Por conveniência, instalaremos pacotes adicionais:
$ sudo yum install bash-completion vim
Para habilitar a conclusão do comando, a conclusão do bash requer a mudança para o bash.
Adicionando nomes DNS adicionais
Isso será necessário quando você precisar se conectar ao gerenciador usando um nome alternativo (CNAME, alias ou apenas um nome curto sem sufixo de domínio). Por motivos de segurança, o gerenciador permite conexões apenas utilizando a lista de nomes permitidos.
Crie um arquivo de configuração:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Um exemplo de trabalho de mestrado
$ sudo ovirt-engine-extension-aaa-ldap-setup
Implementações LDAP disponíveis:
...
3 - Diretório Ativo
...
Por favor selecione: 3
Insira o nome da floresta do Active Directory: example.com
Selecione o protocolo a ser usado (startTLS, ldaps, plain) [iniciarTLS]:
Selecione o método para obter o certificado CA codificado em PEM (Arquivo, URL, Inline, Sistema, Inseguro): URL
URL: wwwca.example.com/myRootCA.pem
Insira o DN do usuário de pesquisa (por exemplo uid=username,dc=example,dc=com ou deixe em branco para anônimo): CN=oVirt-Engine,CN=Usuários,DC=exemplo,DC=com
Digite a senha do usuário de pesquisa: *senha*
[ INFO ] Tentativa de ligação usando 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Você usará o logon único para máquinas virtuais (sim, não) [Sim]:
Especifique o nome do perfil que ficará visível para os usuários [exemplo.com]:
Forneça credenciais para testar o fluxo de login:
Insira nome de usuário: algumAnyUser
Digite a senha do usuário:
...
[INFO] Sequência de login executada com sucesso
...
Selecione a sequência de teste a ser executada (Concluído, Abortar, Login, Pesquisa) [Feito]:
[INFO] Etapa: Configuração da transação
...
RESUMO DA CONFIGURAÇÃO
...
Usar o assistente é adequado para a maioria dos casos. Para configurações complexas, as configurações são realizadas manualmente. Mais detalhes na documentação do oVirt, Usuários e Funções. Após conectar com sucesso o Engine ao AD, um perfil adicional aparecerá na janela de conexão e na aba Permissões Os objetos do sistema têm a capacidade de conceder permissões a usuários e grupos do AD. Ressalta-se que o diretório externo de usuários e grupos pode ser não apenas AD, mas também IPA, eDirectory, etc.
Caminhos múltiplos
Em um ambiente de produção, o sistema de armazenamento deve estar conectado ao host por meio de vários caminhos de E/S independentes. Como regra, no CentOS (e, portanto, no oVirt) não há problemas com a montagem de vários caminhos para um dispositivo (find_multipaths sim). Configurações adicionais para FCoE estão escritas em Parte 2. Vale a pena prestar atenção à recomendação do fabricante do sistema de armazenamento - muitos recomendam o uso da política round-robin, mas o tempo de serviço é usado por padrão no Enterprise Linux 7.
Arroz. 2 - política de E/S múltipla após aplicar configurações.
Configurando o gerenciamento de energia
Permite realizar, por exemplo, um reset de hardware da máquina caso o Engine não consiga receber uma resposta do Host por um longo período. Implementado através do Fence Agent.
Computar -> Hosts -> HOST — Editar -> Gerenciamento de Energia, então habilite “Ativar Gerenciamento de Energia” e adicione um agente — “Adicionar Agente Fence” -> +.
Indicamos o tipo (por exemplo, para iLO5 você precisa especificar ilo4), o nome/endereço da interface ipmi, bem como o nome de usuário/senha. Recomenda-se criar um usuário separado (por exemplo, oVirt-PM) e, no caso do iLO, conceder-lhe privilégios:
Entrar
Console remoto
Alimentação virtual e reinicialização
Mídia Virtual
Definir configurações do iLO
Administrar contas de usuário
Não pergunte por que isso acontece, foi escolhido empiricamente. O agente de isolamento do console requer menos direitos.
