F'dan l-artikolu se nħarsu lejn għadd ta' settings fakultattivi iżda utli:
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
Dan l-artikolu huwa kontinwazzjoni, ara oVirt f'sagħtejn għall-bidu и .
Artikoli
- Settings addizzjonali - Aħna qegħdin hawn
Settings addizzjonali tal-maniġer
Għall-konvenjenza, aħna se ninstallaw pakketti addizzjonali:
$ sudo yum install bash-completion vimBiex tippermetti t-tlestija tal-kmand, it-tlestija tal-bash teħtieġ li taqleb għal bash.
Żieda ta 'ismijiet DNS addizzjonali
Dan ikun meħtieġ meta jkollok bżonn tikkonnettja mal-maniġer billi tuża isem alternattiv (CNAME, alias, jew sempliċement isem qasir mingħajr suffiss tad-dominju). Għal raġunijiet ta' sigurtà, il-maniġer jippermetti konnessjonijiet billi juża biss il-lista ta' ismijiet permessi.
Oħloq fajl tal-konfigurazzjoni:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.confil-kontenut li ġej:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"u erġa ibda l-maniġer:
$ sudo systemctl restart ovirt-engineTwaqqif ta' awtentikazzjoni permezz ta' AD
oVirt għandu bażi ta' utenti integrata, iżda fornituri esterni LDAP huma wkoll appoġġjati, inkl. A.D.
L-aktar mod sempliċi għal konfigurazzjoni tipika huwa li tniedi l-wizard u terġa 'tibda l-maniġer:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engineEżempju ta’ xogħol ta’ kaptan
$ sudo ovirt-engine-extension-aaa-ldap-setup
Implimentazzjonijiet LDAP disponibbli:
...
3 - Direttorju Attiv
...
Jekk jogħġbok agħżel: 3
Jekk jogħġbok daħħal l-isem tal-Foresti ta' Active Directory: example.com
Jekk jogħġbok agħżel il-protokoll li tuża (startTLS, ldaps, plain) [startTLS]:
Jekk jogħġbok agħżel il-metodu biex tikseb iċ-ċertifikat CA kodifikat PEM (Fajl, URL, Inline, Sistema, Mhux Sikur): URL
URL:
Daħħal id-DN tal-utent tat-tfittxija (per eżempju uid=username,dc=eżempju,dc=com jew ħalli vojta għal anonimu): CN = oVirt-Engine, CN = Utenti, DC = eżempju, DC = com
Daħħal il-password tal-utent tat-tfittxija: *password*
[ INFORMAZZJONI ] Jippruvaw jorbot bl-użu ta' 'CN=oVirt-Engine,CN=Users,DC=eżempju,DC=com'
Se tuża Single Sign-On għal Magni Virtwali (Iva, Le) [Iva]:
Jekk jogħġbok speċifika l-isem tal-profil li se jkun viżibbli għall-utenti [eżempju.com]:
Jekk jogħġbok ipprovdi kredenzjali biex tittestja l-fluss tal-login:
Daħħal l-isem tal-utent: someAnyUser
Daħħal il-password tal-utent:
...
[INFO] Is-sekwenza tal-login esegwita b'suċċess
...
Agħżel is-sekwenza tat-test li trid tesegwixxi (Magħmul, Aborta, Idħol, Fittex) [Magħmul]:
[INFO] Stadju: Setup tat-tranżazzjoni
...
SOMMARJU TAL-KONFIGURAZZJONI
...
L-użu tal-wizard huwa adattat għal ħafna każijiet. Għal konfigurazzjonijiet kumplessi, is-settings isiru manwalment. Aktar dettalji fid-dokumentazzjoni oVirt, . Wara li tikkonnettja b'suċċess il-Magna ma 'AD, se jidher profil addizzjonali fit-tieqa tal-konnessjoni, u fuq it-tab Permessi L-oġġetti tas-sistema għandhom il-kapaċità li jagħtu permessi lill-utenti u lill-gruppi AD. Għandu jiġi nnutat li d-direttorju estern ta 'utenti u gruppi jista' jkun mhux biss AD, iżda wkoll IPA, eDirectory, eċċ.
Multipathing
F'ambjent ta 'produzzjoni, is-sistema tal-ħażna għandha tkun konnessa mal-host permezz ta' mogħdijiet multipli I/O indipendenti u multipli. Bħala regola, f'CentOS (u għalhekk oVirt) m'hemm l-ebda problemi bl-assemblaġġ ta 'mogħdijiet multipli għal apparat (find_multipaths iva). Settings addizzjonali għal FCoE huma miktuba fihom . Ta 'min joqgħod attent għar-rakkomandazzjoni tal-manifattur tas-sistema tal-ħażna - ħafna jirrakkomandaw li tuża l-politika round-robin, iżda b'mod awtomatiku fl-Intrapriża Linux 7 jintuża ħin tas-servizz.
