oVirt på 2 timmar. Del 3. Ytterligare inställningar

I den här artikeln kommer vi att titta på ett antal valfria men användbara inställningar:

• använda ytterligare namn för chefen;
• anslutningsautentisering via Active Directory;
• Mutlipathing;
• energihantering;
• ersätter SSL-certifikat;
• arkivering;
• värdhanteringsgränssnitt (cockpit);
• VLAN;
• HPE-specifik.

Den här artikeln är en fortsättning, se oVirt om 2 timmar för början Часть 1 и Del 2.

Artiklar

1. Inledning
2. Installation av manager (ovirt-motor) och hypervisorer (värdar)
3. Ytterligare inställningar - Vi är här

Ytterligare chefsinställningar

För enkelhetens skull kommer vi att installera ytterligare paket:

$ sudo yum install bash-completion vim

För att möjliggöra komplettering av kommandon kräver bash-komplettering byte till bash.

Lägger till ytterligare DNS-namn

Detta kommer att krävas när du behöver ansluta till chefen med ett alternativt namn (CNAME, alias eller bara ett kort namn utan domänsuffix). Av säkerhetsskäl tillåter chefen endast anslutningar med den tillåtna listan med namn.

Skapa en konfigurationsfil:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

följande innehåll:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

och starta om managern:

$ sudo systemctl restart ovirt-engine

Ställa in autentisering via AD

oVirt har en inbyggd användarbas, men externa LDAP-leverantörer stöds också, inkl. A.D.

Det enklaste sättet för en typisk konfiguration är att starta guiden och starta om managern:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Ett exempel på en mästares arbete
$ sudo ovirt-engine-extension-aaa-ldap-setup
Tillgängliga LDAP-implementeringar:
.
3 - Active Directory
.
Vänligen välj: 3
Vänligen ange Active Directory-skogens namn: example.com

Välj protokoll att använda (startTLS, ldaps, plain) [startTLS]:
Välj metod för att erhålla PEM-kodat CA-certifikat (Fil, URL, Inline, System, Insecure): URL
URL: wwwca.example.com/myRootCA.pem
Ange sökanvändar-DN (till exempel uid=användarnamn,dc=exempel,dc=com eller lämna tomt för anonym): CN=oVirt-Engine,CN=Users,DC=example,DC=com
Ange sökanvändarlösenord: *Lösenord*
[ INFO ] Försöker binda med 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Kommer du att använda enkel inloggning för virtuella maskiner (ja, nej) [Ja]:
Vänligen ange profilnamn som kommer att vara synligt för användare [example.com]:
Ange användaruppgifter för att testa inloggningsflödet:
Skriv in ditt användarnamn: someAnyUser
Ange användarlösenord:
.
[INFO] Inloggningssekvensen utfördes framgångsrikt
.
Välj testsekvens att köra (Klar, Avbryt, Logga in, Sök) [Gjort]:
[INFO] Steg: Transaktionsinställning
.
KONFIGURATIONS SAMMANFATTNING
.

Att använda guiden är lämpligt i de flesta fall. För komplexa konfigurationer utförs inställningarna manuellt. Mer information i oVirt-dokumentationen, Användare och roller. Efter att ha lyckats ansluta motorn till AD kommer en ytterligare profil att visas i anslutningsfönstret och på fliken behörigheter Systemobjekt har möjlighet att ge behörigheter till AD-användare och grupper. Det bör noteras att den externa katalogen över användare och grupper inte bara kan vara AD, utan också IPA, eDirectory, etc.

Flerväg

I en produktionsmiljö måste lagringssystemet vara anslutet till värden via flera oberoende, flera I/O-vägar. Som regel är det i CentOS (och därför oVirt) inga problem med att montera flera sökvägar till en enhet (find_multipaths ja). Ytterligare inställningar för FCoE skrivs in 2:e delen. Det är värt att uppmärksamma rekommendationen från tillverkaren av lagringssystem - många rekommenderar att du använder round-robin-policyn, men som standard i Enterprise Linux 7 används servicetid.

Med 3PAR som exempel
och dokument Implementeringsguide för HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux och OracleVM Server EL skapas som en värd med Generic-ALUA Persona 2, för vilken följande värden anges i inställningarna /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Därefter ges kommandot att starta om:

systemctl restart multipathd

Ris. 1 är standardprincipen för flera I/O.

Ris. 2 - flera I/O-policyer efter tillämpning av inställningar.

Konfigurera energihantering

Låter dig utföra till exempel en hårdvaruåterställning av maskinen om motorn inte kan ta emot svar från värden under en längre tid. Genomförs genom Fence Agent.

Beräkna -> Värdar -> VÄRD — Redigera -> Power Management, aktivera sedan "Aktivera Power Management" och lägg till en agent - "Add Fence Agent" -> +.

Vi anger typen (till exempel för iLO5 måste du ange ilo4), namnet/adressen för ipmi-gränssnittet, samt användarnamnet/lösenordet. Det rekommenderas att skapa en separat användare (till exempel oVirt-PM) och, i fallet med iLO, ge honom privilegier:

• Logga in
• Fjärrkonsol
• Virtuell kraft och återställning
• Virtuella media
• Konfigurera iLO-inställningar
• Administrera användarkonton

Fråga inte varför det är så, det valdes empiriskt. Konsolstängselagenten kräver färre rättigheter.

