🥇oVirt २ घण्टामा। भाग ३: उन्नत सेटिङहरू

यस लेखमा हामी धेरै वैकल्पिक तर उपयोगी सेटिङहरू हेर्नेछौं:

व्यवस्थापकका लागि थप नामहरू प्रयोग गर्दै;
सक्रिय निर्देशिका मार्फत प्रमाणीकरण जडान गर्दै;
मल्टिपथिङ;
शक्ति व्यवस्थापन;
SSL प्रमाणपत्र प्रतिस्थापन गर्दै;
अभिलेख गर्दै;
होस्ट व्यवस्थापन इन्टरफेस (ककपिट);
VLANs;
HPE विशिष्ट.

यो लेख निरन्तरता हो, सुरुको लागि २ घण्टामा oVirt हेर्नुहोस् 1 भाग и भाग 2.

लेख

परिचय
प्रबन्धक (ओभिर्ट-इन्जिन) र हाइपरभाइजर (होस्ट) को स्थापना
अतिरिक्त सेटिङहरू - हामी यहाँ छौं

अतिरिक्त प्रबन्धक सेटिङहरू

सुविधाको लागि, हामी थप प्याकेजहरू स्थापना गर्नेछौं:

$ sudo yum install bash-completion vim

आदेश पूरा गर्न सक्षम गर्न, bash-completion लाई bash मा स्विच गर्न आवश्यक छ।

थप DNS नामहरू थप्दै

तपाईंले वैकल्पिक नाम (CNAME, उपनाम, वा डोमेन प्रत्यय बिना मात्र एउटा छोटो नाम) प्रयोग गरेर प्रबन्धकसँग जडान गर्न आवश्यक पर्दा यो आवश्यक हुनेछ। सुरक्षा कारणहरूका लागि, प्रबन्धकले नामहरूको अनुमति दिइएको सूची प्रयोग गरेर मात्र जडानहरूलाई अनुमति दिन्छ।

कन्फिगरेसन फाइल सिर्जना गर्नुहोस्:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

निम्न सामग्री:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

र प्रबन्धक पुन: सुरु गर्नुहोस्:

$ sudo systemctl restart ovirt-engine

AD मार्फत प्रमाणीकरण सेट अप गर्दै

oVirt मा निर्मित प्रयोगकर्ता आधार छ, तर बाह्य LDAP प्रदायकहरू पनि समर्थित छन्, सहित। A.D.

सामान्य कन्फिगरेसनको लागि सरल तरिका भनेको विजार्ड सुरु गर्नु र प्रबन्धकलाई पुन: सुरु गर्नु हो:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

एक मास्टर को काम को एक उदाहरण
$ sudo ovirt-engine-extension-aa-ldap-setup
उपलब्ध LDAP कार्यान्वयनहरू:
...
3 - सक्रिय निर्देशिका
...
कृपया छान्नुहोस: 3
कृपया सक्रिय निर्देशिका वन नाम प्रविष्ट गर्नुहोस्: example.com

