Дар ин мақола мо як қатор танзимоти ихтиёрӣ, вале муфидро дида мебароем:
бо истифода аз номҳои иловагӣ барои мудир ;пайваст кардани аутентификатсия тавассути Active Directory ;Муттаҳидшавӣ ;идоракунии нерӯ ;иваз кардани сертификати SSL ;бойгонӣ ;интерфейси идоракунии мизбон (кокпит) ;VLAN -ҳо ;мушаххаси HPE .
Ин мақола идома аст, барои оғози 2 соат ба oVirt нигаред
Мақолаҳо
Муқаддима Насби менеҷер (ovirt-муҳаррик) ва гипервизорҳо (хостҳо) - Танзимоти иловагӣ - Мо дар ин ҷо ҳастем
Танзимоти иловагии менеҷер
Барои роҳат мо бастаҳои иловагиро насб мекунем:
$ sudo yum install bash-completion vim
Барои фаъол кардани анҷоми фармон, bash-completion гузариш ба bash-ро талаб мекунад.
Илова кардани номҳои DNS иловагӣ
Ин вақте лозим мешавад, ки ба мудир бо истифода аз номи алтернативӣ (CNAME, тахаллус ё танҳо номи кӯтоҳ бе суффикси домен) пайваст шавед. Бо сабабҳои амниятӣ, менеҷер ба пайвастшавӣ танҳо бо истифода аз рӯйхати иҷозатдодашудаи номҳо иҷозат медиҳад.
Файли конфигуратсияро эҷод кунед:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
мазмуни зерин:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"
ва мудирро аз нав оғоз кунед:
$ sudo systemctl restart ovirt-engine
Танзими аутентификатсия тавассути AD
oVirt дорои пойгоҳи дарунсохти корбар аст, аммо провайдерҳои берунаи LDAP низ дастгирӣ мешаванд, аз ҷумла. А.
Роҳи соддатарин барои конфигуратсияи маъмулӣ оғоз кардани устод ва аз нав оғоз кардани менеҷер мебошад:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine
Намунаи кори устод
$ sudo ovirt-муҳаррик-васеъ-aaa-ldap-setup
Амалисозии дастраси LDAP:
...
3 - Directory Active
...
Лутфан интихоб кунед: 3
Лутфан номи Active Directory Forestро ворид кунед: example.com
Лутфан протоколро барои истифода интихоб кунед (startTLS, ldaps, plain) [startTLS]:
Лутфан усули гирифтани шаҳодатномаи CA-и PEM-ро интихоб кунед (Файл, URL, Inline, Система, Бехатарӣ): URL
URL:
DN-и корбари ҷустуҷӯро ворид кунед (масалан uid=username,dc=example,dc=com ё барои беном холӣ гузоред): CN = oVirt-Engine, CN = Истифодабарандагон, DC = мисол, DC = com
Рамзи корбари ҷустуҷӯиро ворид кунед: *парол*
[ INFO ] Кӯшиши пайвастшавӣ бо истифода аз 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Оё шумо як вурудро барои мошинҳои виртуалӣ истифода мебаред (Ҳа, Не) [Бале]:
Лутфан номи профилро муайян кунед, ки барои корбарон намоён хоҳад шуд [example.com]:
Лутфан маълумоти эътимодномаро барои санҷиши ҷараёни воридшавӣ пешниҳод кунед:
Номи корбарро ворид кунед: someAnyUser
Рамзи корбарро ворид кунед:
...
[INFO] пайдарпаии воридшавӣ бомуваффақият иҷро шуд
...
Барои иҷро кардани пайдарпаии санҷишро интихоб кунед (Иҷро шуд, Қатъ кардан, Воридшавӣ, Ҷустуҷӯ) [Иҷро шуд]:
[INFO] Марҳила: Танзими транзаксия
...
ХУЛОСАИ КОНФИГУРАЦИЯ
...
Истифодаи устод барои аксари ҳолатҳо мувофиқ аст. Барои конфигуратсияҳои мураккаб, танзимот дастӣ иҷро карда мешаванд. Тафсилоти бештар дар ҳуҷҷатҳои oVirt,
Ҷараёни бисёрҷониба
Дар муҳити истеҳсолӣ, системаи нигаҳдорӣ бояд ба ҳост тавассути якчанд роҳҳои мустақил ва сершумори воридот / баромад пайваст карда шавад. Одатан, дар CentOS (ва аз ин рӯ oVirt) ҳеҷ гуна мушкилот бо васл кардани роҳҳои сершумор ба дастгоҳ вуҷуд надорад (find_multipaths ҳа). Танзимоти иловагӣ барои FCoE дар навишта шудааст
Истифодаи 3PAR ҳамчун мисол
ва ҳуҷҷат
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}
Пас аз он фармони аз нав оғоз кардан дода мешавад:
systemctl restart multipathd
Райс. 1 сиёсати пешфарзии бисёркаратаи вуруд/чор мебошад.