Ao configurar listas de controle de acesso, você deve ter em mente que o agente não é executado no mecanismo, mas em um host “vizinho” (o chamado Power Management Proxy), ou seja, se houver apenas um nó no cluster, o gerenciamento de energia funcionará não vai.
Configurando SSL
Instruções oficiais completas - em documentação, Apêndice D: oVirt e SSL — Substituindo o certificado SSL/TLS do oVirt Engine.
O certificado pode ser de nossa CA corporativa ou de uma autoridade de certificação comercial externa.
Nota importante: O certificado é destinado à conexão com o gerenciador e não afetará a comunicação entre o Engine e os nós - eles utilizarão certificados autoassinados emitidos pelo Engine.
Requisitos:
certificado da CA emissora em formato PEM, com toda a cadeia até a CA raiz (da CA emissora subordinada no início até a raiz no final);
um certificado para Apache emitido pela CA emissora (também complementado por toda a cadeia de certificados da CA);
chave privada para Apache, sem senha.
Vamos supor que nossa CA emissora esteja executando o CentOS, chamado subca.example.com, e as solicitações, chaves e certificados estejam localizados no diretório /etc/pki/tls/.
Realizamos backups e criamos um diretório temporário:
Preparar! É hora de conectar-se ao gerenciador e verificar se a conexão está protegida por um certificado SSL assinado.
Arquivamento
Onde estaríamos sem ela? Nesta seção falaremos sobre o arquivamento do gerenciador; o arquivamento da VM é um assunto separado. Faremos cópias de arquivo uma vez por dia e as armazenaremos via NFS, por exemplo, no mesmo sistema onde colocamos as imagens ISO - mynfs1.example.com:/exports/ovirt-backup. Não é recomendado armazenar arquivos na mesma máquina onde o Engine está rodando.
Agora você pode se conectar ao host: https://[Host IP ou FQDN]:9090
VLANs
Você deveria ler mais sobre redes em documentação. Existem muitas possibilidades, aqui descreveremos a conexão de redes virtuais.
Para conectar outras sub-redes, elas devem primeiro ser descritas na configuração: Rede -> Redes -> Nova, aqui apenas o nome é um campo obrigatório; A caixa de seleção VM Network, que permite que as máquinas usem esta rede, está habilitada, mas para conectar a tag deve estar habilitada Habilitar marcação de VLAN, insira o número da VLAN e clique em OK.
Agora você precisa ir para Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Arraste a rede adicionada do lado direito de Redes Lógicas Não Atribuídas para a esquerda em Redes Lógicas Atribuídas:
Arroz. 4 - antes de adicionar uma rede.
Arroz. 5 - após adicionar uma rede.
Para conectar múltiplas redes a um host em massa, é conveniente atribuir rótulo(s) a elas ao criar redes e adicionar redes por rótulos.
Depois que a rede for criada, os hosts entrarão no estado Não Operacional até que a rede seja adicionada a todos os nós do cluster. Esse comportamento é causado pelo sinalizador Exigir Tudo na guia Cluster ao criar uma nova rede. Caso a rede não seja necessária em todos os nós do cluster, este sinalizador pode ser desabilitado, então quando a rede for adicionada a um host, ela estará à direita na seção Não Obrigatório e você poderá escolher se deseja conectar para um host específico.
Arroz. 6 — selecione um atributo de requisito de rede.
Específico da HPE
Quase todos os fabricantes possuem ferramentas que melhoram a usabilidade de seus produtos. Usando HPE como exemplo, AMS (Agentless Management Service, amsd para iLO5, hp-ams para iLO4) e SSA (Smart Storage Administrator, trabalhando com um controlador de disco), etc.
Conectar o repositório HPE
Importamos a chave e conectamos os repositórios HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo