oVirt 2 तासात. भाग 3. अतिरिक्त सेटिंग्ज

या लेखात आम्ही अनेक पर्यायी पण उपयुक्त सेटिंग्ज पाहू:

• व्यवस्थापकासाठी अतिरिक्त नावे वापरणे;
• सक्रिय निर्देशिका द्वारे प्रमाणीकरण कनेक्ट करत आहे;
• मुटलीपथिंग;
• उर्जा व्यवस्थापन;
• SSL प्रमाणपत्र बदलत आहे;
• संग्रहण;
• होस्ट मॅनेजमेंट इंटरफेस (कॉकपिट);
• VLANs;
• HPE विशिष्ट.

हा लेख सुरू आहे, सुरुवातीसाठी 2 तासांत oVirt पहा एक्सएनयूएमएक्स भाग и 2.

लेख

1. परिचय
2. व्यवस्थापक (ओविर्ट-इंजिन) आणि हायपरवाइजर (होस्ट) ची स्थापना
3. अतिरिक्त सेटिंग्ज - आम्ही येथे आहोत

अतिरिक्त व्यवस्थापक सेटिंग्ज

सोयीसाठी, आम्ही अतिरिक्त पॅकेजेस स्थापित करू:

$ sudo yum install bash-completion vim

आदेश पूर्ण करणे सक्षम करण्यासाठी, bash-completion ला bash वर स्विच करणे आवश्यक आहे.

अतिरिक्त DNS नावे जोडत आहे

जेव्हा तुम्हाला वैकल्पिक नाव (CNAME, उपनाव, किंवा डोमेन प्रत्ययाशिवाय फक्त एक लहान नाव) वापरून व्यवस्थापकाशी कनेक्ट करण्याची आवश्यकता असेल तेव्हा हे आवश्यक असेल. सुरक्षेच्या कारणास्तव, व्यवस्थापक फक्त परवानगी दिलेल्या नावांची सूची वापरून कनेक्शनला परवानगी देतो.

कॉन्फिगरेशन फाइल तयार करा:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

खालील सामग्री:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

आणि व्यवस्थापक रीस्टार्ट करा:

$ sudo systemctl restart ovirt-engine

AD द्वारे प्रमाणीकरण सेट करत आहे

oVirt मध्ये अंगभूत वापरकर्ता आधार आहे, परंतु बाह्य LDAP प्रदाते देखील समर्थित आहेत, समावेश. ए.डी.

ठराविक कॉन्फिगरेशनसाठी सर्वात सोपा मार्ग म्हणजे विझार्ड लाँच करणे आणि व्यवस्थापक रीस्टार्ट करणे:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

मास्टरच्या कामाचे उदाहरण
$ sudo ovirt-engine-extension-aa-ldap-setup
उपलब्ध LDAP अंमलबजावणी:
...
3 - सक्रिय निर्देशिका
...
कृपया निवडा: 3
कृपया सक्रिय निर्देशिका फॉरेस्टचे नाव प्रविष्ट करा: Example.com

कृपया वापरण्यासाठी प्रोटोकॉल निवडा (startTLS, ldaps, प्लेन) [startTLS]:
कृपया PEM एन्कोड केलेले CA प्रमाणपत्र मिळविण्यासाठी पद्धत निवडा (फाइल, URL, इनलाइन, सिस्टम, असुरक्षित): URL
URL: wwwca.example.com/myRootCA.pem
शोध वापरकर्ता DN एंटर करा (उदाहरणार्थ uid=username,dc=example,dc=com किंवा अनामित साठी रिक्त सोडा): CN=oVirt-Engine,CN=वापरकर्ते,DC=उदाहरण,DC=com
शोध वापरकर्ता संकेतशब्द प्रविष्ट करा: *पासवर्ड*
[ माहिती ] 'CN=oVirt-Engine,CN=Users,DC=example,DC=com' वापरून बंधन घालण्याचा प्रयत्न करत आहे
तुम्ही व्हर्च्युअल मशीनसाठी सिंगल साइन-ऑन वापरणार आहात (होय, नाही) [होय]:
कृपया प्रोफाइल नाव निर्दिष्ट करा जे वापरकर्त्यांना दृश्यमान असेल [example.com]:
लॉगिन फ्लोची चाचणी घेण्यासाठी कृपया क्रेडेन्शियल प्रदान करा:
वापरकर्ता नाव प्रविष्ट करा: काही कोणताही वापरकर्ता
वापरकर्ता संकेतशब्द प्रविष्ट करा:
...
[माहिती] लॉगिन क्रम यशस्वीरित्या कार्यान्वित झाला
...
कार्यान्वित करण्यासाठी चाचणी क्रम निवडा (पूर्ण, रद्द करा, लॉगिन, शोध) [पूर्ण]:
[माहिती] स्टेज: व्यवहार सेटअप
...
कॉन्फिगरेशन सारांश
...

