oVirt over 2 uur. Deel 3. Aanvullende instellingen

In dit artikel zullen we een aantal optionele maar nuttige instellingen bekijken:

• extra namen gebruiken voor de manager;
• authenticatie verbinden via Active Directory;
• Vermenigvuldigen;
• energiebeheer;
• SSL-certificaat vervangen;
• archiveren;
• hostbeheerinterface (cockpit);
• VLAN's;
• HPE-specifiek.

Dit artikel is een vervolg, zie oVirt over 2 uur voor het begin Часть 1 и Deel 2.

Artikelen

1. Introductie
2. Installatie van de manager (ovirt-engine) en hypervisors (hosts)
3. Aanvullende instellingen - We zijn er

Aanvullende beheerdersinstellingen

Voor het gemak zullen we extra pakketten installeren:

$ sudo yum install bash-completion vim

Om voltooiing van opdrachten mogelijk te maken, vereist bash-completion het overschakelen naar bash.

Extra DNS-namen toevoegen

Dit is vereist wanneer u verbinding moet maken met de beheerder via een alternatieve naam (CNAME, alias of gewoon een korte naam zonder domeinachtervoegsel). Om veiligheidsredenen staat de manager alleen verbindingen toe via de toegestane lijst met namen.

Maak een configuratiebestand:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

de volgende inhoud:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

en start de manager opnieuw:

$ sudo systemctl restart ovirt-engine

Authenticatie instellen via AD

oVirt heeft een ingebouwd gebruikersbestand, maar externe LDAP-providers worden ook ondersteund, incl. ADVERTENTIE.

De eenvoudigste manier voor een typische configuratie is om de wizard te starten en de manager opnieuw te starten:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Een voorbeeld van het werk van een meester
$ sudo ovirt-engine-extensie-aaa-ldap-setup
Beschikbare LDAP-implementaties:
...
3 - Actieve Directory
...
Selecteer alstublieft: 3
Voer de Active Directory Forest-naam in: example.com

Selecteer het protocol dat u wilt gebruiken (startTLS, ldaps, plain) [startTLS]:
Selecteer de methode om een ​​PEM-gecodeerd CA-certificaat te verkrijgen (Bestand, URL, Inline, Systeem, Onveilig): URL
URL: wwwca.example.com/myRootCA.pem
Voer de DN van de zoekgebruiker in (bijvoorbeeld uid=gebruikersnaam,dc=voorbeeld,dc=com of laat leeg voor anoniem): CN=oVirt-Engine,CN=Gebruikers,DC=voorbeeld,DC=com
Voer het zoekgebruikerswachtwoord in: *wachtwoord*
[ INFO ] Proberen te binden met 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Gaat u Single Sign-On gebruiken voor virtuele machines (Ja, Nee) [Ja]:
Geef de profielnaam op die zichtbaar is voor gebruikers [voorbeeld.com]:
Geef de inloggegevens op om de inlogstroom te testen:
Vul je gebruikersnaam in: een willekeurige gebruiker
Voer het gebruikerswachtwoord in:
...
[INFO] Aanmeldingsreeks is succesvol uitgevoerd
...
Selecteer de testsequentie die u wilt uitvoeren (Gereed, Afbreken, Inloggen, Zoeken) [Klaar]:
[INFO] Fase: Transactie-instellingen
...
SAMENVATTING CONFIGURATIE
...

Het gebruik van de wizard is in de meeste gevallen geschikt. Bij complexe configuraties worden de instellingen handmatig uitgevoerd. Meer details in oVirt-documentatie, Gebruikers en rollen. Nadat de Engine met succes met AD is verbonden, verschijnt er een extra profiel in het verbindingsvenster en op het tabblad machtigingen Systeemobjecten hebben de mogelijkheid om machtigingen te verlenen aan AD-gebruikers en -groepen. Opgemerkt moet worden dat de externe directory van gebruikers en groepen niet alleen AD kan zijn, maar ook IPA, eDirectory, enz.

multipathing

In een productieomgeving moet het opslagsysteem via meerdere onafhankelijke, meerdere I/O-paden met de host zijn verbonden. In CentOS (en dus oVirt) zijn er in de regel geen problemen met het samenstellen van meerdere paden naar een apparaat (find_multipaths yes). Aanvullende instellingen voor FCoE zijn geschreven 2e deel. Het is de moeite waard om aandacht te besteden aan de aanbeveling van de fabrikant van het opslagsysteem - velen raden aan het round-robin-beleid te gebruiken, maar in Enterprise Linux 7 wordt standaard servicetijd gebruikt.

Gebruik 3PAR als voorbeeld
en documenteren Implementatiehandleiding HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux en OracleVM Server EL wordt aangemaakt als Host met Generic-ALUA Persona 2, waarvoor de volgende waarden worden ingevoerd in de instellingen /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Waarna het commando om opnieuw op te starten wordt gegeven:

systemctl restart multipathd

Rijst. 1 is het standaardbeleid voor meervoudige I/O.

Rijst. 2 - meervoudig I/O-beleid na het toepassen van instellingen.

Energiebeheer instellen

Hiermee kunt u bijvoorbeeld een hardware-reset van de machine uitvoeren als de Engine gedurende lange tijd geen reactie van de Host kan ontvangen. Geïmplementeerd via Fence Agent.

Berekenen -> Hosts -> HOST — Bewerken -> Energiebeheer, schakel vervolgens “Enable Power Management” in en voeg een agent toe — “Voeg Fence Agent toe” -> +.

We geven het type aan (voor iLO5 moet u bijvoorbeeld ilo4 opgeven), de naam/het adres van de ipmi-interface, evenals de gebruikersnaam/wachtwoord. Het wordt aanbevolen om een ​​afzonderlijke gebruiker aan te maken (bijvoorbeeld oVirt-PM) en, in het geval van iLO, hem rechten te geven:

• Inloggen
• Externe console
• Virtuele kracht en reset
• Virtueel Media
• Configureer iLO-instellingen
• Beheer gebruikersaccounts

Vraag niet waarom dit zo is, het is empirisch gekozen. De consoleschermagent heeft minder rechten nodig.

Bij het instellen van toegangscontrolelijsten moet u er rekening mee houden dat de agent niet op de engine draait, maar op een “naburige” host (de zogenaamde Power Management Proxy), d.w.z. als er maar één knooppunt in het cluster is, energiebeheer zal werken zal niet.

SSL instellen

Volledige officiële instructies - in documentatie, Bijlage D: oVirt en SSL — Vervanging van het oVirt Engine SSL/TLS-certificaat.

Het certificaat kan afkomstig zijn van onze bedrijfs-CA of van een externe commerciële certificeringsinstantie.

Belangrijke opmerking: het certificaat is bedoeld om verbinding te maken met de manager en heeft geen invloed op de communicatie tussen de Engine en de knooppunten - ze zullen zelfondertekende certificaten gebruiken die zijn uitgegeven door de Engine.

vereisten:

• certificaat van de uitgevende CA in PEM-formaat, met de gehele keten tot aan de root-CA (van de ondergeschikte uitgevende CA aan het begin tot de root aan het einde);
• een certificaat voor Apache uitgegeven door de uitgevende CA (tevens aangevuld met de gehele keten van CA-certificaten);
• privésleutel voor Apache, zonder wachtwoord.

Laten we aannemen dat onze uitgevende CA CentOS draait, genaamd subca.example.com, en dat de verzoeken, sleutels en certificaten zich in de map /etc/pki/tls/ bevinden.

We voeren back-ups uit en maken een tijdelijke map aan:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Download certificaten, voer het uit vanaf uw werkstation of draag het op een andere handige manier over:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Als gevolg hiervan zou u alle drie de bestanden moeten zien:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Certificaten installeren

Kopieer de bestanden en update de vertrouwenslijsten:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Configuratiebestanden toevoegen/bijwerken:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Start vervolgens alle betrokken services opnieuw op:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Klaar! Het is tijd om verbinding te maken met de manager en te controleren of de verbinding wordt beschermd door een ondertekend SSL-certificaat.

Archiveren

Waar zouden we zijn zonder haar? In deze sectie zullen we het hebben over managerarchivering; VM-archivering is een apart onderwerp. We zullen één keer per dag archiefkopieën maken en deze bijvoorbeeld via NFS opslaan op hetzelfde systeem waar we de ISO-images hebben geplaatst: mynfs1.example.com:/exports/ovirt-backup. Het wordt niet aanbevolen om archieven op te slaan op dezelfde machine waarop de Engine draait.

Autofs installeren en inschakelen:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Laten we een script maken:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

de volgende inhoud:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Het bestand uitvoerbaar maken:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Nu ontvangen we elke avond een archief met managerinstellingen.

Hostbeheerinterface

Cockpit — een moderne administratieve interface voor Linux-systemen. In dit geval vervult het een rol die vergelijkbaar is met de ESXi-webinterface.

Rijst. 3 — uiterlijk van het paneel.

Installatie is heel eenvoudig, je hebt de cockpitpakketten en de cockpit-ovirt-dashboard plugin nodig:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Cockpit inschakelen:

$ sudo systemctl enable --now cockpit.socket

Firewall-installatie:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Nu kunt u verbinding maken met de host: https://[Host IP of FQDN]:9090

VLAN's

Lees meer over netwerken in documentatie. Er zijn veel mogelijkheden, hier zullen we het verbinden van virtuele netwerken beschrijven.

Om andere subnetten te verbinden moeten deze eerst beschreven worden in de configuratie: Netwerk -> Netwerken -> Nieuw, hier is alleen de naam een ​​verplicht veld; Het selectievakje VM Network, waarmee machines dit netwerk kunnen gebruiken, is ingeschakeld, maar om verbinding te kunnen maken moet de tag zijn ingeschakeld Schakel VLAN-tagging in, voer het VLAN-nummer in en klik op OK.

Nu moet je naar Compute hosts -> Hosts -> kvmNN -> Netwerkinterfaces -> Hostnetwerken instellen gaan. Sleep het toegevoegde netwerk van de rechterkant van Niet-toegewezen logische netwerken naar links naar Toegewezen logische netwerken:

Rijst. 4 - voordat u een netwerk toevoegt.

Rijst. 5 - na het toevoegen van een netwerk.

Om meerdere netwerken in bulk met een host te verbinden, is het handig om er een label aan toe te wijzen bij het maken van netwerken, en netwerken toe te voegen via labels.

Nadat het netwerk is gemaakt, gaan de hosts naar de status Niet-operationeel totdat het netwerk is toegevoegd aan alle knooppunten in het cluster. Dit gedrag wordt veroorzaakt door de vlag Alles vereisen op het tabblad Cluster bij het maken van een nieuw netwerk. In het geval dat het netwerk niet nodig is op alle knooppunten van het cluster, kan deze vlag worden uitgeschakeld. Wanneer het netwerk aan een host wordt toegevoegd, staat dit aan de rechterkant in het gedeelte Niet vereist en kunt u kiezen of u verbinding wilt maken naar een specifieke host.

Rijst. 6: selecteer een netwerkvereiste-attribuut.

HPE-specifiek

Bijna alle fabrikanten beschikken over tools die de bruikbaarheid van hun producten verbeteren. Als we HPE als voorbeeld gebruiken, zijn AMS (Agentless Management Service, amsd voor iLO5, hp-ams voor iLO4) en SSA (Smart Storage Administrator, werken met een schijfcontroller), enz. nuttig.

De HPE-repository verbinden
We importeren de sleutel en verbinden de HPE-repositories:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

de volgende inhoud:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Bekijk de inhoud van de repository en pakketinformatie (ter referentie):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Installatie en lancering:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Een voorbeeld van een hulpprogramma voor het werken met een schijfcontroller

Dat is het voor nu. In de volgende artikelen wil ik het hebben over enkele basisbewerkingen en toepassingen. Hoe u bijvoorbeeld VDI kunt maken in oVirt.

Bron: www.habr.com