कृपया प्रयोग गर्नको लागि प्रोटोकल चयन गर्नुहोस् (startTLS, ldaps, प्लेन) [startTLS]:
कृपया PEM एन्कोड गरिएको CA प्रमाणपत्र (फाइल, URL, इनलाइन, प्रणाली, असुरक्षित) प्राप्त गर्न विधि चयन गर्नुहोस्: URL
यूआरएल: wwwca.example.com/myRootCA.pem
खोज प्रयोगकर्ता DN प्रविष्ट गर्नुहोस् (उदाहरणका लागि uid=username,dc=example,dc=com वा बेनामीका लागि खाली छोड्नुहोस्): CN=oVirt-Engine,CN=प्रयोगकर्ता,DC=उदाहरण,DC=com
खोज प्रयोगकर्ता पासवर्ड प्रविष्ट गर्नुहोस्: *पासवर्ड*
[ INFO ] 'CN=oVirt-Engine,CN=प्रयोगकर्ता,DC=उदाहरण,DC=com' प्रयोग गरेर बाँध्ने प्रयास गर्दै
के तपाइँ भर्चुअल मेसिनहरूको लागि एकल साइन-अन प्रयोग गर्न जाँदै हुनुहुन्छ (हो, होइन) [हो]:
कृपया प्रोफाइल नाम निर्दिष्ट गर्नुहोस् जुन प्रयोगकर्ताहरूले देख्न सक्नेछन् [example.com]:
लगइन प्रवाह परीक्षण गर्न प्रमाणहरू प्रदान गर्नुहोस्:
प्रयोगकर्ता नाम प्रविष्ट गर्नुहोस्: कुनै पनि प्रयोगकर्ता
प्रयोगकर्ता पासवर्ड प्रविष्ट गर्नुहोस्:
...
[INFO] लगइन अनुक्रम सफलतापूर्वक कार्यान्वयन गरियो
...
कार्यान्वयन गर्न परीक्षण अनुक्रम चयन गर्नुहोस् (सम्पन्न, परित्याग, लगइन, खोज) [सम्पन्न]:
[INFO] चरण: लेनदेन सेटअप
...
कन्फिगरेसन सारांश
...

विजार्ड प्रयोग गर्नु धेरै जसो केसहरूको लागि उपयुक्त छ। जटिल कन्फिगरेसनहरूको लागि, सेटिङहरू म्यानुअल रूपमा प्रदर्शन गरिन्छ। oVirt कागजातमा थप विवरणहरू, प्रयोगकर्ता र भूमिका। इन्जिनलाई AD मा सफलतापूर्वक जडान गरेपछि, जडान सञ्झ्यालमा र ट्याबमा अतिरिक्त प्रोफाइल देखा पर्नेछ। अनुमतिहरू प्रणाली वस्तुहरूसँग AD प्रयोगकर्ताहरू र समूहहरूलाई अनुमतिहरू प्रदान गर्ने क्षमता छ। यो ध्यान दिनुपर्छ कि प्रयोगकर्ता र समूहहरूको बाह्य डाइरेक्टरी AD मात्र होइन, तर IPA, eDirectory, आदि पनि हुन सक्छ।

मल्टीपाथिंग

उत्पादन वातावरणमा, भण्डारण प्रणाली बहु स्वतन्त्र, बहु I/O मार्गहरू मार्फत होस्टमा जडान हुनुपर्छ। नियमको रूपमा, CentOS मा (र त्यसकारण oVirt) त्यहाँ कुनै यन्त्रमा धेरै पथहरू भेला गर्नमा कुनै समस्या छैन (find_multipaths yes)। FCoE को लागि अतिरिक्त सेटिङहरू लेखिएका छन् दोस्रो भाग। यो भण्डारण प्रणाली निर्माताको सिफारिसमा ध्यान दिन लायक छ - धेरैले राउन्ड-रोबिन नीति प्रयोग गर्न सिफारिस गर्छन्, तर पूर्वनिर्धारित रूपमा Enterprise Linux 7 सेवा-समय प्रयोग गरिन्छ।

उदाहरणको रूपमा 3PAR प्रयोग गर्दै
र कागजात HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux, र OracleVM सर्भर कार्यान्वयन गाइड EL लाई Generic-ALUA Persona 2 को साथ होस्टको रूपमा सिर्जना गरिएको छ, जसको लागि निम्न मानहरू सेटिङहरूमा प्रविष्ट गरिएका छन् /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

जस पछि पुन: सुरु गर्न आदेश दिइएको छ:

systemctl restart multipathd

चामल। 1 पूर्वनिर्धारित बहु I/O नीति हो।

चामल। 2 - सेटिङहरू लागू गरेपछि धेरै I/O नीति।

पावर व्यवस्थापन स्थापना गर्दै

तपाईंलाई प्रदर्शन गर्न अनुमति दिन्छ, उदाहरणका लागि, मेसिनको हार्डवेयर रिसेट यदि इन्जिनले होस्टबाट लामो समयसम्म प्रतिक्रिया प्राप्त गर्न सक्दैन। फेंस एजेन्ट मार्फत लागू गरियो।

