په 2 ساعتونو کې oVirt. برخه 3. اضافي ترتیبات

پدې مقاله کې به موږ یو شمیر اختیاري مګر ګټور ترتیبات وګورو:

• د مدیر لپاره د اضافي نومونو کارول;
• د فعال لارښود له لارې تصدیق کول;
• متفرقه کول;
• د بریښنا مدیریت;
• د SSL سند بدلول;
• آرشیف کول;
• د کوربه مدیریت انٹرفیس (کاکپیټ);
• VLANs;
• HPE مشخص.

دا مقاله دوام لري، د پیل لپاره په 2 ساعتونو کې oVirt وګورئ د 1 برخه и برخه 2.

Articles

1. پېژندنه
2. د مدیر نصب کول (اویورټ-انجن) او هایپروایسر (میزبان)
3. اضافي ترتیبات - موږ دلته یو

د مدیر اضافي ترتیبات

د اسانتیا لپاره، موږ به اضافي کڅوړې نصب کړو:

$ sudo yum install bash-completion vim

د کمانډ بشپړولو فعالولو لپاره، د بش بشپړول د باش ته بدلولو ته اړتیا لري.

د اضافي DNS نومونه اضافه کول

دا به اړین وي کله چې تاسو اړتیا لرئ د بدیل نوم په کارولو سره مدیر سره وصل شئ (CNAME، عرف، یا د ډومین ضمیمه پرته یو لنډ نوم). د امنیتي دلایلو لپاره، مدیر یوازې د نومونو لیست په کارولو سره اړیکو ته اجازه ورکوي.

د ترتیب کولو فایل جوړ کړئ:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

لاندې مواد:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

او مدیر بیا پیل کړئ:

$ sudo systemctl restart ovirt-engine

د AD له لارې د تصدیق تنظیم کول

oVirt یو جوړ شوی کارن اډه لري، مګر بهرني LDAP چمتو کونکي هم ملاتړ کیږي، په شمول. A.D.

د عادي ترتیب لپاره ترټولو ساده لاره د وزرډ پیل کول او مدیر بیا پیل کول دي:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

د ماسټر کار یوه بیلګه
$ sudo ovirt-engine-extension-aa-ldap-setup
د LDAP شتون شتون لري:
...
۳ – فعاله لارښود
...
مهرباني وکړئ وټاکئ: 3
مهرباني وکړئ د فعال لارښود ځنګل نوم دننه کړئ: example.com

مهرباني وکړئ د کارولو لپاره پروتوکول غوره کړئ (startTLS، ldaps، ساده) [startTLS]:
مهرباني وکړئ د PEM کوډ شوي CA سند ترلاسه کولو لپاره میتود غوره کړئ (فایل، URL، انلاین، سیسټم، ناامنه): URL
URL: wwwca.example.com/myRootCA.pem
د لټون کارونکي DN دننه کړئ (د مثال په توګه uid=username,dc=example,dc=com یا د نامعلوم لپاره خالي پریږدئ): CN=oVirt-Engine,CN=کاروونکي,DC=مثال,DC=com
د لټون کارونکي پټنوم دننه کړئ: *رمز*
[معلومات] د CN=oVirt-Engine,CN=استعمال کونکي,DC=مثال,DC=com' په کارولو سره د تړلو هڅه
ایا تاسو د مجازی ماشینونو لپاره واحد لاسلیک وکاروئ (هو ، نه) [هو]:
مهرباني وکړئ د پروفایل نوم مشخص کړئ چې کاروونکو ته به ښکاره شي [example.com]:
مهرباني وکړئ د ننوتلو جریان ازموینې لپاره اسناد چمتو کړئ:
د کارونکي نوم دننه کړئ: ځنی هر کارن
د کارن پاسورډ دننه کړئ:
...
[INFO] د ننوتلو لړۍ په بریالیتوب سره اجرا شوه
...
د اجرا کولو لپاره د ازموینې ترتیب غوره کړئ (بشپړ شوی، بندول، ننوتل، لټون) [شوی]:
[معلومات] مرحله: د لیږد تنظیم کول
...
د ترتیب لنډیز
...

