оВирт за 2 сата. Део 3. Додатна подешавања

У овом чланку ћемо погледати неколико опционих, али корисних подешавања:

• користећи додатна имена за менаџера;
• повезивање аутентификације преко Ацтиве Дирецтори-а;
• Мутлипатхинг;
• управљање струјом;
• замена ССЛ сертификата;
• архивирање;
• интерфејс за управљање хостом (кокпит);
• ВЛАН-ови;
• ХПЕ специфичан.

Овај чланак је наставак, погледајте оВирт за 2 сата за почетак Часть КСНУМКС и Део КСНУМКС.

Чланци

1. Увод
2. Инсталирање менаџера (овирт-енгине) и хипервизора (хостови)
3. Додатна подешавања - Ту смо

Додатна подешавања менаџера

Ради погодности, инсталираћемо додатне пакете:

$ sudo yum install bash-completion vim

Да би се омогућило довршавање команде, басх-цомплетион захтева прелазак на басх.

Додавање додатних ДНС имена

Ово ће бити потребно када треба да се повежете са менаџером користећи алтернативно име (ЦНАМЕ, алиас или само кратко име без суфикса домена). Из безбедносних разлога, менаџер дозвољава везе само користећи дозвољену листу имена.

Направите конфигурациону датотеку:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

следећи садржај:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

и поново покрените менаџер:

$ sudo systemctl restart ovirt-engine

Подешавање аутентификације преко АД

оВирт има уграђену корисничку базу, али су подржани и екстерни ЛДАП провајдери, укљ. А.Д.

Најједноставнији начин за типичну конфигурацију је покретање чаробњака и поновно покретање менаџера:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Пример магистарског рада
$ судо овирт-енгине-ектенсион-ааа-лдап-сетуп
Доступне ЛДАП имплементације:
...
3 - Ацтиве Дирецтори
...
Молимо изаберите: 3
Унесите име шуме Ацтиве Дирецтори: екампле.цом

Изаберите протокол који ћете користити (стартТЛС, лдапс, обичан) [стартТЛС]:
Молимо изаберите метод за добијање ПЕМ кодираног ЦА сертификата (датотека, УРЛ, уметнути, системски, небезбедни): УРЛ адреса
УРЛ: вввца.екампле.цом/миРоотЦА.пем
Унесите ДН корисника за претрагу (на пример уид=усернаме,дц=екампле,дц=цом или оставите празно за анонимно): ЦН=оВирт-Енгине,ЦН=Корисници,ДЦ=пример,ДЦ=цом
Унесите корисничку лозинку за претрагу: *Лозинка*
[ ИНФО ] Покушај повезивања помоћу 'ЦН=оВирт-Енгине,ЦН=Корисници,ДЦ=пример,ДЦ=цом'
Да ли ћете користити јединствену пријаву за виртуелне машине (да, не) [Да]:
Наведите име профила које ће бити видљиво корисницима [екампле.цом]:
Наведите акредитиве за тестирање тока пријављивања:
Унесите име: сомеАниУсер
Унесите корисничку лозинку:
...
[ИНФО] Секвенца за пријаву је успешно извршена
...
Изаберите секвенцу теста за извршење (Готово, Прекини, Пријава, Претрага) [Готово]:
[ИНФО] Фаза: Подешавање трансакције
...
РЕЗИМЕ КОНФИГУРАЦИЈЕ
...

Коришћење чаробњака је погодно за већину случајева. За сложене конфигурације, подешавања се врше ручно. Више детаља у оВирт документацији, Корисници и улоге. Након успешног повезивања мотора са АД, додатни профил ће се појавити у прозору за повезивање и на картици Дозволе Системски објекти имају могућност да дају дозволе АД корисницима и групама. Треба напоменути да екстерни именик корисника и група може бити не само АД, већ и ИПА, еДирецтори итд.

Мултипатхинг

У производном окружењу, систем за складиштење мора бити повезан са хостом преко више независних, вишеструких И/О путања. По правилу, у ЦентОС-у (а самим тим и оВирт-у) нема проблема са склапањем више путања до уређаја (финд_мултипатхс да). Додатна подешавања за ФЦоЕ су уписана 2. део. Вреди обратити пажњу на препоруку произвођача система за складиштење - многи препоручују коришћење роунд-робин политике, али се подразумевано у Ентерприсе Линук 7 користи сервисно време.

Користећи 3ПАР као пример
и документ Водич за имплементацију ХПЕ 3ПАР Ред Хат Ентерприсе Линук, ЦентОС Линук, Орацле Линук и ОрацлеВМ сервера ЕЛ је креиран као Хост са Генериц-АЛУА Персона 2, за који се следеће вредности уносе у подешавања /етц/мултипатх.цонф:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Након чега се даје команда за поновно покретање:

systemctl restart multipathd

Пиринач. 1 је подразумевана вишеструка И/О политика.

Пиринач. 2 - вишеструка И/О политика након примене подешавања.

Подешавање управљања напајањем

Омогућава вам да извршите, на пример, хардверско ресетовање машине ако мотор не може да прими одговор од хоста дуже време. Имплементирано преко Фенце Агент-а.

Рачунање -> Хостови -> ДОМАЋИН — Уреди -> Управљање напајањем, затим омогућите „Омогући управљање напајањем“ и додајте агента — „Додај агента за ограду“ -> +.

