Ak chcete povoliť dokončenie príkazu, dokončenie bash vyžaduje prepnutie na bash.
Pridanie ďalších názvov DNS
Toto sa bude vyžadovať, keď sa potrebujete pripojiť k manažérovi pomocou alternatívneho mena (CNAME, alias alebo len krátky názov bez prípony domény). Z bezpečnostných dôvodov správca povoľuje pripojenia iba pomocou povoleného zoznamu mien.
Vytvorte konfiguračný súbor:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Príklad práce majstra
$ sudo ovirt-engine-extension-aaa-ldap-setup
Dostupné implementácie LDAP:
...
3 - Active Directory
...
Prosím vyber: 3
Zadajte názov lesa Active Directory: example.com
Vyberte protokol, ktorý chcete použiť (startTLS, ldaps, plain) [startTLS]:
Vyberte spôsob získania certifikátu CA s kódovaním PEM (Súbor, URL, Vložené, Systém, Nezabezpečené): URL
URL: wwwca.example.com/myRootCA.pem
Zadajte DN vyhľadávacieho používateľa (napríklad uid=používateľské meno,dc=príklad,dc=com alebo ponechajte prázdne pre anonym): CN=oVirt-Engine,CN=Používatelia,DC=príklad,DC=com
Zadajte heslo používateľa vyhľadávania: *heslo*
[ INFO ] Pokus o spojenie pomocou 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Chystáte sa používať jednotné prihlásenie pre virtuálne počítače (áno, nie) [Áno]:
Zadajte názov profilu, ktorý bude viditeľný pre používateľov [example.com]:
Zadajte prihlasovacie údaje na testovanie prihlasovacieho procesu:
Zadajte užívateľské meno: nejakýAkýkoľvekPoužívateľ
Zadajte heslo používateľa:
...
[INFO] Prihlasovacia sekvencia bola úspešne vykonaná
...
Vyberte testovaciu sekvenciu na vykonanie (Hotovo, Prerušiť, Prihlásiť sa, Hľadať) [Hotový]:
[INFO] Fáza: Nastavenie transakcie
...
SÚHRN KONFIGURÁCIE
...
Použitie sprievodcu je vhodné pre väčšinu prípadov. Pri zložitých konfiguráciách sa nastavenia vykonávajú manuálne. Viac podrobností v dokumentácii oVirt, Používatelia a roly. Po úspešnom pripojení Engine k AD sa v okne pripojenia a na karte zobrazí ďalší profil Oprávnenie Systémové objekty majú schopnosť udeľovať povolenia používateľom a skupinám AD. Je potrebné poznamenať, že externým adresárom používateľov a skupín môže byť nielen AD, ale aj IPA, eDirectory atď.
Viaccestné
V produkčnom prostredí musí byť úložný systém pripojený k hostiteľovi prostredníctvom viacerých nezávislých, viacerých I/O ciest. V CentOS (a teda oVirt) spravidla nie sú problémy so zostavením viacerých ciest k zariadeniu (find_multipaths áno). Ďalšie nastavenia pre FCoE sú zapísané 2. časť. Stojí za to venovať pozornosť odporúčaniu výrobcu úložného systému - mnohí odporúčajú používať politiku round-robin, ale štandardne sa v Enterprise Linux 7 používa servisný čas.
Ryža. 2 - viacnásobná I/O politika po použití nastavení.
Nastavenie správy napájania
Umožňuje vykonať napríklad hardvérový reset stroja, ak Engine nemôže dlhší čas prijímať odpoveď od hostiteľa. Implementované cez Fence Agent.
Vypočítať -> Hostitelia -> HOST — Upraviť -> Správa napájania, potom povoľte „Povoliť správu napájania“ a pridajte agenta — „Pridať agenta Fence“ -> +.
Uvádzame typ (napríklad pre iLO5 musíte zadať ilo4), názov/adresu rozhrania ipmi, ako aj používateľské meno/heslo. Odporúča sa vytvoriť samostatného používateľa (napríklad oVirt-PM) a v prípade iLO mu prideliť privilégiá:
Prihlásiť sa
Vzdialená konzola
Virtuálne napájanie a reset
Virtuálne médiá
Nakonfigurujte nastavenia iLO
Spravovať používateľské účty
Nepýtajte sa, prečo je to tak, bolo to vybrané empiricky. Agent konzolového oplotenia vyžaduje menej práv.
Pri nastavovaní zoznamov riadenia prístupu by ste mali mať na pamäti, že agent nebeží na motore, ale na „susednom“ hostiteľovi (tzv. Power Management Proxy), t. j. ak je v klastri iba jeden uzol, správa napájania bude fungovať nebude.
Nastavenie protokolu SSL
Úplné oficiálne pokyny - in dokumentáciu, Príloha D: oVirt a SSL – Náhrada certifikátu SSL/TLS oVirt Engine.
Certifikát môže byť od našej firemnej CA alebo od externej komerčnej certifikačnej autority.
Dôležitá poznámka: Certifikát je určený na pripojenie k manažérovi a neovplyvní komunikáciu medzi Enginem a uzlami – budú používať certifikáty s vlastným podpisom vydané Engine.
požiadavky:
certifikát vydávajúcej CA vo formáte PEM s celým reťazcom až po koreňovú CA (od podriadenej vydávajúcej CA na začiatku po koreňovú na konci);
certifikát pre Apache vydaný vydávajúcou CA (doplnený aj o celý reťazec certifikátov CA);
súkromný kľúč pre Apache, bez hesla.
Predpokladajme, že naša vydávajúca CA používa CentOS s názvom subca.example.com a požiadavky, kľúče a certifikáty sa nachádzajú v adresári /etc/pki/tls/.
Pripravený! Je čas pripojiť sa k manažérovi a skontrolovať, či je pripojenie chránené podpísaným certifikátom SSL.
Archivácia
Kde by sme boli bez nej? V tejto časti budeme hovoriť o archivácii manažérov, archivácia VM je samostatný problém. Raz denne vytvoríme archívne kópie a uložíme ich napríklad cez NFS na rovnaký systém, kam sme umiestnili ISO obrazy - mynfs1.example.com:/exports/ovirt-backup. Neodporúča sa ukladať archívy na tom istom počítači, na ktorom je spustený Engine.
Teraz sa môžete pripojiť k hostiteľovi: https://[IP hostiteľa alebo FQDN]:9090
VLAN
Mali by ste si prečítať viac o sieťach v dokumentáciu. Možností je veľa, tu si popíšeme prepojenie virtuálnych sietí.
Ak chcete pripojiť ďalšie podsiete, musíte ich najskôr popísať v konfigurácii: Sieť -> Siete -> Nové, tu je povinným poľom iba názov; Začiarkavacie políčko VM Network, ktoré umožňuje počítačom používať túto sieť, je povolené, ale na pripojenie značky musí byť povolené Povoliť označovanie VLAN, zadajte číslo VLAN a kliknite na tlačidlo OK.
Teraz musíte prejsť na Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Presuňte pridanú sieť z pravej strany nepriradených logických sietí doľava do priradených logických sietí:
Ryža. 4 - pred pridaním siete.
Ryža. 5 - po pridaní siete.
Ak chcete hromadne pripojiť viacero sietí k hostiteľovi, je vhodné im pri vytváraní sietí priradiť štítok (štítky) a pridávať siete podľa štítkov.
Po vytvorení siete prejdú hostitelia do stavu Non Operational, kým sa sieť nepridá do všetkých uzlov v klastri. Toto správanie je spôsobené príznakom Vyžadovať všetko na karte Klaster pri vytváraní novej siete. V prípade, že sieť nie je potrebná na všetkých uzloch klastra, je možné tento príznak deaktivovať, potom keď sa sieť pridá k hostiteľovi, bude vpravo v časti Nevyžadované a môžete si vybrať, či sa chcete pripojiť to konkrétnemu hostiteľovi.
Ryža. 6—zvoľte atribút sieťovej požiadavky.
Špecifické pre HPE
Takmer všetci výrobcovia majú nástroje, ktoré zlepšujú použiteľnosť ich produktov. Ak použijeme HPE ako príklad, užitočné sú AMS (Agentless Management Service, amsd pre iLO5, hp-ams pre iLO4) a SSA (Smart Storage Administrator, práca s radičom disku) atď.
Pripojenie úložiska HPE
Importujeme kľúč a pripájame úložiská HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo