ProHoster > blog > Amministrazzjoni > oVirt f'sagħtejn. Parti 2. Settings addizzjonali

oVirt f'sagħtejn. Parti 2. Settings addizzjonali

F'dan l-artikolu se nħarsu lejn għadd ta' settings fakultattivi iżda utli:

Dan l-artikolu huwa kontinwazzjoni, ara oVirt f'sagħtejn għall-bidu Часть 1 и Parti 2.

Artikoli

  1. Introduzzjoni
  2. Installazzjoni tal-maniġer (ovirt-engine) u hypervisors (hosts)
  3. Settings addizzjonali - Aħna qegħdin hawn

Settings addizzjonali tal-maniġer

Għall-konvenjenza, aħna se ninstallaw pakketti addizzjonali:

$ sudo yum install bash-completion vim

Biex tippermetti t-tlestija tal-kmand, it-tlestija tal-bash teħtieġ li taqleb għal bash.

Żieda ta 'ismijiet DNS addizzjonali

Dan ikun meħtieġ meta jkollok bżonn tikkonnettja mal-maniġer billi tuża isem alternattiv (CNAME, alias, jew sempliċement isem qasir mingħajr suffiss tad-dominju). Għal raġunijiet ta' sigurtà, il-maniġer jippermetti konnessjonijiet billi juża biss il-lista ta' ismijiet permessi.

Oħloq fajl tal-konfigurazzjoni:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

il-kontenut li ġej:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

u erġa ibda l-maniġer:

$ sudo systemctl restart ovirt-engine

Twaqqif ta' awtentikazzjoni permezz ta' AD

oVirt għandu bażi ta' utenti integrata, iżda fornituri esterni LDAP huma wkoll appoġġjati, inkl. A.D.

L-aktar mod sempliċi għal konfigurazzjoni tipika huwa li tniedi l-wizard u terġa 'tibda l-maniġer:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Eżempju ta’ xogħol ta’ kaptan
$ sudo ovirt-engine-extension-aaa-ldap-setup
Implimentazzjonijiet LDAP disponibbli:
...
3 - Direttorju Attiv
...
Jekk jogħġbok agħżel: 3
Jekk jogħġbok daħħal l-isem tal-Foresti ta' Active Directory: example.com

Jekk jogħġbok agħżel il-protokoll li tuża (startTLS, ldaps, plain) [startTLS]:
Jekk jogħġbok agħżel il-metodu biex tikseb iċ-ċertifikat CA kodifikat PEM (Fajl, URL, Inline, Sistema, Mhux Sikur): URL
URL: wwwca.example.com/myRootCA.pem
Daħħal id-DN tal-utent tat-tfittxija (per eżempju uid=username,dc=eżempju,dc=com jew ħalli vojta għal anonimu): CN = oVirt-Engine, CN = Utenti, DC = eżempju, DC = com
Daħħal il-password tal-utent tat-tfittxija: *password*
[ INFORMAZZJONI ] Jippruvaw jorbot bl-użu ta' 'CN=oVirt-Engine,CN=Users,DC=eżempju,DC=com'
Se tuża Single Sign-On għal Magni Virtwali (Iva, Le) [Iva]:
Jekk jogħġbok speċifika l-isem tal-profil li se jkun viżibbli għall-utenti [eżempju.com]:
Jekk jogħġbok ipprovdi kredenzjali biex tittestja l-fluss tal-login:
Daħħal l-isem tal-utent: someAnyUser
Daħħal il-password tal-utent:
...
[INFO] Is-sekwenza tal-login esegwita b'suċċess
...
Agħżel is-sekwenza tat-test li trid tesegwixxi (Magħmul, Aborta, Idħol, Fittex) [Magħmul]:
[INFO] Stadju: Setup tat-tranżazzjoni
...
SOMMARJU TAL-KONFIGURAZZJONI
...

