oVirt dalam 2 jam. Bahagian 3. Tetapan tambahan

Dalam artikel ini kita akan melihat beberapa tetapan pilihan tetapi berguna:

• menggunakan nama tambahan untuk pengurus;
• menyambungkan pengesahan melalui Active Directory;
• Mutlipathing;
• pengurusan tenaga;
• menggantikan sijil SSL;
• mengarkib;
• antara muka pengurusan hos (kokpit);
• VLAN;
• khusus HPE.

Artikel ini adalah sambungan, lihat oVirt dalam 2 jam untuk permulaan Часть 1 и bahagian 2.

artikel

1. Pengenalan
2. Pemasangan pengurus (ovirt-enjin) dan hypervisor (hos)
3. Tetapan tambahan - Kami di sini

Tetapan pengurus tambahan

Untuk kemudahan, kami akan memasang pakej tambahan:

$ sudo yum install bash-completion vim

Untuk mendayakan penyiapan arahan, bash-completion memerlukan penukaran kepada bash.

Menambah nama DNS tambahan

Ini diperlukan apabila anda perlu menyambung kepada pengurus menggunakan nama alternatif (CNAME, alias atau hanya nama pendek tanpa akhiran domain). Atas sebab keselamatan, pengurus membenarkan sambungan hanya menggunakan senarai nama yang dibenarkan.

Buat fail konfigurasi:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

kandungan berikut:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

dan mulakan semula pengurus:

$ sudo systemctl restart ovirt-engine

Menyediakan pengesahan melalui AD

oVirt mempunyai pangkalan pengguna terbina dalam, tetapi pembekal LDAP luaran turut disokong, termasuk. A.D.

Cara paling mudah untuk konfigurasi biasa ialah melancarkan wizard dan mulakan semula pengurus:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Contoh kerja master
$ sudo ovirt-engine-extension-aaa-ldap-setup
Pelaksanaan LDAP yang tersedia:
...
3 - Direktori Aktif
...
Sila pilih: 3
Sila masukkan nama Hutan Direktori Aktif: example.com

Sila pilih protokol untuk digunakan (startTLS, ldaps, plain) [startTLS]:
Sila pilih kaedah untuk mendapatkan sijil CA berkod PEM (Fail, URL, Sebaris, Sistem, Tidak Selamat): URL
URL: wwwca.example.com/myRootCA.pem
Masukkan DN pengguna carian (contohnya uid=nama pengguna,dc=contoh,dc=com atau biarkan kosong untuk tanpa nama): CN=oVirt-Enjin,CN=Pengguna,DC=contoh,DC=com
Masukkan kata laluan pengguna carian: *kata laluan*
[ INFO ] Percubaan untuk mengikat menggunakan 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Adakah anda akan menggunakan Log Masuk Tunggal untuk Mesin Maya (Ya, Tidak) [Ya]:
Sila nyatakan nama profil yang akan kelihatan kepada pengguna [example.com]:
Sila berikan bukti kelayakan untuk menguji aliran log masuk:
Masukkan nama pengguna: someAnyUser
Masukkan kata laluan pengguna:
...
[INFO] Urutan log masuk berjaya dilaksanakan
...
Pilih urutan ujian untuk dilaksanakan (Selesai, Batalkan, Log Masuk, Cari) [Selesai]:
[INFO] Peringkat: Persediaan transaksi
...
RINGKASAN KONFIGURASI
...

Menggunakan wizard sesuai untuk kebanyakan kes. Untuk konfigurasi yang kompleks, tetapan dilakukan secara manual. Butiran lanjut dalam dokumentasi oVirt, Pengguna dan Peranan. Selepas berjaya menyambungkan Enjin ke AD, profil tambahan akan muncul dalam tetingkap sambungan, dan pada tab Kebenaran Objek sistem mempunyai keupayaan untuk memberikan kebenaran kepada pengguna dan kumpulan AD. Perlu diingatkan bahawa direktori luaran pengguna dan kumpulan boleh bukan sahaja AD, tetapi juga IPA, eDirectory, dsb.

