oVirt ndani ya masaa 2. Sehemu ya 3. Mipangilio ya ziada

Katika makala hii tutaangalia idadi ya mipangilio ya hiari lakini yenye manufaa:

• kutumia majina ya ziada kwa meneja;
• kuunganisha uthibitishaji kupitia Active Directory;
• Mutlipathing;
• usimamizi wa nguvu;
• kubadilisha cheti cha SSL;
• kuhifadhi;
• kiolesura cha usimamizi wa mwenyeji (cockpit);
• VLAN;
• HPE maalum.

Makala haya ni muendelezo, tazama oVirt baada ya saa 2 kwa mwanzo Sehemu ya 1 и Siku ya 2.

makala

1. Utangulizi
2. Ufungaji wa meneja (ovirt-injini) na hypervisors (wenyeji)
3. Mipangilio ya ziada - Tuko hapa

Mipangilio ya ziada ya msimamizi

Kwa urahisi, tutaweka vifurushi vya ziada:

$ sudo yum install bash-completion vim

Ili kuwezesha kukamilika kwa amri, ukamilishaji wa bash unahitaji kubadili hadi bash.

Inaongeza majina ya ziada ya DNS

Hii itahitajika unapohitaji kuunganisha kwa msimamizi kwa kutumia jina mbadala (CNAME, pak, au jina fupi tu lisilo na kiambishi tamati cha kikoa). Kwa sababu za usalama, msimamizi huruhusu miunganisho kwa kutumia orodha inayoruhusiwa ya majina pekee.

Unda faili ya usanidi:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

maudhui yafuatayo:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

na uanze tena meneja:

$ sudo systemctl restart ovirt-engine

Kuweka uthibitishaji kupitia AD

oVirt ina msingi wa mtumiaji uliojengewa ndani, lakini watoa huduma wa LDAP wa nje pia wanasaidiwa, pamoja na. A.D.

Njia rahisi zaidi ya usanidi wa kawaida ni kuzindua mchawi na kuanzisha tena meneja:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Mfano wa kazi ya bwana
$ sudo ovirt-injini-ugani-aaa-ldap-kuanzisha
Utekelezaji unaopatikana wa LDAP:
...
3 - Saraka Inayotumika
...
Tafadhali chagua: 3
Tafadhali weka jina la Active Directory Forest: example.com

Tafadhali chagua itifaki ya kutumia (startTLS, ldaps, plain) [anzaTLS]:
Tafadhali chagua njia ya kupata cheti cha CA kilichosimbwa cha PEM (Faili, URL, Inline, System, Insecure): URL
URL: wwwca.example.com/myRootCA.pem
Ingiza mtumiaji wa utafutaji DN (kwa mfano uid=username,dc=example,dc=com au acha mtupu kwa kutokujulikana): CN=oVirt-Engine,CN=Watumiaji,DC=mfano,DC=com
Ingiza nenosiri la mtumiaji la utafutaji: *nenosiri*
[ INFO ] Kujaribu kufunga kwa kutumia 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Je, utatumia Kuingia Mara Moja kwa Mashine Pembeni (Ndiyo, Hapana) [Ndio]:
Tafadhali bainisha jina la wasifu ambalo litaonekana kwa watumiaji [mfano.com]:
Tafadhali toa kitambulisho ili kujaribu mtiririko wa kuingia katika akaunti:
Ingiza jina la mtumiaji: someAnyUser
Weka nenosiri la mtumiaji:
...
[INFO] Mfuatano wa kuingia umetekelezwa
...
Chagua mlolongo wa majaribio ili kutekeleza (Nimemaliza, Komesha, Ingia, Tafuta) [Imekamilika]:
[INFO] Hatua: Mipangilio ya shughuli
...
MUHTASARI WA UWEKEZAJI
...

Kutumia mchawi kunafaa kwa kesi nyingi. Kwa usanidi ngumu, mipangilio inafanywa kwa mikono. Maelezo zaidi katika nyaraka za oVirt, Watumiaji na Majukumu. Baada ya kuunganisha kwa ufanisi Injini kwa AD, wasifu wa ziada utaonekana kwenye dirisha la uunganisho, na kwenye kichupo Ruhusa Vipengee vya mfumo vina uwezo wa kutoa ruhusa kwa watumiaji na vikundi vya AD. Ikumbukwe kwamba saraka ya nje ya watumiaji na vikundi inaweza kuwa sio AD tu, bali pia IPA, eDirectory, nk.

