Në këtë artikull do të shikojmë një numër cilësimesh opsionale, por të dobishme:
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
Ky artikull është një vazhdim, shikoni oVirt në 2 orë për fillim и .
Artikuj
- Cilësimet shtesë - Ne jemi këtu
Cilësimet shtesë të menaxherit
Për lehtësi, ne do të instalojmë paketa shtesë:
$ sudo yum install bash-completion vimPër të aktivizuar kompletimin e komandës, plotësimi i bash kërkon kalimin në bash.
Shtimi i emrave shtesë DNS
Kjo do të kërkohet kur ju duhet të lidheni me menaxherin duke përdorur një emër alternativ (CNAME, pseudonimi ose thjesht një emër i shkurtër pa prapashtesë domeni). Për arsye sigurie, menaxheri lejon lidhjet vetëm duke përdorur listën e lejuar të emrave.
Krijo një skedar konfigurimi:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.confpërmbajtjen e mëposhtme:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"dhe rinisni menaxherin:
$ sudo systemctl restart ovirt-engineVendosja e vërtetimit nëpërmjet AD
oVirt ka një bazë përdoruesi të integruar, por ofruesit e jashtëm LDAP janë gjithashtu të mbështetur, përfshirë. A.D.
Mënyra më e thjeshtë për një konfigurim tipik është nisja e magjistarit dhe rinisja e menaxherit:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engineNjë shembull i punës së një mjeshtri
$ sudo ovirt-engine-extension-aaa-ldap-setup
Implementimet e disponueshme LDAP:
...
3 - Active Directory
...
Ju lutem zgjidhni: 3
Ju lutemi shkruani emrin e pyllit Active Directory: example.com
Ju lutemi zgjidhni protokollin për t'u përdorur (startTLS, ldaps, i thjeshtë) [fillimiTLS]:
Ju lutemi zgjidhni metodën për të marrë certifikatën CA të koduar PEM (Skedar, URL, Inline, Sistemi, i Pasigurt): URL
URL:
Futni DN të përdoruesit të kërkimit (për shembull uid=emri i përdoruesit,dc=shembull,dc=com ose lëreni bosh për anonim): CN=oVirt-Engine,CN=Përdoruesit,DC=shembull,DC=com
Fut fjalëkalimin e përdoruesit të kërkimit: *fjalëkalimi*
[ INFO ] Përpjekja për të lidhur duke përdorur 'CN=oVirt-Engine,CN=Users,DC=shembull,DC=com'
A do të përdorni Single Sign-On për Makinat Virtuale (Po, Jo) [Po]:
Ju lutemi specifikoni emrin e profilit që do të jetë i dukshëm për përdoruesit [shembull.com]:
Ju lutemi jepni kredencialet për të testuar rrjedhën e hyrjes:
Shkruani emrin e përdoruesit: ndonjëNjëPërdorues
Fut fjalëkalimin e përdoruesit:
...
[INFO] Sekuenca e hyrjes u ekzekutua me sukses
...
Zgjidhni sekuencën e provës për të ekzekutuar (U krye, Aborti, Identifikimi, Kërkimi) [U krye]:
[INFO] Faza: Konfigurimi i transaksionit
...
PËRMBLEDHJE E KONFIGURIMIT
...
Përdorimi i magjistarit është i përshtatshëm për shumicën e rasteve. Për konfigurime komplekse, cilësimet kryhen me dorë. Më shumë detaje në dokumentacionin oVirt, . Pas lidhjes me sukses të Motorit me AD, një profil shtesë do të shfaqet në dritaren e lidhjes dhe në skedën Permissions Objektet e sistemit kanë aftësinë për të dhënë leje për përdoruesit dhe grupet e AD. Duhet të theksohet se drejtoria e jashtme e përdoruesve dhe grupeve mund të jetë jo vetëm AD, por edhe IPA, eDirectory, etj.
Shumëdrejtimi
Në një mjedis prodhimi, sistemi i ruajtjes duhet të lidhet me hostin nëpërmjet shtigjeve të shumta të pavarura, të shumëfishta I/O. Si rregull, në CentOS (dhe për rrjedhojë oVirt) nuk ka probleme me montimin e shtigjeve të shumta në një pajisje (find_multipaths po). Cilësimet shtesë për FCoE janë shkruar në . Vlen t'i kushtohet vëmendje rekomandimit të prodhuesit të sistemit të ruajtjes - shumë rekomandojnë përdorimin e politikës së rrumbullakët, por si parazgjedhje në Enterprise Linux 7 përdoret koha e shërbimit.