Berbilang laluan

Dalam persekitaran pengeluaran, sistem storan mesti disambungkan kepada hos melalui berbilang laluan I/O bebas dan berbilang. Sebagai peraturan, dalam CentOS (dan oleh itu oVirt) tidak ada masalah dengan memasang berbilang laluan ke peranti (find_multipaths ya). Tetapan tambahan untuk FCoE ditulis dalam bahagian ke-2. Perlu diberi perhatian kepada cadangan pengeluar sistem storan - ramai yang mengesyorkan menggunakan dasar round-robin, tetapi secara lalai dalam Enterprise Linux 7 masa perkhidmatan digunakan.

Menggunakan 3PAR sebagai contoh
dan dokumen HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux dan Panduan Pelaksanaan Pelayan OracleVM EL dicipta sebagai Hos dengan Generik-ALUA Persona 2, yang mana nilai berikut dimasukkan ke dalam tetapan /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Selepas itu arahan untuk memulakan semula diberikan:

systemctl restart multipathd

nasi. 1 ialah dasar I/O berbilang lalai.

nasi. 2 - dasar I/O berbilang selepas menggunakan tetapan.

Menyediakan pengurusan kuasa

Membolehkan anda melakukan, sebagai contoh, tetapan semula perkakasan mesin jika Enjin tidak dapat menerima respons daripada Hos untuk masa yang lama. Dilaksanakan melalui Agen Pagar.

Kira -> Hos -> HOST — Edit -> Pengurusan Kuasa, kemudian dayakan “Dayakan Pengurusan Kuasa” dan tambah ejen — “Tambah Ejen Pagar” -> +.

Kami menunjukkan jenis (contohnya, untuk iLO5 anda perlu menentukan ilo4), nama/alamat antara muka ipmi, serta nama pengguna/kata laluan. Adalah disyorkan untuk mencipta pengguna berasingan (contohnya, oVirt-PM) dan, dalam kes iLO, beri dia keistimewaan:

• Log Masuk
• Konsol Jauh
• Kuasa Maya dan Tetapkan Semula
• Media Maya
• Konfigurasikan Tetapan iLO
• Mentadbir Akaun Pengguna

Jangan tanya kenapa begitu, ia dipilih secara empirik. Ejen pagar konsol memerlukan lebih sedikit hak.

Apabila menyediakan senarai kawalan akses, anda harus ingat bahawa ejen tidak berjalan pada enjin, tetapi pada hos "jiran" (yang dipanggil Proksi Pengurusan Kuasa), iaitu, jika terdapat hanya satu nod dalam kelompok, pengurusan kuasa akan berfungsi tidak akan.

Menyediakan SSL

Arahan rasmi penuh - dalam dokumentasi, Lampiran D: oVirt dan SSL — Menggantikan Sijil SSL/TLS Enjin oVirt.

Sijil boleh sama ada daripada CA korporat kami atau daripada pihak berkuasa sijil komersial luar.

Nota penting: Sijil bertujuan untuk menyambung kepada pengurus dan tidak akan menjejaskan komunikasi antara Enjin dan nod - ia akan menggunakan sijil yang ditandatangani sendiri yang dikeluarkan oleh Enjin.

Keperluan:

• sijil CA yang mengeluarkan dalam format PEM, dengan keseluruhan rantaian sehingga CA akar (daripada subordinat yang mengeluarkan CA pada permulaan kepada akar pada akhir);
• sijil untuk Apache yang dikeluarkan oleh CA yang mengeluarkan (juga ditambah dengan keseluruhan rangkaian sijil CA);
• kunci peribadi untuk Apache, tanpa kata laluan.

Andaikan CA mengeluarkan kami menjalankan CentOS, dipanggil subca.example.com, dan permintaan, kunci dan sijil terletak dalam direktori /etc/pki/tls/.

Kami melakukan sandaran dan mencipta direktori sementara:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Muat turun sijil, lakukannya dari stesen kerja anda atau pindahkannya dengan cara lain yang mudah:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Akibatnya, anda akan melihat kesemua 3 fail:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Memasang sijil

Salin fail dan kemas kini senarai amanah:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Tambah/kemas kini fail konfigurasi:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Seterusnya, mulakan semula semua perkhidmatan yang terjejas:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

sedia! Sudah tiba masanya untuk menyambung kepada pengurus dan menyemak sama ada sambungan itu dilindungi oleh sijil SSL yang ditandatangani.

