oVirt på 2 timmar. Del 3. Ytterligare inställningar

I den här artikeln kommer vi att titta på ett antal valfria men användbara inställningar:

• använda ytterligare namn för chef;
• Anslutande autentisering via Active Directory;
• Mutlipathing;
• energihantering;
• ersätter SSL-certifikat;
• arkivering;
• värdhanteringsgränssnitt (cockpit);
• VLAN;
• HPE-specifik.

Den här artikeln är en fortsättning, se början oVirt om 2 timmar Часть 1 и Del 2.

Artiklar

1. Inledning
2. Installera manager (ovirt-motor) och hypervisorer (värdar)
3. Ytterligare inställningar - Vi är här

Ytterligare chefsinställningar

För din bekvämlighet tillhandahåller vi ytterligare paket:

$ sudo yum install bash-completion vim

För att aktivera bash-completion-kommandot måste du byta till bash.

Lägger till ytterligare DNS-namn

Detta kommer att krävas när du behöver ansluta till chefen med ett alternativt namn (CNAME, alias eller bara ett kort namn utan domänsuffix). Av säkerhetsskäl tillåter chefen endast anslutningar från en godkänd namnlista.

Skapa en konfigurationsfil:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

följande innehåll:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

och starta om managern:

$ sudo systemctl restart ovirt-engine

Ställa in autentisering via AD

oVirt har en inbyggd användarbas, men stöder även externa LDAP-leverantörer, inklusive: AD.

Det enklaste sättet för en typisk konfiguration är att köra guiden och starta om managern:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Exempel på mästarens arbete
$ sudo ovirt-engine-extension-aaa-ldap-setup
Tillgängliga LDAP-implementeringar:
.
3 - Active Directory
.
Vänligen välj: 3
Ange Active Directory-skogens namn: example.com

Välj protokoll att använda (startTLS, ldaps, plain) [startTLS]:
Välj metod för att erhålla PEM-kodat CA-certifikat (Fil, URL, Inline, System, Insecure): URL
URL: wwwca.example.com/myRootCA.pem
Ange sökanvändar-DN (till exempel uid=användarnamn,dc=exempel,dc=com eller lämna tomt för anonym): CN=oVirt-Engine,CN=Users,DC=example,DC=com
Ange sökanvändarlösenord: *lösenord*
[ INFO ] Försöker binda med 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Kommer du att använda enkel inloggning för virtuella maskiner (ja, nej) [Ja]:
Vänligen ange profilnamn som kommer att vara synligt för användare [example.com]:
Ange användaruppgifter för att testa inloggningsflödet:
Ange användarnamn: someAnyUser
Ange användarlösenord:
.
[INFO] Inloggningssekvensen utfördes
.
Välj testsekvens att köra (Klar, Avbryt, Logga in, Sök) [Gjort]:
[INFO] Steg: Transaktionsinställning
.
KONFIGURATIONS SAMMANFATTNING
.

Att använda guiden är lämpligt i de flesta fall. För komplexa konfigurationer utförs inställningarna manuellt. För mer information, se oVirt-dokumentationen, Användare och roller. Efter att ha lyckats ansluta Engine till AD kommer en ytterligare profil att visas i anslutningsfönstret och på fliken behörigheter Systemobjekt har möjlighet att ge behörigheter till AD-användare och grupper. Det bör noteras att den externa katalogen över användare och grupper inte bara kan vara AD, utan också IPA, eDirectory, etc.

Multipathing

I en produktionsmiljö måste lagringssystemet vara anslutet till värden via flera oberoende I/O-vägar. Vanligtvis, i CentOS (och därför oVirt'e) finns det inga problem med att sätta ihop flera sökvägar till enheten (find_multipaths ja). Ytterligare inställningar för FCoE beskrivs i 2:a delenDet är värt att vara uppmärksam på lagringssystemtillverkarens rekommendationer – många rekommenderar att man använder en round-robin-policy, medan Enterprise använder standardpolicyn. Linux 7 servicetider används.

Med 3PAR som exempel
och dokument HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linuxoch implementeringsguide för OracleVM Server EL skapas som en värd med Generic-ALUA Persona 2, för den skrivs följande värden in i /etc/multipath.conf-inställningarna:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Därefter ges kommandot att starta om:

systemctl restart multipathd

Ris. 1 - standard för flera I/O-policyer.

Ris. 2 - Flera I/O-principer efter tillämpning av inställningar.

Konfigurera energihantering

Låter dig utföra till exempel en hårdvaruåterställning av maskinen om motorn inte kan ta emot svar från värden under en längre tid. Genomförs via Fence Agent.

Beräkna -> Värdar -> VÄRD — Redigera -> Power Management, aktivera sedan "Aktivera Power Management" och lägg till en agent - "Add Fence Agent" -> +.

Vi anger typen (till exempel för iLO5 måste du ange ilo4), namnet/adressen för ipmi-gränssnittet och användarnamnet/lösenordet. Det rekommenderas att skapa en separat användare (t.ex. oVirt-PM) och, i fallet med iLO, ge honom privilegier:

• Logga in
• Fjärrkonsol
• Virtuell kraft och återställning
• Virtuella media
• Konfigurera iLO-inställningar
• Administrera användarkonton

Fråga inte varför det är så, det valdes empiriskt. Konsolstängselagenten kräver färre rättigheter.

När du ställer in åtkomstkontrollistor, tänk på att agenten inte startas på motorn, utan på den "angränsande" värden (den så kallade Power Management Proxy), det vill säga om det bara finns en nod i klustret, kommer energihanteringen inte att fungera. kommer inte.