د وزرډ کارول د ډیری قضیو لپاره مناسب دي. د پیچلو ترتیباتو لپاره، ترتیبات په لاسي ډول ترسره کیږي. نور جزئیات د oVirt اسنادو کې، کاروونکي او رول. وروسته له دې چې انجن په بریالیتوب سره له AD سره وصل کړئ، یو اضافي پروفایل به د اتصال په کړکۍ کې او په ټب کې څرګند شي. پرېښلې د سیسټم توکي د دې وړتیا لري چې د AD کاروونکو او ډلو ته اجازه ورکړي. دا باید په یاد ولرئ چې د کاروونکو او ډلو بهرنۍ لارښود نه یوازې AD کیدی شي ، بلکه IPA ، eDirectory ، او داسې نور هم کیدی شي.

ملټيپیتینګ

د تولید په چاپیریال کې، د ذخیره کولو سیسټم باید د کوربه سره د څو خپلواکو، څو I/O لارو له لارې وصل شي. د یوې قاعدې په توګه ، په CentOS کې (او له همدې امله oVirt) وسیلې ته د ډیری لارو راټولولو کې کومه ستونزه شتون نلري (find_multipaths yes). د FCoE لپاره اضافي ترتیبات لیکل شوي دوهمه برخه. دا د ذخیره کولو سیسټم جوړونکي سپارښتنې ته د پاملرنې ارزښت لري - ډیری یې د راؤنډ رابین پالیسي کارولو وړاندیز کوي ، مګر په ډیفالټ کې د Enterprise لینکس 7 خدمت وخت کارول کیږي.

د مثال په توګه د 3PAR کارول
او سند HPE 3PAR Red Hat Enterprise Linux، CentOS Linux، Oracle Linux، او OracleVM سرور پلي کولو لارښود EL د Generic-ALUA Persona 2 سره د کوربه په توګه رامینځته شوی، د کوم لپاره چې لاندې ارزښتونه په ترتیباتو کې داخل شوي /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

وروسته له دې چې د بیا پیل کولو امر ورکړل شوی دی:

systemctl restart multipathd

وريجې. 1 د ډیفالټ څو I/O پالیسي ده.

وريجې. 2 - د ترتیباتو پلي کولو وروسته ډیری I/O پالیسي.

د بریښنا مدیریت تنظیم کول

تاسو ته اجازه درکوي چې ترسره کړئ، د بیلګې په توګه، د ماشین هارډویر بیا تنظیم کول که چیرې انجن نشي کولی د کوربه څخه د اوږدې مودې لپاره ځواب ترلاسه کړي. د فینس ایجنټ له لارې پلي کیږي.

محاسبه -> کوربه -> HOST - ایډیټ -> د بریښنا مدیریت، بیا "د بریښنا مدیریت فعال کړئ" او یو اجنټ اضافه کړئ - "د فینس ایجنټ اضافه کړئ" -> +.

موږ ډول په ګوته کوو (د مثال په توګه ، د iLO5 لپاره تاسو اړتیا لرئ ilo4 مشخص کړئ) ، د ipmi انٹرفیس نوم / پته ، او همدارنګه د کارونکي نوم / پاسورډ. دا سپارښتنه کیږي چې یو جلا کاروونکي جوړ کړئ (د مثال په توګه، oVirt-PM) او د iLO په حالت کې، هغه ته امتیازات ورکړئ:

• د ننه کیدل
• ریموټ کنسول
• مجازی ځواک او بیا تنظیم کول
• مجازی رسنۍ
• د iLO ترتیبات تنظیم کړئ
• د کارن حسابونو اداره کول

پوښتنه مه کوئ چې دا ولې داسې دی، دا په تجربه سره غوره شوی. د کنسول فیننګ ایجنټ لږو حقونو ته اړتیا لري.

کله چې د لاسرسي کنټرول لیستونه تنظیم کړئ، تاسو باید په پام کې ونیسئ چې اجنټ په انجن کې نه، بلکې په "ګاونډی" کوربه (د بریښنا مدیریت پراکسي په نامه یادېږي)، د بیلګې په توګه، که چیرې په کلستر کې یوازې یو نوډ شتون ولري، د بریښنا مدیریت به کار وکړي نه به.

د SSL تنظیم کول

بشپړ رسمي لارښوونې - in اسناد, ضمیمه D: oVirt او SSL — د oVirt انجن SSL/TLS سند بدلول.

سند یا هم زموږ د کارپوریټ CA څخه یا د بهرني سوداګریز سند واک څخه کیدی شي.

مهم یادونه: سند د مدیر سره د نښلولو لپاره دی او د انجن او نوډونو ترمنځ اړیکه به اغیزه ونکړي - دوی به د انجن لخوا صادر شوي پخپله لاسلیک شوي سندونه وکاروي.

اړتیاوې:

• د PEM په بڼه کې د CA د صادرونکي سند، د ریټ CA پورې د ټول سلسلې سره (په پیل کې د جاري کونکي CA څخه په پای کې تر ریښې پورې)؛
• د اپاچي لپاره یو سند چې د جاري کونکي CA لخوا صادر شوی (د CA سندونو د ټول سلسلې لخوا هم ضمیمه شوی)؛
• د اپاچی لپاره شخصي کیلي، پرته له پاسورډ.

راځئ فرض کړو چې زموږ صادرونکی CA CentOS پرمخ وړي، چې د subca.example.com په نوم یادیږي، او غوښتنې، کیلي، او سندونه په /etc/pki/tls/ لارښود کې موقعیت لري.

موږ بیک اپ ترسره کوو او لنډمهاله لارښود جوړوو:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

سندونه ډاونلوډ کړئ، دا د خپل کاري سټیشن څخه ترسره کړئ یا په بل مناسب ډول یې انتقال کړئ:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

د پایلې په توګه، تاسو باید ټول 3 فایلونه وګورئ:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

د سندونو نصب کول

فایلونه کاپي کړئ او د باور لیست تازه کړئ:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

د تشکیلاتو فایلونه اضافه / تازه کړئ:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

بیا، ټول اغیزمن شوي خدمتونه بیا پیل کړئ:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

چمتو! دا وخت دی چې مدیر سره وصل شئ او وګورئ چې پیوستون د لاسلیک شوي SSL سند لخوا خوندي شوی.

آرشیف کول

موږ به د هغې پرته چیرته وو؟ پدې برخه کې به موږ د مدیر آرشیف کولو په اړه وغږیږو؛ د VM آرشیف یوه جلا مسله ده. موږ به په ورځ کې یو ځل د آرشیف کاپي جوړ کړو او د NFS له لارې به یې ذخیره کړو، د بیلګې په توګه، په ورته سیسټم کې چې موږ د ISO عکسونه ځای پرځای کړي - mynfs1.example.com:/exports/ovirt-backup. دا سپارښتنه نه کیږي چې آرشیفونه په ورته ماشین کې ذخیره کړئ چیرې چې انجن چلیږي.

autofs نصب او فعال کړئ:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

راځئ چې یو سکریپټ جوړ کړو:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

لاندې مواد:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

د فایل اجرا وړ کول:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

اوس هره شپه موږ به د مدیر ترتیباتو آرشیف ترلاسه کړو.

د کوربه مدیریت انٹرفیس

کاکپټ - د لینکس سیسټمونو لپاره عصري اداري انٹرفیس. په دې حالت کې، دا د ESXi ویب انٹرفیس سره ورته رول ترسره کوي.

وريجې. 3 - د تختې بڼه.