När du ställer in åtkomstkontrollistor bör du komma ihåg att agenten inte körs på motorn, utan på en "angränsande" värd (den så kallade Power Management Proxy), d.v.s. om det bara finns en nod i klustret, energihantering kommer att fungera kommer inte.

Konfigurera SSL

Fullständiga officiella instruktioner - in dokumentation, Bilaga D: oVirt och SSL — Ersätter oVirt Engine SSL/TLS-certifikatet.

Certifikatet kan vara antingen från vårt företags CA eller från en extern kommersiell certifikatutfärdare.

Viktig notering: Certifikatet är avsett för att ansluta till chefen och kommer inte att påverka kommunikationen mellan motorn och noderna - de kommer att använda självsignerade certifikat utfärdade av motorn.

krav:

• certifikat för den utfärdande CA i PEM-format, med hela kedjan upp till rot-CA (från den underordnade utfärdande CA i början till roten i slutet);
• ett certifikat för Apache utfärdat av den utfärdande CA (även kompletterat med hela kedjan av CA-certifikat);
• privat nyckel för Apache, utan lösenord.

Låt oss anta att vår utfärdande CA kör CentOS, kallat subca.example.com, och förfrågningarna, nycklarna och certifikaten finns i katalogen /etc/pki/tls/.

Vi gör säkerhetskopior och skapar en tillfällig katalog:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Ladda ner certifikat, utför det från din arbetsstation eller överför det på ett annat bekvämt sätt:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Som ett resultat bör du se alla tre filerna:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Installerar certifikat

Kopiera filerna och uppdatera förtroendelistorna:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Lägg till/uppdatera konfigurationsfiler:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Starta sedan om alla berörda tjänster:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Redo! Det är dags att ansluta till chefen och kontrollera att anslutningen är skyddad av ett signerat SSL-certifikat.

Arkivering

Var skulle vi vara utan henne? I det här avsnittet kommer vi att prata om chefsarkivering; VM-arkivering är en separat fråga. Vi kommer att göra arkivkopior en gång om dagen och lagra dem via exempelvis NFS på samma system där vi placerade ISO-bilderna - mynfs1.example.com:/exports/ovirt-backup. Det rekommenderas inte att lagra arkiv på samma maskin där motorn körs.

Installera och aktivera autofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Låt oss skapa ett skript:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

följande innehåll:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Gör filen körbar:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Nu varje kväll kommer vi att få ett arkiv med chefsinställningar.

Värdhanteringsgränssnitt

Sittbrunnen — ett modernt administrativt gränssnitt för Linux-system. I det här fallet utför den en roll som liknar ESXi webbgränssnitt.

Ris. 3 — panelens utseende.

Installationen är väldigt enkel, du behöver cockpitpaketen och plugin-programmet cockpit-ovirt-dashboard:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Aktivera cockpit:

$ sudo systemctl enable --now cockpit.socket

Brandväggsinställningar:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Nu kan du ansluta till värden: https://[Värd IP eller FQDN]:9090

VLAN

Du bör läsa mer om nätverk i dokumentation. Det finns många möjligheter, här kommer vi att beskriva att ansluta virtuella nätverk.

För att ansluta andra subnät måste de först beskrivas i konfigurationen: Nätverk -> Nätverk -> Nytt, här är endast namnet ett obligatoriskt fält; Kryssrutan VM Network, som tillåter maskiner att använda detta nätverk, är aktiverad, men för att ansluta måste taggen vara aktiverad Aktivera VLAN-taggning, ange VLAN-numret och klicka på OK.

Nu måste du gå till Beräkna värdar -> Värdar -> kvmNN -> Nätverksgränssnitt -> Konfigurera värdnätverk. Dra det tillagda nätverket från höger sida av Unassigned Logical Networks till vänster till Assigned Logical Networks:

Ris. 4 - innan du lägger till ett nätverk.

Ris. 5 - efter att ha lagt till ett nätverk.

För att koppla flera nätverk till en värd samtidigt är det praktiskt att tilldela dem en eller flera etiketter när du skapar nätverk och lägga till nätverk efter etiketter.

Efter att nätverket har skapats kommer värdarna att gå in i icke-operativt tillstånd tills nätverket läggs till alla noder i klustret. Detta beteende orsakas av flaggan Kräv alla på fliken Kluster när du skapar ett nytt nätverk. I fallet när nätverket inte behövs på alla noder i klustret, kan denna flagga inaktiveras, sedan när nätverket läggs till en värd kommer det att finnas till höger i avsnittet Ej krävs och du kan välja om du vill ansluta det till en specifik värd.

Ris. 6 – välj ett attribut för nätverkskrav.

HPE-specifik

Nästan alla tillverkare har verktyg som förbättrar användbarheten av sina produkter. Med HPE som exempel är AMS (Agentless Management Service, amsd för iLO5, hp-ams för iLO4) och SSA (Smart Storage Administrator, som arbetar med en diskkontroller), etc. användbara.

Ansluter HPE-förvaret
Vi importerar nyckeln och ansluter HPE-förråden:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

följande innehåll:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Visa förvarets innehåll och paketinformation (för referens):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Installation och start:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Ett exempel på ett verktyg för att arbeta med en diskkontroller

Det var allt tills vidare. I följande artiklar planerar jag att berätta för dig några grundläggande funktioner och applikationer. Till exempel hur man gör VDI i oVirt.

Källa: will.com