În acest articol ne vom uita la o serie de setări opționale, dar utile:
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
Acest articol este o continuare, vezi oVirt în 2 ore pentru început и .
Articole
- Setări suplimentare - Suntem aici
Setări suplimentare ale managerului
Pentru comoditate, vom instala pachete suplimentare:
$ sudo yum install bash-completion vimPentru a activa finalizarea comenzii, finalizarea bash necesită trecerea la bash.
Adăugarea de nume DNS suplimentare
Acest lucru va fi necesar atunci când trebuie să vă conectați la manager folosind un nume alternativ (CNAME, alias sau doar un nume scurt fără un sufix de domeniu). Din motive de securitate, managerul permite conexiunile numai folosind lista de nume permise.
Creați un fișier de configurare:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.confurmatorul continut:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"și reporniți managerul:
$ sudo systemctl restart ovirt-engineConfigurarea autentificării prin AD
oVirt are o bază de utilizatori încorporată, dar sunt acceptați și furnizorii externi LDAP, inclusiv. ANUNȚ.
Cel mai simplu mod pentru o configurație tipică este să lansați vrăjitorul și să reporniți managerul:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engineUn exemplu de muncă de maestru
$ sudo ovirt-engine-extension-aaa-ldap-setup
Implementări LDAP disponibile:
...
3 - Active Directory
...
Te rog selecteaza: 3
Vă rugăm să introduceți numele pădurii Active Directory: example.com
Vă rugăm să selectați protocolul de utilizat (startTLS, ldaps, simplu) [startTLS]:
Vă rugăm să selectați metoda de obținere a certificatului CA codificat PEM (Fișier, URL, Inline, Sistem, Nesigur): URL-ul
URL-ul:
Introduceți DN-ul utilizatorului de căutare (de exemplu uid=nume utilizator,dc=exemplu,dc=com sau lăsați gol pentru anonim): CN=oVirt-Engine,CN=Utilizatori,DC=exemplu,DC=com
Introduceți parola de utilizator de căutare: *parola*
[ INFO ] Încercarea de a lega folosind „CN=oVirt-Engine,CN=Users,DC=example,DC=com”
Veți folosi Single Sign-On pentru mașinile virtuale (Da, Nu) [Da]:
Vă rugăm să specificați numele profilului care va fi vizibil pentru utilizatori [example.com]:
Vă rugăm să furnizați acreditările pentru a testa fluxul de conectare:
Introduceti numele de utilizator: someAnyUser
Introduceți parola utilizatorului:
...
[INFO] Secvența de conectare a fost executată cu succes
...
Selectați secvența de testare de executat (Terminat, Anulare, Conectare, Căutare) [Terminat]:
[INFO] Etapa: Configurarea tranzacției
...
REZUMAT DE CONFIGURARE
...
Utilizarea vrăjitorului este potrivită pentru majoritatea cazurilor. Pentru configurații complexe, setările sunt efectuate manual. Mai multe detalii în documentația oVirt, . După conectarea cu succes a motorului la AD, un profil suplimentar va apărea în fereastra de conectare și în filă Permisiuni Obiectele de sistem au capacitatea de a acorda permisiuni utilizatorilor și grupurilor AD. Trebuie remarcat faptul că directorul extern de utilizatori și grupuri poate fi nu numai AD, ci și IPA, eDirectory etc.
Multipathing
Într-un mediu de producție, sistemul de stocare trebuie să fie conectat la gazdă prin mai multe căi I/O independente, multiple. De regulă, în CentOS (și, prin urmare, oVirt) nu există probleme cu asamblarea mai multor căi către un dispozitiv (find_multipaths da). Sunt scrise setări suplimentare pentru FCoE . Merită să acordați atenție recomandării producătorului sistemului de stocare - mulți recomandă utilizarea politicii round-robin, dar în mod implicit, în Enterprise Linux 7 este utilizat timpul de service.
Folosind 3PAR ca exemplu
și document EL este creat ca gazdă cu Generic-ALUA Persona 2, pentru care sunt introduse următoarele valori în setările /etc/multipath.conf:
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}După care se dă comanda de repornire:
systemctl restart multipathd
Orez. 1 este politica implicită de I/O multiple.
Orez. 2 - politică I/O multiple după aplicarea setărilor.
Configurarea managementului energiei
Vă permite să efectuați, de exemplu, o resetare hardware a mașinii dacă Motorul nu poate primi un răspuns de la Gazdă pentru o perioadă lungă de timp. Implementat prin Fence Agent.
Calculează -> Gazde -> HOST — Editați -> Power Management, apoi activați „Activați gestionarea energiei” și adăugați un agent — „Add Fence Agent” -> +.
Indicăm tipul (de exemplu, pentru iLO5 trebuie să specificați ilo4), numele/adresa interfeței ipmi, precum și numele de utilizator/parola. Se recomandă să creați un utilizator separat (de exemplu, oVirt-PM) și, în cazul iLO, să îi acordați privilegii:
- Conectare
- Consolă la distanță
- Putere virtuală și resetare
- Media virtuală
- Configurați setările iLO
- Administrarea conturilor de utilizator
Nu întrebați de ce este așa, a fost ales empiric. Agentul de gardă de consolă necesită mai puține drepturi.
Când configurați liste de control al accesului, ar trebui să rețineți că agentul rulează nu pe motor, ci pe o gazdă „învecinată” (așa-numitul Power Management Proxy), adică dacă există un singur nod în cluster, managementul energiei va funcționa nu va.
Configurarea SSL
Instrucțiuni oficiale complete - în , Anexa D: oVirt și SSL — Înlocuirea certificatului SSL/TLS oVirt Engine.
Certificatul poate fi fie de la CA corporativă, fie de la o autoritate externă de certificare comercială.
Notă importantă: Certificatul este destinat conectării la manager și nu va afecta comunicarea dintre Motor și noduri - vor folosi certificate autosemnate emise de Engine.
Cerinte:
- certificatul CA emitent în format PEM, cu întreg lanțul până la CA rădăcină (de la CA emitentă subordonată la început până la rădăcină la sfârșit);
- un certificat pentru Apache eliberat de CA emitent (suplimentat și de întregul lanț de certificate CA);
- cheie privată pentru Apache, fără parolă.
Să presupunem că CA-ul nostru emitent rulează CentOS, numit subca.example.com, iar cererile, cheile și certificatele se află în directorul /etc/pki/tls/.
Efectuăm copii de siguranță și creăm un director temporar:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certsDescărcați certificate, efectuați-le de la stația dvs. de lucru sau transferați-le într-un alt mod convenabil:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certsCa rezultat, ar trebui să vedeți toate cele 3 fișiere:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.keyInstalarea certificatelor
Copiați fișierele și actualizați listele de încredere:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.serviceAdăugați/actualizați fișierele de configurare:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.confENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confSSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cerApoi, reporniți toate serviciile afectate:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.serviceGata! Este timpul să vă conectați la manager și să verificați dacă conexiunea este protejată de un certificat SSL semnat.
Arhivare
Unde am fi noi fără ea? În această secțiune vom vorbi despre arhivarea managerului; arhivarea VM este o problemă separată. Vom face copii de arhivă o dată pe zi și le vom stoca prin NFS, de exemplu, pe același sistem în care am plasat imaginile ISO - mynfs1.example.com:/exports/ovirt-backup. Nu este recomandat să stocați arhivele pe aceeași mașină pe care rulează Motorul.
Instalați și activați autofs:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofsSă creăm un script:
$ sudo vim /etc/cron.daily/make.oVirt.backup.shurmatorul continut:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;Faceți fișierul executabil:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.shAcum în fiecare seară vom primi o arhivă cu setările managerului.
Interfață de gestionare a gazdei
— o interfață administrativă modernă pentru sistemele Linux. În acest caz, îndeplinește un rol similar cu interfața web ESXi.
Orez. 3 — aspectul panoului.
Instalarea este foarte simplă, aveți nevoie de pachetele cockpit și pluginul cockpit-ovirt-dashboard:
$ sudo yum install cockpit cockpit-ovirt-dashboard -yActivarea Cockpit:
$ sudo systemctl enable --now cockpit.socketConfigurare firewall:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentAcum vă puteți conecta la gazdă: https://[Host IP sau FQDN]:9090
VLAN-uri
Ar trebui să citiți mai multe despre rețele în . Există multe posibilități, aici vom descrie conectarea rețelelor virtuale.
Pentru a conecta alte subrețele, acestea trebuie mai întâi descrise în configurație: Rețea -> Rețele -> Nou, aici doar numele este un câmp obligatoriu; Caseta de selectare VM Network, care permite mașinilor să utilizeze această rețea, este activată, dar pentru a conecta eticheta trebuie să fie activată Activați etichetarea VLAN, introduceți numărul VLAN și faceți clic pe OK.
Acum trebuie să mergeți la Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Trageți rețeaua adăugată din partea dreaptă a rețelelor logice nealocate la stânga în rețele logice atribuite:
Orez. 4 - înainte de a adăuga o rețea.
Orez. 5 - după adăugarea unei rețele.
Pentru a conecta mai multe rețele la o gazdă în bloc, este convenabil să le atribuiți o etichetă(e) atunci când creați rețele și să adăugați rețele după etichete.
După ce rețeaua este creată, gazdele vor intra în starea Non Operațională până când rețeaua este adăugată la toate nodurile din cluster. Acest comportament este cauzat de indicatorul Require All din fila Cluster atunci când se creează o nouă rețea. În cazul în care rețeaua nu este necesară pe toate nodurile cluster-ului, acest flag poate fi dezactivat, apoi atunci când rețeaua este adăugată la o gazdă, va fi în partea dreaptă în secțiunea Nenecesară și puteți alege dacă vă conectați o anumită gazdă.
Orez. 6—selectați un atribut de cerințe de rețea.
Specific HPE
Aproape toți producătorii au instrumente care îmbunătățesc gradul de utilizare a produselor lor. Folosind HPE ca exemplu, sunt utile AMS (Agentless Management Service, amsd pentru iLO5, hp-ams pentru iLO4) și SSA (Smart Storage Administrator, lucru cu un controler de disc) etc.
Conectarea depozitului HPE
Importăm cheia și conectăm depozitele HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repourmatorul continut:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcpVizualizați conținutul depozitului și informațiile despre pachet (pentru referință):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsdInstalare și lansare:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsdUn exemplu de utilitar pentru lucrul cu un controler de disc
Asta este tot pentru acum. În articolele următoare am de gând să vorbesc despre câteva operațiuni și aplicații de bază. De exemplu, cum să faci VDI în oVirt.
Sursa: www.habr.com