oVirt дар 2 соат. Қисми 3. Танзимоти иловагӣ

Дар ин мақола мо як қатор танзимоти ихтиёрӣ, вале муфидро дида мебароем:

• бо истифода аз номҳои иловагӣ барои мудир;
• пайваст кардани аутентификатсия тавассути Active Directory;
• Муттаҳидшавӣ;
• идоракунии нерӯ;
• иваз кардани сертификати SSL;
• бойгонӣ;
• интерфейси идоракунии мизбон (кокпит);
• VLAN -ҳо;
• мушаххаси HPE.

Ин мақола идома аст, барои оғози 2 соат ба oVirt нигаред Қисми 1 и қисми 2.

Мақолаҳо

1. Муқаддима
2. Насби менеҷер (ovirt-муҳаррик) ва гипервизорҳо (хостҳо)
3. Танзимоти иловагӣ - Мо дар ин ҷо ҳастем

Танзимоти иловагии менеҷер

Барои роҳат мо бастаҳои иловагиро насб мекунем:

$ sudo yum install bash-completion vim

Барои фаъол кардани анҷоми фармон, bash-completion гузариш ба bash-ро талаб мекунад.

Илова кардани номҳои DNS иловагӣ

Ин вақте лозим мешавад, ки ба мудир бо истифода аз номи алтернативӣ (CNAME, тахаллус ё танҳо номи кӯтоҳ бе суффикси домен) пайваст шавед. Бо сабабҳои амниятӣ, менеҷер ба пайвастшавӣ танҳо бо истифода аз рӯйхати иҷозатдодашудаи номҳо иҷозат медиҳад.

Файли конфигуратсияро эҷод кунед:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

мазмуни зерин:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

ва мудирро аз нав оғоз кунед:

$ sudo systemctl restart ovirt-engine

Танзими аутентификатсия тавассути AD

oVirt дорои пойгоҳи дарунсохти корбар аст, аммо провайдерҳои берунаи LDAP низ дастгирӣ мешаванд, аз ҷумла. А.

Роҳи соддатарин барои конфигуратсияи маъмулӣ оғоз кардани устод ва аз нав оғоз кардани менеҷер мебошад:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Намунаи кори устод
$ sudo ovirt-муҳаррик-васеъ-aaa-ldap-setup
Амалисозии дастраси LDAP:
...
3 - Directory Active
...
Лутфан интихоб кунед: 3
Лутфан номи Active Directory Forestро ворид кунед: example.com

Лутфан протоколро барои истифода интихоб кунед (startTLS, ldaps, plain) [startTLS]:
Лутфан усули гирифтани шаҳодатномаи CA-и PEM-ро интихоб кунед (Файл, URL, Inline, Система, Бехатарӣ): URL
URL: wwwca.example.com/myRootCA.pem
DN-и корбари ҷустуҷӯро ворид кунед (масалан uid=username,dc=example,dc=com ё барои беном холӣ гузоред): CN = oVirt-Engine, CN = Истифодабарандагон, DC = мисол, DC = com
Рамзи корбари ҷустуҷӯиро ворид кунед: *парол*
[ INFO ] Кӯшиши пайвастшавӣ бо истифода аз 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Оё шумо як вурудро барои мошинҳои виртуалӣ истифода мебаред (Ҳа, Не) [Бале]:
Лутфан номи профилро муайян кунед, ки барои корбарон намоён хоҳад шуд [example.com]:
Лутфан маълумоти эътимодномаро барои санҷиши ҷараёни воридшавӣ пешниҳод кунед:
Номи корбарро ворид кунед: someAnyUser
Рамзи корбарро ворид кунед:
...
[INFO] пайдарпаии воридшавӣ бомуваффақият иҷро шуд
...
Барои иҷро кардани пайдарпаии санҷишро интихоб кунед (Иҷро шуд, Қатъ кардан, Воридшавӣ, Ҷустуҷӯ) [Иҷро шуд]:
[INFO] Марҳила: Танзими транзаксия
...
ХУЛОСАИ КОНФИГУРАЦИЯ
...

Истифодаи устод барои аксари ҳолатҳо мувофиқ аст. Барои конфигуратсияҳои мураккаб, танзимот дастӣ иҷро карда мешаванд. Тафсилоти бештар дар ҳуҷҷатҳои oVirt, Истифодабарандагон ва нақшҳо. Пас аз бомуваффақият пайваст кардани Engine ба AD, профили иловагӣ дар равзанаи пайвастшавӣ ва дар ҷадвал пайдо мешавад Равзанаҳо Объектҳои система қобилияти додани иҷозатҳоро ба корбарон ва гурӯҳҳои AD доранд. Бояд гуфт, ки феҳристи берунии корбарон ва гурӯҳҳо метавонад на танҳо AD, балки IPA, eDirectory ва ғайра бошад.