Duke përdorur 3PAR si shembull
dhe dokument EL është krijuar si një host me Generic-ALUA Persona 2, për të cilin vlerat e mëposhtme futen në cilësimet /etc/multipath.conf:
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}Pas së cilës jepet komanda për të rifilluar:
systemctl restart multipathd
Oriz. 1 është politika e parazgjedhur e shumëfishtë I/O.
Oriz. 2 - Politika e shumëfishtë I/O pas aplikimit të cilësimeve.
Vendosja e menaxhimit të energjisë
Ju lejon të kryeni, për shembull, një rivendosje harduerike të makinës nëse Motori nuk mund të marrë një përgjigje nga hosti për një kohë të gjatë. Zbatuar përmes Fence Agent.
Llogarit -> Hosts -> HOST - Ndrysho -> Menaxhimi i energjisë, më pas aktivizo "Aktivizo Menaxhimin e Energjisë" dhe shto një agjent - "Shto Agjentin e Gardhit" -> +.
Ne tregojmë llojin (për shembull, për iLO5 duhet të specifikoni ilo4), emrin/adresën e ndërfaqes ipmi, si dhe emrin e përdoruesit/fjalëkalimin. Rekomandohet të krijoni një përdorues të veçantë (për shembull, oVirt-PM) dhe, në rastin e iLO, t'i jepni atij privilegje:
- Hyrja
- Paneli në distancë
- Fuqia virtuale dhe rivendosja
- Media virtuale
- Konfiguro cilësimet e iLO
- Administroni llogaritë e përdoruesve
Mos pyet pse është kështu, është zgjedhur në mënyrë empirike. Agjenti i gardhit të konsolës kërkon më pak të drejta.
Kur vendosni listat e kontrollit të aksesit, duhet të keni parasysh se agjenti nuk funksionon në motor, por në një host "fqinj" (i ashtuquajturi Proxy i Menaxhimit të Energjisë), d.m.th., nëse ka vetëm një nyje në grup, menaxhimi i energjisë do të funksionojë nuk do.
Konfigurimi i SSL
Udhëzimet e plota zyrtare - në , Shtojca D: oVirt dhe SSL — Zëvendësimi i certifikatës së motorit oVirt SSL/TLS.
Certifikata mund të jetë ose nga CA-ja jonë e korporatës ose nga një autoritet i jashtëm i certifikatës tregtare.
Shënim i rëndësishëm: Certifikata është menduar për t'u lidhur me menaxherin dhe nuk do të ndikojë në komunikimin midis Motorit dhe nyjeve - ata do të përdorin certifikata të vetë-nënshkruara të lëshuara nga Motori.
kërkesat:
- certifikatën e AK-së emetuese në formatin PEM, me të gjithë zinxhirin deri në CA rrënjë (nga AK-ja vartëse lëshuese në fillim deri në rrënjë në fund);
- një certifikatë për Apache e lëshuar nga AK-ja lëshuese (e plotësuar gjithashtu nga i gjithë zinxhiri i certifikatave CA);
- çelës privat për Apache, pa fjalëkalim.
Le të supozojmë se CA-ja jonë lëshuese po ekzekuton CentOS, të quajtur subca.example.com, dhe kërkesat, çelësat dhe certifikatat ndodhen në drejtorinë /etc/pki/tls/.
Ne kryejmë kopje rezervë dhe krijojmë një drejtori të përkohshme:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certsShkarkoni certifikatat, kryeni ato nga stacioni juaj i punës ose transferojeni në një mënyrë tjetër të përshtatshme:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certsSi rezultat, duhet të shihni të tre skedarët:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.keyInstalimi i certifikatave
Kopjoni skedarët dhe përditësoni listat e besimit:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.serviceShtoni/përditësoni skedarët e konfigurimit:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.confENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confSSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cerMë pas, rinisni të gjitha shërbimet e prekura:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.serviceGati! Është koha për t'u lidhur me menaxherin dhe për të kontrolluar nëse lidhja është e mbrojtur nga një certifikatë SSL e nënshkruar.