कम्प्युट -> होस्ट -> HOST - सम्पादन गर्नुहोस् -> पावर व्यवस्थापन, त्यसपछि "शक्ति व्यवस्थापन सक्षम गर्नुहोस्" सक्षम गर्नुहोस् र एजेन्ट थप्नुहोस् - "फेन्स एजेन्ट थप्नुहोस्" -> +.

हामी प्रकार संकेत गर्छौं (उदाहरणका लागि, iLO5 को लागि तपाईंले ilo4 निर्दिष्ट गर्न आवश्यक छ), ipmi इन्टरफेसको नाम/ठेगाना, साथै प्रयोगकर्ता नाम/पासवर्ड। यो एक अलग प्रयोगकर्ता (उदाहरणका लागि, oVirt-PM) सिर्जना गर्न सिफारिस गरिएको छ र, iLO को मामला मा, उसलाई विशेषाधिकार दिनुहोस्:

लग - इन
रिमोट कन्सोल
भर्चुअल पावर र रिसेट
भर्चुअल मिडिया
ILO सेटिङहरू कन्फिगर गर्नुहोस्
प्रयोगकर्ता खाताहरू व्यवस्थापन गर्नुहोस्

यो किन हो भनेर नसोध्नुहोस्, यो प्रायोगिक रूपमा छानिएको थियो। कन्सोल फेन्सिङ एजेन्टलाई कम अधिकार चाहिन्छ।

पहुँच नियन्त्रण सूचीहरू सेटअप गर्दा, तपाईंले ध्यानमा राख्नु पर्छ कि एजेन्ट इन्जिनमा होइन, तर "छिमेकी" होस्टमा चल्छ (तथाकथित पावर व्यवस्थापन प्रोक्सी), अर्थात्, क्लस्टरमा एउटा मात्र नोड छ भने, शक्ति व्यवस्थापनले काम गर्नेछ गर्दैन.

SSL सेटअप गर्दै

पूर्ण आधिकारिक निर्देशन - मा कागजात, परिशिष्ट D: oVirt र SSL — oVirt इन्जिन SSL/TLS प्रमाणपत्र प्रतिस्थापन गर्दै।

प्रमाणपत्र हाम्रो कर्पोरेट CA बाट वा बाह्य व्यावसायिक प्रमाणपत्र प्राधिकरणबाट हुन सक्छ।

महत्त्वपूर्ण नोट: प्रमाणपत्र प्रबन्धकसँग जडान गर्नको लागि हो र इन्जिन र नोडहरू बीचको सञ्चारलाई असर गर्दैन - तिनीहरूले इन्जिनद्वारा जारी स्व-हस्ताक्षरित प्रमाणपत्रहरू प्रयोग गर्नेछन्।

आवश्यकताहरू:

PEM ढाँचामा जारी गर्ने CA को प्रमाणपत्र, मूल CA सम्मको सम्पूर्ण श्रृंखलाको साथ (सबर्डिनेट जारी गर्ने CA बाट सुरुमा रूट सम्म);
जारी गर्ने CA द्वारा जारी गरिएको Apache को लागि प्रमाणपत्र (CA प्रमाणपत्रहरूको सम्पूर्ण श्रृंखलाद्वारा पनि पूरक);
Apache को लागि निजी कुञ्जी, बिना पासवर्ड।

मानौं कि हाम्रो जारी गर्ने CA CentOS चलिरहेको छ, जसलाई subca.example.com भनिन्छ, र अनुरोधहरू, कुञ्जीहरू, र प्रमाणपत्रहरू /etc/pki/tls/ डाइरेक्टरीमा अवस्थित छन्।

हामी ब्याकअप गर्छौं र अस्थायी डाइरेक्टरी सिर्जना गर्छौं:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

प्रमाणपत्रहरू डाउनलोड गर्नुहोस्, यसलाई आफ्नो कार्यस्थानबाट प्रदर्शन गर्नुहोस् वा अर्को सुविधाजनक तरिकामा स्थानान्तरण गर्नुहोस्:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

नतिजाको रूपमा, तपाईंले सबै 3 फाइलहरू हेर्नुपर्छ:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

प्रमाणपत्रहरू स्थापना गर्दै

फाइलहरू प्रतिलिपि गर्नुहोस् र विश्वास सूचीहरू अद्यावधिक गर्नुहोस्:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

कन्फिगरेसन फाइलहरू थप्नुहोस्/अपडेट गर्नुहोस्:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

अर्को, सबै प्रभावित सेवाहरू पुन: सुरु गर्नुहोस्:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

तयार! यो प्रबन्धकसँग जडान गर्ने र जडान हस्ताक्षर गरिएको SSL प्रमाणपत्र द्वारा सुरक्षित छ कि छैन भनेर जाँच गर्ने समय हो।

अभिलेख गर्दै

उनी बिना हामी कहाँ हुनेछौं? यस खण्डमा हामी प्रबन्धक अभिलेखको बारेमा कुरा गर्नेछौं; VM अभिलेख एक अलग मुद्दा हो। हामी दिनमा एक पटक संग्रह प्रतिलिपिहरू बनाउँछौं र तिनीहरूलाई NFS मार्फत भण्डार गर्नेछौं, उदाहरणका लागि, हामीले ISO छविहरू राखेको त्यही प्रणालीमा - mynfs1.example.com:/exports/ovirt-backup। इन्जिन चलिरहेको एउटै मेसिनमा अभिलेखहरू भण्डारण गर्न सिफारिस गरिएको छैन।

autofs स्थापना र सक्षम गर्नुहोस्:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

एक स्क्रिप्ट सिर्जना गरौं:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

निम्न सामग्री:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

फाइललाई कार्यान्वयनयोग्य बनाउँदै:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

अब हरेक रात हामी प्रबन्धक सेटिङहरूको संग्रह प्राप्त गर्नेछौं।

होस्ट व्यवस्थापन इन्टरफेस

काकपिट - लिनक्स प्रणालीहरूको लागि एक आधुनिक प्रशासनिक इन्टरफेस। यस अवस्थामा, यसले ESXi वेब इन्टरफेस जस्तै भूमिका प्रदर्शन गर्दछ।

चामल। 3 - प्यानल को उपस्थिति।

स्थापना धेरै सरल छ, तपाईंलाई ककपिट प्याकेजहरू र ककपिट-ओभिर्ट-ड्यासबोर्ड प्लगइन चाहिन्छ:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

ककपिट सक्षम गर्दै:

$ sudo systemctl enable --now cockpit.socket

फायरवाल सेटअप:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

अब तपाइँ होस्टमा जडान गर्न सक्नुहुन्छ: https://[होस्ट आईपी वा FQDN]:9090

VLANs

तपाईंले नेटवर्कहरूको बारेमा थप पढ्नुपर्छ कागजात। त्यहाँ धेरै सम्भावनाहरू छन्, यहाँ हामी भर्चुअल नेटवर्कहरू जडान गर्ने वर्णन गर्नेछौं।

अन्य सबनेटहरू जडान गर्न, तिनीहरू पहिले कन्फिगरेसनमा वर्णन गर्नुपर्छ: नेटवर्क -> नेटवर्कहरू -> नयाँ, यहाँ नाम मात्र आवश्यक क्षेत्र हो; VM नेटवर्क चेकबक्स, जसले मेसिनहरूलाई यो नेटवर्क प्रयोग गर्न अनुमति दिन्छ, सक्षम गरिएको छ, तर ट्याग जडान गर्न सक्षम हुनुपर्छ। VLAN ट्यागिङ सक्षम गर्नुहोस्, VLAN नम्बर प्रविष्ट गर्नुहोस् र ठीक क्लिक गर्नुहोस्।