Ҷараёни бисёрҷониба

Дар муҳити истеҳсолӣ, системаи нигаҳдорӣ бояд ба ҳост тавассути якчанд роҳҳои мустақил ва сершумори воридот / баромад пайваст карда шавад. Одатан, дар CentOS (ва аз ин рӯ oVirt) ҳеҷ гуна мушкилот бо васл кардани роҳҳои сершумор ба дастгоҳ вуҷуд надорад (find_multipaths ҳа). Танзимоти иловагӣ барои FCoE дар навишта шудааст қисми 2. Ба тавсияи истеҳсолкунандаи системаи нигаҳдорӣ диққат додан лозим аст - бисёриҳо истифодаи сиёсати давриро тавсия медиҳанд, аммо ба таври нобаёнӣ дар Enterprise Linux 7 вақти хидматрасонӣ истифода мешавад.

Истифодаи 3PAR ҳамчун мисол
ва ҳуҷҷат Дастури татбиқи сервери HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux ва OracleVM EL ҳамчун ҳост бо Generic-ALUA Persona 2 сохта шудааст, ки барои он арзишҳои зерин ба танзимоти /etc/multipath.conf ворид карда мешаванд:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Пас аз он фармони аз нав оғоз кардан дода мешавад:

systemctl restart multipathd

Райс. 1 сиёсати пешфарзии бисёркаратаи вуруд/чор мебошад.

Райс. 2 - Сиёсати сершумори I/O пас аз татбиқи танзимот.

Танзими идоракунии қувваи барқ

Ба шумо имкон медиҳад, ки масалан, аз нав танзимкунии сахтафзори мошин, агар Муҳаррик дар муддати тӯлонӣ аз Хост посух қабул накунад. Тавассути Fence Agent амалӣ карда мешавад.

Ҳисоб кунед -> Хостҳо -> Хост — Таҳрир -> Идоракунии нерӯ, пас "Идораи идоракунии нерӯ" -ро фаъол кунед ва агент илова кунед - "Илова кардани агенти девор" -> +.

Мо намудро (масалан, барои iLO5 шумо бояд ilo4-ро муайян кунед), ном/суроғаи интерфейси ipmi, инчунин номи корбар/паролро нишон медиҳем. Тавсия дода мешавад, ки корбари алоҳида эҷод кунед (масалан, oVirt-PM) ва дар мавриди iLO, ба ӯ имтиёзҳо диҳед:

• Даромадан
• Консоли дурдаст
• Қувваи виртуалӣ ва барқароркунӣ
• ВАО виртуалӣ
• Танзимоти iLO-ро танзим кунед
• Ҳисобҳои корбарро идора кунед

Напурсед, ки чаро ин тавр аст, он ба таври таҷрибавӣ интихоб шудааст. Агенти шамшербозии консол ҳуқуқҳои камтарро талаб мекунад.

Ҳангоми насб кардани рӯйхатҳои назорати дастрасӣ, шумо бояд дар хотир дошта бошед, ки агент на дар муҳаррик, балки дар ҳости "ҳамсоя" (ба истилоҳ прокси идоракунии қудрат) кор мекунад, яъне агар дар кластер танҳо як гиреҳ мавҷуд бошад, идоракунии кувва кор мекунад нахоҳад кард.

Танзими SSL

Дастурҳои пурраи расмӣ - дар хуччатхо, Замимаи D: oVirt ва SSL — Иваз кардани Шаҳодатномаи oVirt Engine SSL/TLS.

Шаҳодатнома метавонад ё аз CA корпоративии мо ё аз мақомоти сертификати тиҷоратии беруна бошад.

Эзоҳҳои муҳим: Шаҳодатнома барои пайвастшавӣ ба менеҷер пешбинӣ шудааст ва ба иртиботи байни Муҳаррик ва гиреҳҳо таъсир намерасонад - онҳо шаҳодатномаҳои аз ҷониби Муҳаррики худ имзошуда истифода мешаванд.

Талабот:

• шаҳодатномаи CA-и бароранда дар формати PEM бо тамоми занҷир то решаи CA (аз тобеи CA-ро дар аввал то реша дар охир);
• сертификат барои Apache, ки аз ҷониби CA эмитент дода шудааст (инчунин бо тамоми силсилаи сертификатҳои CA илова карда мешавад);
• калиди хусусӣ барои Apache, бе парол.

Фарз мекунем, ки CA-и барориши мо CentOS-ро иҷро мекунад, ки subca.example.com ном дорад ва дархостҳо, калидҳо ва сертификатҳо дар директорияи /etc/pki/tls/ ҷойгир шудаанд.

Мо нусхабардорӣ мекунем ва феҳристи муваққатӣ эҷод мекунем:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Сертификатҳоро зеркашӣ кунед, онро аз истгоҳи кории худ иҷро кунед ё бо роҳи дигари қулай интиқол диҳед:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Дар натиҷа, шумо бояд ҳамаи 3 файлро бинед:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Насб кардани сертификатҳо

Файлҳоро нусхабардорӣ кунед ва рӯйхатҳои эътимодро навсозӣ кунед:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Илова/навсозии файлҳои конфигуратсия:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Баъдан, ҳамаи хидматҳои зарардидаро аз нав оғоз кунед:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Тайёр! Вақти он расидааст, ки ба менеҷер пайваст шавед ва тафтиш кунед, ки пайвастшавӣ бо сертификати имзошудаи SSL ҳифз шудааст.