Konfigurera SSL

Fullständiga officiella instruktioner - in dokumentation, Bilaga D: oVirt och SSL — Ersätter oVirt Engine SSL/TLS-certifikatet.

Certifikatet kan vara antingen från vårt företags CA eller från en extern kommersiell certifieringsmyndighet.

Viktig notering: certifikatet är avsett för anslutning till chefen, det kommer inte att påverka interaktionen mellan Engine och noder - de kommer att använda självsignerade certifikat utfärdade av Engine.

krav:

• det utfärdande CA-certifikatet i PEM-format, med hela kedjan till rot-CA (från den underordnade utfärdaren i början till roten i slutet);
• ett certifikat för Apache utfärdat av den utfärdande CA (även kompletterat med hela CA-certifikatkedjan);
• privat nyckel för Apache, inget lösenord.

Låt oss anta att vår utfärdande CA körs CentOS, heter subca.example.com, och förfrågningar, nycklar och certifikat finns i katalogen /etc/pki/tls/.

Vi gör säkerhetskopior och skapar en tillfällig katalog:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

När vi laddar ner certifikat, gör vi det från vår arbetsstation eller överför det på annat bekvämt sätt:

[myuser@mydesktop] $ scp -3 causer@subca.example.com:/etc/pki/tls/cachain.pem mgmt@ovirt.example.com:/opt/certs
[myuser@mydesktop] $ scp -3 causer@subca.example.com:/etc/pki/tls/private/ovirt.key mgmt@ovirt.example.com:/opt/certs
[myuser@mydesktop] $ scp -3 causer@subca.example.com/etc/pki/tls/certs/ovirt.crt mgmt@ovirt.example.com:/opt/certs

Som ett resultat bör du se alla tre filerna:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Installerar certifikat

Kopiera filer och uppdatera förtroendelistor:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Lägg till/uppdatera konfigurationsfiler:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Därefter startar vi om alla berörda tjänster:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Redo! Det är dags att ansluta till chefen och kontrollera att anslutningen är skyddad av ett signerat SSL-certifikat.

Arkivering

Var skulle vi vara utan henne! Det här avsnittet kommer att diskutera arkivering av chefen; arkivering av den virtuella datorn är en separat fråga. Vi kommer att göra arkivkopior en gång om dagen och lagra dem via NFS, till exempel, på samma system där vi placerade ISO-bilderna - mynfs1.example.com:/exports/ovirt-backup. Det rekommenderas inte att lagra arkiv på samma maskin där Engine körs.

Installera och aktivera autofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Låt oss skapa ett skript:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

följande innehåll:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Gör filen körbar:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Nu varje kväll kommer vi att få ett arkiv med chefsinställningar.

Värdhanteringsgränssnitt

Sittbrunnen - ett modernt administrativt gränssnitt för Linux system. I det här fallet spelar den en roll som liknar ESXi-webbgränssnittet.

Ris. 3 - panelens utseende.

Det är väldigt enkelt att installera, du behöver cockpitpaketen och plugin-programmet cockpit-ovirt-dashboard:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Aktivera cockpit:

$ sudo systemctl enable --now cockpit.socket

Brandväggsinställningar:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Nu kan du ansluta till värden: https://[Värd IP eller FQDN]:9090

VLAN

Du kan läsa mer om nätverk på dokumentation. Det finns många möjligheter, här kommer vi att beskriva att ansluta virtuella nätverk.

För att ansluta andra subnät måste de först beskrivas i konfigurationen: Nätverk -> Nätverk -> Nytt, här är det enda obligatoriska fältet namnet; kryssrutan VM Network, som tillåter maskiner att använda detta nätverk, är aktiverad och för att ansluta taggen måste du aktivera Aktivera VLAN-taggning, ange VLAN-numret och klicka på OK.

Nu måste du gå till hosts Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Dra det tillagda nätverket från den högra delen av Unassigned Logical Networks till vänster till Assigned Logical Networks:

Ris. 4 - innan du lägger till nätverket.

Ris. 5 - efter att ha lagt till nätverket.

För att koppla flera nätverk till en värd samtidigt är det praktiskt att tilldela dem en eller flera etiketter när du skapar nätverk och lägger till nätverk efter etiketter.

När nätverket har skapats kommer värdarna att gå in i ett icke-operativt tillstånd tills nätverket läggs till i alla klusternoder. Detta beteende orsakas av flaggan Kräv alla på fliken Kluster när du skapar ett nytt nätverk. I det fall nätverket inte behövs på alla klusternoder kan denna flagga inaktiveras, då kommer nätverket när det läggs till värden att finnas till höger i sektionen Non Required och du kan välja om du vill ansluta det till en specifik värd.

Ris. 6 - val av flaggan för nätverkskrav.

HPE-specifik

Nästan alla tillverkare har verktyg som gör det lättare att arbeta med sina produkter. Med HPE som exempel är AMS (Agentless Management Service, amsd för iLO5, hp-ams för iLO4) och SSA (Smart Storage Administrator, som arbetar med en diskkontroller), etc. användbara.

Ansluter HPE-förrådet
Vi importerar nyckeln och ansluter HPE-förråden:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

följande innehåll:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Visa förvarets innehåll och paketinformation (referens):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Installation och start:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Exempel på verktyget för att arbeta med en diskkontroller

Det var allt för nu. I följande artiklar planerar jag att täcka några grundläggande funktioner och applikationer. Till exempel hur man gör VDI i oVirt.

Källa: will.com