L-użu tal-wizard huwa adattat għal ħafna każijiet. Għal konfigurazzjonijiet kumplessi, is-settings isiru manwalment. Aktar dettalji fid-dokumentazzjoni oVirt, Utenti u Rwoli. Wara li tikkonnettja b'suċċess il-Magna ma 'AD, se jidher profil addizzjonali fit-tieqa tal-konnessjoni, u fuq it-tab Permessi L-oġġetti tas-sistema għandhom il-kapaċità li jagħtu permessi lill-utenti u lill-gruppi AD. Għandu jiġi nnutat li d-direttorju estern ta 'utenti u gruppi jista' jkun mhux biss AD, iżda wkoll IPA, eDirectory, eċċ.

Multipathing

F'ambjent ta' produzzjoni, is-sistema tal-ħażna trid tkun konnessa mal-host permezz ta' diversi mogħdijiet I/O indipendenti. Tipikament, fi CentOS (u għalhekk oVirt'e) m'hemm l-ebda problema bl-assemblaġġ ta' mogħdijiet multipli għall-apparat (find_multipaths iva). Settings addizzjonali għal FCoE huma deskritti f' it-2 partiTa' min jagħti kas ir-rakkomandazzjoni tal-manifattur tas-sistema tal-ħażna—ħafna jirrakkomandaw li tintuża politika round-robin, filwaqt li Enterprise tuża dik awtomatika. Linux Jintuża ħin ta' servizz 7.

Uża 3PAR bħala eżempju
u dokument HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux, u l-Gwida għall-Implimentazzjoni tas-Server OracleVM EL huwa maħluq bħala Ospitanti ma' Generic-ALUA Persona 2, li għalih il-valuri li ġejjin jiddaħħlu fis-settings /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Wara dan jingħata l-kmand biex terġa' tibda:

systemctl restart multipathd

oVirt f'sagħtejn. Parti 2. Settings addizzjonali
Ross. 1 hija l-politika default I/O multipli.

oVirt f'sagħtejn. Parti 2. Settings addizzjonali
Ross. 2 - politika I/O multipli wara li tapplika s-settings.

Twaqqif ta 'ġestjoni tal-enerġija

Jippermettilek twettaq, pereżempju, reset tal-hardware tal-magna jekk il-Magna ma tistax tirċievi tweġiba mill-Ospitanti għal żmien twil. Implimentat permezz ta' Fence Agent.

Ikkalkula -> Ospitanti -> OSPITANTI — Editja -> Ġestjoni tal-Enerġija, imbagħad ippermetti "Jippermetti l-Immaniġġjar tal-Enerġija" u żid aġent - "Żid Aġent Ċint" -> +.

Aħna nindikaw it-tip (per eżempju, għal iLO5 għandek bżonn tispeċifika ilo4), l-isem/indirizz tal-interface ipmi, kif ukoll l-isem tal-utent/password. Huwa rakkomandat li toħloq utent separat (per eżempju, oVirt-PM) u, fil-każ ta' iLO, tagħtih privileġġi:

  • Idħol
  • Remote Console
  • Qawwa Virtwali u Irrisettja
  • Midja Virtwali
  • Ikkonfigura Settings tal-iLO
  • Amministra Kontijiet tal-Utenti

M'għandekx tistaqsi għaliex dan huwa hekk, intgħażlet empirikament. L-aġent tal-fencing tal-console jeħtieġ inqas drittijiet.

Meta twaqqaf listi ta 'kontroll ta' aċċess, għandek iżżomm f'moħħok li l-aġent jaħdem mhux fuq il-magna, iżda fuq host "ġirien" (l-hekk imsejjaħ Power Management Proxy), jiġifieri, jekk ikun hemm nodu wieħed biss fil-cluster, ġestjoni tal-enerġija se taħdem mhux se.