Назначавамо тип (на пример, за иЛО5 треба да наведете ило4), име/адресу ипми интерфејса, као и корисничко име/лозинку. Препоручује се да направите посебног корисника (на пример, оВирт-ПМ) и, у случају иЛО, дате му привилегије:

• Пријавите се
• Ремоте Цонсоле
• Виртуелно напајање и ресетовање
• Виртуелни медији
• Конфигуришите иЛО подешавања
• Администрација корисничких налога

Не питајте зашто је то тако, изабрано је емпиријски. Агент за ограђивање конзоле захтева мање права.

Када постављате листе контроле приступа, треба да имате на уму да агент не ради на машини, већ на „суседном“ хосту (тзв. Повер Манагемент Проки), тј. ако постоји само један чвор у кластеру, управљање напајањем ће радити неће.

Подешавање ССЛ-а

Пуна званична упутства - у документација, Додатак Д: оВирт и ССЛ — Замена оВирт Енгине ССЛ/ТЛС сертификата.

Сертификат може бити од нашег корпоративног ЦА или од екстерног комерцијалног ауторитета за сертификацију.

Важна напомена: Сертификат је намењен за повезивање са менаџером и неће утицати на комуникацију између мотора и чворова - они ће користити самопотписане сертификате које издаје Енгине.

zahtevi:

• сертификат ЦА издаваоца у ПЕМ формату, са целим ланцем до основног ЦА (од подређеног ЦА издаваоца на почетку до коренског на крају);
• сертификат за Апацхе који је издао ЦА који је издао (такође допуњен целим ланцем ЦА сертификата);
• приватни кључ за Апацхе, без лозинке.

Претпоставимо да наш ЦА који издаје покреће ЦентОС, који се зове субца.екампле.цом, а захтеви, кључеви и сертификати се налазе у директоријуму /етц/пки/тлс/.

Вршимо резервне копије и креирамо привремени директоријум:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Преузмите сертификате, извршите их са своје радне станице или их пренесите на други погодан начин:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Као резултат, требало би да видите све 3 датотеке:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Инсталирање сертификата

Копирајте датотеке и ажурирајте листе поверења:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Додајте/ажурирајте конфигурационе датотеке:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Затим поново покрените све погођене услуге:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Спремни! Време је да се повежете са менаџером и проверите да ли је веза заштићена потписаним ССЛ сертификатом.

Архивирање

Где бисмо били без ње? У овом одељку ћемо говорити о архивирању менаџера; архивирање ВМ-а је засебно питање. Једном дневно ћемо правити архивске копије и чувати их преко НФС-а, на пример, на истом систему где смо поставили ИСО слике - минфс1.екампле.цом:/екпортс/овирт-бацкуп. Није препоручљиво чувати архиве на истој машини на којој мотор ради.

Инсталирајте и омогућите аутофс:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Хајде да направимо скрипту:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

следећи садржај:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Прављење датотеке извршном:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Сада ћемо сваке ноћи добијати архиву подешавања менаџера.

Интерфејс за управљање хостом

Пилотска кабина — модеран административни интерфејс за Линук системе. У овом случају, он обавља улогу сличну ЕСКСи веб интерфејсу.

Пиринач. 3 — изглед панела.

Инсталација је врло једноставна, потребни су вам пакети за кокпит и додатак цоцкпит-овирт-дасхбоард:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Омогућавање кокпита:

$ sudo systemctl enable --now cockpit.socket

Подешавање заштитног зида:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Сада се можете повезати са хостом: хттпс://[Хост ИП или ФКДН]:9090

ВЛАН-ови

Требало би да прочитате више о мрежама у документација. Постоји много могућности, овде ћемо описати повезивање виртуелних мрежа.

Да бисте повезали друге подмреже, прво морају бити описане у конфигурацији: Мрежа -> Мреже -> Ново, овде је само име обавезно поље; Поље за потврду ВМ Нетворк, које омогућава машинама да користе ову мрежу, је омогућено, али ознака мора бити омогућена за повезивање Омогућите ВЛАН означавање, унесите ВЛАН број и кликните на ОК.

Сада морате да одете на Цомпуте хостс -> Хостс -> квмНН -> Нетворк Интерфацес -> Сетуп Хост Нетворкс. Превуците додату мрежу са десне стране Недодијељених логичких мрежа на лијево у Додијељене логичке мреже:

Пиринач. 4 - пре додавања мреже.

Пиринач. 5 - након додавања мреже.

За повезивање више мрежа са хостом у великом броју, згодно је доделити им ознаку(е) приликом креирања мрежа и додати мреже по ознакама.

Након креирања мреже, хостови ће прећи у стање Неоперативно све док се мрежа не дода свим чворовима у кластеру. Ово понашање је узроковано заставицом Захтевај све на картици Кластер приликом креирања нове мреже. У случају када мрежа није потребна на свим чворовима кластера, ова заставица се може онемогућити, а онда када се мрежа дода на хост, она ће бити десно у одељку Није потребно и можете изабрати да ли ћете се повезати то одређеном домаћину.

Пиринач. 6—изаберите атрибут мрежних захтева.

ХПЕ специфичан

Скоро сви произвођачи имају алате који побољшавају употребљивост својих производа. Користећи ХПЕ као пример, корисни су АМС (Услуга управљања без агента, амсд за иЛО5, хп-амс за иЛО4) и ССА (Смарт Стораге Администратор, рад са контролером диска) итд.

Повезивање ХПЕ спремишта
Увозимо кључ и повезујемо ХПЕ ризнице:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

следећи садржај:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Погледајте садржај спремишта и информације о пакету (за референцу):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Инсталација и покретање:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Пример услужног програма за рад са контролером диска

То је све за сада. У следећим чланцима планирам да говорим о неким основним операцијама и апликацијама. На пример, како направити ВДИ у оВирт-у.

Извор: ввв.хабр.цом