अब तपाइँ कम्प्युट होस्टहरू -> होस्टहरू -> kvmNN -> नेटवर्क इन्टरफेसहरू -> होस्ट नेटवर्कहरू सेटअप गर्न आवश्यक छ। थपिएको सञ्जाललाई अनअसाइन गरिएको तार्किक सञ्जालहरूको दायाँ तर्फबाट बाँयामा असाइन गरिएको तार्किक नेटवर्कहरूमा तान्नुहोस्:

चामल। 4 - नेटवर्क थप्नु अघि।

चामल। 5 - नेटवर्क थपे पछि।

धेरै नेटवर्कहरू एक होस्टमा बल्कमा जडान गर्न, नेटवर्कहरू सिर्जना गर्दा तिनीहरूलाई लेबल (हरू) तोक्न, र लेबलहरूद्वारा नेटवर्कहरू थप्न सजिलो हुन्छ।

सञ्जाल सिर्जना गरिसकेपछि, क्लस्टरका सबै नोडहरूमा सञ्जाल थपिएसम्म होस्टहरू गैर अपरेशनल अवस्थामा जान्छन्। यो व्यवहार नयाँ नेटवर्क सिर्जना गर्दा क्लस्टर ट्याबमा आवश्यक सबै झण्डाको कारणले हुन्छ। क्लस्टरका सबै नोडहरूमा नेटवर्क आवश्यक नभएको अवस्थामा, यो झण्डा असक्षम गर्न सकिन्छ, त्यसपछि जब नेटवर्क होस्टमा थपिन्छ, यो गैर आवश्यक खण्डमा दायाँमा हुनेछ र तपाइँ जडान गर्ने कि नगर्ने छनौट गर्न सक्नुहुन्छ। यो एक विशिष्ट होस्टमा।

चामल। 6 - नेटवर्क आवश्यकता विशेषता चयन गर्नुहोस्।

HPE विशिष्ट

लगभग सबै निर्माताहरूसँग उपकरणहरू छन् जसले तिनीहरूको उत्पादनहरूको उपयोगिता सुधार गर्दछ। उदाहरणको रूपमा HPE प्रयोग गरेर, AMS (एजेन्टलेस व्यवस्थापन सेवा, iLO5 को लागि amsd, iLO4 को लागि hp-ams) र SSA (स्मार्ट भण्डारण प्रशासक, डिस्क नियन्त्रक संग काम गर्ने), आदि उपयोगी छन्।

HPE भण्डार जडान गर्दै
हामी कुञ्जी आयात गर्छौं र HPE भण्डारहरू जडान गर्छौं:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

निम्न सामग्री:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

रिपोजिटरी सामग्री र प्याकेज जानकारी हेर्नुहोस् (सन्दर्भको लागि):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

स्थापना र सुरुवात:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

डिस्क नियन्त्रक संग काम को लागी एक उपयोगिता को एक उदाहरण

अहिलेको लागि यति हो। निम्न लेखहरूमा म केही आधारभूत कार्यहरू र अनुप्रयोगहरूको बारेमा कुरा गर्ने योजना गर्छु। उदाहरण को लागी, oVirt मा VDI कसरी बनाउने।

स्रोत: www.habr.com

२ घण्टामा oVirt। भाग ३। अतिरिक्त सेटिङहरू

लेख

अतिरिक्त प्रबन्धक सेटिङहरू

थप DNS नामहरू थप्दै

AD मार्फत प्रमाणीकरण सेट अप गर्दै

मल्टीपाथिंग

पावर व्यवस्थापन स्थापना गर्दै

SSL सेटअप गर्दै

प्रमाणपत्रहरू स्थापना गर्दै

अभिलेख गर्दै

होस्ट व्यवस्थापन इन्टरफेस

VLANs

HPE विशिष्ट