Twaqqif ta' SSL

Istruzzjonijiet uffiċjali sħaħ - fi dokumentazzjoni, Appendiċi D: oVirt u SSL — Tissostitwixxi ċ-Ċertifikat SSL/TLS tal-magna oVirt.

Iċ-ċertifikat jista' jkun jew mill-CA korporattiva tagħna jew minn awtorità esterna taċ-ċertifikati kummerċjali.

Nota importanti: Iċ-ċertifikat huwa maħsub għall-konnessjoni mal-maniġer u mhux se jaffettwa l-komunikazzjoni bejn il-Magna u n-nodi - se jużaw ċertifikati ffirmati minnhom infushom maħruġa mill-Magna.

Rekwiżiti:

  • ċertifikat tas-CA tal-ħruġ fil-format PEM, bil-katina kollha sal-CA għerq (mill-CA emittenti subordinata fil-bidu sal-għerq fl-aħħar);
  • ċertifikat għall-Apache maħruġ mill-CA emittenti (supplimentat ukoll mill-katina sħiħa taċ-ċertifikati CA);
  • ċavetta privata għal Apache, mingħajr password.

Ejja nassumu li s-CA li ħarġetna qed taħdem CentOS, jissejjaħ subca.example.com, u t-talbiet, iċ-ċwievet u ċ-ċertifikati jinsabu fid-direttorju /etc/pki/tls/.

Aħna nagħmlu backups u noħolqu direttorju temporanju:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Niżżel iċ-ċertifikati, wettaqhom mill-istazzjon tax-xogħol tiegħek jew ittrasferih b'mod konvenjenti ieħor:

[myuser@mydesktop] $ scp -3 causer@subca.example.com:/etc/pki/tls/cachain.pem mgmt@ovirt.example.com:/opt/certs
[myuser@mydesktop] $ scp -3 causer@subca.example.com:/etc/pki/tls/private/ovirt.key mgmt@ovirt.example.com:/opt/certs
[myuser@mydesktop] $ scp -3 causer@subca.example.com/etc/pki/tls/certs/ovirt.crt mgmt@ovirt.example.com:/opt/certs

Bħala riżultat, għandek tara t-3 fajls kollha:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Installazzjoni ta' ċertifikati

Ikkopja l-fajls u aġġorna l-listi ta’ fiduċja:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Żid/aġġorna l-fajls tal-konfigurazzjoni:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf
ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""
$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf
SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf
# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Sussegwentement, ibda mill-ġdid is-servizzi kollha affettwati:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Lest! Wasal iż-żmien li tikkonnettja mal-maniġer u tivverifika li l-konnessjoni hija protetta minn ċertifikat SSL iffirmat.

Arkivjar

Fejn inkunu mingħajrha? F'din it-taqsima se nitkellmu dwar l-arkivjar tal-maniġer; L-arkivjar tal-VM huwa kwistjoni separata. Aħna se nagħmlu kopji ta 'backup darba kuljum u naħżnuhom permezz ta' NFS, pereżempju, fuq l-istess sistema fejn poġġejna l-immaġini ISO - mynfs1.example.com:/exports/ovirt-backup. Mhux rakkomandat li taħżen l-arkivji fuq l-istess magna fejn tkun qed taħdem il-Magna.

Installa u ppermetti l-awtofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Ejja noħolqu skript:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

il-kontenut li ġej:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Nagħmlu l-fajl eżekutibbli:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Issa kull lejl se nirċievu arkivju tas-settings tal-maniġer.

Interfaċċja tal-ġestjoni tal-host

Kabina tal-pilota - interfaċċja amministrattiva moderna għal Linux sistemi. F'dan il-każ, għandu rwol simili għall-interfaċċja tal-web tal-ESXi.

oVirt f'sagħtejn. Parti 2. Settings addizzjonali
Ross. 3 — dehra tal-panel.