Райс. 2 - Сиёсати сершумори I/O пас аз татбиқи танзимот.
Танзими идоракунии қувваи барқ
Ба шумо имкон медиҳад, ки масалан, аз нав танзимкунии сахтафзори мошин, агар Муҳаррик дар муддати тӯлонӣ аз Хост посух қабул накунад. Тавассути Fence Agent амалӣ карда мешавад.
Ҳисоб кунед -> Хостҳо -> Хост — Таҳрир -> Идоракунии нерӯ, пас "Идораи идоракунии нерӯ" -ро фаъол кунед ва агент илова кунед - "Илова кардани агенти девор" -> +.
Мо намудро (масалан, барои iLO5 шумо бояд ilo4-ро муайян кунед), ном/суроғаи интерфейси ipmi, инчунин номи корбар/паролро нишон медиҳем. Тавсия дода мешавад, ки корбари алоҳида эҷод кунед (масалан, oVirt-PM) ва дар мавриди iLO, ба ӯ имтиёзҳо диҳед:
- Даромадан
- Консоли дурдаст
- Қувваи виртуалӣ ва барқароркунӣ
- ВАО виртуалӣ
- Танзимоти iLO-ро танзим кунед
- Ҳисобҳои корбарро идора кунед
Напурсед, ки чаро ин тавр аст, он ба таври таҷрибавӣ интихоб шудааст. Агенти шамшербозии консол ҳуқуқҳои камтарро талаб мекунад.
Ҳангоми насб кардани рӯйхатҳои назорати дастрасӣ, шумо бояд дар хотир дошта бошед, ки агент на дар муҳаррик, балки дар ҳости "ҳамсоя" (ба истилоҳ прокси идоракунии қудрат) кор мекунад, яъне агар дар кластер танҳо як гиреҳ мавҷуд бошад, идоракунии кувва кор мекунад нахоҳад кард.
Танзими SSL
Дастурҳои пурраи расмӣ - дар
Шаҳодатнома метавонад ё аз CA корпоративии мо ё аз мақомоти сертификати тиҷоратии беруна бошад.
Эзоҳҳои муҳим: Шаҳодатнома барои пайвастшавӣ ба менеҷер пешбинӣ шудааст ва ба иртиботи байни Муҳаррик ва гиреҳҳо таъсир намерасонад - онҳо шаҳодатномаҳои аз ҷониби Муҳаррики худ имзошуда истифода мешаванд.
Талабот:
- шаҳодатномаи CA-и бароранда дар формати PEM бо тамоми занҷир то решаи CA (аз тобеи CA-ро дар аввал то реша дар охир);
- сертификат барои Apache, ки аз ҷониби CA эмитент дода шудааст (инчунин бо тамоми силсилаи сертификатҳои CA илова карда мешавад);
- калиди хусусӣ барои Apache, бе парол.
Фарз мекунем, ки CA-и барориши мо CentOS-ро иҷро мекунад, ки subca.example.com ном дорад ва дархостҳо, калидҳо ва сертификатҳо дар директорияи /etc/pki/tls/ ҷойгир шудаанд.
Мо нусхабардорӣ мекунем ва феҳристи муваққатӣ эҷод мекунем:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs
Сертификатҳоро зеркашӣ кунед, онро аз истгоҳи кории худ иҷро кунед ё бо роҳи дигари қулай интиқол диҳед:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs
Дар натиҷа, шумо бояд ҳамаи 3 файлро бинед:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.key
Насб кардани сертификатҳо
Файлҳоро нусхабардорӣ кунед ва рӯйхатҳои эътимодро навсозӣ кунед:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service
Илова/навсозии файлҳои конфигуратсия:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf
ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""
$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf
SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf
# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer
Баъдан, ҳамаи хидматҳои зарардидаро аз нав оғоз кунед:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service
Тайёр! Вақти он расидааст, ки ба менеҷер пайваст шавед ва тафтиш кунед, ки пайвастшавӣ бо сертификати имзошудаи SSL ҳифз шудааст.
