oVirt v 2 urah. Del 3. Dodatne nastavitve

V tem članku si bomo ogledali številne neobvezne, a uporabne nastavitve:

• uporaba dodatnih imen za upravitelja;
• povezovanje avtentikacije prek Active Directory;
• Mutlipathing;
• upravljanje porabe energije;
• zamenjava SSL certifikata;
• arhiviranje;
• vmesnik za upravljanje gostitelja (kokpit);
• VLAN-i;
• HPE specifično.

Ta članek je nadaljevanje, glejte oVirt čez 2 uri za začetek Часть 1 и Del 2.

Članki

1. Predstavitev
2. Namestitev upravitelja (ovirt-engine) in hipervizorjev (gostitelji)
3. Dodatne nastavitve - Tukaj smo

Dodatne nastavitve upravitelja

Za udobje bomo namestili dodatne pakete:

$ sudo yum install bash-completion vim

Če želite omogočiti dokončanje ukaza, morate za dokončanje bash preklopiti na bash.

Dodajanje dodatnih imen DNS

To bo potrebno, ko se boste morali povezati z upraviteljem z alternativnim imenom (CNAME, vzdevek ali samo kratko ime brez domenske pripone). Iz varnostnih razlogov upravitelj dovoljuje povezave samo z dovoljenim seznamom imen.

Ustvarite konfiguracijsko datoteko:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

naslednjo vsebino:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

in znova zaženite upravitelja:

$ sudo systemctl restart ovirt-engine

Nastavitev avtentikacije preko AD

oVirt ima vgrajeno bazo uporabnikov, vendar so podprti tudi zunanji ponudniki LDAP, vklj. A.D.

Najenostavnejši način za tipično konfiguracijo je zagon čarovnika in ponovni zagon upravitelja:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Primer magistrskega dela
$ sudo ovirt-motor-razširitev-aaa-ldap-nastavitev
Razpoložljive izvedbe LDAP:
...
3 - Active Directory
...
Prosim izberite: 3
Vnesite ime gozda Active Directory: example.com

Izberite protokol za uporabo (startTLS, ldaps, plain) [startTLS]:
Izberite način za pridobitev PEM kodiranega potrdila CA (datoteka, URL, v vrstici, sistem, nevarno): URL
Spletna stran: wwwca.example.com/myRootCA.pem
Vnesite DN iskalnega uporabnika (na primer uid=username,dc=example,dc=com ali pustite prazno za anonimno): CN=oVirt-Engine,CN=Uporabniki,DC=primer,DC=com
Vnesite uporabniško geslo za iskanje: *geslo*
[INFO] Poskus povezovanja z 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Ali boste uporabili enotno prijavo za virtualne stroje (da, ne) [da]:
Določite ime profila, ki bo vidno uporabnikom [example.com]:
Navedite poverilnice za preizkus poteka prijave:
Vnesite uporabniško ime: someAnyUser
Vnesite uporabniško geslo:
...
[INFO] Zaporedje prijave je bilo uspešno izvedeno
...
Izberite testno zaporedje za izvedbo (Končano, Prekinitev, Prijava, Iskanje) [Končano]:
[INFO] Faza: Nastavitev transakcije
...
POVZETEK KONFIGURACIJE
...

Uporaba čarovnika je primerna za večino primerov. Za kompleksne konfiguracije se nastavitve izvedejo ročno. Več podrobnosti v dokumentaciji oVirt, Uporabniki in vloge. Po uspešni povezavi motorja z AD se v oknu za povezavo in na zavihku pojavi dodaten profil Dovoljenja Sistemski objekti imajo možnost podeliti dovoljenja uporabnikom in skupinam AD. Treba je opozoriti, da zunanji imenik uporabnikov in skupin ni lahko samo AD, ampak tudi IPA, eDirectory itd.

Večpotje

V produkcijskem okolju mora biti sistem za shranjevanje povezan z gostiteljem prek več neodvisnih, več V/I poti. Praviloma v CentOS (in torej oVirt) ni težav s sestavljanjem več poti do naprave (find_multipaths da). Dodatne nastavitve za FCoE so zapisane v 2. del. Vredno je biti pozoren na priporočilo proizvajalca sistema za shranjevanje - mnogi priporočajo uporabo krožne politike, vendar se v Enterprise Linux 7 privzeto uporablja servisni čas.

Uporaba 3PAR kot primer
in dokument Vodnik za implementacijo strežnika HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux in OracleVM Server EL je ustvarjen kot gostitelj z Generic-ALUA Persona 2, za katerega so v nastavitve /etc/multipath.conf vnesene naslednje vrednosti:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Po tem je podan ukaz za ponovni zagon:

systemctl restart multipathd

riž. 1 je privzeta politika večkratnih V/I.

riž. 2 - politika večkratnih V/I po uporabi nastavitev.

Nastavitev upravljanja napajanja

Omogoča na primer ponastavitev strojne opreme stroja, če motor dolgo časa ne more prejeti odgovora od gostitelja. Implementirano prek Fence Agent.

Računanje -> Gostitelji -> HOST — Uredi -> Upravljanje porabe, nato omogočite »Omogoči upravljanje porabe« in dodajte agenta — »Dodaj agenta ograje« -> +.

Navedemo vrsto (na primer za iLO5 morate podati ilo4), ime/naslov vmesnika ipmi ter uporabniško ime/geslo. Priporočljivo je, da ustvarite ločenega uporabnika (na primer oVirt-PM) in mu v primeru iLO dodelite privilegije:

• Prijava
• Oddaljena konzola
• Navidezno napajanje in ponastavitev
• Virtual Media
• Konfigurirajte nastavitve iLO
• Upravljajte uporabniške račune

Ne sprašujte se, zakaj je tako, izbrano je bilo empirično. Agent za omejevanje konzole zahteva manj pravic.

