In dit artikel bekijken we een aantal optionele maar nuttige instellingen:
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
Dit artikel is een vervolg, zie het begin oVirt over 2 uur и .
Artikelen
- Extra instellingen - Wij zijn hier
Extra managerinstellingen
Voor uw gemak leveren wij aanvullende pakketten:
$ sudo yum install bash-completion vimOm bash-completion command completion in te schakelen, moet u overschakelen naar bash.
Extra DNS-namen toevoegen
Dit is nodig als u verbinding wilt maken met de manager met een alternatieve naam (CNAME, alias of gewoon een korte naam zonder domeinachtervoegsel). Om veiligheidsredenen staat de beheerder alleen verbindingen toe van personen die een goedgekeurde lijst met namen hebben.
Maak een configuratiebestand:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.confde volgende inhoud:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"en start de manager opnieuw op:
$ sudo systemctl restart ovirt-engineAuthenticatie instellen via AD
oVirt heeft een ingebouwde gebruikersbasis, maar ondersteunt ook externe LDAP-providers, waaronder AD.
De eenvoudigste manier voor een typische configuratie is om de wizard uit te voeren en de manager opnieuw te starten:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engineVoorbeeld van het werk van de meester
$ sudo ovirt-engine-extensie-aaa-ldap-setup
Beschikbare LDAP-implementaties:
...
3 - Actieve Directory
...
Selecteer alstublieft: 3
Voer de naam van het Active Directory-forest in: example.com
Selecteer het te gebruiken protocol (startTLS, ldaps, plain) [startTLS]:
Selecteer de methode om een PEM-gecodeerd CA-certificaat te verkrijgen (Bestand, URL, Inline, Systeem, Onveilig): URL
URL:
Voer de DN van de zoekgebruiker in (bijvoorbeeld uid=gebruikersnaam,dc=voorbeeld,dc=com of laat leeg voor anoniem): CN=oVirt-Engine,CN=Gebruikers,DC=voorbeeld,DC=com
Voer het wachtwoord van de zoekgebruiker in: *wachtwoord*
[ INFO ] Proberen te binden met behulp van 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Gaat u Single Sign-On gebruiken voor virtuele machines (Ja, Nee) [Ja]:
Geef een profielnaam op die zichtbaar zal zijn voor gebruikers [voorbeeld.com]:
Geef uw inloggegevens op om de inlogstroom te testen:
Voer gebruikersnaam in: someAnyUser
Voer gebruikerswachtwoord in:
...
[INFO] Aanmeldingsvolgorde succesvol uitgevoerd
...
Selecteer de uit te voeren testsequentie (Gereed, Afbreken, Inloggen, Zoeken) [Klaar]:
[INFO] Fase: Transactie opzetten
...
CONFIGURATIEOVERZICHT
...
In de meeste gevallen is het gebruik van de wizard geschikt. Bij complexe configuraties worden de instellingen handmatig uitgevoerd. Voor meer details, zie oVirt-documentatie, . Nadat Engine succesvol is verbonden met AD, verschijnt er een extra profiel in het verbindingsvenster en op het tabblad machtigingen Systeemobjecten kunnen machtigingen verlenen aan AD-gebruikers en -groepen. Houd er rekening mee dat de externe directory van gebruikers en groepen niet alleen AD kan zijn, maar ook IPA, eDirectory, etc.
Multipathing
In een productieomgeving moet het opslagsysteem via meerdere onafhankelijke I/O-paden met de host verbonden zijn. Typisch is dat in CentOS (en dus oVirt'e) zijn er geen problemen met het samenstellen van meerdere paden naar het apparaat (find_multipaths yes). Aanvullende instellingen voor FCoE worden beschreven in Het is de moeite waard om de aanbevelingen van de fabrikant van het opslagsysteem te volgen; veel fabrikanten raden een round-robin-beleid aan, terwijl Enterprise de standaardinstelling gebruikt. Linux Er wordt gebruik gemaakt van 7 service-uren.
3PAR als voorbeeld gebruiken
en documenteren EL is aangemaakt als Host met Generic-ALUA Persona 2, hiervoor worden de volgende waarden ingevoerd in de /etc/multipath.conf instellingen:
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}Hierna wordt het commando gegeven om opnieuw te starten:
systemctl restart multipathd
Rijst. 1 - standaardbeleid voor meervoudige I/O.
Rijst. 2 - Meervoudig I/O-beleid na het toepassen van instellingen.
Energiebeheer instellen
Hiermee kunt u bijvoorbeeld een hardware-reset van de machine uitvoeren als de Engine gedurende een lange tijd geen respons van de Host kan ontvangen. Geïmplementeerd via Fence Agent.
Berekenen -> Hosts -> HOST — Bewerken -> Energiebeheer, schakel vervolgens “Energiebeheer inschakelen” in en voeg een agent toe — “Fence-agent toevoegen” -> +.
We specificeren het type (voor iLO5 moet u bijvoorbeeld ilo4 specificeren), de naam/het adres van de ipmi-interface en de gebruikersnaam/het wachtwoord. Het is aan te raden om een aparte gebruiker aan te maken (bijvoorbeeld oVirt-PM) en hem, in het geval van iLO, rechten te verlenen:
- Inloggen
- Externe console
- Virtuele stroom en reset
- Virtueel Media
- iLO-instellingen configureren
- Gebruikersaccounts beheren
Vraag niet waarom het zo is, het is empirisch gekozen. Voor de console-schermagent zijn minder rechten nodig.
Houd er bij het instellen van toegangscontrolelijsten rekening mee dat de agent niet op de engine wordt gestart, maar op de 'naburige' host (de zogenaamde Power Management Proxy). Dat wil zeggen dat als er slechts één knooppunt in het cluster is, het power management niet werkt. zal niet.
SSL instellen
Volledige officiële instructies - in Bijlage D: oVirt en SSL — Het SSL/TLS-certificaat van oVirt Engine vervangen.
Het certificaat kan afkomstig zijn van onze bedrijfscertificeringsinstantie of van een externe commerciële certificeringsinstantie.
Belangrijke opmerking: het certificaat is bedoeld voor verbinding met de manager. Het heeft geen invloed op de interactie tussen Engine en knooppunten. Deze maken gebruik van zelfondertekende certificaten die door Engine zijn uitgegeven.
vereisten:
- het uitgevende CA-certificaat in PEM-formaat, met de volledige keten naar de root-CA (van de ondergeschikte uitgever aan het begin tot de root aan het einde);
- een certificaat voor Apache uitgegeven door de uitgevende CA (aangevuld met de volledige CA-certificaatketen);
- privésleutel voor Apache, geen wachtwoord.
Laten we ervan uitgaan dat onze uitgevende CA actief is. CentOSHet domein heet subca.example.com, en de verzoeken, sleutels en certificaten bevinden zich in de map /etc/pki/tls/.
We maken een back-up en creëren een tijdelijke directory:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certsCertificaten downloaden doen we vanaf onze werkplek of we zetten ze op een andere handige manier over:
[myuser@mydesktop] $ scp -3 causer@subca.example.com:/etc/pki/tls/cachain.pem mgmt@ovirt.example.com:/opt/certs
[myuser@mydesktop] $ scp -3 causer@subca.example.com:/etc/pki/tls/private/ovirt.key mgmt@ovirt.example.com:/opt/certs
[myuser@mydesktop] $ scp -3 causer@subca.example.com/etc/pki/tls/certs/ovirt.crt mgmt@ovirt.example.com:/opt/certsAls resultaat zou u alle 3 bestanden moeten zien:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.keyUstanovka-certificaat
Kopieer bestanden en werk vertrouwenslijsten bij:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.serviceConfiguratiebestanden toevoegen/bijwerken:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.confENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confSSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cerVervolgens starten we alle betrokken services opnieuw op:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.serviceKlaar! Het is tijd om verbinding te maken met de manager en te controleren of de verbinding is beveiligd met een ondertekend SSL-certificaat.
Archiveren
Waar zouden we zijn zonder haar! In dit gedeelte wordt het archiveren van de manager besproken; Het archiveren van de VM is een apart onderwerp. We maken eenmaal per dag archiefkopieën en slaan deze op via NFS, bijvoorbeeld op hetzelfde systeem waar we de ISO-images hebben geplaatst - mynfs1.example.com:/exports/ovirt-backup. Het is niet aan te raden om archieven op te slaan op dezelfde machine waarop Engine draait.
Installeer en activeer autofs:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofsLaten we een script maken:
$ sudo vim /etc/cron.daily/make.oVirt.backup.shde volgende inhoud:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;Maak het bestand uitvoerbaar:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.shVanaf nu ontvangen we iedere nacht een archief met managerinstellingen.
Hostbeheerinterface
- een moderne administratieve interface voor Linux systemen. In dit geval speelt het een rol die vergelijkbaar is met de webinterface van ESXi.
Rijst. 3 - uiterlijk van het paneel.
Het is heel eenvoudig te installeren. Je hebt de cockpit-pakketten en de cockpit-ovirt-dashboard plugin nodig:
$ sudo yum install cockpit cockpit-ovirt-dashboard -yCockpit inschakelen:
$ sudo systemctl enable --now cockpit.socketFirewall-instellingen:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentNu kunt u verbinding maken met de host: https://[Host IP of FQDN]:9090
VLAN's
Meer over netwerken kunt u lezen in . Er zijn vele mogelijkheden. Hieronder beschrijven we hoe u virtuele netwerken kunt verbinden.
Om andere subnetten te verbinden, moeten deze eerst in de configuratie worden beschreven: Netwerk -> Netwerken -> Nieuw. Hier is alleen de naam verplicht; het selectievakje VM-netwerk, waarmee machines dit netwerk kunnen gebruiken, is ingeschakeld en om de tag te verbinden, moet u dit inschakelen VLAN-tagging inschakelen, voer het VLAN-nummer in en klik op OK.
Ga nu naar hosts Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Sleep het toegevoegde netwerk van het rechterdeel van Niet-toegewezen logische netwerken naar het linkerdeel van Toegewezen logische netwerken:
Rijst. 4 - voordat u het netwerk toevoegt.
Rijst. 5 - na het toevoegen van het netwerk.
Als u meerdere netwerken in bulk met een host wilt verbinden, is het handig om er bij het maken van netwerken een label(s) aan toe te wijzen en netwerken via labels toe te voegen.
Zodra het netwerk is aangemaakt, gaan de hosts naar de status Niet-operationeel totdat het netwerk aan alle clusterknooppunten is toegevoegd. Dit gedrag wordt veroorzaakt door de vlag 'Alles vereisen' op het tabblad Cluster bij het maken van een nieuw netwerk. Als het netwerk niet op alle clusterknooppunten nodig is, kunt u deze vlag uitschakelen. Het netwerk wordt dan aan de host toegevoegd en staat rechts in de sectie 'Niet vereist'. U kunt dan kiezen of u het met een specifieke host wilt verbinden.
Rijst. 6 - selectie van de netwerkvereistevlag.
HPE-specifiek
Vrijwel alle fabrikanten hebben gereedschap dat het werken met hun producten vergemakkelijkt. Als we HPE als voorbeeld nemen, zijn AMS (Agentless Management Service, amsd voor iLO5, hp-ams voor iLO4) en SSA (Smart Storage Administrator, werkt met een schijfcontroller), etc. handig.
De HPE-repository verbinden
We importeren de sleutel en verbinden de HPE-repositories:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repode volgende inhoud:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcpBekijk de inhoud van de repository en pakketinformatie (referentie):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsdInstallatie en lancering:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsdVoorbeeld van het hulpprogramma voor het werken met een schijfcontroller
Dat was het voor nu. In de volgende artikelen zal ik een aantal basisbewerkingen en toepassingen bespreken. Bijvoorbeeld, hoe je VDI in oVirt maakt.
Bron: www.habr.com