نصب کول خورا ساده دي، تاسو د کاکپیټ کڅوړو او د کاکپیټ-اویرټ-ډشبورډ پلگ ان ته اړتیا لرئ:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

د کاکپیټ فعالول:

$ sudo systemctl enable --now cockpit.socket

د فایروال تنظیم کول:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

اوس تاسو کولی شئ کوربه سره وصل شئ: https://[Host IP or FQDN]:9090

VLANs

تاسو باید د شبکې په اړه نور ولولئ اسناد. ډیری امکانات شتون لري، دلته به موږ د مجازی شبکو نښلول تشریح کړو.

د نورو فرعي نټونو سره د نښلولو لپاره، دوی باید لومړی په ترتیب کې تشریح شي: شبکه -> شبکې -> نوی، دلته یوازې نوم اړین ساحه ده؛ د VM شبکې چیک باکس، کوم چې ماشینونو ته اجازه ورکوي چې دا شبکه وکاروي، فعال شوی، مګر د ټیګ سره نښلولو لپاره باید فعال شي د VLAN نښه کول فعال کړئ، د VLAN شمیره دننه کړئ او په OK کلیک وکړئ.

اوس تاسو اړتیا لرئ د کمپیوټ کوربه ته لاړ شئ -> کوربه -> kvmNN -> د شبکې انټرنیټونه -> کوربه شبکې تنظیم کړئ. اضافه شوې شبکه د غیر ټاکل شوي منطقي شبکو له ښیې خوا څخه کیڼ اړخ ته په ټاکل شوي منطقي شبکو کې کش کړئ:

وريجې. 4 - مخکې له دې چې شبکه اضافه کړئ.

وريجې. 5 - د شبکې اضافه کولو وروسته.

د دې لپاره چې ډیری شبکې په پراخه کچه کوربه ته وصل کړئ، دا مناسبه ده چې د شبکې جوړولو په وخت کې دوی ته لیبل وټاکئ، او د لیبلونو په واسطه شبکې اضافه کړئ.

وروسته له دې چې شبکه جوړه شي، کوربه به غیر عملیاتي حالت ته لاړ شي تر هغه چې شبکه په کلستر کې ټولو نوډونو ته اضافه شي. دا چلند په کلستر ټب کې د ټولو بیرغ اړتیا له امله رامینځته کیږي کله چې نوې شبکه رامینځته کیږي. په هغه حالت کې چې د کلستر په ټولو نوډونو کې شبکې ته اړتیا نه وي، دا بیرغ غیر فعال کیدی شي، بیا کله چې شبکه کوربه ته اضافه شي، نو دا به په غیر ضروري برخه کې ښي خوا ته وي او تاسو کولی شئ وټاکئ چې آیا وصل شئ. دا یو ځانګړي کوربه ته.

وريجې. 6- د شبکې اړتیا ځانګړتیا غوره کړئ.

HPE مشخص

نږدې ټول تولید کونکي داسې وسیلې لري چې د دوی محصولاتو کارول ښه کوي. د مثال په توګه د HPE کارول، AMS (د اجنټ بې مدیریت خدمت، د iLO5 لپاره amsd، iLO4 لپاره hp-ams) او SSA (د سمارټ ذخیره مدیر، د ډیسک کنټرولر سره کار کول)، او داسې نور ګټور دي.

د HPE ذخیره سره نښلول
موږ کیلي واردوو او د HPE ذخیره وصل کوو:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

لاندې مواد:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

د ذخیره کولو مینځپانګې او بسته معلومات وګورئ (د حوالې لپاره):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

نصب او پیل کول:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

د ډیسک کنټرولر سره کار کولو لپاره د یوټیلټي مثال

د اوس لپاره هم دومره. په لاندې مقالو کې زه پلان لرم چې د ځینې لومړني عملیاتو او غوښتنلیکونو په اړه وغږیږم. د مثال په توګه، څنګه په oVirt کې VDI جوړ کړئ.

سرچینه: www.habr.com