Arkivimi
Ku do të ishim pa të? Në këtë seksion do të flasim për arkivimin e menaxherit; arkivimi i VM është një çështje më vete. Ne do të bëjmë kopje arkivore një herë në ditë dhe do t'i ruajmë ato nëpërmjet NFS, për shembull, në të njëjtin sistem ku kemi vendosur imazhet ISO - mynfs1.example.com:/exports/ovirt-backup. Nuk rekomandohet ruajtja e arkivave në të njëjtën makinë ku motori po funksionon.
Instaloni dhe aktivizoni autofs:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofsLe të krijojmë një skenar:
$ sudo vim /etc/cron.daily/make.oVirt.backup.shpërmbajtjen e mëposhtme:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;Bërja e skedarit të ekzekutueshëm:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.shTani çdo natë do të marrim një arkiv të cilësimeve të menaxherit.
Ndërfaqja e menaxhimit të hostit
— një ndërfaqe moderne administrative për sistemet Linux. Në këtë rast, ai kryen një rol të ngjashëm me ndërfaqen e internetit ESXi.
Oriz. 3 — pamja e panelit.
Instalimi është shumë i thjeshtë, ju nevojiten paketat e kabinës dhe shtojca e kabinës-ovirt-dashboard:
$ sudo yum install cockpit cockpit-ovirt-dashboard -yAktivizimi i kabinës:
$ sudo systemctl enable --now cockpit.socketKonfigurimi i murit të zjarrit:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentTani mund të lidheni me hostin: https://[Host IP or FQDN]:9090
VLAN
Ju duhet të lexoni më shumë rreth rrjeteve në . Ka shumë mundësi, këtu do të përshkruajmë lidhjen e rrjeteve virtuale.
Për të lidhur nën-rrjeta të tjera, ato fillimisht duhet të përshkruhen në konfigurimin: Rrjeti -> Rrjetet -> I ri, këtu vetëm emri është një fushë e detyrueshme; Kutia e kontrollit të Rrjetit VM, e cila lejon makinat të përdorin këtë rrjet, është aktivizuar, por për t'u lidhur etiketa duhet të aktivizohet Aktivizo etiketimin VLAN, futni numrin VLAN dhe klikoni OK.
Tani duhet të shkoni te Llogaritja e hosteve -> Hosts -> kvmNN -> Ndërfaqet e rrjetit -> Vendosja e rrjeteve të pritësit. Tërhiqni rrjetin e shtuar nga ana e djathtë e Rrjeteve Logjike të Pacaktuara në të majtë në Rrjetet Logjike të Caktuara:
Oriz. 4 - përpara se të shtoni një rrjet.
Oriz. 5 - pas shtimit të një rrjeti.
Për të lidhur rrjete të shumta me një host në masë, është e përshtatshme t'u caktoni atyre një etiketë(et) kur krijoni rrjete dhe të shtoni rrjete sipas etiketave.
Pasi të krijohet rrjeti, hostet do të kalojnë në gjendjen Jo Operacionale derisa rrjeti të shtohet në të gjitha nyjet në grup. Kjo sjellje shkaktohet nga flamuri Require All në skedën Cluster kur krijoni një rrjet të ri. Në rastin kur rrjeti nuk nevojitet në të gjitha nyjet e grupit, ky flamur mund të çaktivizohet, atëherë kur rrjeti shtohet në një host, ai do të jetë në të djathtë në seksionin Non Required dhe ju mund të zgjidhni nëse do të lidheni atë te një host specifik.
Oriz. 6—zgjidhni një atribut të kërkesës së rrjetit.
HPE specifike
Pothuajse të gjithë prodhuesit kanë mjete që përmirësojnë përdorshmërinë e produkteve të tyre. Duke përdorur HPE si shembull, janë të dobishme AMS (Shërbimi i Menaxhimit pa Agjentë, amsd për iLO5, hp-ams për iLO4) dhe SSA (Administrator Smart Storage, duke punuar me një kontrollues disku), etj.
Lidhja e depove HPE
Ne importojmë çelësin dhe lidhim depot HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repopërmbajtjen e mëposhtme:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcpShikoni përmbajtjen e depove dhe informacionin e paketës (për referencë):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsdInstalimi dhe nisja:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsdNjë shembull i një mjeti për të punuar me një kontrollues disku
Kjo është e gjitha për tani. Në artikujt e mëposhtëm planifikoj të flas për disa operacione dhe aplikacione bazë. Për shembull, si të bëni VDI në oVirt.
Burimi: www.habr.com