विझार्ड वापरणे बहुतेक प्रकरणांसाठी योग्य आहे. जटिल कॉन्फिगरेशनसाठी, सेटिंग्ज व्यक्तिचलितपणे केल्या जातात. oVirt दस्तऐवजीकरणात अधिक तपशील, वापरकर्ते आणि भूमिका. इंजिनला एडीशी यशस्वीरित्या कनेक्ट केल्यानंतर, कनेक्शन विंडोमध्ये आणि टॅबवर एक अतिरिक्त प्रोफाइल दिसेल. परवानग्या सिस्टम ऑब्जेक्ट्समध्ये AD वापरकर्त्यांना आणि गटांना परवानग्या देण्याची क्षमता असते. हे लक्षात घ्यावे की वापरकर्ते आणि गटांची बाह्य निर्देशिका केवळ AD नाही तर IPA, eDirectory इ. देखील असू शकते.

मल्टीपाथिंग

उत्पादन वातावरणात, स्टोरेज सिस्टीम एकाधिक स्वतंत्र, एकाधिक I/O मार्गांद्वारे होस्टशी कनेक्ट केलेली असणे आवश्यक आहे. नियमानुसार, CentOS मध्ये (आणि म्हणून oVirt) डिव्हाइसवर एकाधिक पथ एकत्र करण्यात कोणतीही समस्या नाही (find_multipaths होय). FCoE साठी अतिरिक्त सेटिंग्ज लिहिल्या आहेत 2रा भाग. स्टोरेज सिस्टम निर्मात्याच्या शिफारशीकडे लक्ष देणे योग्य आहे - बरेच जण राउंड-रॉबिन पॉलिसी वापरण्याची शिफारस करतात, परंतु एंटरप्राइज लिनक्स 7 मध्ये डीफॉल्टनुसार सर्व्हिस-टाइम वापरला जातो.

उदाहरण म्हणून 3PAR वापरणे
आणि दस्तऐवज HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux, आणि OracleVM सर्व्हर अंमलबजावणी मार्गदर्शक EL जेनेरिक-ALUA Persona 2 सह होस्ट म्हणून तयार केले आहे, ज्यासाठी खालील मूल्ये /etc/multipath.conf सेटिंग्जमध्ये प्रविष्ट केली आहेत:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

ज्यानंतर रीस्टार्ट करण्याची आज्ञा दिली जाते:

systemctl restart multipathd

तांदूळ. 1 हे डीफॉल्ट एकाधिक I/O धोरण आहे.

तांदूळ. 2 - सेटिंग्ज लागू केल्यानंतर एकाधिक I/O धोरण.

पॉवर व्यवस्थापन सेट करणे

इंजिनला होस्टकडून दीर्घकाळ प्रतिसाद न मिळाल्यास, उदाहरणार्थ, मशीनचे हार्डवेअर रीसेट करण्याची परवानगी देते. कुंपण एजंट द्वारे अंमलबजावणी.

गणना -> होस्ट -> होस्ट - संपादित करा -> पॉवर मॅनेजमेंट, नंतर "पॉवर मॅनेजमेंट सक्षम करा" सक्षम करा आणि एजंट जोडा - "फेंस एजंट जोडा" -> +.

आम्ही प्रकार सूचित करतो (उदाहरणार्थ, iLO5 साठी तुम्हाला ilo4 निर्दिष्ट करणे आवश्यक आहे), ipmi इंटरफेसचे नाव/पत्ता, तसेच वापरकर्ता नाव/पासवर्ड. एक वेगळा वापरकर्ता तयार करण्याची शिफारस केली जाते (उदाहरणार्थ, oVirt-PM) आणि, iLO च्या बाबतीत, त्याला विशेषाधिकार द्या:

• लॉगिन करा
• रिमोट कन्सोल
• व्हर्च्युअल पॉवर आणि रीसेट
• व्हर्च्युअल मीडिया
• iLO सेटिंग्ज कॉन्फिगर करा
• वापरकर्ता खाती व्यवस्थापित करा

हे असे का आहे ते विचारू नका, ते अनुभवाने निवडले गेले. कन्सोल फेंसिंग एजंटला कमी अधिकारांची आवश्यकता आहे.

