Sa artikulong ito, titingnan natin ang ilang opsyonal, ngunit kapaki-pakinabang na mga setting:
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
Ang artikulong ito ay isang pagpapatuloy, simulang tingnan ang oVirt sa loob ng 2 oras ΠΈ .
Artikulo
- Mga karagdagang setting - Nandito kami
Mga karagdagang setting ng manager
Para sa kaginhawahan, mag-i-install kami ng mga karagdagang pakete:
$ sudo yum install bash-completion vimPara i-enable ang autocompletion ng mga command sa bash-completion, lumipat sa bash.
Pagdaragdag ng Mga Karagdagang Pangalan ng DNS
Kakailanganin ito kapag kailangan mong kumonekta sa manager gamit ang isang alternatibong pangalan (CNAME, alias, o isang maikling pangalan lang na walang domain suffix). Para sa mga kadahilanang pangseguridad, pinapayagan lamang ng manager ang mga koneksyon sa pinapayagang listahan ng mga pangalan.
Gumawa ng configuration file:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.confsumusunod na nilalaman:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"at i-restart ang manager:
$ sudo systemctl restart ovirt-enginePag-configure ng Authentication sa pamamagitan ng AD
May built-in na user base ang oVirt, ngunit sinusuportahan din ang mga external na provider ng LDAP, kasama. AD.
Ang pinakasimpleng paraan para sa isang karaniwang configuration ay ang simulan ang wizard at i-restart ang manager:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engineIsang halimbawa ng wizard
$ sudo ovirt-engine-extension-aaa-ldap-setup
Magagamit na mga pagpapatupad ng LDAP:
...
3 - Aktibong Direktoryo
...
Pakipili: 3
Pakipasok ang pangalan ng Active Directory Forest: example.com
Mangyaring pumili ng protocol na gagamitin (startTLS, ldaps, plain) [startTLS]:
Mangyaring pumili ng paraan upang makakuha ng certificate ng CA na naka-encode ng PEM (File, URL, Inline, System, Insecure): URL
URL:
Ilagay ang search user DN (halimbawa uid=username,dc=example,dc=com o iwanang walang laman para sa anonymous): CN=oVirt-Engine,CN=Users,DC=example,DC=com
Ipasok ang password ng user sa paghahanap: *password*
[ INFO ] Sinusubukang mag-bind gamit ang 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Gagamit ka ba ng Single Sign-On para sa mga Virtual Machine (Oo, Hindi) [Oo]:
Mangyaring tukuyin ang pangalan ng profile na makikita ng mga user [example.com]:
Mangyaring magbigay ng mga kredensyal upang subukan ang daloy ng pag-login:
Ipasok ang iyong username: someAnyUser
Ipasok ang password ng user:
...
[ INFO ] Matagumpay na naisakatuparan ang sequence ng pag-log in
...
Piliin ang test sequence na isasagawa (Tapos na, I-abort, Login, Search) [Tapos na]:
[ INFO ] Yugto: Pag-setup ng transaksyon
...
BUOD NG CONFIGURATION
...
Ang paggamit ng wizard ay angkop para sa karamihan ng mga kaso. Para sa mga kumplikadong pagsasaayos, ang mga setting ay ginagawa nang manu-mano. Higit pang mga detalye sa dokumentasyon ng oVirt, . Matapos matagumpay na maikonekta ang Engine sa AD, may lalabas na karagdagang profile sa window ng koneksyon, at sa Pahintulot may kakayahan ang mga system object na magbigay ng mga pahintulot sa mga user at grupo ng AD. Dapat tandaan na ang panlabas na direktoryo ng mga user at grupo ay maaaring hindi lamang AD, kundi pati na rin ang IPA, eDirectory, atbp.
Nagpaparami
Sa isang kapaligiran ng produksyon, ang storage system ay dapat na konektado sa host sa pamamagitan ng maramihang, independiyente, maramihang I/O path. Bilang isang patakaran, sa CentOS (at samakatuwid ay oVirt'e) walang mga problema sa pagbuo ng maramihang mga landas patungo sa device (find_multipaths yes). Ang mga karagdagang setting para sa FCoE ay inilalarawan sa . Ito ay nagkakahalaga ng pagbibigay pansin sa rekomendasyon ng tagagawa ng imbakan - marami ang nagrerekomenda sa paggamit ng patakarang round-robin, habang ang Enterprise Linux 7 ay gumagamit ng oras ng serbisyo bilang default.
