oVirt dina 2 jam. Bagian 3. Setélan tambahan

Dina artikel ieu kami bakal ningali sababaraha setélan opsional tapi mangpaat:

• ngagunakeun ngaran tambahan pikeun manajer;
• nyambungkeun auténtikasi via Active Directory;
• Mutlipathing;
• manajemén kakuatan;
• ngaganti sertipikat SSL;
• arsipkeun;
• panganteur manajemén host (cockpit);
• VLAN;
• HPE husus.

Artikel ieu mangrupa tuluyan, tingali oVirt dina 2 jam pikeun mimiti 1 bagian и bagian 2.

Artikel

1. perkenalan
2. Pamasangan manajer (ovirt-engine) sareng hypervisors (host)
3. Setélan tambahan - Kami di dieu

Setélan manajer tambahan

Pikeun genah, kami bakal masang bungkusan tambahan:

$ sudo yum install bash-completion vim

Pikeun ngaktifkeun paréntah parantosan, bash-completion peryogi ngalih ka bash.

Nambahkeun ngaran DNS tambahan

Ieu bakal diperyogikeun nalika anjeun kedah nyambung ka manajer nganggo nami alternatif (CNAME, alias, atanapi ngan ukur nami pondok tanpa ahiran domain). Pikeun alesan kaamanan, manajer ngan ukur ngamungkinkeun sambungan nganggo daptar nami anu diidinan.

Jieun file konfigurasi:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

eusi handap:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

sareng balikan deui manajer:

$ sudo systemctl restart ovirt-engine

Nyetél auténtikasi via AD

oVirt boga basis pamaké diwangun-di, tapi panyadia LDAP éksternal ogé dirojong, kaasup. A.D.

Cara pangbasajanna pikeun konfigurasi has nyaéta ngajalankeun wizard sareng balikan deui manajer:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Hiji conto karya master
$ sudo ovirt-engine-extension-aaa-ldap-setup
Palaksanaan LDAP sayogi:
...
3 - Diréktori aktip
...
Mangga pilih: 3
Mangga lebetkeun ngaran Leuweung Active Directory: example.com

Mangga pilih protokol pikeun dianggo (startTLS, ldaps, polos) [startTLS]:
Mangga pilih metodeu pikeun meunangkeun sertipikat CA disandikeun PEM (File, URL, Inline, System, Insecure): URL
URL: wwwca.example.com/myRootCA.pem
Lebetkeun DN pangguna milarian (contona uid = nami pangguna, dc = conto, dc = com atanapi tinggalkeun kosong pikeun anonim): CN = oVirt-Engine, CN = Pamaké, DC = conto, DC = com
Lebetkeun kecap akses pangguna milarian: *sandi*
[ INFO ] Nyobian ngabeungkeut nganggo 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Naha anjeun badé nganggo Single Sign-On pikeun Mesin Virtual (Leres, Henteu) [Leres]:
Sebutkeun nami profil anu bakal katingali ku pangguna [conto.com]:
Mangga nyadiakeun kredensial pikeun nguji alur login:
Lebetkeun nami pangguna: someAnyUser
Asupkeun sandi pamaké:
...
[INFO] Runtuyan login suksés dieksekusi
...
Pilih runtuyan tés pikeun dieksekusi (Rengse, Abort, Login, Search) [Rengse]:
[INFO] Tahap: Setélan transaksi
...
RINGKASAN KONFIGURASI
...

Ngagunakeun wizard cocog pikeun kalolobaan kasus. Pikeun konfigurasi kompléks, setélan dipigawé sacara manual. Langkung rinci dina dokuméntasi oVirt, Pamaké jeung Kalungguhan. Saatos hasil nyambungkeun Mesin ka AD, hiji profil tambahan bakal muncul dina jandela sambungan, sarta dina tab idin Objék sistem gaduh kamampuan pikeun masihan idin ka pangguna sareng grup AD. Ieu kudu dicatet yén diréktori éksternal pamaké sarta grup bisa jadi teu ukur AD, tapi ogé IPA, eDirectory, jsb.

