oVirt za 2 hodiny. Časť 3. Ďalšie nastavenia

V tomto článku sa pozrieme na množstvo voliteľných, ale užitočných nastavení:

• používanie ďalších mien pre manažéra;
• pripojenie autentifikácie cez Active Directory;
• Multipathing;
• správa napájania;
• nahradenie certifikátu SSL;
• archivácia;
• rozhranie správy hostiteľa (kokpit);
• VLAN;
• Špecifické pre HPE.

Tento článok je pokračovaním, na začiatok si pozrite oVirt o 2 hodiny Часть 1 и Časť 2.

články

1. Úvod
2. Inštalácia manažéra (ovirt-engine) a hypervízorov (hostiteľov)
3. Ďalšie nastavenia – Sme tu

Ďalšie nastavenia správcu

Pre pohodlie nainštalujeme ďalšie balíčky:

$ sudo yum install bash-completion vim

Ak chcete povoliť dokončenie príkazu, dokončenie bash vyžaduje prepnutie na bash.

Pridanie ďalších názvov DNS

Toto sa bude vyžadovať, keď sa potrebujete pripojiť k manažérovi pomocou alternatívneho mena (CNAME, alias alebo len krátky názov bez prípony domény). Z bezpečnostných dôvodov správca povoľuje pripojenia iba pomocou povoleného zoznamu mien.

Vytvorte konfiguračný súbor:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

nasledujúci obsah:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

a reštartujte správcu:

$ sudo systemctl restart ovirt-engine

Nastavenie autentifikácie cez AD

oVirt má zabudovanú používateľskú základňu, ale sú podporovaní aj externí poskytovatelia LDAP, vr. A.D.

Najjednoduchším spôsobom typickej konfigurácie je spustiť sprievodcu a reštartovať správcu:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Príklad práce majstra
$ sudo ovirt-engine-extension-aaa-ldap-setup
Dostupné implementácie LDAP:
...
3 - Active Directory
...
Prosím vyber: 3
Zadajte názov lesa Active Directory: example.com

Vyberte protokol, ktorý chcete použiť (startTLS, ldaps, plain) [startTLS]:
Vyberte spôsob získania certifikátu CA s kódovaním PEM (Súbor, URL, Vložené, Systém, Nezabezpečené): URL
URL: wwwca.example.com/myRootCA.pem
Zadajte DN vyhľadávacieho používateľa (napríklad uid=používateľské meno,dc=príklad,dc=com alebo ponechajte prázdne pre anonym): CN=oVirt-Engine,CN=Používatelia,DC=príklad,DC=com
Zadajte heslo používateľa vyhľadávania: *heslo*
[ INFO ] Pokus o spojenie pomocou 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Chystáte sa používať jednotné prihlásenie pre virtuálne počítače (áno, nie) [Áno]:
Zadajte názov profilu, ktorý bude viditeľný pre používateľov [example.com]:
Zadajte prihlasovacie údaje na testovanie prihlasovacieho procesu:
Zadajte užívateľské meno: nejakýAkýkoľvekPoužívateľ
Zadajte heslo používateľa:
...
[INFO] Prihlasovacia sekvencia bola úspešne vykonaná
...
Vyberte testovaciu sekvenciu na vykonanie (Hotovo, Prerušiť, Prihlásiť sa, Hľadať) [Hotový]:
[INFO] Fáza: Nastavenie transakcie
...
SÚHRN KONFIGURÁCIE
...

Použitie sprievodcu je vhodné pre väčšinu prípadov. Pri zložitých konfiguráciách sa nastavenia vykonávajú manuálne. Viac podrobností v dokumentácii oVirt, Používatelia a roly. Po úspešnom pripojení Engine k AD sa v okne pripojenia a na karte zobrazí ďalší profil Oprávnenie Systémové objekty majú schopnosť udeľovať povolenia používateľom a skupinám AD. Je potrebné poznamenať, že externým adresárom používateľov a skupín môže byť nielen AD, ale aj IPA, eDirectory atď.

