මෙම ලිපියෙන් අපි විකල්ප නමුත් ප්රයෝජනවත් සැකසුම් කිහිපයක් දෙස බලමු:
කළමනාකරු සඳහා අමතර නම් භාවිතා කිරීම ;Active Directory හරහා සත්යාපනය සම්බන්ධ කිරීම ;මුට්ලිපත් කිරීම ;බල කළමනාකරණය ;SSL සහතිකය වෙනුවට ;ලේඛනාගාරය ;සත්කාරක කළමනාකරණ අතුරුමුහුණත ( නියමු කුටිය) ;VLANs ;HPE විශේෂිත .
මෙම ලිපිය අඛණ්ඩව පවතී, ආරම්භය සඳහා පැය 2 කින් oVirt බලන්න
ලිපි
හැඳින්වීම කළමනාකරු (ovirt-එන්ජිම) සහ හයිපර්වයිසර් (ධාරක) ස්ථාපනය කිරීම - අතිරේක සැකසුම් - අපි මෙහි සිටිමු
අතිරේක කළමනාකරු සැකසුම්
පහසුව සඳහා, අපි අතිරේක පැකේජ ස්ථාපනය කරන්නෙමු:
$ sudo yum install bash-completion vim
විධාන සම්පූර්ණ කිරීම සබල කිරීමට, bash-completion සඳහා bash වෙත මාරු වීම අවශ්ය වේ.
අමතර DNS නම් එකතු කිරීම
ඔබට විකල්ප නාමයක් (CNAME, අන්වර්ථ, හෝ වසම් උපසර්ගයක් නොමැතිව කෙටි නමක්) භාවිතා කරමින් කළමනාකරු වෙත සම්බන්ධ වීමට අවශ්ය වූ විට මෙය අවශ්ය වේ. ආරක්ෂක හේතූන් මත, කළමනාකරු අවසර ලබා දී ඇති නම් ලැයිස්තුව භාවිතයෙන් පමණක් සම්බන්ධතා වලට ඉඩ දෙයි.
වින්යාස ගොනුවක් සාදන්න:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
පහත අන්තර්ගතය:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"
සහ කළමනාකරු නැවත ආරම්භ කරන්න:
$ sudo systemctl restart ovirt-engine
AD හරහා සත්යාපනය සැකසීම
oVirt සතුව අන්තර්ගත පරිශීලක පදනමක් ඇත, නමුත් බාහිර LDAP සපයන්නන් ද සහය දක්වයි. දැන්වීම.
සාමාන්ය වින්යාසය සඳහා සරලම ක්රමය නම් විශාරද දියත් කර කළමනාකරු නැවත ආරම්භ කිරීමයි:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine
ස්වාමියාගේ වැඩකට උදාහරණයක්
$ sudo ovirt-engine-extension-aaa-ldap-setup
පවතින LDAP ක්රියාත්මක කිරීම්:
...
3 - ක්රියාකාරී නාමාවලිය
...
කරුණාකර තෝරන්න: 3
කරුණාකර ක්රියාකාරී නාමාවලි වනාන්තර නාමය ඇතුළත් කරන්න: උදාහරණයක් ලෙස
කරුණාකර භාවිතා කිරීමට ප්රොටෝකෝලය තෝරන්න (startTLS, ldaps, plain) [startTLS]:
කරුණාකර PEM කේතනය කළ CA සහතිකය (ගොනුව, URL, පේළිගත, පද්ධතිය, අනාරක්ෂිත) ලබා ගැනීමට ක්රමය තෝරන්න: URL එක
URL:
සෙවුම් පරිශීලක DN ඇතුළු කරන්න (උදාහරණයක් ලෙස uid=username,dc=example,dc=com හෝ නිර්නාමික සඳහා හිස්ව තබන්න): CN=oVirt-Engine,CN=පරිශීලකයින්,DC=උදාහරණ,DC=com
සෙවුම් පරිශීලක මුරපදය ඇතුළත් කරන්න: *මුරපදය*
[ තොරතුරු ] 'CN=oVirt-Engine,CN=Users,DC=උදාහරණ,DC=com' භාවිතයෙන් බැඳීමට උත්සාහ කිරීම
ඔබ අතථ්ය යන්ත්ර සඳහා තනි පුරනයක් භාවිතා කිරීමට යන්නේද (ඔව්, නැත) [ඔව්]:
කරුණාකර පරිශීලකයින්ට දෘශ්යමාන වන පැතිකඩ නම සඳහන් කරන්න [example.com]:
කරුණාකර පිවිසුම් ප්රවාහය පරීක්ෂා කිරීමට අක්තපත්ර සපයන්න:
පරිශීලක නාමය ඇතුළත් කරන්න: සමහර ඕනෑම පරිශීලක
පරිශීලක මුරපදය ඇතුළත් කරන්න:
...
[තොරතුරු] ඇතුළු වීමේ අනුපිළිවෙල සාර්ථකව ක්රියාත්මක විය
...
ක්රියාත්මක කිරීමට පරීක්ෂණ අනුපිළිවෙල තෝරන්න (Done, Abort, Login, Search) [කළ]:
[තොරතුරු] අදියර: ගනුදෙනු පිහිටුවීම
...
වින්යාස සාරාංශය
...
විශාරදයා භාවිතා කිරීම බොහෝ අවස්ථාවන් සඳහා සුදුසු වේ. සංකීර්ණ සැකසුම් සඳහා, සැකසුම් අතින් සිදු කරනු ලැබේ. oVirt ලේඛනවල වැඩි විස්තර,
බහු මාර්ග
නිෂ්පාදන පරිසරයකදී, ගබඩා පද්ධතිය බහු ස්වාධීන, බහු I/O මාර්ග හරහා ධාරකයට සම්බන්ධ කළ යුතුය. රීතියක් ලෙස, CentOS හි (සහ එම නිසා oVirt) උපාංගයකට බහු මාර්ග එකලස් කිරීමේදී ගැටළු නොමැත (find_multipaths ඔව්). FCoE සඳහා අමතර සැකසුම් ලියා ඇත
උදාහරණයක් ලෙස 3PAR භාවිතා කිරීම
සහ ලේඛනය
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}
ඉන්පසු නැවත ආරම්භ කිරීමට විධානය ලබා දී ඇත:
systemctl restart multipathd
සහල්. 1 යනු පෙරනිමි බහු I/O ප්රතිපත්තියයි.
සහල්. 2 - සැකසුම් යෙදීමෙන් පසු බහු I/O ප්රතිපත්තිය.
බල කළමනාකරණය සැකසීම
එන්ජිමට දිගු වේලාවක් ධාරකයෙන් ප්රතිචාරයක් ලබා ගත නොහැකි නම්, උදාහරණයක් ලෙස, යන්ත්රයේ දෘඪාංග යළි පිහිටුවීම සිදු කිරීමට ඔබට ඉඩ සලසයි. වැට නියෝජිතයා හරහා ක්රියාත්මක වේ.
ගණනය කරන්න -> ධාරක -> සත්කාරක — සංස්කරණය කරන්න -> බල කළමනාකරණය, ඉන්පසු “බල කළමනාකරණය සක්රීය කරන්න” සහ නියෝජිතයෙකු එක් කරන්න — “වැට නියෝජිත එක් කරන්න” -> +.
අපි වර්ගය (උදාහරණයක් ලෙස, iLO5 සඳහා ඔබට ilo4 සඳහන් කිරීමට අවශ්ය වේ), ipmi අතුරුමුහුණතේ නම/ලිපිනය මෙන්ම පරිශීලක නාමය/මුරපදය ද සඳහන් කරමු. වෙනම පරිශීලකයෙකු නිර්මාණය කිරීම රෙකමදාරු කරනු ලැබේ (උදාහරණයක් ලෙස, oVirt-PM) සහ, iLO සම්බන්ධයෙන්, ඔහුට වරප්රසාද ලබා දෙන්න:
- ඇතුල් වන්න
- දුරස්ථ කොන්සෝලය
- අතථ්ය බලය සහ යළි පිහිටුවීම
- අතථ්ය මාධ්ය
- iLO සැකසුම් වින්යාස කරන්න
- පරිශීලක ගිණුම් පරිපාලනය කරන්න
මෙය එසේ වන්නේ මන්දැයි අසන්න එපා, එය ආනුභවිකව තෝරා ගන්නා ලදී. කොන්සෝල වැටවල් නියෝජිතයාට අඩු අයිතිවාසිකම් අවශ්ය වේ.
ප්රවේශ පාලන ලැයිස්තු සැකසීමේදී, නියෝජිතයා එන්ජිම මත නොව, "අසල්වැසි" ධාරකයක් (ඊනියා බලශක්ති කළමනාකරණ ප්රොක්සි) මත ක්රියාත්මක වන බව මතක තබා ගත යුතුය, එනම්, පොකුරේ ඇත්තේ එක් නෝඩයක් පමණක් නම්, බලශක්ති කළමනාකරණය වැඩ කරනු ඇත එසේ නොවනු ඇත.
SSL පිහිටුවීම
සම්පූර්ණ නිල උපදෙස් - තුළ
සහතිකය අපගේ ආයතනික CA වෙතින් හෝ බාහිර වාණිජ සහතික අධිකාරියකින් විය හැකිය.
වැදගත් සටහන: සහතිකය කළමනාකරු වෙත සම්බන්ධ වීමට අදහස් කරන අතර එන්ජිම සහ නෝඩ් අතර සන්නිවේදනයට බලපාන්නේ නැත - ඔවුන් එන්ජිම විසින් නිකුත් කරන ලද ස්වයං අත්සන් සහතික භාවිතා කරනු ඇත.
අවශ්යතා:
- PEM ආකෘතියෙන් නිකුත් කරන ලද CA සහතිකය, මූල CA දක්වා සම්පූර්ණ දාමය සමඟ (ආරම්භයේ දී CA නිකුත් කරන යටත් නිලධාරියාගේ සිට අවසානයේ root දක්වා);
- නිකුත් කරන CA විසින් නිකුත් කරන ලද Apache සඳහා සහතිකයක් (සම්පූර්ණ CA සහතික දාමයෙන් ද පරිපූරණය කර ඇත);
- මුරපදය නොමැතිව Apache සඳහා පුද්ගලික යතුර.
අපි උපකල්පනය කරමු අපගේ නිකුත් කරන CA, subca.example.com ලෙස හඳුන්වන CentOS ධාවනය වන අතර, ඉල්ලීම්, යතුරු සහ සහතික /etc/pki/tls/ බහලුම තුළ පිහිටා ඇත.
අපි උපස්ථ සිදු කර තාවකාලික නාමාවලියක් සාදන්නෙමු:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs
සහතික බාගන්න, එය ඔබගේ සේවා ස්ථානයෙන් ඉටු කරන්න හෝ වෙනත් පහසු ආකාරයකින් මාරු කරන්න:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs
එහි ප්රතිඵලයක් වශයෙන්, ඔබ සියලුම ගොනු 3ම දැකිය යුතුය:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.key
සහතික ස්ථාපනය කිරීම
ගොනු පිටපත් කර විශ්වාස ලැයිස්තු යාවත්කාලීන කරන්න:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service
වින්යාස ගොනු එක් කරන්න/යාවත්කාලීන කරන්න:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf
ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""
$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf
SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf
# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer
ඊළඟට, බලපෑමට ලක් වූ සියලුම සේවාවන් නැවත ආරම්භ කරන්න:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service
සූදානම්! කළමනාකරු වෙත සම්බන්ධ වීමට සහ අත්සන් කළ SSL සහතිකයක් මඟින් සම්බන්ධතාවය ආරක්ෂා කර ඇත්දැයි පරීක්ෂා කිරීමට කාලයයි.
සංරක්ෂණය
ඇය නොමැතිව අපි කොහේද? මෙම කොටසේදී අපි කළමනාකරු සංරක්ෂිතය ගැන කතා කරමු; VM සංරක්ෂිතය වෙනම ගැටළුවකි. අපි දිනකට වරක් සංරක්ෂිත පිටපත් සාදා ඒවා NFS හරහා ගබඩා කරන්නෙමු, උදාහරණයක් ලෙස, අපි ISO පින්තුර තැබූ එකම පද්ධතියේ - mynfs1.example.com:/exports/ovirt-backup. එන්ජිම ක්රියාත්මක වන එකම යන්ත්රයේ ලේඛනාගාරය ගබඩා කිරීම නිර්දේශ නොකරයි.
autofs ස්ථාපනය කර සබල කරන්න:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs
අපි පිටපතක් නිර්මාණය කරමු:
$ sudo vim /etc/cron.daily/make.oVirt.backup.sh
පහත අන්තර්ගතය:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;
ගොනුව ක්රියාත්මක කළ හැකි බවට පත් කිරීම:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh
දැන් සෑම රාත්රියකම අපට කළමනාකරු සැකසුම් සංරක්ෂිතයක් ලැබෙනු ඇත.
සත්කාරක කළමනාකරණ අතුරු මුහුණත
සහල්. 3 - පුවරුවේ පෙනුම.
ස්ථාපනය ඉතා සරලයි, ඔබට නියමු කුටි පැකේජ සහ cockpit-ovirt-dashboard ප්ලගිනය අවශ්ය වේ:
$ sudo yum install cockpit cockpit-ovirt-dashboard -y
නියමු කුටිය සබල කිරීම:
$ sudo systemctl enable --now cockpit.socket
ගිනි පවුර පිහිටුවීම:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent
දැන් ඔබට සත්කාරක වෙත සම්බන්ධ විය හැක: https://[Host IP හෝ FQDN]:9090
VLANs
ඔබ ජාල ගැන වැඩිදුර කියවිය යුතුය
වෙනත් උපජාල සම්බන්ධ කිරීම සඳහා, ඒවා මුලින්ම වින්යාසය තුළ විස්තර කළ යුතුය: ජාලය -> ජාල -> නව, මෙහි නම පමණක් අවශ්ය ක්ෂේත්රයකි; යන්ත්රවලට මෙම ජාලය භාවිත කිරීමට ඉඩ සලසන VM Network පිරික්සුම් කොටුව සක්රීය කර ඇත, නමුත් සම්බන්ධ කිරීමට ටැගය සක්රීය කළ යුතුය. VLAN ටැග් කිරීම සබල කරන්න, VLAN අංකය ඇතුළත් කර OK ක්ලික් කරන්න.
දැන් ඔබට Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks වෙත යන්න ඕන. පවරනු නොලබන තාර්කික ජාල වල දකුණු පස සිට වමට පවරා ඇති තාර්කික ජාල වෙතට එකතු කරන ලද ජාලය ඇදගෙන යන්න:
සහල්. 4 - ජාලයක් එකතු කිරීමට පෙර.
සහල්. 5 - ජාලයක් එකතු කිරීමෙන් පසු.
බහුවිධ ජාල තොග වශයෙන් ධාරකයකට සම්බන්ධ කිරීම සඳහා, ජාල නිර්මාණය කිරීමේදී ඒවාට ලේබලයක් (ය) පැවරීම සහ ලේබල මගින් ජාල එක් කිරීම පහසු වේ.
ජාලය නිර්මාණය කිරීමෙන් පසු, ජාලය පොකුරේ ඇති සියලුම නෝඩ් වලට එකතු කරන තෙක් ධාරක ක්රියාකාරී නොවන තත්වයට යයි. මෙම හැසිරීම නව ජාලයක් නිර්මාණය කිරීමේදී පොකුරු පටිත්තෙහි ඇති සියලුම ධජය අවශ්ය වීම නිසා ඇතිවේ. පොකුරේ සියලුම නෝඩ් වල ජාලය අවශ්ය නොවන විට, මෙම ධජය අක්රිය කළ හැකිය, පසුව ජාලය සත්කාරකයකට එකතු කළ විට, එය අවශ්ය නොවන කොටසේ දකුණු පසින් ඇති අතර ඔබට සම්බන්ධ විය යුතුද යන්න තෝරා ගත හැකිය. එය විශේෂිත සත්කාරක සමාගමකට.
සහල්. 6-ජාල අවශ්යතා ගුණාංගයක් තෝරන්න.
HPE විශේෂිත
සෑම නිෂ්පාදකයෙකුටම පාහේ ඔවුන්ගේ නිෂ්පාදනවල භාවිතය වැඩි දියුණු කරන මෙවලම් තිබේ. උදාහරණයක් ලෙස HPE භාවිතා කිරීම, AMS (Agentless Management Service, iLO5 සඳහා amsd, iLO4 සඳහා hp-ams) සහ SSA (Smart Storage Administrator, disk controller සමඟ වැඩ කිරීම) ආදිය ප්රයෝජනවත් වේ.
HPE ගබඩාව සම්බන්ධ කිරීම
අපි යතුර ආයාත කර HPE ගබඩාවන් සම්බන්ධ කරමු:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo
පහත අන්තර්ගතය:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
ගබඩා අන්තර්ගතය සහ පැකේජ තොරතුරු බලන්න (යොමු සඳහා):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd
ස්ථාපනය සහ දියත් කිරීම:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsd
තැටි පාලකයක් සමඟ වැඩ කිරීම සඳහා උපයෝගීතාවයේ උදාහරණයක්
දැනට එච්චරයි. පහත ලිපි වලින් මම මූලික මෙහෙයුම් සහ යෙදුම් කිහිපයක් ගැන කතා කිරීමට අදහස් කරමි. උදාහරණයක් ලෙස, oVirt හි VDI සාදන ආකාරය.
මූලාශ්රය: www.habr.com