Ngalangkungan

Dina lingkungan produksi, sistem gudang kudu disambungkeun ka host via sababaraha bebas, sababaraha jalur I / O. Sakumaha aturan, dina CentOS (sareng ku kituna oVirt) teu aya masalah sareng ngumpul sababaraha jalur ka alat (find_multipaths ya). Setélan tambahan pikeun FCoE ditulis dina bagian ka-2. Perlu nengetan rekomendasi produsén sistem panyimpen - seueur anu nyarankeun ngagunakeun kawijakan round-robin, tapi sacara standar dina Enterprise Linux 7 waktos jasa dianggo.

Ngagunakeun 3PAR salaku conto
jeung dokumén HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux, sareng Pitunjuk Palaksanaan Server OracleVM EL didamel salaku Host sareng Generic-ALUA Persona 2, dimana nilai-nilai ieu dilebetkeun kana setélan /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Saatos éta paréntah pikeun ngamimitian deui dipasihkeun:

systemctl restart multipathd

Sangu. 1 mangrupakeun standar sababaraha I / O kawijakan.

Sangu. 2 - sababaraha I / O kawijakan sanggeus nerapkeun setélan.

Nyetél manajemén kakuatan

Ngidinan anjeun nedunan, Contona, reset hardware mesin lamun Engine teu bisa nampa respon ti Host pikeun lila. Dilaksanakeun ngaliwatan Agen Pager.

Itung -> Host -> Host - Édit -> Manajemén Daya, teras aktipkeun "Aktipkeun Manajemén Daya" sareng tambahkeun agén - "Tambahkeun Agen Pager" -> +.

Kami nunjukkeun jinisna (contona, pikeun iLO5 anjeun kedah netepkeun ilo4), nami / alamat antarmuka ipmi, ogé nami pangguna / sandi. Disarankeun nyieun pamaké misah (contona, oVirt-PM) jeung, dina kasus iLO, masihan anjeunna hak husus:

• Lebet
• Konsol jauh
• Daya Virtual sareng Reset
• Média maya
• Konpigurasikeun Setélan iLO
• Ngatur Akun Pamaké

Entong naroskeun naha ieu kitu, éta dipilih sacara émpiris. Agen pager konsol merlukeun hak pangsaeutikna.

Nalika nyetél daptar kontrol aksés, anjeun kedah émut yén agén henteu jalan dina mesin, tapi dina host "tatangga" (nu disebut Power Management Proxy), nyaéta, upami aya ngan hiji titik dina kluster, manajemén kakuatan bakal jalan moal.

Nyetél SSL

parentah resmi pinuh - di dokuméntasi, Appendix D: oVirt sareng SSL — Ngaganti Sertipikat SSL/TLS Engine oVirt.

Sertipikat tiasa ti CA perusahaan urang atanapi ti otoritas sertipikat komérsial éksternal.

Catetan penting: Sertipikat dimaksudkeun pikeun nyambung ka manajer sareng moal mangaruhan komunikasi antara Mesin sareng titik - aranjeunna bakal ngagunakeun sertipikat anu ditandatanganan diri anu dikaluarkeun ku Mesin.

Syarat:

• sertipikat ti ngaluarkeun CA dina format PEM, kalawan sakabéh ranté nepi ka akar CA (ti bawahan ngaluarkeun CA di awal nepi ka akar dina tungtungna);
• sertipikat pikeun Apache dikaluarkeun ku ngaluarkeun CA (ogé supplemented ku sakabéh ranté sertipikat CA);
• konci swasta pikeun Apache, tanpa sandi.

Anggap urang ngaluarkeun CA ngajalankeun CentOS, disebut subca.example.com, sarta requests, konci, jeung sertipikat aya dina /etc/pki/tls/ diréktori.

Urang ngalakukeun cadangan tur nyieun diréktori samentara:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Unduh sertipikat, laksanakeun tina workstation anjeun atanapi transfer ku cara anu gampang:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Hasilna, anjeun kedah ningali sadaya 3 file:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Masang sertipikat

Salin file sareng ngapdet daptar amanah:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Tambahkeun / ngapdet file konfigurasi:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Salajengna, balikan deui sadaya jasa anu kapangaruhan:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Siap! Waktosna pikeun nyambung ka manajer sareng pariksa yén sambunganna ditangtayungan ku sertipikat SSL anu ditandatanganan.

