Komut tamamlamayı etkinleştirmek için bash tamamlama, bash'a geçmeyi gerektirir.
Ek DNS adları ekleme
Yöneticiye alternatif bir ad (CNAME, takma ad veya alan adı son eki olmayan kısa bir ad) kullanarak bağlanmanız gerektiğinde bu gerekli olacaktır. Güvenlik nedeniyle yönetici yalnızca izin verilen ad listesini kullanan bağlantılara izin verir.
Bir yapılandırma dosyası oluşturun:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Bir ustanın çalışmasına örnek
$ sudo ovirt-motor-uzantısı-aaa-ldap-kurulumu
Mevcut LDAP uygulamaları:
...
3 - Aktif Dizin
...
Lütfen seçin: 3
Lütfen Active Directory Ormanı adını girin: example.com
Lütfen kullanılacak protokolü seçin (startTLS, ldaps, plain) [startTLS'yi başlat]:
Lütfen PEM kodlu CA sertifikası alma yöntemini seçin (Dosya, URL, Satır İçi, Sistem, Güvenli Değil): URL
URL: wwwca.example.com/myRootCA.pem
Arama kullanıcısı DN'sini girin (örneğin uid=kullanıcı adı,dc=example,dc=com veya anonim için boş bırakın): CN=oVirt-Engine,CN=Kullanıcılar,DC=örnek,DC=com
Arama kullanıcı şifresini girin: *şifre*
[ BİLGİ ] 'CN=oVirt-Engine,CN=Users,DC=example,DC=com' kullanılarak bağlanmaya çalışılıyor
Sanal Makineler için Tek Oturum Açmayı kullanacak mısınız (Evet, Hayır) [Evet]:
Lütfen kullanıcılara görünecek profil adını belirtin [örnek.com]:
Lütfen giriş akışını test etmek için kimlik bilgilerini sağlayın:
Kullanıcı adı girin: bazıHerhangi Kullanıcı
Kullanıcı şifresini girin:
...
[BİLGİ] Oturum açma sırası başarıyla yürütüldü
...
Yürütülecek test sırasını seçin (Bitti, İptal Et, Oturum Aç, Ara) [Tamamlamak]:
[BİLGİ] Aşama: İşlem kurulumu
...
YAPILANDIRMA ÖZETİ
...
Sihirbazı kullanmak çoğu durum için uygundur. Karmaşık konfigürasyonlarda ayarlar manuel olarak gerçekleştirilir. oVirt belgelerinde daha fazla ayrıntı, Kullanıcılar ve Roller. Motoru AD'ye başarıyla bağladıktan sonra bağlantı penceresinde ve sekmesinde ek bir profil görünecektir. İzinler Sistem nesneleri, AD kullanıcılarına ve gruplarına izin verme yeteneğine sahiptir. Kullanıcıların ve grupların harici dizininin yalnızca AD değil aynı zamanda IPA, eDirectory vb. Olabildiğine dikkat edilmelidir.
çoklu yol
Bir üretim ortamında, depolama sisteminin ana bilgisayara birden çok bağımsız, birden çok G/Ç yolu aracılığıyla bağlanması gerekir. Kural olarak, CentOS'ta (ve dolayısıyla oVirt'te) bir cihaza giden birden fazla yolu birleştirmede herhangi bir sorun yoktur (find_multipaths evet). FCoE için ek ayarlar şurada yazılmıştır: 2 bölümü. Depolama sistemi üreticisinin tavsiyesine dikkat etmek önemlidir - çoğu kişi hepsini bir kez deneme politikasının kullanılmasını önerir, ancak Enterprise Linux 7'de varsayılan olarak hizmet süresi kullanılır.
Pirinç. 2 - ayarları uyguladıktan sonra çoklu G/Ç politikası.
Güç yönetimini ayarlama
Örneğin, Motorun Ana Bilgisayardan uzun süre yanıt alamaması durumunda makinenin donanım sıfırlamasını gerçekleştirmenize olanak tanır. Fence Agent aracılığıyla uygulanır.
Bilgi İşlem -> Ana Bilgisayarlar -> HOST — Düzenle -> Güç Yönetimi, ardından “Güç Yönetimini Etkinleştir”i etkinleştirin ve bir aracı ekleyin — “Çit Aracısı Ekle” -> +.
Türü (örneğin, iLO5 için ilo4'ü belirtmeniz gerekir), ipmi arayüzünün adını/adresini ve ayrıca kullanıcı adını/şifresini belirtiriz. Ayrı bir kullanıcı oluşturmanız (örneğin, oVirt-PM) ve iLO durumunda ona ayrıcalıklar vermeniz önerilir:
Giriş Yap
Uzak Konsol
Sanal Güç ve Sıfırlama
Sanal Medya
iLO Ayarlarını Yapılandırma
Kullanıcı Hesaplarını Yönetin
Bunun neden böyle olduğunu sormayın, ampirik olarak seçilmiştir. Konsol koruma aracısı daha az hak gerektirir.
Erişim kontrol listelerini ayarlarken, aracının motorda değil, "komşu" bir ana bilgisayarda (Güç Yönetimi Proxy'si olarak adlandırılır) çalıştığını, yani kümede yalnızca bir düğüm varsa, güç yönetimi işe yarayacak değil.
SSL'yi ayarlama
Tam resmi talimatlar - içinde belgeleme, Ek D: oVirt ve SSL — oVirt Motoru SSL/TLS Sertifikasının Değiştirilmesi.
Sertifika, kurumsal CA'mızdan veya harici bir ticari sertifika yetkilisinden alınabilir.
Önemli not: Sertifika, yöneticiye bağlanmak için tasarlanmıştır ve Motor ile düğümler arasındaki iletişimi etkilemez; Motor tarafından verilen kendinden imzalı sertifikaları kullanırlar.
Gereksinimler:
veren CA'nın, kök CA'ya kadar tüm zinciri içerecek şekilde (başlangıçta veren CA'dan sondaki köke kadar) PEM formatındaki sertifikası;
Sertifikayı veren CA tarafından yayınlanan Apache sertifikası (aynı zamanda tüm CA sertifikaları zinciri tarafından desteklenir);
Apache için şifresiz özel anahtar.
Sertifikayı veren CA'mızın subca.example.com adı verilen CentOS'u çalıştırdığını ve isteklerin, anahtarların ve sertifikaların /etc/pki/tls/ dizininde bulunduğunu varsayalım.
Yedeklemeler yapıyoruz ve geçici bir dizin oluşturuyoruz:
Hazır! Yöneticiye bağlanmanın ve bağlantının imzalı bir SSL sertifikasıyla korunduğunu kontrol etmenin zamanı geldi.
arşivleme
O olmasaydı nerede olurduk? Bu bölümde yönetici arşivlemesinden bahsedeceğiz, VM arşivlemesi ayrı bir konu. Günde bir kez arşiv kopyaları oluşturacağız ve bunları NFS aracılığıyla, örneğin ISO görüntülerini yerleştirdiğimiz aynı sistemde (mynfs1.example.com:/exports/ovirt-backup) saklayacağız. Arşivlerin Motorun çalıştığı makinede saklanması önerilmez.
Artık ana makineye bağlanabilirsiniz: https://[Ana Bilgisayar IP'si veya FQDN]:9090
VLAN
Ağlar hakkında daha fazla bilgiyi şurada okumalısınız: belgeleme. Pek çok olasılık var, burada sanal ağlara bağlanmayı açıklayacağız.
Diğer alt ağlara bağlanmak için bunların öncelikle yapılandırmada açıklanması gerekir: Ağ -> Ağlar -> Yeni, burada yalnızca ad gerekli bir alandır; Makinelerin bu ağı kullanmasına izin veren VM Ağı onay kutusu etkindir ancak bağlanmak için etiketin etkinleştirilmesi gerekir VLAN etiketlemeyi etkinleştir, VLAN numarasını girin ve Tamam'a tıklayın.
Şimdi Hesaplama ana bilgisayarları -> Ana Bilgisayarlar -> kvmNN -> Ağ Arayüzleri -> Ana Bilgisayar Ağlarını Kur seçeneğine gitmeniz gerekiyor. Eklenen ağı Atanmamış Mantıksal Ağlar'ın sağ tarafından sola, Atanmış Mantıksal Ağlar'a sürükleyin:
Pirinç. 4 - bir ağ eklemeden önce.
Pirinç. 5 - bir ağ ekledikten sonra.
Birden fazla ağı bir ana bilgisayara toplu olarak bağlamak için, ağları oluştururken bunlara etiket(ler) atamak ve ağları etiketlere göre eklemek uygundur.
Ağ oluşturulduktan sonra, ana bilgisayarlar, ağ kümedeki tüm düğümlere eklenene kadar Operasyonel Olmayan duruma geçecektir. Bu davranışa, yeni bir ağ oluştururken Küme sekmesindeki Tümünü Gerektir bayrağı neden olur. Kümenin tüm düğümlerinde ağa ihtiyaç duyulmaması durumunda bu bayrak devre dışı bırakılabilir, ardından ağ bir ana bilgisayara eklendiğinde sağdaki Gerekli Değil bölümünde olacaktır ve bağlanıp bağlanmayacağını seçebilirsiniz. belirli bir ana bilgisayara.
Pirinç. 6—bir ağ gereksinimi niteliği seçin.
HPE'ye özel
Hemen hemen tüm üreticilerin, ürünlerinin kullanılabilirliğini artıran araçları vardır. Örnek olarak HPE'yi kullanırsak, AMS (Ajansız Yönetim Hizmeti, iLO5 için amsd, iLO4 için hp-ams) ve SSA (Akıllı Depolama Yöneticisi, disk denetleyicisiyle çalışma) vb. faydalıdır.
HPE deposunu bağlama
Anahtarı içe aktarıyoruz ve HPE depolarını bağlıyoruz:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo