Aby umożliwić uzupełnianie poleceń, uzupełnianie bash wymaga przejścia na bash.
Dodanie dodatkowych nazw DNS
Będzie to wymagane, gdy będziesz musiał połączyć się z menedżerem przy użyciu alternatywnej nazwy (CNAME, alias lub po prostu krótka nazwa bez sufiksu domeny). Ze względów bezpieczeństwa menedżer zezwala na połączenia tylko przy użyciu listy dozwolonych nazw.
Utwórz plik konfiguracyjny:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Przykład pracy mistrza
$ sudo ovirt-engine-extension-aaa-ldap-setup
Dostępne implementacje LDAP:
...
3 - Aktywny katalog
...
Proszę wybrać: 3
Proszę wprowadzić nazwę lasu Active Directory: example.com
Wybierz protokół, którego chcesz używać (startTLS, ldaps, zwykły) [startTLS]:
Wybierz metodę uzyskania certyfikatu CA zakodowanego w formacie PEM (plik, adres URL, wbudowany, systemowy, niezabezpieczony): URL
URL: wwwca.example.com/myRootCA.pem
Wpisz nazwę wyróżniającą użytkownika wyszukiwania (na przykład uid=nazwa użytkownika,dc=example,dc=com lub pozostaw puste dla anonimowego): CN=oVirt-Engine,CN=Użytkownicy,DC=przykład,DC=com
Wpisz hasło użytkownika wyszukiwania: *hasło*
[ INFO ] Próba powiązania przy użyciu 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Czy zamierzasz używać pojedynczego logowania do maszyn wirtualnych (tak, nie) [Tak]:
Proszę podać nazwę profilu, która będzie widoczna dla użytkowników [przykład.com]:
Podaj dane uwierzytelniające, aby przetestować przepływ logowania:
Wpisz nazwę użytkownika: jakiśAnyUżytkownik
Wpisz hasło użytkownika:
...
[INFO] Sekwencja logowania wykonana pomyślnie
...
Wybierz sekwencję testową do wykonania (Gotowe, Przerwij, Zaloguj się, Szukaj) [Zrobione]:
[INFO] Etap: Konfiguracja transakcji
...
PODSUMOWANIE KONFIGURACJI
...
W większości przypadków odpowiednie jest użycie kreatora. W przypadku skomplikowanych konfiguracji ustawienia przeprowadza się ręcznie. Więcej szczegółów w dokumentacji oVirt, Użytkownicy i role. Po pomyślnym podłączeniu Engine do AD, w oknie połączenia oraz na zakładce pojawi się dodatkowy profil Uprawnienia Obiekty systemowe mają możliwość nadawania uprawnień użytkownikom i grupom AD. Należy zaznaczyć, że zewnętrznym katalogiem użytkowników i grup może być nie tylko AD, ale także IPA, eDirectory itp.
Wielościeżkowy
W środowisku produkcyjnym system pamięci masowej musi być podłączony do hosta za pośrednictwem wielu niezależnych ścieżek we/wy. Z reguły w CentOS (a więc i oVirt) nie ma problemów z montażem wielu ścieżek do urządzenia (find_multipaths tak). Zapisane są dodatkowe ustawienia dla FCoE 2. część. Warto zwrócić uwagę na zalecenie producenta systemu przechowywania danych - wielu zaleca stosowanie polityki okrężnej, ale domyślnie w Enterprise Linux 7 stosowany jest czas serwisowy.
Po czym wydawane jest polecenie ponownego uruchomienia:
systemctl restart multipathd
Ryż. 1 to domyślna zasada dotycząca wielu wejść/wyjść.
Ryż. 2 - zasada wielu wejść/wyjść po zastosowaniu ustawień.
Konfigurowanie zarządzania energią
Umożliwia wykonanie np. resetu sprzętowego maszyny, jeżeli Silnik nie może przez dłuższy czas otrzymać odpowiedzi od Hosta. Wdrożone za pośrednictwem agenta ogrodzenia.
Wskazujemy typ (przykładowo dla iLO5 należy podać ilo4), nazwę/adres interfejsu ipmi, a także nazwę użytkownika/hasło. Zalecane jest utworzenie osobnego użytkownika (np. oVirt-PM) i w przypadku iLO nadanie mu uprawnień:
Zaloguj
Zdalna konsola
Wirtualne zasilanie i resetowanie
Wirtualne media
Skonfiguruj ustawienia iLO
Zarządzaj kontami użytkowników
Nie pytajcie dlaczego tak jest, zostało to wybrane empirycznie. Agent ogrodzenia konsoli wymaga mniej uprawnień.