L-installazzjoni hija sempliċi ħafna, għandek bżonn il-pakketti tal-cockpit u l-plugin cockpit-ovirt-dashboard:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Attivazzjoni tal-Cockpit:

$ sudo systemctl enable --now cockpit.socket

Setup tal-firewall:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Issa tista' tikkonnettja mal-host: https://[Host IP jew FQDN]:9090

VLANs

Għandek taqra aktar dwar in-netwerks fi dokumentazzjoni. Hemm ħafna possibbiltajiet, hawnhekk ser niddeskrivu l-konnessjoni tan-netwerks virtwali.

Biex tgħaqqad subnets oħra, l-ewwel iridu jiġu deskritti fil-konfigurazzjoni: Netwerk -> Netwerks -> Ġdid, hawnhekk l-isem biss huwa qasam meħtieġ; Il-kaxxa ta' kontroll tan-Netwerk VM, li tippermetti lill-magni li jużaw dan in-netwerk, hija attivata, iżda biex tikkonnettja t-tikketta trid tkun attivata Ippermetti t-tikkettar VLAN, daħħal in-numru tal-VLAN u kklikkja OK.

Issa trid tmur għal Kompute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Iddreggja n-netwerk miżjud min-naħa tal-lemin tan-Netwerks Loġiċi Mhux Assenjati lejn ix-xellug f'Netwerks Loġiċi Assenjati:

oVirt f'sagħtejn. Parti 2. Settings addizzjonali
Ross. 4 - qabel ma żżid netwerk.

oVirt f'sagħtejn. Parti 2. Settings addizzjonali
Ross. 5 - wara li żżid netwerk.

Biex tgħaqqad netwerks multipli ma 'host bl-ingrossa, huwa konvenjenti li tassenja lilhom tikketta(i) meta toħloq netwerks, u żżid netwerks bit-tikketti.

Wara li jinħoloq in-netwerk, l-ospiti se jmorru fl-istat Mhux Operattiv sakemm in-netwerk jiġi miżjud man-nodi kollha fil-cluster. Din l-imġieba hija kkawżata mill-bandiera Require All fuq it-tab Cluster meta toħloq netwerk ġdid. Fil-każ meta n-netwerk ma jkunx meħtieġ fuq in-nodi kollha tal-cluster, din il-bandiera tista 'tiġi diżattivata, imbagħad meta n-netwerk jiżdied ma' host, ikun fuq il-lemin fit-taqsima Mhux Meħtieġa u tista 'tagħżel jekk tikkonnettjax lil host speċifiku.

oVirt f'sagħtejn. Parti 2. Settings addizzjonali
Ross. 6—agħżel attribut ta' rekwiżit tan-netwerk.

HPE speċifiku

Kważi l-manifatturi kollha għandhom għodod li jtejbu l-użabilità tal-prodotti tagħhom. Meta tuża HPE bħala eżempju, AMS (Agentless Management Service, amsd għal iLO5, hp-ams għal iLO4) u SSA (Smart Storage Administrator, li jaħdem ma' kontrollur tad-disk), eċċ.

Konnessjoni tar-repożitorju HPE
Aħna nimportaw iċ-ċavetta u nqabbdu r-repożitorji HPE:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

il-kontenut li ġej:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Ara l-kontenut tar-repożitorju u l-informazzjoni tal-pakkett (għal referenza):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Installazzjoni u tnedija:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Eżempju ta 'utilità biex taħdem ma' kontrollur tad-diska
oVirt f'sagħtejn. Parti 2. Settings addizzjonali

Dak kollu għalissa. Fl-artikoli li ġejjin qed nippjana li nitkellem dwar xi operazzjonijiet u applikazzjonijiet bażiċi. Pereżempju, kif tagħmel VDI f'oVirt.

Sors: www.habr.com

Ixtri hosting affidabbli għal siti bi protezzjoni DDoS, servers VPS VDS 🔥 Ixtri hosting ta' websajts affidabbli bi protezzjoni DDoS, servers VPS VDS | ProHoster