Kuzidisha

Katika mazingira ya uzalishaji, ni lazima mfumo wa kuhifadhi uunganishwe kwa seva pangishi kupitia njia nyingi zinazojitegemea, nyingi za I/O. Kama sheria, katika CentOS (na kwa hivyo oVirt) hakuna shida na kukusanya njia nyingi kwa kifaa (find_multipaths ndio). Mipangilio ya ziada ya FCoE imeandikwa Sehemu ya 2. Inastahili kuzingatia pendekezo la mtengenezaji wa mfumo wa kuhifadhi - wengi wanapendekeza kutumia sera ya robin ya pande zote, lakini kwa default katika Enterprise Linux 7 wakati wa huduma hutumiwa.

Kutumia 3PAR kama mfano
na hati HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux, na Mwongozo wa Utekelezaji wa Seva ya OracleVM EL imeundwa kama Mwenyeji na Generic-ALUA Persona 2, ambayo maadili yafuatayo yameingizwa kwenye mipangilio /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Baada ya hapo amri ya kuanza upya inatolewa:

systemctl restart multipathd

Mchele. 1 ndiyo sera chaguomsingi ya I/O nyingi.

Mchele. 2 - sera nyingi za I/O baada ya kutumia mipangilio.

Kuanzisha usimamizi wa nguvu

Inakuruhusu kutekeleza, kwa mfano, uwekaji upya wa maunzi ya mashine ikiwa Injini haiwezi kupokea jibu kutoka kwa Seva kwa muda mrefu. Inatekelezwa kupitia Wakala wa Uzio.

Kokotoa -> Wapangishi -> HOST — Hariri -> Usimamizi wa Nishati, kisha uwashe “Wezesha Usimamizi wa Nishati” na uongeze wakala — “Ongeza Wakala wa Uzio” -> +.

Tunaonyesha aina (kwa mfano, kwa iLO5 unahitaji kutaja ilo4), jina / anwani ya interface ya ipmi, pamoja na jina la mtumiaji / nenosiri. Inapendekezwa kuunda mtumiaji tofauti (kwa mfano, oVirt-PM) na, kwa upande wa ILO, kumpa mapendeleo:

• Ingia
• Dashibodi ya Mbali
• Nguvu ya Mtandaoni na Weka Upya
• Vyombo vya Habari vya Mtandao
• Sanidi Mipangilio ya ILO
• Dhibiti Akaunti za Mtumiaji

Usiulize kwa nini hii ni hivyo, ilichaguliwa kwa nguvu. Wakala wa uzio wa kiweko huhitaji haki chache.

Wakati wa kuanzisha orodha za udhibiti wa upatikanaji, unapaswa kukumbuka kuwa wakala huendesha si kwenye injini, lakini kwa mwenyeji wa "jirani" (kinachojulikana Wakala wa Usimamizi wa Nguvu), yaani, ikiwa kuna node moja tu kwenye nguzo, usimamizi wa nguvu utafanya kazi hataki.

Kuanzisha SSL

Maagizo rasmi kamili - ndani nyaraka, Kiambatisho D: oVirt na SSL — Kubadilisha Cheti cha OVirt Engine SSL/TLS.

Cheti kinaweza kutoka kwa shirika letu la CA au kutoka kwa mamlaka ya cheti cha kibiashara cha nje.

Kumbuka muhimu: Cheti kimekusudiwa kuunganishwa na meneja na haitaathiri mawasiliano kati ya Injini na nodi - watatumia vyeti vya kujiandikisha vilivyotolewa na Injini.

Mahitaji:

• cheti cha utoaji wa CA katika umbizo la PEM, na mnyororo mzima hadi kwenye mizizi CA (kutoka kwa chini kutoa CA mwanzoni hadi mzizi mwishoni);
• cheti cha Apache kilichotolewa na CA iliyotolewa (pia imeongezwa na mlolongo mzima wa vyeti vya CA);
• ufunguo wa kibinafsi kwa Apache, bila nenosiri.

Wacha tuchukue CA yetu inayotoa inaendesha CentOS, inayoitwa subca.example.com, na maombi, funguo, na vyeti viko kwenye saraka ya /etc/pki/tls/.

Tunafanya chelezo na kuunda saraka ya muda:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Pakua vyeti, uifanye kutoka kwa kituo chako cha kazi au uhamishe kwa njia nyingine rahisi:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Kama matokeo, unapaswa kuona faili zote 3:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Kuweka vyeti

Nakili faili na usasishe orodha za uaminifu:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Ongeza/sasisha faili za usanidi:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Ifuatayo, anzisha upya huduma zote zilizoathirika:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Tayari! Ni wakati wa kuunganisha kwa msimamizi na kuangalia kwamba muunganisho unalindwa na cheti cha SSL kilichotiwa saini.

Kuhifadhi kumbukumbu

Tungekuwa wapi bila yeye? Katika sehemu hii tutazungumza juu ya uwekaji kumbukumbu wa meneja; uwekaji kumbukumbu wa VM ni suala tofauti. Tutafanya nakala za kumbukumbu mara moja kwa siku na kuzihifadhi kupitia NFS, kwa mfano, kwenye mfumo ule ule ambapo tuliweka picha za ISO - mynfs1.example.com:/exports/ovirt-backup. Haipendekezi kuhifadhi kumbukumbu kwenye mashine sawa ambapo Injini inafanya kazi.

Sakinisha na kuwezesha otomatiki:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Wacha tutengeneze hati:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

maudhui yafuatayo:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Kufanya faili kutekelezwa:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Sasa kila usiku tutapokea kumbukumbu ya mipangilio ya msimamizi.

Kiolesura cha usimamizi wa mwenyeji

Cockpit - kiolesura cha kisasa cha kiutawala cha mifumo ya Linux. Katika kesi hii, hufanya jukumu sawa na kiolesura cha wavuti cha ESXi.

Mchele. 3 - kuonekana kwa jopo.

Usakinishaji ni rahisi sana, unahitaji vifurushi vya chumba cha rubani na programu-jalizi ya dashibodi ya cockpit-ovirt:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Kuwezesha Cockpit:

$ sudo systemctl enable --now cockpit.socket

Mpangilio wa firewall:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Sasa unaweza kuunganisha kwa seva pangishi: https://[Host IP au FQDN]:9090

VLAN

Unapaswa kusoma zaidi kuhusu mitandao ndani nyaraka. Kuna uwezekano mwingi, hapa tutaelezea kuunganisha mitandao ya kawaida.

Ili kuunganisha subnets nyingine, lazima kwanza zifafanuliwe katika usanidi: Mtandao -> Mitandao -> Mpya, hapa tu jina ni uwanja unaohitajika; Kisanduku cha kuteua cha Mtandao wa VM, ambacho huruhusu mashine kutumia mtandao huu, kimewashwa, lakini ili kuunganisha lebo lazima iwashwe. Washa kuweka lebo kwenye VLAN, ingiza nambari ya VLAN na ubofye Sawa.

Sasa unahitaji kwenda kwa Kokotoa wapangishi -> Wapangishi -> kvmNN -> Violesura vya Mtandao -> Sanidi Mitandao ya Wapangishi. Buruta mtandao ulioongezwa kutoka upande wa kulia wa Mitandao ya Kimantiki Isiyokabidhiwa hadi kushoto hadi Mitandao ya Kimantiki Iliyokabidhiwa:

Mchele. 4 - kabla ya kuongeza mtandao.

Mchele. 5 - baada ya kuongeza mtandao.

Ili kuunganisha mitandao mingi kwa seva pangishi kwa wingi, ni rahisi kuwapa lebo wakati wa kuunda mitandao, na kuongeza mitandao kwa lebo.

Baada ya mtandao kuundwa, wapangishi wataingia katika hali isiyo ya Uendeshaji hadi mtandao uongezwe kwenye nodi zote kwenye nguzo. Tabia hii inasababishwa na alama ya Zinahitaji Zote kwenye kichupo cha Nguzo wakati wa kuunda mtandao mpya. Katika kesi wakati mtandao hauhitajiki kwenye nodi zote za nguzo, bendera hii inaweza kuzimwa, basi mtandao unapoongezwa kwa mwenyeji, itakuwa upande wa kulia katika sehemu isiyohitajika na unaweza kuchagua kama kuunganisha. kwa mwenyeji maalum.

Mchele. 6-chagua sifa ya mahitaji ya mtandao.

HPE maalum

Karibu wazalishaji wote wana zana zinazoboresha matumizi ya bidhaa zao. Kwa kutumia HPE kama mfano, AMS (Huduma ya Usimamizi Isiyo na Wakala, amsd kwa iLO5, hp-ams kwa iLO4) na SSA (Msimamizi wa Uhifadhi Mahiri, kufanya kazi na kidhibiti cha diski), n.k. ni muhimu.

Kuunganisha hazina ya HPE
Tunaingiza ufunguo na kuunganisha hazina za HPE:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

maudhui yafuatayo:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Tazama yaliyomo kwenye hazina na maelezo ya kifurushi (kwa marejeleo):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Ufungaji na uzinduzi:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Mfano wa matumizi ya kufanya kazi na mtawala wa diski

Ni hayo tu kwa sasa. Katika makala zifuatazo ninapanga kuzungumza juu ya shughuli za kimsingi na matumizi. Kwa mfano, jinsi ya kutengeneza VDI katika oVirt.

Chanzo: mapenzi.com