Mengarkib

Di manakah kita tanpa dia? Dalam bahagian ini kita akan bercakap tentang pengarkiban pengurus; Pengarkiban VM ialah isu yang berasingan. Kami akan membuat salinan arkib sekali sehari dan menyimpannya melalui NFS, contohnya, pada sistem yang sama di mana kami meletakkan imej ISO - mynfs1.example.com:/exports/ovirt-backup. Ia tidak disyorkan untuk menyimpan arkib pada mesin yang sama di mana Enjin sedang berjalan.

Pasang dan dayakan autof:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Mari buat skrip:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

kandungan berikut:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Menjadikan fail boleh laku:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Kini setiap malam kami akan menerima arkib tetapan pengurus.

Antara muka pengurusan hos

Cockpit — antara muka pentadbiran moden untuk sistem Linux. Dalam kes ini, ia menjalankan peranan yang serupa dengan antara muka web ESXi.

nasi. 3 — rupa panel.

Pemasangan adalah sangat mudah, anda memerlukan pakej kokpit dan pemalam cockpit-ovirt-dashboard:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Mendayakan Kokpit:

$ sudo systemctl enable --now cockpit.socket

Persediaan firewall:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Kini anda boleh menyambung ke hos: https://[Host IP atau FQDN]:9090

VLAN

Anda harus membaca lebih lanjut mengenai rangkaian dalam dokumentasi. Terdapat banyak kemungkinan, di sini kami akan menerangkan penyambungan rangkaian maya.

Untuk menyambungkan subnet lain, ia mesti diterangkan terlebih dahulu dalam konfigurasi: Rangkaian -> Rangkaian -> Baru, di sini hanya nama adalah medan yang diperlukan; Kotak semak Rangkaian VM, yang membolehkan mesin menggunakan rangkaian ini, didayakan, tetapi untuk menyambung teg mesti didayakan Dayakan penandaan VLAN, masukkan nombor VLAN dan klik OK.

Sekarang anda perlu pergi ke Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Seret rangkaian tambahan dari sebelah kanan Rangkaian Logikal Tidak Ditugaskan ke kiri ke Rangkaian Logikal Ditugaskan:

nasi. 4 - sebelum menambah rangkaian.

nasi. 5 - selepas menambah rangkaian.

Untuk menyambungkan berbilang rangkaian ke hos secara pukal, adalah mudah untuk memberikan label kepada mereka semasa membuat rangkaian dan menambah rangkaian mengikut label.

Selepas rangkaian dibuat, hos akan masuk ke keadaan Bukan Operasi sehingga rangkaian ditambahkan pada semua nod dalam kelompok. Tingkah laku ini disebabkan oleh bendera Memerlukan Semua pada tab Kluster semasa membuat rangkaian baharu. Dalam kes apabila rangkaian tidak diperlukan pada semua nod kluster, bendera ini boleh dilumpuhkan, kemudian apabila rangkaian ditambahkan pada hos, ia akan berada di sebelah kanan dalam bahagian Tidak Diperlukan dan anda boleh memilih sama ada untuk menyambung ia kepada hos tertentu.

nasi. 6—pilih atribut keperluan rangkaian.

khusus HPE

Hampir semua pengeluar mempunyai alat yang meningkatkan kebolehgunaan produk mereka. Menggunakan HPE sebagai contoh, AMS (Agentless Management Service, amsd untuk iLO5, hp-ams untuk iLO4) dan SSA (Smart Storage Administrator, bekerja dengan pengawal cakera), dsb.

Menyambungkan repositori HPE
Kami mengimport kunci dan menyambungkan repositori HPE:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

kandungan berikut:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Lihat kandungan repositori dan maklumat pakej (untuk rujukan):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Pemasangan dan pelancaran:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Contoh utiliti untuk bekerja dengan pengawal cakera

Itu sahaja buat masa ini. Dalam artikel berikut saya merancang untuk bercakap tentang beberapa operasi asas dan aplikasi. Sebagai contoh, cara membuat VDI dalam oVirt.

Sumber: www.habr.com