Архивкунӣ

Мо бе вай куҷо мешудем? Дар ин бахш мо дар бораи бойгонии менеҷер сӯҳбат хоҳем кард; бойгонии VM масъалаи алоҳида аст. Мо дар як рӯз як маротиба нусхаҳои бойгонӣ эҷод мекунем ва онҳоро тавассути NFS нигоҳ медорем, масалан, дар ҳамон системае, ки мо тасвирҳои ISO-ро ҷойгир кардаем - mynfs1.example.com:/exports/ovirt-backup. Тавсия дода намешавад, ки архивҳоро дар ҳамон мошине, ки Муҳаррик кор мекунад, нигоҳ доред.

Автоматҳоро насб ва фаъол созед:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Биёед скрипт эҷод кунем:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

мазмуни зерин:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Барои иҷрошаванда сохтани файл:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Ҳоло ҳар шаб мо бойгонии танзимоти мудирро мегирем.

Интерфейси идоракунии мизбон

Кокпери — интерфейси муосири маъмурӣ барои системаҳои Linux. Дар ин ҳолат, он нақши шабеҳро ба веб-интерфейси ESXi иҷро мекунад.

Райс. 3 — намуди панел.

Насбкунӣ хеле содда аст, ба шумо бастаҳои кабина ва плагини cockpit-ovirt-dashboard лозим аст:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Фаъолсозии кабина:

$ sudo systemctl enable --now cockpit.socket

Танзимоти девор:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Акнун шумо метавонед ба мизбон пайваст шавед: https://[Host IP ё FQDN]:9090

VLAN -ҳо

Шумо бояд дар бораи шабакаҳо бештар хонед хуччатхо. Имкониятҳои зиёде мавҷуданд, дар ин ҷо мо пайваст кардани шабакаҳои виртуалиро тавсиф хоҳем кард.

Барои пайваст кардани зершабакаҳои дигар, онҳо бояд аввал дар конфигуратсия тавсиф карда шаванд: Шабака -> Шабакаҳо -> Нав, дар ин ҷо танҳо ном майдони ҳатмист; Қуттии санҷиши Шабакаи VM, ки ба мошинҳо имкон медиҳад, ки ин шабакаро истифода баранд, фаъол аст, аммо барои пайваст кардани тег бояд фаъол карда шавад Барчаспкунии VLAN-ро фаъол созед, рақами VLAN-ро ворид кунед ва OK -ро пахш кунед.

Акнун ба шумо лозим аст, ки ба Ҳисобкунии Хостҳо -> Хостҳо -> kvmNN -> Интерфейсҳои шабакавӣ -> Насб кардани Шабакаҳои Хост гузаред. Шабакаи иловашударо аз тарафи рости Шабакаҳои мантиқии таъиннашуда ба чап ба Шабакаҳои мантиқии таъиншуда кашед:

Райс. 4 - пеш аз илова кардани шабака.

Райс. 5 - пас аз илова кардани шабака.

Барои пайваст кардани шабакаҳои сершумор ба ҳост дар маҷмӯъ, ҳангоми сохтани шабакаҳо ба онҳо нишона(ҳо) гузоштан ва шабакаҳоро аз рӯи нишонаҳо илова кардан қулай аст.

Пас аз таъсиси шабака, ҳостҳо то он даме ки шабака ба ҳамаи гиреҳҳои кластер илова карда нашавад, ба ҳолати ғайриамалӣ мегузаранд. Ин рафтор аз сабаби талаб кардани ҳама парчам дар ҷадвали Кластер ҳангоми сохтани шабакаи нав ба вуҷуд омадааст. Дар ҳолате, ки шабака дар ҳама гиреҳҳои кластер лозим набошад, ин парчамро ғайрифаъол кардан мумкин аст, пас вақте ки шабака ба ҳост илова карда мешавад, он дар тарафи рост дар қисмати Non-required хоҳад буд ва шумо метавонед интихоб кунед, ки оё пайваст шудан онро ба мизбони мушаххас.

Райс. 6 — атрибути талаботи шабакаро интихоб кунед.

мушаххаси HPE

Қариб ҳамаи истеҳсолкунандагон асбобҳое доранд, ки қобилияти истифодаи маҳсулоти худро беҳтар мекунанд. Истифодаи HPE ҳамчун намуна, AMS (Хадамоти идоракунии агентӣ, amsd барои iLO5, hp-ams барои iLO4) ва SSA (Administrator Storage Smart, кор бо контролери диск) ва ғайра муфиданд.

Пайваст кардани анбори HPE
Мо калидро ворид мекунем ва анбори HPE-ро пайваст мекунем:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

мазмуни зерин:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Дидани мундариҷаи анбор ва маълумоти баста (барои маълумот):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Насб ва оғоз:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Намунаи утилита барои кор бо контроллери диск

Ҳамааш ҳамин аст. Дар мақолаҳои зерин ман нақша дорам, ки дар бораи баъзе амалҳо ва барномаҳои асосӣ сӯҳбат кунам. Масалан, чӣ гуна VDI-ро дар oVirt сохтан мумкин аст.

Манбаъ: will.com