Ko nastavljate sezname za nadzor dostopa, ne pozabite, da se agent ne izvaja na motorju, ampak na "sosednjem" gostitelju (tako imenovani Power Management Proxy), tj. če je v gruči samo eno vozlišče, upravljanje porabe bo delovalo ne bo.

Nastavitev SSL

Celotna uradna navodila - v dokumentacijo, Dodatek D: oVirt in SSL — Zamenjava potrdila SSL/TLS oVirt Engine.

Certifikat lahko izda naš korporativni CA ali zunanji komercialni overitelj potrdil.

Pomembna opomba: Certifikat je namenjen povezovanju z upraviteljem in ne bo vplival na komunikacijo med Engineom in vozlišči – ta bodo uporabljala samopodpisana potrdila, ki jih izda Engine.

Zahteve:

• potrdilo CA izdajatelja v formatu PEM, s celotno verigo do korenskega CA (od podrejenega CA izdajatelja na začetku do korenskega CA na koncu);
• potrdilo za Apache izdano s strani CA izdajatelja (dopolnjeno tudi s celotno verigo CA certifikatov);
• zasebni ključ za Apache, brez gesla.

Predpostavimo, da naš izdajatelj CA izvaja CentOS, imenovan subca.example.com, zahteve, ključi in potrdila pa se nahajajo v imeniku /etc/pki/tls/.

Izvajamo varnostne kopije in ustvarjamo začasni imenik:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Prenesite potrdila, jih izvedite s svoje delovne postaje ali jih prenesite na drug udoben način:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Posledično bi morali videti vse 3 datoteke:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Namestitev certifikatov

Kopirajte datoteke in posodobite sezname zaupanja:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Dodaj/posodobi konfiguracijske datoteke:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Nato znova zaženite vse prizadete storitve:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

pripravljena! Čas je, da se povežete z upraviteljem in preverite, ali je povezava zaščitena s podpisanim SSL certifikatom.

Arhiviranje

Kje bi bili brez nje? V tem razdelku bomo govorili o arhiviranju upravitelja; arhiviranje VM je ločena tema. Enkrat na dan bomo naredili arhivske kopije in jih shranili preko NFS, na primer, na isti sistem, kjer smo postavili ISO slike - mynfs1.example.com:/exports/ovirt-backup. Ni priporočljivo shranjevati arhivov na istem računalniku, kjer se izvaja motor.

Namestite in omogočite autofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Ustvarimo skript:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

naslednjo vsebino:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Naredite datoteko izvršljivo:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Zdaj bomo vsako noč prejeli arhiv nastavitev upravitelja.

Vmesnik za upravljanje gostitelja

Cockpit — sodoben administrativni vmesnik za sisteme Linux. V tem primeru opravlja podobno vlogo kot spletni vmesnik ESXi.

riž. 3 — videz plošče.

Namestitev je zelo preprosta, potrebujete pakete cockpit in vtičnik cockpit-ovirt-dashboard:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Omogočanje kokpita:

$ sudo systemctl enable --now cockpit.socket

Nastavitev požarnega zidu:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Zdaj se lahko povežete z gostiteljem: https://[IP ali FQDN gostitelja]:9090

VLAN-i

Več o omrežjih bi morali prebrati v dokumentacijo. Možnosti je veliko, tukaj bomo opisali povezovanje virtualnih omrežij.

Če želite povezati druga podomrežja, jih morate najprej opisati v konfiguraciji: Omrežje -> Omrežja -> Novo, tukaj je obvezno polje le ime; Potrditveno polje Omrežje VM, ki strojem omogoča uporabo tega omrežja, je omogočeno, vendar mora biti za povezavo omogočena oznaka Omogoči označevanje VLAN, vnesite številko VLAN in kliknite V redu.

Zdaj morate iti v Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Povlecite dodano omrežje z desne strani Nedodeljenih logičnih omrežij na levo v Dodeljena logična omrežja:

riž. 4 - pred dodajanjem omrežja.

riž. 5 - po dodajanju omrežja.

Če želite povezati več omrežij z gostiteljem v velikem obsegu, je priročno, da jim pri ustvarjanju omrežij dodelite oznako in dodate omrežja po oznakah.

Ko je omrežje ustvarjeno, bodo gostitelji prešli v stanje Nedelovanje, dokler omrežje ni dodano vsem vozliščem v gruči. To vedenje povzroča zastavica Zahtevaj vse na zavihku Gruča pri ustvarjanju novega omrežja. V primeru, da omrežje ni potrebno na vseh vozliščih gruče, lahko to zastavico onemogočite, potem ko je omrežje dodano gostitelju, bo na desni v razdelku Nepotrebno in lahko izberete, ali se želite povezati na določenega gostitelja.

riž. 6—izberite atribut omrežne zahteve.

HPE specifično

Skoraj vsi proizvajalci imajo orodja, ki izboljšajo uporabnost njihovih izdelkov. Če na primer uporabimo HPE, sta uporabni AMS (Agentless Management Service, amsd za iLO5, hp-ams za iLO4) in SSA (Smart Storage Administrator, delo s krmilnikom diska) itd.

Povezovanje repozitorija HPE
Uvozimo ključ in povežemo repozitorije HPE:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

naslednjo vsebino:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Oglejte si vsebino skladišča in informacije o paketu (za referenco):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Namestitev in zagon:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Primer pripomočka za delo s krmilnikom diska

To je vse za zdaj. V naslednjih člankih nameravam govoriti o nekaterih osnovnih operacijah in aplikacijah. Na primer, kako narediti VDI v oVirt.

Vir: www.habr.com