Sa halimbawa ng 3PAR
at dokumento Ang EL ay nilikha bilang isang Host na may Generic-ALUA Persona 2, kung saan ang mga sumusunod na value ay ipinasok sa mga setting ng /etc/multipath.conf:
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}Pagkatapos ay ibinigay ang utos upang i-restart:
systemctl restart multipathd
kanin. 1 ay ang default na maramihang I/O na patakaran.
kanin. 2 - maramihang I / O na patakaran pagkatapos ilapat ang mga setting.
Setting ng Power Management
Binibigyang-daan kang magsagawa, halimbawa, isang hard reset ng makina kung ang Engine ay hindi makatanggap ng tugon mula sa Host sa mahabang panahon. Ipinatupad sa pamamagitan ng Ahente ng Bakod.
Compute -> Mga Host -> HOST - I-edit -> Power Management, pagkatapos ay i-on ang "Enable Power Management" at magdagdag ng ahente - "Add Fence Agent" -> +.
Tukuyin ang uri (halimbawa, para sa iLO5, dapat mong tukuyin ang ilo4), ang pangalan/address ng interface ng ipmi, at ang username/password. Inirerekomenda na lumikha ng isang hiwalay na user (halimbawa, oVirt-PM) at, sa kaso ng iLO, bigyan siya ng mga pribilehiyo:
- Mag-login
- malayong console
- Virtual Power at I-reset
- Virtual Media
- I-configure ang Mga Setting ng iLO
- Pangasiwaan ang Mga Account ng Gumagamit
Huwag itanong kung bakit ito ay gayon, ito ay pinili sa empirically. Ang console fencing agent ay nangangailangan ng mas maliit na hanay ng mga karapatan.
Kapag nagse-set up ng mga listahan ng kontrol sa pag-access, dapat tandaan na ang ahente ay hindi tumatakbo sa makina, ngunit sa "kapitbahay" na host (ang tinatawag na Power Management Proxy), ibig sabihin, kung mayroon lamang isang node sa cluster, gagana ang pamamahala ng kapangyarihan ay hindi.
Pagse-set up ng SSL
Buong opisyal na tagubilin - sa , Appendix D: oVirt at SSL - Pinapalitan ang oVirt Engine SSL/TLS Certificate.
Ang sertipiko ay maaaring mula sa aming corporate CA o mula sa isang panlabas na komersyal na CA.
Mahalagang paalala: ang sertipiko ay nilayon upang kumonekta sa manager, ay hindi makakaapekto sa pakikipag-ugnayan sa pagitan ng Engine at ng mga node - gagamit sila ng mga self-signed certificate na ibinigay ng Engine.
Mga Kinakailangan:
- sertipiko ng nag-isyu ng CA sa format na PEM, kasama ang buong chain hanggang sa root CA (mula sa subordinate na nag-isyu sa simula hanggang sa root sa dulo);
- isang sertipiko para sa Apache na ibinigay ng nag-isyu ng CA (kumpleto rin sa buong hanay ng mga sertipiko ng CA);
- pribadong key para sa Apache, walang password.
Sabihin nating ang aming nag-isyu ng CA ay nagpapatakbo ng CentOS, na tinatawag na subca.example.com, at ang mga kahilingan, key, at certificate ay nasa /etc/pki/tls/ directory.
Magsagawa ng mga backup at lumikha ng pansamantalang direktoryo:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certsMag-download ng mga certificate, isagawa ito mula sa iyong workstation o ilipat ito sa ibang maginhawang paraan:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certsBilang resulta, dapat mong makita ang lahat ng 3 file:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.keyPag-install ng mga sertipiko
Kopyahin ang mga file at i-update ang mga listahan ng pinagkakatiwalaan:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.serviceMagdagdag/mag-update ng mga configuration file:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.confENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confSSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cerSusunod, i-restart ang lahat ng apektadong serbisyo:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.servicehanda na! Oras na para kumonekta sa manager at tingnan kung secured ang koneksyon gamit ang nilagdaang SSL certificate.
Pag-archive
Kung saan wala siya! Sa seksyong ito, pag-uusapan natin ang tungkol sa pag-archive ng manager, ang pag-archive ng VM ay isang hiwalay na isyu. Gagawa kami ng mga kopya ng archive nang isang beses sa isang araw at iimbak ang mga ito sa NFS, halimbawa, sa parehong system kung saan namin inilagay ang mga imaheng ISO β mynfs1.example.com:/exports/ovirt-backup. Hindi inirerekomenda na mag-imbak ng mga archive sa parehong makina kung saan tumatakbo ang Engine.
I-install at paganahin ang mga autof:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofsGumawa ng script:
$ sudo vim /etc/cron.daily/make.oVirt.backup.shsumusunod na nilalaman:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;Ginagawang executable ang file:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.shNgayon tuwing gabi ay makakatanggap kami ng archive ng mga setting ng manager.
Interface ng pamamahala ng host
ay isang modernong administratibong interface para sa mga sistema ng Linux. Sa kasong ito, gumaganap ito ng isang papel na katulad ng ESXi web interface.
kanin. 3 - hitsura ng panel.
Napakasimple ng pag-install, kailangan mo ng mga pakete ng sabungan at ang plugin ng cockpit-ovirt-dashboard:
$ sudo yum install cockpit cockpit-ovirt-dashboard -yLumipat na Cockpit:
$ sudo systemctl enable --now cockpit.socketSetting ng firewall:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentNgayon ay maaari ka nang kumonekta sa host: https://[Host IP o FQDN]:9090
Mga VLAN
Magbasa pa tungkol sa mga network sa . Mayroong maraming mga posibilidad, dito namin ilalarawan ang koneksyon ng mga virtual network.
Upang ikonekta ang iba pang mga subnet, dapat munang ilarawan ang mga ito sa pagsasaayos: Network -> Mga Network -> Bago, dito lamang ang pangalan ay isang kinakailangang field; ang checkbox ng VM Network, na nagpapahintulot sa mga makina na gamitin ang network na ito, ay pinagana, at upang ikonekta ang tag, dapat mong paganahin Paganahin ang pag-tag ng VLAN, ilagay ang VLAN number at i-click ang OK.
Ngayon ay kailangan mong pumunta sa Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks hosts. I-drag ang idinagdag na network mula sa kanang bahagi ng Unassigned Logical Networks sa kaliwa papunta sa Assigned Logical Networks:
kanin. 4 - bago idagdag ang network.
kanin. 5 - pagkatapos idagdag ang network.
Para sa mass connection ng ilang network sa isang host, maginhawang magtalaga ng (mga) label sa kanila kapag gumagawa ng mga network, at magdagdag ng mga network ayon sa mga label.
Pagkatapos magawa ang network, mapupunta ang mga host sa Non Operational na estado hanggang sa maidagdag ang network sa lahat ng cluster node. Ang pag-uugaling ito ay na-trigger ng flag na Kinakailangan ang Lahat sa tab na Cluster kapag gumagawa ng bagong network. Sa kaso kapag ang network ay hindi kailangan sa lahat ng mga node ng cluster, ang tampok na ito ay maaaring hindi paganahin, pagkatapos ang network, kapag nagdadagdag ng isang host, ay nasa kanan sa seksyong Hindi Kinakailangan at maaari mong piliin kung ikonekta ito sa isang tiyak na host.
kanin. 6 β pagpili ng tanda ng kinakailangan sa network.
partikular sa HPE
Halos lahat ng mga tagagawa ay may mga tool na nagpapahusay sa kakayahang magamit ng kanilang mga produkto. Gamit ang HPE bilang halimbawa, ang AMS (Agentless Management Service, amsd para sa iLO5, hp-ams para sa iLO4) at SSA (Smart Storage Administrator, nagtatrabaho sa isang disk controller), atbp. ay kapaki-pakinabang.
Pagkonekta sa HPE Repository
I-import ang key at ikonekta ang mga HPE repository:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.reposumusunod na nilalaman:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcpTingnan ang mga nilalaman ng repositoryo at impormasyon tungkol sa package (para sa sanggunian):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsdPag-install at paglunsad:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsdIsang halimbawa ng utility para sa pagtatrabaho sa isang disk controller
Yun lang muna. Sa mga sumusunod na artikulo plano kong saklawin ang ilang mga pangunahing operasyon at aplikasyon. Halimbawa, kung paano gumawa ng VDI sa oVirt.
Pinagmulan: www.habr.com