Ngarsipkeun

Dimana urang bakal tanpa manehna? Dina bagian ieu urang bakal ngobrol ngeunaan manajer archiving; VM archiving mangrupakeun masalah misah. Urang bakal nyieun salinan arsip sakali sapoé sarta nyimpen eta via NFS, contona, dina sistem anu sarua dimana urang nempatkeun gambar ISO - mynfs1.example.com:/exports/ovirt-backup. Henteu disarankeun pikeun nyimpen arsip dina mesin anu sami dimana Mesin dijalankeun.

Pasang sareng aktipkeun autofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Hayu urang ngadamel skrip:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

eusi handap:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Ngadamel file tiasa dieksekusi:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Ayeuna unggal wengi urang bakal nampi arsip setélan manajer.

panganteur manajemén host

Kabina - antarbeungeut administrasi modern pikeun sistem Linux. Dina hal ieu, éta ngalakukeun peran anu sami sareng antarmuka wéb ESXi.

Sangu. 3 - penampilan panel.

Pamasangan saderhana pisan, anjeun peryogi bungkusan kabina sareng plugin cockpit-ovirt-dashboard:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Ngaktipkeun Kokpit:

$ sudo systemctl enable --now cockpit.socket

Setélan firewall:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Ayeuna anjeun tiasa nyambung ka host: https: // [Host IP atanapi FQDN]: 9090

VLAN

Anjeun kedah maca langkung seueur ngeunaan jaringan dina dokuméntasi. Aya seueur kamungkinan, di dieu urang bakal ngajelaskeun nyambungkeun jaringan virtual.

Pikeun nyambungkeun subnets anu sanés, aranjeunna kedah dijelaskeun heula dina konfigurasi: Jaringan -> Jaringan -> Anyar, di dieu ngan ukur nami anu diperyogikeun; Kotak centang VM Network, anu ngamungkinkeun mesin ngagunakeun jaringan ieu, diaktipkeun, tapi pikeun nyambungkeun tag kedah diaktipkeun. Aktipkeun VLAN tagging, asupkeun nomer VLAN teras klik OKÉ.

Ayeuna anjeun kedah angkat ka Compute hosts -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Sered jaringan nu ditambahkeun ti sisi katuhu Unassigned Logical Networks ka kénca kana Assigned Logical Networks:

Sangu. 4 - sateuacan nambahkeun jaringan.

Sangu. 5 - sanggeus nambahkeun jaringan.

Pikeun nyambungkeun sababaraha jaringan ka host dina bulk, éta merenah pikeun napelkeun labél (s) ka aranjeunna nalika nyieun jaringan, tur nambahkeun jaringan ku labél.

Saatos jaringan dijieun, host bakal lebet kana kaayaan Non Operasional dugi jaringan ditambahkeun ka sadaya titik dina kluster. Paripolah ieu disababkeun ku Merlukeun Sadaya bandéra dina tab Kluster nalika nyieun jaringan anyar. Dina kasus nalika jaringan henteu diperyogikeun dina sadaya titik kluster, bandéra ieu tiasa ditumpurkeun, teras nalika jaringan ditambahkeun kana host, éta bakal aya di katuhu dina bagian Non Required sareng anjeun tiasa milih naha nyambungkeun. eta ka host husus.

Sangu. 6—pilih atribut sarat jaringan.

HPE husus

Ampir sadaya pabrik gaduh alat anu ningkatkeun usability produkna. Ngagunakeun HPE sabagé conto, AMS (Agentless Management Service, amsd pikeun iLO5, hp-ams pikeun iLO4) jeung SSA (Smart Storage Administrator, gawé bareng disk controller), jeung sajabana.

Nyambungkeun gudang HPE
Kami ngimpor konci sareng nyambungkeun repositori HPE:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

eusi handap:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Ningali eusi gudang sareng inpormasi pakét (pikeun rujukan):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Pamasangan sareng peluncuran:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Conto utiliti pikeun gawé bareng controller disk

Sakitu wae kanggo ayeuna. Dina artikel di handap ieu kuring rencanana ngobrol ngeunaan sababaraha operasi dasar sarta aplikasi. Contona, kumaha carana sangkan VDI di oVirt.

sumber: www.habr.com