Konfigurując listy kontroli dostępu należy pamiętać, że agent działa nie na silniku, a na „sąsiednim” hoście (tzw. Power Management Proxy), czyli jeśli w klastrze jest tylko jeden węzeł, zarządzanie energią będzie działać nie będzie.
Konfigurowanie protokołu SSL
Pełne oficjalne instrukcje - w dokumentacja, Dodatek D: oVirt i SSL — Zastąpienie certyfikatu SSL/TLS oVirt Engine.
Certyfikat może pochodzić z naszego korporacyjnego urzędu certyfikacji lub z zewnętrznego komercyjnego urzędu certyfikacji.
Ważna uwaga: Certyfikat przeznaczony jest do łączenia się z menadżerem i nie będzie miał wpływu na komunikację pomiędzy Silnikiem a węzłami - będą one korzystać z certyfikatów z podpisem własnym wydanych przez Silnik.
wymagania:
certyfikat wystawiającego urzędu certyfikacji w formacie PEM, z całym łańcuchem aż do głównego urzędu certyfikacji (od podrzędnego urzędu wystawiającego na początku do głównego urzędu certyfikacji na końcu);
certyfikat dla Apache wydany przez wystawiający CA (uzupełniony także całym łańcuchem certyfikatów CA);
klucz prywatny dla Apache, bez hasła.
Załóżmy, że nasz wystawiający urząd certyfikacji działa w systemie CentOS o nazwie subca.example.com, a żądania, klucze i certyfikaty znajdują się w katalogu /etc/pki/tls/.
Wykonujemy kopie zapasowe i tworzymy katalog tymczasowy:
Gotowy! Czas połączyć się z menadżerem i sprawdzić, czy połączenie jest chronione podpisanym certyfikatem SSL.
Archiwizacja
Gdzie byśmy byli bez niej? W tej sekcji porozmawiamy o archiwizacji menedżerskiej, archiwizacja maszyn wirtualnych to osobne zagadnienie. Raz dziennie będziemy robić kopie archiwalne i przechowywać je np. poprzez NFS w tym samym systemie, w którym umieściliśmy obrazy ISO - mynfs1.example.com:/exports/ovirt-backup. Nie zaleca się przechowywania archiwów na tym samym komputerze, na którym działa Silnik.
Teraz możesz połączyć się z hostem: https://[IP hosta lub FQDN]:9090
VLAN
Powinieneś przeczytać więcej o sieciach w dokumentacja. Możliwości jest wiele, tutaj opiszemy łączenie sieci wirtualnych.
Aby podłączyć inne podsieci należy je najpierw opisać w konfiguracji: Sieć -> Sieci -> Nowa, tutaj polem wymaganym jest jedynie nazwa; Pole wyboru Sieć VM, które pozwala maszynom na korzystanie z tej sieci, jest włączone, ale aby połączyć tag, musi być włączone Włącz tagowanie VLAN, wprowadź numer VLAN i kliknij OK.
Teraz musisz przejść do Hosty obliczeniowe -> Hosty -> kvmNN -> Interfejsy sieciowe -> Skonfiguruj sieci hostów. Przeciągnij dodaną sieć z prawej strony Nieprzypisanych sieci logicznych w lewo do Przydzielonych sieci logicznych:
Ryż. 4 - przed dodaniem sieci.
Ryż. 5 - po dodaniu sieci.
Aby zbiorczo połączyć wiele sieci z hostem, wygodnie jest przypisać im etykiety podczas tworzenia sieci i dodawać sieci według etykiet.
Po utworzeniu sieci hosty przejdą w stan nieoperacyjny do czasu dodania sieci do wszystkich węzłów w klastrze. To zachowanie jest spowodowane flagą Wymagaj wszystkiego na karcie Klaster podczas tworzenia nowej sieci. W przypadku, gdy sieć nie jest potrzebna na wszystkich węzłach klastra, flagę tę można wyłączyć, wówczas po dodaniu sieci do hosta będzie ona po prawej stronie w sekcji Niewymagane i będziesz mógł wybrać, czy się połączyć go do konkretnego hosta.
Ryż. 6 — wybierz atrybut wymagań sieciowych.
Specyficzne dla HPE
Prawie wszyscy producenci posiadają narzędzia poprawiające użyteczność ich produktów. Na przykładzie HPE przydatne są AMS (Agentless Management Service, amsd dla iLO5, hp-ams dla iLO4) i SSA (Smart Storage Administrator, praca z kontrolerem dysku) itp.
Podłączenie repozytorium HPE
Importujemy klucz i łączymy repozytoria HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo