Pentru comoditate, vom instala pachete suplimentare:
$ sudo yum install bash-completion vim
Pentru a activa finalizarea comenzii, finalizarea bash necesită trecerea la bash.
Adăugarea de nume DNS suplimentare
Acest lucru va fi necesar atunci când trebuie să vă conectați la manager folosind un nume alternativ (CNAME, alias sau doar un nume scurt fără un sufix de domeniu). Din motive de securitate, managerul permite conexiunile numai folosind lista de nume permise.
Creați un fișier de configurare:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Un exemplu de muncă de maestru
$ sudo ovirt-engine-extension-aaa-ldap-setup
Implementări LDAP disponibile:
...
3 - Active Directory
...
Te rog selecteaza: 3
Vă rugăm să introduceți numele pădurii Active Directory: example.com
Vă rugăm să selectați protocolul de utilizat (startTLS, ldaps, simplu) [startTLS]:
Vă rugăm să selectați metoda de obținere a certificatului CA codificat PEM (Fișier, URL, Inline, Sistem, Nesigur): URL-ul
URL-ul: wwwca.example.com/myRootCA.pem
Introduceți DN-ul utilizatorului de căutare (de exemplu uid=nume utilizator,dc=exemplu,dc=com sau lăsați gol pentru anonim): CN=oVirt-Engine,CN=Utilizatori,DC=exemplu,DC=com
Introduceți parola de utilizator de căutare: *parola*
[ INFO ] Încercarea de a lega folosind „CN=oVirt-Engine,CN=Users,DC=example,DC=com”
Veți folosi Single Sign-On pentru mașinile virtuale (Da, Nu) [Da]:
Vă rugăm să specificați numele profilului care va fi vizibil pentru utilizatori [example.com]:
Vă rugăm să furnizați acreditările pentru a testa fluxul de conectare:
Introduceti numele de utilizator: someAnyUser
Introduceți parola utilizatorului:
...
[INFO] Secvența de conectare a fost executată cu succes
...
Selectați secvența de testare de executat (Terminat, Anulare, Conectare, Căutare) [Terminat]:
[INFO] Etapa: Configurarea tranzacției
...
REZUMAT DE CONFIGURARE
...
Utilizarea vrăjitorului este potrivită pentru majoritatea cazurilor. Pentru configurații complexe, setările sunt efectuate manual. Mai multe detalii în documentația oVirt, Utilizatori și roluri. După conectarea cu succes a motorului la AD, un profil suplimentar va apărea în fereastra de conectare și în filă Permisiuni Obiectele de sistem au capacitatea de a acorda permisiuni utilizatorilor și grupurilor AD. Trebuie remarcat faptul că directorul extern de utilizatori și grupuri poate fi nu numai AD, ci și IPA, eDirectory etc.
Multipathing
Într-un mediu de producție, sistemul de stocare trebuie să fie conectat la gazdă prin mai multe căi I/O independente, multiple. De regulă, în CentOS (și, prin urmare, oVirt) nu există probleme cu asamblarea mai multor căi către un dispozitiv (find_multipaths da). Sunt scrise setări suplimentare pentru FCoE partea a 2-a. Merită să acordați atenție recomandării producătorului sistemului de stocare - mulți recomandă utilizarea politicii round-robin, dar în mod implicit, în Enterprise Linux 7 este utilizat timpul de service.
Orez. 2 - politică I/O multiple după aplicarea setărilor.
Configurarea managementului energiei
Vă permite să efectuați, de exemplu, o resetare hardware a mașinii dacă Motorul nu poate primi un răspuns de la Gazdă pentru o perioadă lungă de timp. Implementat prin Fence Agent.
Calculează -> Gazde -> HOST — Editați -> Power Management, apoi activați „Activați gestionarea energiei” și adăugați un agent — „Add Fence Agent” -> +.
Indicăm tipul (de exemplu, pentru iLO5 trebuie să specificați ilo4), numele/adresa interfeței ipmi, precum și numele de utilizator/parola. Se recomandă să creați un utilizator separat (de exemplu, oVirt-PM) și, în cazul iLO, să îi acordați privilegii:
Conectare
Consolă la distanță
Putere virtuală și resetare
Media virtuală
Configurați setările iLO
Administrarea conturilor de utilizator
Nu întrebați de ce este așa, a fost ales empiric. Agentul de gardă de consolă necesită mai puține drepturi.
Când configurați liste de control al accesului, ar trebui să rețineți că agentul rulează nu pe motor, ci pe o gazdă „învecinată” (așa-numitul Power Management Proxy), adică dacă există un singur nod în cluster, managementul energiei va funcționa nu va.
Configurarea SSL
Instrucțiuni oficiale complete - în documentație, Anexa D: oVirt și SSL — Înlocuirea certificatului SSL/TLS oVirt Engine.
Certificatul poate fi fie de la CA corporativă, fie de la o autoritate externă de certificare comercială.
Notă importantă: Certificatul este destinat conectării la manager și nu va afecta comunicarea dintre Motor și noduri - vor folosi certificate autosemnate emise de Engine.
Cerinte:
certificatul CA emitent în format PEM, cu întreg lanțul până la CA rădăcină (de la CA emitentă subordonată la început până la rădăcină la sfârșit);
un certificat pentru Apache eliberat de CA emitent (suplimentat și de întregul lanț de certificate CA);
cheie privată pentru Apache, fără parolă.
Să presupunem că CA-ul nostru emitent rulează CentOS, numit subca.example.com, iar cererile, cheile și certificatele se află în directorul /etc/pki/tls/.
Efectuăm copii de siguranță și creăm un director temporar:
Gata! Este timpul să vă conectați la manager și să verificați dacă conexiunea este protejată de un certificat SSL semnat.
Arhivare
Unde am fi noi fără ea? În această secțiune vom vorbi despre arhivarea managerului; arhivarea VM este o problemă separată. Vom face copii de arhivă o dată pe zi și le vom stoca prin NFS, de exemplu, pe același sistem în care am plasat imaginile ISO - mynfs1.example.com:/exports/ovirt-backup. Nu este recomandat să stocați arhivele pe aceeași mașină pe care rulează Motorul.
Acum vă puteți conecta la gazdă: https://[Host IP sau FQDN]:9090
VLAN-uri
Ar trebui să citiți mai multe despre rețele în documentație. Există multe posibilități, aici vom descrie conectarea rețelelor virtuale.
Pentru a conecta alte subrețele, acestea trebuie mai întâi descrise în configurație: Rețea -> Rețele -> Nou, aici doar numele este un câmp obligatoriu; Caseta de selectare VM Network, care permite mașinilor să utilizeze această rețea, este activată, dar pentru a conecta eticheta trebuie să fie activată Activați etichetarea VLAN, introduceți numărul VLAN și faceți clic pe OK.
Acum trebuie să mergeți la Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Trageți rețeaua adăugată din partea dreaptă a rețelelor logice nealocate la stânga în rețele logice atribuite:
Orez. 4 - înainte de a adăuga o rețea.
Orez. 5 - după adăugarea unei rețele.
Pentru a conecta mai multe rețele la o gazdă în bloc, este convenabil să le atribuiți o etichetă(e) atunci când creați rețele și să adăugați rețele după etichete.
După ce rețeaua este creată, gazdele vor intra în starea Non Operațională până când rețeaua este adăugată la toate nodurile din cluster. Acest comportament este cauzat de indicatorul Require All din fila Cluster atunci când se creează o nouă rețea. În cazul în care rețeaua nu este necesară pe toate nodurile cluster-ului, acest flag poate fi dezactivat, apoi atunci când rețeaua este adăugată la o gazdă, va fi în partea dreaptă în secțiunea Nenecesară și puteți alege dacă vă conectați o anumită gazdă.
Orez. 6—selectați un atribut de cerințe de rețea.
Specific HPE
Aproape toți producătorii au instrumente care îmbunătățesc gradul de utilizare a produselor lor. Folosind HPE ca exemplu, sunt utile AMS (Agentless Management Service, amsd pentru iLO5, hp-ams pentru iLO4) și SSA (Smart Storage Administrator, lucru cu un controler de disc) etc.
Conectarea depozitului HPE
Importăm cheia și conectăm depozitele HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo
Un exemplu de utilitar pentru lucrul cu un controler de disc
Asta este tot pentru acum. În articolele următoare am de gând să vorbesc despre câteva operațiuni și aplicații de bază. De exemplu, cum să faci VDI în oVirt.