प्रवेश नियंत्रण सूची सेट करताना, तुम्ही हे लक्षात ठेवावे की एजंट इंजिनवर चालत नाही, तर “शेजारी” होस्टवर (तथाकथित पॉवर मॅनेजमेंट प्रॉक्सी), म्हणजेच क्लस्टरमध्ये फक्त एक नोड असल्यास, वीज व्यवस्थापन कार्य करेल नाही.

SSL सेट करत आहे

संपूर्ण अधिकृत सूचना - मध्ये दस्तऐवजीकरण, परिशिष्ट D: oVirt आणि SSL — oVirt इंजिन SSL/TLS प्रमाणपत्र बदलणे.

प्रमाणपत्र एकतर आमच्या कॉर्पोरेट CA कडून किंवा बाह्य व्यावसायिक प्रमाणपत्र प्राधिकरणाकडून असू शकते.

महत्त्वाची सूचना: प्रमाणपत्र व्यवस्थापकाशी जोडण्यासाठी आहे आणि ते इंजिन आणि नोड्समधील संवादावर परिणाम करणार नाही - ते इंजिनद्वारे जारी केलेले स्व-स्वाक्षरी केलेले प्रमाणपत्र वापरतील.

आवश्यकता:

• पीईएम फॉरमॅटमध्ये जारी करणाऱ्या CA चे प्रमाणपत्र, रूट CA पर्यंत संपूर्ण साखळीसह (सुरुवातीला जारी करणाऱ्या CA पासून शेवटी रूटपर्यंत);
• जारी करणाऱ्या CA द्वारे जारी केलेले Apache साठी प्रमाणपत्र (CA प्रमाणपत्रांच्या संपूर्ण साखळीद्वारे देखील पूरक);
• Apache साठी खाजगी की, पासवर्डशिवाय.

समजू की आमचे जारी करणारे CA CentOS चालवत आहे, ज्याला subca.example.com म्हणतात, आणि विनंत्या, की आणि प्रमाणपत्रे /etc/pki/tls/ निर्देशिकेत आहेत.

आम्ही बॅकअप घेतो आणि तात्पुरती निर्देशिका तयार करतो:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

प्रमाणपत्रे डाउनलोड करा, ते तुमच्या वर्कस्टेशनवरून करा किंवा दुसऱ्या सोयीस्कर मार्गाने हस्तांतरित करा:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

परिणामी, तुम्हाला सर्व 3 फाइल्स दिसल्या पाहिजेत:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

प्रमाणपत्रे स्थापित करणे

फाइल्स कॉपी करा आणि ट्रस्ट लिस्ट अपडेट करा:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

कॉन्फिगरेशन फाइल्स जोडा/अपडेट करा:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

पुढे, सर्व प्रभावित सेवा रीस्टार्ट करा:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

तयार! व्यवस्थापकाशी कनेक्ट होण्याची आणि स्वाक्षरी केलेल्या SSL प्रमाणपत्राद्वारे कनेक्शन संरक्षित असल्याचे तपासण्याची वेळ आली आहे.

संग्रहण

तिच्याशिवाय आपण कुठे असू? या विभागात आपण व्यवस्थापक संग्रहण बद्दल बोलू; VM संग्रहण ही एक वेगळी समस्या आहे. आम्ही दिवसातून एकदा बॅकअप प्रती बनवू आणि त्या NFS द्वारे संग्रहित करू, उदाहरणार्थ, आम्ही ISO प्रतिमा जिथे ठेवल्या त्याच प्रणालीवर - mynfs1.example.com:/exports/ovirt-backup. जिथे इंजिन चालू आहे त्याच मशीनवर संग्रहण संग्रहित करण्याची शिफारस केलेली नाही.

autofs स्थापित आणि सक्षम करा:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

चला स्क्रिप्ट तयार करूया:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

खालील सामग्री:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

फाइल एक्झिक्युटेबल बनवणे:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

आता दररोज रात्री आम्हाला व्यवस्थापक सेटिंग्जचे संग्रहण प्राप्त होईल.

होस्ट व्यवस्थापन इंटरफेस

रणक्षेत्र — लिनक्स प्रणालीसाठी आधुनिक प्रशासकीय इंटरफेस. या प्रकरणात, ते ESXi वेब इंटरफेस सारखी भूमिका पार पाडते.

तांदूळ. 3 - पॅनेलचे स्वरूप.

इंस्टॉलेशन अगदी सोपे आहे, तुम्हाला कॉकपिट पॅकेजेस आणि कॉकपिट-ओविर्ट-डॅशबोर्ड प्लगइन आवश्यक आहे:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

कॉकपिट सक्षम करणे:

$ sudo systemctl enable --now cockpit.socket

फायरवॉल सेटअप:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

आता तुम्ही होस्टशी कनेक्ट करू शकता: https://[होस्ट IP किंवा FQDN]:9090

VLANs

मधील नेटवर्कबद्दल तुम्ही अधिक वाचले पाहिजे दस्तऐवजीकरण. अनेक शक्यता आहेत, येथे आम्ही व्हर्च्युअल नेटवर्क कनेक्ट करण्याचे वर्णन करू.

इतर सबनेट कनेक्ट करण्यासाठी, त्यांचे प्रथम कॉन्फिगरेशनमध्ये वर्णन करणे आवश्यक आहे: नेटवर्क -> नेटवर्क -> नवीन, येथे फक्त नाव आवश्यक फील्ड आहे; VM नेटवर्क चेकबॉक्स, जो मशीनना हे नेटवर्क वापरण्याची परवानगी देतो, सक्षम आहे, परंतु टॅग कनेक्ट करण्यासाठी सक्षम असणे आवश्यक आहे VLAN टॅगिंग सक्षम करा, VLAN क्रमांक प्रविष्ट करा आणि ओके क्लिक करा.

आता तुम्हाला Compute hosts -> Hosts -> kvmNN -> नेटवर्क इंटरफेस -> सेटअप होस्ट नेटवर्क वर जावे लागेल. जोडलेले नेटवर्क न नियुक्त केलेल्या लॉजिकल नेटवर्कच्या उजव्या बाजूला डावीकडे असाइन केलेल्या लॉजिकल नेटवर्कमध्ये ड्रॅग करा:

तांदूळ. 4 - नेटवर्क जोडण्यापूर्वी.

तांदूळ. 5 - नेटवर्क जोडल्यानंतर.

एकापेक्षा जास्त नेटवर्क मोठ्या प्रमाणात होस्टशी कनेक्ट करण्यासाठी, नेटवर्क तयार करताना त्यांना लेबल(ले) नियुक्त करणे आणि लेबलांनुसार नेटवर्क जोडणे सोयीचे आहे.

नेटवर्क तयार झाल्यानंतर, क्लस्टरमधील सर्व नोड्समध्ये नेटवर्क जोडले जाईपर्यंत होस्ट नॉन-ऑपरेशनल स्थितीत जातील. हे वर्तन नवीन नेटवर्क तयार करताना क्लस्टर टॅबवर आवश्यक असलेल्या सर्व ध्वजामुळे होते. क्लस्टरच्या सर्व नोड्सवर नेटवर्कची आवश्यकता नसल्यास, हा ध्वज अक्षम केला जाऊ शकतो, नंतर जेव्हा नेटवर्क होस्टमध्ये जोडले जाते, तेव्हा ते आवश्यक नसलेल्या विभागात उजवीकडे असेल आणि आपण कनेक्ट करायचे की नाही ते निवडू शकता. ते एका विशिष्ट होस्टला.

तांदूळ. 6-नेटवर्क आवश्यकता गुणधर्म निवडा.

HPE विशिष्ट

जवळजवळ सर्व उत्पादकांकडे अशी साधने आहेत जी त्यांच्या उत्पादनांची उपयोगिता सुधारतात. उदाहरण म्हणून HPE वापरणे, AMS (एजंटलेस मॅनेजमेंट सर्व्हिस, iLO5 साठी amsd, iLO4 साठी hp-ams) आणि SSA (स्मार्ट स्टोरेज ॲडमिनिस्ट्रेटर, डिस्क कंट्रोलरसह काम करणे) इत्यादी उपयुक्त आहेत.

HPE रेपॉजिटरी कनेक्ट करत आहे
आम्ही की आयात करतो आणि HPE रेपॉजिटरीज कनेक्ट करतो:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

खालील सामग्री:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

रेपॉजिटरी सामग्री आणि पॅकेज माहिती पहा (संदर्भासाठी):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

स्थापना आणि लॉन्च:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

डिस्क कंट्रोलरसह कार्य करण्यासाठी उपयुक्ततेचे उदाहरण

सध्या एवढेच. पुढील लेखांमध्ये मी काही मूलभूत ऑपरेशन्स आणि अनुप्रयोगांबद्दल बोलण्याची योजना आखत आहे. उदाहरणार्थ, oVirt मध्ये VDI कसा बनवायचा.

स्त्रोत: www.habr.com