För enkelhetens skull kommer vi att installera ytterligare paket:
$ sudo yum install bash-completion vim
För att möjliggöra komplettering av kommandon kräver bash-komplettering byte till bash.
Lägger till ytterligare DNS-namn
Detta kommer att krävas när du behöver ansluta till chefen med ett alternativt namn (CNAME, alias eller bara ett kort namn utan domänsuffix). Av säkerhetsskäl tillåter chefen endast anslutningar med den tillåtna listan med namn.
Skapa en konfigurationsfil:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Ett exempel på en mästares arbete
$ sudo ovirt-engine-extension-aaa-ldap-setup
Tillgängliga LDAP-implementeringar:
.
3 - Active Directory
.
Vänligen välj: 3
Vänligen ange Active Directory-skogens namn: example.com
Välj protokoll att använda (startTLS, ldaps, plain) [startTLS]:
Välj metod för att erhålla PEM-kodat CA-certifikat (Fil, URL, Inline, System, Insecure): URL
URL: wwwca.example.com/myRootCA.pem
Ange sökanvändar-DN (till exempel uid=användarnamn,dc=exempel,dc=com eller lämna tomt för anonym): CN=oVirt-Engine,CN=Users,DC=example,DC=com
Ange sökanvändarlösenord: *Lösenord*
[ INFO ] Försöker binda med 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Kommer du att använda enkel inloggning för virtuella maskiner (ja, nej) [Ja]:
Vänligen ange profilnamn som kommer att vara synligt för användare [example.com]:
Ange användaruppgifter för att testa inloggningsflödet:
Skriv in ditt användarnamn: someAnyUser
Ange användarlösenord:
.
[INFO] Inloggningssekvensen utfördes framgångsrikt
.
Välj testsekvens att köra (Klar, Avbryt, Logga in, Sök) [Gjort]:
[INFO] Steg: Transaktionsinställning
.
KONFIGURATIONS SAMMANFATTNING
.
Att använda guiden är lämpligt i de flesta fall. För komplexa konfigurationer utförs inställningarna manuellt. Mer information i oVirt-dokumentationen, Användare och roller. Efter att ha lyckats ansluta motorn till AD kommer en ytterligare profil att visas i anslutningsfönstret och på fliken behörigheter Systemobjekt har möjlighet att ge behörigheter till AD-användare och grupper. Det bör noteras att den externa katalogen över användare och grupper inte bara kan vara AD, utan också IPA, eDirectory, etc.
Flerväg
I en produktionsmiljö måste lagringssystemet vara anslutet till värden via flera oberoende, flera I/O-vägar. Som regel är det i CentOS (och därför oVirt) inga problem med att montera flera sökvägar till en enhet (find_multipaths ja). Ytterligare inställningar för FCoE skrivs in 2:e delen. Det är värt att uppmärksamma rekommendationen från tillverkaren av lagringssystem - många rekommenderar att du använder round-robin-policyn, men som standard i Enterprise Linux 7 används servicetid.
Ris. 2 - flera I/O-policyer efter tillämpning av inställningar.
Konfigurera energihantering
Låter dig utföra till exempel en hårdvaruåterställning av maskinen om motorn inte kan ta emot svar från värden under en längre tid. Genomförs genom Fence Agent.
Beräkna -> Värdar -> VÄRD — Redigera -> Power Management, aktivera sedan "Aktivera Power Management" och lägg till en agent - "Add Fence Agent" -> +.
Vi anger typen (till exempel för iLO5 måste du ange ilo4), namnet/adressen för ipmi-gränssnittet, samt användarnamnet/lösenordet. Det rekommenderas att skapa en separat användare (till exempel oVirt-PM) och, i fallet med iLO, ge honom privilegier:
Logga in
Fjärrkonsol
Virtuell kraft och återställning
Virtuella media
Konfigurera iLO-inställningar
Administrera användarkonton
Fråga inte varför det är så, det valdes empiriskt. Konsolstängselagenten kräver färre rättigheter.
När du ställer in åtkomstkontrollistor bör du komma ihåg att agenten inte körs på motorn, utan på en "angränsande" värd (den så kallade Power Management Proxy), d.v.s. om det bara finns en nod i klustret, energihantering kommer att fungera kommer inte.
Konfigurera SSL
Fullständiga officiella instruktioner - in dokumentation, Bilaga D: oVirt och SSL — Ersätter oVirt Engine SSL/TLS-certifikatet.
Certifikatet kan vara antingen från vårt företags CA eller från en extern kommersiell certifikatutfärdare.
Viktig notering: Certifikatet är avsett för att ansluta till chefen och kommer inte att påverka kommunikationen mellan motorn och noderna - de kommer att använda självsignerade certifikat utfärdade av motorn.
krav:
certifikat för den utfärdande CA i PEM-format, med hela kedjan upp till rot-CA (från den underordnade utfärdande CA i början till roten i slutet);
ett certifikat för Apache utfärdat av den utfärdande CA (även kompletterat med hela kedjan av CA-certifikat);
privat nyckel för Apache, utan lösenord.
Låt oss anta att vår utfärdande CA kör CentOS, kallat subca.example.com, och förfrågningarna, nycklarna och certifikaten finns i katalogen /etc/pki/tls/.
Vi gör säkerhetskopior och skapar en tillfällig katalog:
Redo! Det är dags att ansluta till chefen och kontrollera att anslutningen är skyddad av ett signerat SSL-certifikat.
Arkivering
Var skulle vi vara utan henne? I det här avsnittet kommer vi att prata om chefsarkivering; VM-arkivering är en separat fråga. Vi kommer att göra arkivkopior en gång om dagen och lagra dem via exempelvis NFS på samma system där vi placerade ISO-bilderna - mynfs1.example.com:/exports/ovirt-backup. Det rekommenderas inte att lagra arkiv på samma maskin där motorn körs.
Nu kan du ansluta till värden: https://[Värd IP eller FQDN]:9090
VLAN
Du bör läsa mer om nätverk i dokumentation. Det finns många möjligheter, här kommer vi att beskriva att ansluta virtuella nätverk.
För att ansluta andra subnät måste de först beskrivas i konfigurationen: Nätverk -> Nätverk -> Nytt, här är endast namnet ett obligatoriskt fält; Kryssrutan VM Network, som tillåter maskiner att använda detta nätverk, är aktiverad, men för att ansluta måste taggen vara aktiverad Aktivera VLAN-taggning, ange VLAN-numret och klicka på OK.
Nu måste du gå till Beräkna värdar -> Värdar -> kvmNN -> Nätverksgränssnitt -> Konfigurera värdnätverk. Dra det tillagda nätverket från höger sida av Unassigned Logical Networks till vänster till Assigned Logical Networks:
Ris. 4 - innan du lägger till ett nätverk.
Ris. 5 - efter att ha lagt till ett nätverk.
För att koppla flera nätverk till en värd samtidigt är det praktiskt att tilldela dem en eller flera etiketter när du skapar nätverk och lägga till nätverk efter etiketter.
Efter att nätverket har skapats kommer värdarna att gå in i icke-operativt tillstånd tills nätverket läggs till alla noder i klustret. Detta beteende orsakas av flaggan Kräv alla på fliken Kluster när du skapar ett nytt nätverk. I fallet när nätverket inte behövs på alla noder i klustret, kan denna flagga inaktiveras, sedan när nätverket läggs till en värd kommer det att finnas till höger i avsnittet Ej krävs och du kan välja om du vill ansluta det till en specifik värd.
Ris. 6 – välj ett attribut för nätverkskrav.
HPE-specifik
Nästan alla tillverkare har verktyg som förbättrar användbarheten av sina produkter. Med HPE som exempel är AMS (Agentless Management Service, amsd för iLO5, hp-ams för iLO4) och SSA (Smart Storage Administrator, som arbetar med en diskkontroller), etc. användbara.
Ansluter HPE-förvaret
Vi importerar nyckeln och ansluter HPE-förråden:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo
Ett exempel på ett verktyg för att arbeta med en diskkontroller
Det var allt tills vidare. I följande artiklar planerar jag att berätta för dig några grundläggande funktioner och applikationer. Till exempel hur man gör VDI i oVirt.