Архивкунӣ
Мо бе вай куҷо мешудем? Дар ин бахш мо дар бораи бойгонии менеҷер сӯҳбат хоҳем кард; бойгонии VM масъалаи алоҳида аст. Мо дар як рӯз як маротиба нусхаҳои бойгонӣ эҷод мекунем ва онҳоро тавассути NFS нигоҳ медорем, масалан, дар ҳамон системае, ки мо тасвирҳои ISO-ро ҷойгир кардаем - mynfs1.example.com:/exports/ovirt-backup. Тавсия дода намешавад, ки архивҳоро дар ҳамон мошине, ки Муҳаррик кор мекунад, нигоҳ доред.
Автоматҳоро насб ва фаъол созед:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs
Биёед скрипт эҷод кунем:
$ sudo vim /etc/cron.daily/make.oVirt.backup.sh
мазмуни зерин:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;
Барои иҷрошаванда сохтани файл:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh
Ҳоло ҳар шаб мо бойгонии танзимоти мудирро мегирем.
Интерфейси идоракунии мизбон
Райс. 3 — намуди панел.
Насбкунӣ хеле содда аст, ба шумо бастаҳои кабина ва плагини cockpit-ovirt-dashboard лозим аст:
$ sudo yum install cockpit cockpit-ovirt-dashboard -y
Фаъолсозии кабина:
$ sudo systemctl enable --now cockpit.socket
Танзимоти девор:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent
Акнун шумо метавонед ба мизбон пайваст шавед: https://[Host IP ё FQDN]:9090
VLAN -ҳо
Шумо бояд дар бораи шабакаҳо бештар хонед
Барои пайваст кардани зершабакаҳои дигар, онҳо бояд аввал дар конфигуратсия тавсиф карда шаванд: Шабака -> Шабакаҳо -> Нав, дар ин ҷо танҳо ном майдони ҳатмист; Қуттии санҷиши Шабакаи VM, ки ба мошинҳо имкон медиҳад, ки ин шабакаро истифода баранд, фаъол аст, аммо барои пайваст кардани тег бояд фаъол карда шавад Барчаспкунии VLAN-ро фаъол созед, рақами VLAN-ро ворид кунед ва OK -ро пахш кунед.
Акнун ба шумо лозим аст, ки ба Ҳисобкунии Хостҳо -> Хостҳо -> kvmNN -> Интерфейсҳои шабакавӣ -> Насб кардани Шабакаҳои Хост гузаред. Шабакаи иловашударо аз тарафи рости Шабакаҳои мантиқии таъиннашуда ба чап ба Шабакаҳои мантиқии таъиншуда кашед:
Райс. 4 - пеш аз илова кардани шабака.
Райс. 5 - пас аз илова кардани шабака.
Барои пайваст кардани шабакаҳои сершумор ба ҳост дар маҷмӯъ, ҳангоми сохтани шабакаҳо ба онҳо нишона(ҳо) гузоштан ва шабакаҳоро аз рӯи нишонаҳо илова кардан қулай аст.
Пас аз таъсиси шабака, ҳостҳо то он даме ки шабака ба ҳамаи гиреҳҳои кластер илова карда нашавад, ба ҳолати ғайриамалӣ мегузаранд. Ин рафтор аз сабаби талаб кардани ҳама парчам дар ҷадвали Кластер ҳангоми сохтани шабакаи нав ба вуҷуд омадааст. Дар ҳолате, ки шабака дар ҳама гиреҳҳои кластер лозим набошад, ин парчамро ғайрифаъол кардан мумкин аст, пас вақте ки шабака ба ҳост илова карда мешавад, он дар тарафи рост дар қисмати Non-required хоҳад буд ва шумо метавонед интихоб кунед, ки оё пайваст шудан онро ба мизбони мушаххас.
Райс. 6 — атрибути талаботи шабакаро интихоб кунед.
мушаххаси HPE
Қариб ҳамаи истеҳсолкунандагон асбобҳое доранд, ки қобилияти истифодаи маҳсулоти худро беҳтар мекунанд. Истифодаи HPE ҳамчун намуна, AMS (Хадамоти идоракунии агентӣ, amsd барои iLO5, hp-ams барои iLO4) ва SSA (Administrator Storage Smart, кор бо контролери диск) ва ғайра муфиданд.
Пайваст кардани анбори HPE
Мо калидро ворид мекунем ва анбори HPE-ро пайваст мекунем:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo
мазмуни зерин:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
Дидани мундариҷаи анбор ва маълумоти баста (барои маълумот):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd
Насб ва оғоз:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsd
Намунаи утилита барои кор бо контроллери диск
Ҳамааш ҳамин аст. Дар мақолаҳои зерин ман нақша дорам, ки дар бораи баъзе амалҳо ва барномаҳои асосӣ сӯҳбат кунам. Масалан, чӣ гуна VDI-ро дар oVirt сохтан мумкин аст.
Манбаъ: will.com