Voor het gemak zullen we extra pakketten installeren:
$ sudo yum install bash-completion vim
Om voltooiing van opdrachten mogelijk te maken, vereist bash-completion het overschakelen naar bash.
Extra DNS-namen toevoegen
Dit is vereist wanneer u verbinding moet maken met de beheerder via een alternatieve naam (CNAME, alias of gewoon een korte naam zonder domeinachtervoegsel). Om veiligheidsredenen staat de manager alleen verbindingen toe via de toegestane lijst met namen.
Maak een configuratiebestand:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Een voorbeeld van het werk van een meester
$ sudo ovirt-engine-extensie-aaa-ldap-setup
Beschikbare LDAP-implementaties:
...
3 - Actieve Directory
...
Selecteer alstublieft: 3
Voer de Active Directory Forest-naam in: example.com
Selecteer het protocol dat u wilt gebruiken (startTLS, ldaps, plain) [startTLS]:
Selecteer de methode om een PEM-gecodeerd CA-certificaat te verkrijgen (Bestand, URL, Inline, Systeem, Onveilig): URL
URL: wwwca.example.com/myRootCA.pem
Voer de DN van de zoekgebruiker in (bijvoorbeeld uid=gebruikersnaam,dc=voorbeeld,dc=com of laat leeg voor anoniem): CN=oVirt-Engine,CN=Gebruikers,DC=voorbeeld,DC=com
Voer het zoekgebruikerswachtwoord in: *wachtwoord*
[ INFO ] Proberen te binden met 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Gaat u Single Sign-On gebruiken voor virtuele machines (Ja, Nee) [Ja]:
Geef de profielnaam op die zichtbaar is voor gebruikers [voorbeeld.com]:
Geef de inloggegevens op om de inlogstroom te testen:
Vul je gebruikersnaam in: een willekeurige gebruiker
Voer het gebruikerswachtwoord in:
...
[INFO] Aanmeldingsreeks is succesvol uitgevoerd
...
Selecteer de testsequentie die u wilt uitvoeren (Gereed, Afbreken, Inloggen, Zoeken) [Klaar]:
[INFO] Fase: Transactie-instellingen
...
SAMENVATTING CONFIGURATIE
...
Het gebruik van de wizard is in de meeste gevallen geschikt. Bij complexe configuraties worden de instellingen handmatig uitgevoerd. Meer details in oVirt-documentatie, Gebruikers en rollen. Nadat de Engine met succes met AD is verbonden, verschijnt er een extra profiel in het verbindingsvenster en op het tabblad machtigingen Systeemobjecten hebben de mogelijkheid om machtigingen te verlenen aan AD-gebruikers en -groepen. Opgemerkt moet worden dat de externe directory van gebruikers en groepen niet alleen AD kan zijn, maar ook IPA, eDirectory, enz.
multipathing
In een productieomgeving moet het opslagsysteem via meerdere onafhankelijke, meerdere I/O-paden met de host zijn verbonden. In CentOS (en dus oVirt) zijn er in de regel geen problemen met het samenstellen van meerdere paden naar een apparaat (find_multipaths yes). Aanvullende instellingen voor FCoE zijn geschreven 2e deel. Het is de moeite waard om aandacht te besteden aan de aanbeveling van de fabrikant van het opslagsysteem - velen raden aan het round-robin-beleid te gebruiken, maar in Enterprise Linux 7 wordt standaard servicetijd gebruikt.
Waarna het commando om opnieuw op te starten wordt gegeven:
systemctl restart multipathd
Rijst. 1 is het standaardbeleid voor meervoudige I/O.
Rijst. 2 - meervoudig I/O-beleid na het toepassen van instellingen.
Energiebeheer instellen
Hiermee kunt u bijvoorbeeld een hardware-reset van de machine uitvoeren als de Engine gedurende lange tijd geen reactie van de Host kan ontvangen. Geïmplementeerd via Fence Agent.
Berekenen -> Hosts -> HOST — Bewerken -> Energiebeheer, schakel vervolgens “Enable Power Management” in en voeg een agent toe — “Voeg Fence Agent toe” -> +.
We geven het type aan (voor iLO5 moet u bijvoorbeeld ilo4 opgeven), de naam/het adres van de ipmi-interface, evenals de gebruikersnaam/wachtwoord. Het wordt aanbevolen om een afzonderlijke gebruiker aan te maken (bijvoorbeeld oVirt-PM) en, in het geval van iLO, hem rechten te geven:
Inloggen
Externe console
Virtuele kracht en reset
Virtueel Media
Configureer iLO-instellingen
Beheer gebruikersaccounts
Vraag niet waarom dit zo is, het is empirisch gekozen. De consoleschermagent heeft minder rechten nodig.
Bij het instellen van toegangscontrolelijsten moet u er rekening mee houden dat de agent niet op de engine draait, maar op een “naburige” host (de zogenaamde Power Management Proxy), d.w.z. als er maar één knooppunt in het cluster is, energiebeheer zal werken zal niet.
SSL instellen
Volledige officiële instructies - in documentatie, Bijlage D: oVirt en SSL — Vervanging van het oVirt Engine SSL/TLS-certificaat.
Het certificaat kan afkomstig zijn van onze bedrijfs-CA of van een externe commerciële certificeringsinstantie.
Belangrijke opmerking: het certificaat is bedoeld om verbinding te maken met de manager en heeft geen invloed op de communicatie tussen de Engine en de knooppunten - ze zullen zelfondertekende certificaten gebruiken die zijn uitgegeven door de Engine.
vereisten:
certificaat van de uitgevende CA in PEM-formaat, met de gehele keten tot aan de root-CA (van de ondergeschikte uitgevende CA aan het begin tot de root aan het einde);
een certificaat voor Apache uitgegeven door de uitgevende CA (tevens aangevuld met de gehele keten van CA-certificaten);
privésleutel voor Apache, zonder wachtwoord.
Laten we aannemen dat onze uitgevende CA CentOS draait, genaamd subca.example.com, en dat de verzoeken, sleutels en certificaten zich in de map /etc/pki/tls/ bevinden.
We voeren back-ups uit en maken een tijdelijke map aan:
Klaar! Het is tijd om verbinding te maken met de manager en te controleren of de verbinding wordt beschermd door een ondertekend SSL-certificaat.
Archiveren
Waar zouden we zijn zonder haar? In deze sectie zullen we het hebben over managerarchivering; VM-archivering is een apart onderwerp. We zullen één keer per dag archiefkopieën maken en deze bijvoorbeeld via NFS opslaan op hetzelfde systeem waar we de ISO-images hebben geplaatst: mynfs1.example.com:/exports/ovirt-backup. Het wordt niet aanbevolen om archieven op te slaan op dezelfde machine waarop de Engine draait.
Nu kunt u verbinding maken met de host: https://[Host IP of FQDN]:9090
VLAN's
Lees meer over netwerken in documentatie. Er zijn veel mogelijkheden, hier zullen we het verbinden van virtuele netwerken beschrijven.
Om andere subnetten te verbinden moeten deze eerst beschreven worden in de configuratie: Netwerk -> Netwerken -> Nieuw, hier is alleen de naam een verplicht veld; Het selectievakje VM Network, waarmee machines dit netwerk kunnen gebruiken, is ingeschakeld, maar om verbinding te kunnen maken moet de tag zijn ingeschakeld Schakel VLAN-tagging in, voer het VLAN-nummer in en klik op OK.
Nu moet je naar Compute hosts -> Hosts -> kvmNN -> Netwerkinterfaces -> Hostnetwerken instellen gaan. Sleep het toegevoegde netwerk van de rechterkant van Niet-toegewezen logische netwerken naar links naar Toegewezen logische netwerken:
Rijst. 4 - voordat u een netwerk toevoegt.
Rijst. 5 - na het toevoegen van een netwerk.
Om meerdere netwerken in bulk met een host te verbinden, is het handig om er een label aan toe te wijzen bij het maken van netwerken, en netwerken toe te voegen via labels.
Nadat het netwerk is gemaakt, gaan de hosts naar de status Niet-operationeel totdat het netwerk is toegevoegd aan alle knooppunten in het cluster. Dit gedrag wordt veroorzaakt door de vlag Alles vereisen op het tabblad Cluster bij het maken van een nieuw netwerk. In het geval dat het netwerk niet nodig is op alle knooppunten van het cluster, kan deze vlag worden uitgeschakeld. Wanneer het netwerk aan een host wordt toegevoegd, staat dit aan de rechterkant in het gedeelte Niet vereist en kunt u kiezen of u verbinding wilt maken naar een specifieke host.
Rijst. 6: selecteer een netwerkvereiste-attribuut.
HPE-specifiek
Bijna alle fabrikanten beschikken over tools die de bruikbaarheid van hun producten verbeteren. Als we HPE als voorbeeld gebruiken, zijn AMS (Agentless Management Service, amsd voor iLO5, hp-ams voor iLO4) en SSA (Smart Storage Administrator, werken met een schijfcontroller), enz. nuttig.
De HPE-repository verbinden
We importeren de sleutel en verbinden de HPE-repositories:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo
Een voorbeeld van een hulpprogramma voor het werken met een schijfcontroller
Dat is het voor nu. In de volgende artikelen wil ik het hebben over enkele basisbewerkingen en toepassingen. Hoe u bijvoorbeeld VDI kunt maken in oVirt.