Viaccestné

V produkčnom prostredí musí byť úložný systém pripojený k hostiteľovi prostredníctvom viacerých nezávislých, viacerých I/O ciest. V CentOS (a teda oVirt) spravidla nie sú problémy so zostavením viacerých ciest k zariadeniu (find_multipaths áno). Ďalšie nastavenia pre FCoE sú zapísané 2. časť. Stojí za to venovať pozornosť odporúčaniu výrobcu úložného systému - mnohí odporúčajú používať politiku round-robin, ale štandardne sa v Enterprise Linux 7 používa servisný čas.

Ako príklad použijeme 3PAR
a dokumentovať HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux a Sprievodca implementáciou servera OracleVM EL je vytvorený ako hostiteľ s Generic-ALUA Persona 2, pre ktorý sú v nastaveniach /etc/multipath.conf zadané nasledujúce hodnoty:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Potom je zadaný príkaz na reštartovanie:

systemctl restart multipathd

Ryža. 1 je predvolená politika viacerých I/O.

Ryža. 2 - viacnásobná I/O politika po použití nastavení.

Nastavenie správy napájania

Umožňuje vykonať napríklad hardvérový reset stroja, ak Engine nemôže dlhší čas prijímať odpoveď od hostiteľa. Implementované cez Fence Agent.

Vypočítať -> Hostitelia -> HOST — Upraviť -> Správa napájania, potom povoľte „Povoliť správu napájania“ a pridajte agenta — „Pridať agenta Fence“ -> +.

Uvádzame typ (napríklad pre iLO5 musíte zadať ilo4), názov/adresu rozhrania ipmi, ako aj používateľské meno/heslo. Odporúča sa vytvoriť samostatného používateľa (napríklad oVirt-PM) a v prípade iLO mu prideliť privilégiá:

• Prihlásiť sa
• Vzdialená konzola
• Virtuálne napájanie a reset
• Virtuálne médiá
• Nakonfigurujte nastavenia iLO
• Spravovať používateľské účty

Nepýtajte sa, prečo je to tak, bolo to vybrané empiricky. Agent konzolového oplotenia vyžaduje menej práv.

Pri nastavovaní zoznamov riadenia prístupu by ste mali mať na pamäti, že agent nebeží na motore, ale na „susednom“ hostiteľovi (tzv. Power Management Proxy), t. j. ak je v klastri iba jeden uzol, správa napájania bude fungovať nebude.

Nastavenie protokolu SSL

Úplné oficiálne pokyny - in dokumentáciu, Príloha D: oVirt a SSL – Náhrada certifikátu SSL/TLS oVirt Engine.

Certifikát môže byť od našej firemnej CA alebo od externej komerčnej certifikačnej autority.

Dôležitá poznámka: Certifikát je určený na pripojenie k manažérovi a neovplyvní komunikáciu medzi Enginem a uzlami – budú používať certifikáty s vlastným podpisom vydané Engine.

požiadavky:

• certifikát vydávajúcej CA vo formáte PEM s celým reťazcom až po koreňovú CA (od podriadenej vydávajúcej CA na začiatku po koreňovú na konci);
• certifikát pre Apache vydaný vydávajúcou CA (doplnený aj o celý reťazec certifikátov CA);
• súkromný kľúč pre Apache, bez hesla.

Predpokladajme, že naša vydávajúca CA používa CentOS s názvom subca.example.com a požiadavky, kľúče a certifikáty sa nachádzajú v adresári /etc/pki/tls/.

Vykonávame zálohy a vytvárame dočasný adresár:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Stiahnite si certifikáty, vykonajte to zo svojej pracovnej stanice alebo ich preneste iným pohodlným spôsobom:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

V dôsledku toho by ste mali vidieť všetky 3 súbory:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Inštalácia certifikátov

Skopírujte súbory a aktualizujte zoznamy dôveryhodných informácií:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Pridať/aktualizovať konfiguračné súbory:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Potom reštartujte všetky ovplyvnené služby:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Pripravený! Je čas pripojiť sa k manažérovi a skontrolovať, či je pripojenie chránené podpísaným certifikátom SSL.

Archivácia

Kde by sme boli bez nej? V tejto časti budeme hovoriť o archivácii manažérov, archivácia VM je samostatný problém. Raz denne vytvoríme archívne kópie a uložíme ich napríklad cez NFS na rovnaký systém, kam sme umiestnili ISO obrazy - mynfs1.example.com:/exports/ovirt-backup. Neodporúča sa ukladať archívy na tom istom počítači, na ktorom je spustený Engine.

Nainštalujte a povoľte autofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Vytvorme skript:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

nasledujúci obsah:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Vytvorenie spustiteľného súboru:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Teraz každý večer dostaneme archív manažérskych nastavení.

Rozhranie správy hostiteľa

Pilotná kabína — moderné administratívne rozhranie pre systémy Linux. V tomto prípade plní podobnú úlohu ako webové rozhranie ESXi.

Ryža. 3 — vzhľad panelu.

Inštalácia je veľmi jednoduchá, potrebujete balíčky kokpitu a doplnok kokpit-ovirt-dashboard:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Povolenie kokpitu:

$ sudo systemctl enable --now cockpit.socket

Nastavenie brány firewall:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Teraz sa môžete pripojiť k hostiteľovi: https://[IP hostiteľa alebo FQDN]:9090

VLAN

Mali by ste si prečítať viac o sieťach v dokumentáciu. Možností je veľa, tu si popíšeme prepojenie virtuálnych sietí.

Ak chcete pripojiť ďalšie podsiete, musíte ich najskôr popísať v konfigurácii: Sieť -> Siete -> Nové, tu je povinným poľom iba názov; Začiarkavacie políčko VM Network, ktoré umožňuje počítačom používať túto sieť, je povolené, ale na pripojenie značky musí byť povolené Povoliť označovanie VLAN, zadajte číslo VLAN a kliknite na tlačidlo OK.

Teraz musíte prejsť na Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Presuňte pridanú sieť z pravej strany nepriradených logických sietí doľava do priradených logických sietí:

Ryža. 4 - pred pridaním siete.

Ryža. 5 - po pridaní siete.

Ak chcete hromadne pripojiť viacero sietí k hostiteľovi, je vhodné im pri vytváraní sietí priradiť štítok (štítky) a pridávať siete podľa štítkov.

Po vytvorení siete prejdú hostitelia do stavu Non Operational, kým sa sieť nepridá do všetkých uzlov v klastri. Toto správanie je spôsobené príznakom Vyžadovať všetko na karte Klaster pri vytváraní novej siete. V prípade, že sieť nie je potrebná na všetkých uzloch klastra, je možné tento príznak deaktivovať, potom keď sa sieť pridá k hostiteľovi, bude vpravo v časti Nevyžadované a môžete si vybrať, či sa chcete pripojiť to konkrétnemu hostiteľovi.

Ryža. 6—zvoľte atribút sieťovej požiadavky.

Špecifické pre HPE

Takmer všetci výrobcovia majú nástroje, ktoré zlepšujú použiteľnosť ich produktov. Ak použijeme HPE ako príklad, užitočné sú AMS (Agentless Management Service, amsd pre iLO5, hp-ams pre iLO4) a SSA (Smart Storage Administrator, práca s radičom disku) atď.

Pripojenie úložiska HPE
Importujeme kľúč a pripájame úložiská HPE:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

nasledujúci obsah:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Zobraziť obsah úložiska a informácie o balíku (pre referenciu):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Inštalácia a spustenie:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Príklad pomôcky na prácu s radičom disku

To je zatiaľ všetko. V nasledujúcich článkoch plánujem hovoriť o niektorých základných operáciách a aplikáciách. Napríklad, ako urobiť VDI v oVirt.

Zdroj: hab.com