Uża 3PAR bħala eżempju
u dokument EL huwa maħluq bħala Ospitanti ma' Generic-ALUA Persona 2, li għalih il-valuri li ġejjin jiddaħħlu fis-settings /etc/multipath.conf:
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}Wara dan jingħata l-kmand biex terġa' tibda:
systemctl restart multipathd
Ross. 1 hija l-politika default I/O multipli.
Ross. 2 - politika I/O multipli wara li tapplika s-settings.
Twaqqif ta 'ġestjoni tal-enerġija
Jippermettilek twettaq, pereżempju, reset tal-hardware tal-magna jekk il-Magna ma tistax tirċievi tweġiba mill-Ospitanti għal żmien twil. Implimentat permezz ta' Fence Agent.
Ikkalkula -> Ospitanti -> OSPITANTI — Editja -> Ġestjoni tal-Enerġija, imbagħad ippermetti "Jippermetti l-Immaniġġjar tal-Enerġija" u żid aġent - "Żid Aġent Ċint" -> +.
Aħna nindikaw it-tip (per eżempju, għal iLO5 għandek bżonn tispeċifika ilo4), l-isem/indirizz tal-interface ipmi, kif ukoll l-isem tal-utent/password. Huwa rakkomandat li toħloq utent separat (per eżempju, oVirt-PM) u, fil-każ ta' iLO, tagħtih privileġġi:
- Idħol
- Remote Console
- Qawwa Virtwali u Irrisettja
- Midja Virtwali
- Ikkonfigura Settings tal-iLO
- Amministra Kontijiet tal-Utenti
M'għandekx tistaqsi għaliex dan huwa hekk, intgħażlet empirikament. L-aġent tal-fencing tal-console jeħtieġ inqas drittijiet.
Meta twaqqaf listi ta 'kontroll ta' aċċess, għandek iżżomm f'moħħok li l-aġent jaħdem mhux fuq il-magna, iżda fuq host "ġirien" (l-hekk imsejjaħ Power Management Proxy), jiġifieri, jekk ikun hemm nodu wieħed biss fil-cluster, ġestjoni tal-enerġija se taħdem mhux se.
Twaqqif ta' SSL
Istruzzjonijiet uffiċjali sħaħ - fi , Appendiċi D: oVirt u SSL — Tissostitwixxi ċ-Ċertifikat SSL/TLS tal-magna oVirt.
Iċ-ċertifikat jista' jkun jew mill-CA korporattiva tagħna jew minn awtorità esterna taċ-ċertifikati kummerċjali.
Nota importanti: Iċ-ċertifikat huwa maħsub għall-konnessjoni mal-maniġer u mhux se jaffettwa l-komunikazzjoni bejn il-Magna u n-nodi - se jużaw ċertifikati ffirmati minnhom infushom maħruġa mill-Magna.
Rekwiżiti:
- ċertifikat tas-CA tal-ħruġ fil-format PEM, bil-katina kollha sal-CA għerq (mill-CA emittenti subordinata fil-bidu sal-għerq fl-aħħar);
- ċertifikat għall-Apache maħruġ mill-CA emittenti (supplimentat ukoll mill-katina sħiħa taċ-ċertifikati CA);
- ċavetta privata għal Apache, mingħajr password.
Ejja nassumu li l-CA tal-ħruġ tagħna qed taħdem CentOS, imsejħa subca.example.com, u t-talbiet, iċ-ċwievet u ċ-ċertifikati jinsabu fid-direttorju /etc/pki/tls/.
Aħna nagħmlu backups u noħolqu direttorju temporanju:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certsNiżżel iċ-ċertifikati, wettaqhom mill-istazzjon tax-xogħol tiegħek jew ittrasferih b'mod konvenjenti ieħor:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certsBħala riżultat, għandek tara t-3 fajls kollha:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.keyInstallazzjoni ta' ċertifikati
Ikkopja l-fajls u aġġorna l-listi ta’ fiduċja:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.serviceŻid/aġġorna l-fajls tal-konfigurazzjoni:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.confENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confSSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cerSussegwentement, ibda mill-ġdid is-servizzi kollha affettwati:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.serviceLest! Wasal iż-żmien li tikkonnettja mal-maniġer u tivverifika li l-konnessjoni hija protetta minn ċertifikat SSL iffirmat.
