйлчилгээг дахин эхлүүлнэ үү:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service
Бэлэн! Менежертэй холбогдож, холболт нь гарын үсэг зурсан SSL сертификатаар хамгаалагдсан эсэхийг шалгах цаг болжээ.
Архивлаж байна
Түүнгүйгээр бид хаана байх байсан бэ? Энэ хэсэгт бид менежерийн архивын талаар ярих болно; VM архивлах нь тусдаа асуудал юм. Бид өдөрт нэг удаа архивын хуулбар хийж, тэдгээрийг NFS-ээр дамжуулан, жишээлбэл, ISO дүрсийг байрлуулсан систем дээр хадгална - mynfs1.example.com:/exports/ovirt-backup. Хөдөлгүүр ажиллаж байгаа машин дээр архивыг хадгалахыг зөвлөдөггүй.
Автоматыг суулгаж идэвхжүүлнэ үү:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs
Скрипт үүсгэцгээе:
$ sudo vim /etc/cron.daily/make.oVirt.backup.sh
дараах агуулга:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;
Файлыг гүйцэтгэх боломжтой болгох:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh
Одоо орой бүр бид менежерийн тохиргооны архивыг хүлээн авах болно.
Хост удирдлагын интерфейс
Цагаан будаа. 3 - самбарын харагдах байдал.
Суурилуулалт нь маш энгийн, танд бүхээгийн багцууд болон cockpit-ovirt-хяналтын самбарын залгаас хэрэгтэй:
$ sudo yum install cockpit cockpit-ovirt-dashboard -y
Бүхээгийг идэвхжүүлж байна:
$ sudo systemctl enable --now cockpit.socket
Галт ханын тохиргоо:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent
Одоо та хосттой холбогдож болно: https://[Host IP or FQDN]:9090
VLAN
Та сүлжээний талаар илүү ихийг унших хэрэгтэй
Бусад дэд сүлжээг холбохын тулд тэдгээрийг эхлээд тохиргоонд тайлбарлах ёстой: Сүлжээ -> Сүлжээ -> Шинэ, энд зөвхөн нэр нь шаардлагатай талбар юм; Машинуудад энэ сүлжээг ашиглах боломжийг олгодог VM Network checkbox идэвхжсэн боловч холбогдох шошгыг идэвхжүүлсэн байх шаардлагатай. VLAN тэмдэглэгээг идэвхжүүлэх, VLAN дугаараа оруулаад OK дарна уу.
Одоо та Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks руу очих хэрэгтэй. Нэмэгдсэн сүлжээг хуваарилагдаагүй логик сүлжээнүүдийн баруун талаас зүүн тийш чирж томилогдсон логик сүлжээнүүд рүү чирнэ үү.
Цагаан будаа. 4 - сүлжээ нэмэхээс өмнө.
Цагаан будаа. 5 - сүлжээг нэмсний дараа.
Олон сүлжээг хост руу бөөнөөр нь холбохын тулд сүлжээ үүсгэх үед тэдгээрт шошго (үүд) оноож, сүлжээг шошгоор нь нэмэх нь тохиромжтой.
Сүлжээг үүсгэсний дараа сүлжээг кластерын бүх зангилаанд нэмэх хүртэл хостууд Үйлдлийн бус төлөвт шилжинэ. Энэ үйлдэл нь шинэ сүлжээ үүсгэх үед Cluster tab дээрх Require All дарцагаас үүдэлтэй. Кластерын бүх зангилаа дээр сүлжээ шаардлагагүй тохиолдолд энэ тугийг идэвхгүй болгож болно, дараа нь сүлжээг хост руу нэмэх үед энэ нь "Шаардлагагүй" хэсэгт баруун талд байх бөгөөд та холбогдох эсэхээ сонгох боломжтой. тодорхой хост руу.
Цагаан будаа. 6—сүлжээний шаардлагын шинж чанарыг сонгоно уу.
HPE тусгай
Бараг бүх үйлдвэрлэгчид бүтээгдэхүүнийхээ ашиглалтыг сайжруулах хэрэгсэлтэй байдаг. HPE-г жишээ болгон ашиглавал AMS (Agentless Management Service, iLO5-д зориулсан amsd, iLO4-д зориулсан hp-ams) болон SSA (Smart Storage Administrator, диск хянагчтай ажиллах) гэх мэт нь ашигтай.
HPE репозиторыг холбож байна
Бид түлхүүрийг оруулж, HPE хадгалах газрыг холбодог:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo
дараах агуулга:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
Хадгалах сангийн агуулга болон багцын мэдээллийг харах (лавлагаа болгон):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd
Суулгах, эхлүүлэх:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsd
Диск хянагчтай ажиллах хэрэгслийн жишээ
Одоохондоо ийм л байна. Дараах нийтлэлүүдэд би зарим үндсэн үйлдлүүд болон хэрэглээний талаар ярихаар төлөвлөж байна. Жишээлбэл, oVirt дээр VDI хэрхэн хийх талаар.
Эх сурвалж: www.habr.com