Arkivjar
Fejn inkunu mingħajrha? F'din it-taqsima se nitkellmu dwar l-arkivjar tal-maniġer; L-arkivjar tal-VM huwa kwistjoni separata. Aħna se nagħmlu kopji ta 'backup darba kuljum u naħżnuhom permezz ta' NFS, pereżempju, fuq l-istess sistema fejn poġġejna l-immaġini ISO - mynfs1.example.com:/exports/ovirt-backup. Mhux rakkomandat li taħżen l-arkivji fuq l-istess magna fejn tkun qed taħdem il-Magna.
Installa u ppermetti l-awtofs:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofsEjja noħolqu skript:
$ sudo vim /etc/cron.daily/make.oVirt.backup.shil-kontenut li ġej:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;Nagħmlu l-fajl eżekutibbli:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.shIssa kull lejl se nirċievu arkivju tas-settings tal-maniġer.
Interfaċċja tal-ġestjoni tal-host
— interface amministrattiva moderna għal sistemi Linux. F'dan il-każ, iwettaq rwol simili għall-interface tal-web ESXi.
Ross. 3 — dehra tal-panel.
L-installazzjoni hija sempliċi ħafna, għandek bżonn il-pakketti tal-cockpit u l-plugin cockpit-ovirt-dashboard:
$ sudo yum install cockpit cockpit-ovirt-dashboard -yAttivazzjoni tal-Cockpit:
$ sudo systemctl enable --now cockpit.socketSetup tal-firewall:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentIssa tista' tikkonnettja mal-host: https://[Host IP jew FQDN]:9090
VLANs
Għandek taqra aktar dwar in-netwerks fi . Hemm ħafna possibbiltajiet, hawnhekk ser niddeskrivu l-konnessjoni tan-netwerks virtwali.
Biex tgħaqqad subnets oħra, l-ewwel iridu jiġu deskritti fil-konfigurazzjoni: Netwerk -> Netwerks -> Ġdid, hawnhekk l-isem biss huwa qasam meħtieġ; Il-kaxxa ta' kontroll tan-Netwerk VM, li tippermetti lill-magni li jużaw dan in-netwerk, hija attivata, iżda biex tikkonnettja t-tikketta trid tkun attivata Ippermetti t-tikkettar VLAN, daħħal in-numru tal-VLAN u kklikkja OK.
Issa trid tmur għal Kompute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Iddreggja n-netwerk miżjud min-naħa tal-lemin tan-Netwerks Loġiċi Mhux Assenjati lejn ix-xellug f'Netwerks Loġiċi Assenjati:
Ross. 4 - qabel ma żżid netwerk.
Ross. 5 - wara li żżid netwerk.
Biex tgħaqqad netwerks multipli ma 'host bl-ingrossa, huwa konvenjenti li tassenja lilhom tikketta(i) meta toħloq netwerks, u żżid netwerks bit-tikketti.
Wara li jinħoloq in-netwerk, l-ospiti se jmorru fl-istat Mhux Operattiv sakemm in-netwerk jiġi miżjud man-nodi kollha fil-cluster. Din l-imġieba hija kkawżata mill-bandiera Require All fuq it-tab Cluster meta toħloq netwerk ġdid. Fil-każ meta n-netwerk ma jkunx meħtieġ fuq in-nodi kollha tal-cluster, din il-bandiera tista 'tiġi diżattivata, imbagħad meta n-netwerk jiżdied ma' host, ikun fuq il-lemin fit-taqsima Mhux Meħtieġa u tista 'tagħżel jekk tikkonnettjax lil host speċifiku.
Ross. 6—agħżel attribut ta' rekwiżit tan-netwerk.
HPE speċifiku
Kważi l-manifatturi kollha għandhom għodod li jtejbu l-użabilità tal-prodotti tagħhom. Meta tuża HPE bħala eżempju, AMS (Agentless Management Service, amsd għal iLO5, hp-ams għal iLO4) u SSA (Smart Storage Administrator, li jaħdem ma' kontrollur tad-disk), eċċ.
Konnessjoni tar-repożitorju HPE
Aħna nimportaw iċ-ċavetta u nqabbdu r-repożitorji HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repoil-kontenut li ġej:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcpAra l-kontenut tar-repożitorju u l-informazzjoni tal-pakkett (għal referenza):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsdInstallazzjoni u tnedija:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsdEżempju ta 'utilità biex taħdem ma' kontrollur tad-diska
Dak kollu għalissa. Fl-artikoli li ġejjin qed nippjana li nitkellem dwar xi operazzjonijiet u applikazzjonijiet bażiċi. Pereżempju, kif tagħmel VDI f'oVirt.
Sors: www.habr.com