oVirt 2 saat içinde. Bölüm 3. Ek ayarlar

Bu makalede bir dizi isteğe bağlı ancak kullanışlı ayara bakacağız:

• yönetici için ek adlar kullanma;
• Kimlik doğrulamayı Active Directory aracılığıyla bağlama;
• Çoklu yol oluşturma;
• güç yönetimi;
• SSL sertifikasını değiştirme;
• arşivleme;
• ana bilgisayar yönetim arayüzü (kokpit);
• VLAN;
• HPE'ye özel.

Bu makale bir devamıdır, başlangıç ​​için 2 saat sonra oVirt'e bakın Часть 1 и Bölüm 2.

Makaleler

1. Giriş
2. Yöneticinin (ovirt-motor) ve hipervizörlerin (ana bilgisayarlar) kurulumu
3. Ek ayarlar - Biz buradayız

Ek yönetici ayarları

Kolaylık sağlamak için ek paketler kuracağız:

$ sudo yum install bash-completion vim

Komut tamamlamayı etkinleştirmek için bash tamamlama, bash'a geçmeyi gerektirir.

Ek DNS adları ekleme

Yöneticiye alternatif bir ad (CNAME, takma ad veya alan adı son eki olmayan kısa bir ad) kullanarak bağlanmanız gerektiğinde bu gerekli olacaktır. Güvenlik nedeniyle yönetici yalnızca izin verilen ad listesini kullanan bağlantılara izin verir.

Bir yapılandırma dosyası oluşturun:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

aşağıdaki içerik:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

ve yöneticiyi yeniden başlatın:

$ sudo systemctl restart ovirt-engine

AD aracılığıyla kimlik doğrulamayı ayarlama

oVirt'in yerleşik bir kullanıcı tabanı vardır, ancak harici LDAP sağlayıcıları da desteklenmektedir. MS.

Tipik bir yapılandırmanın en basit yolu sihirbazı başlatmak ve yöneticiyi yeniden başlatmaktır:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Bir ustanın çalışmasına örnek
$ sudo ovirt-motor-uzantısı-aaa-ldap-kurulumu
Mevcut LDAP uygulamaları:
...
3 - Aktif Dizin
...
Lütfen seçin: 3
Lütfen Active Directory Ormanı adını girin: example.com

Lütfen kullanılacak protokolü seçin (startTLS, ldaps, plain) [startTLS'yi başlat]:
Lütfen PEM kodlu CA sertifikası alma yöntemini seçin (Dosya, URL, Satır İçi, Sistem, Güvenli Değil): URL
URL: wwwca.example.com/myRootCA.pem
Arama kullanıcısı DN'sini girin (örneğin uid=kullanıcı adı,dc=example,dc=com veya anonim için boş bırakın): CN=oVirt-Engine,CN=Kullanıcılar,DC=örnek,DC=com
Arama kullanıcı şifresini girin: *şifre*
[ BİLGİ ] 'CN=oVirt-Engine,CN=Users,DC=example,DC=com' kullanılarak bağlanmaya çalışılıyor
Sanal Makineler için Tek Oturum Açmayı kullanacak mısınız (Evet, Hayır) [Evet]:
Lütfen kullanıcılara görünecek profil adını belirtin [örnek.com]:
Lütfen giriş akışını test etmek için kimlik bilgilerini sağlayın:
Kullanıcı adı girin: bazıHerhangi Kullanıcı
Kullanıcı şifresini girin:
...
[BİLGİ] Oturum açma sırası başarıyla yürütüldü
...
Yürütülecek test sırasını seçin (Bitti, İptal Et, Oturum Aç, Ara) [Tamamlamak]:
[BİLGİ] Aşama: İşlem kurulumu
...
YAPILANDIRMA ÖZETİ
...

Sihirbazı kullanmak çoğu durum için uygundur. Karmaşık konfigürasyonlarda ayarlar manuel olarak gerçekleştirilir. oVirt belgelerinde daha fazla ayrıntı, Kullanıcılar ve Roller. Motoru AD'ye başarıyla bağladıktan sonra bağlantı penceresinde ve sekmesinde ek bir profil görünecektir. İzinler Sistem nesneleri, AD kullanıcılarına ve gruplarına izin verme yeteneğine sahiptir. Kullanıcıların ve grupların harici dizininin yalnızca AD değil aynı zamanda IPA, eDirectory vb. Olabildiğine dikkat edilmelidir.

çoklu yol

Bir üretim ortamında, depolama sisteminin ana bilgisayara birden çok bağımsız, birden çok G/Ç yolu aracılığıyla bağlanması gerekir. Kural olarak, CentOS'ta (ve dolayısıyla oVirt'te) bir cihaza giden birden fazla yolu birleştirmede herhangi bir sorun yoktur (find_multipaths evet). FCoE için ek ayarlar şurada yazılmıştır: 2 bölümü. Depolama sistemi üreticisinin tavsiyesine dikkat etmek önemlidir - çoğu kişi hepsini bir kez deneme politikasının kullanılmasını önerir, ancak Enterprise Linux 7'de varsayılan olarak hizmet süresi kullanılır.

Örnek olarak 3PAR'ı kullanma
ve belge HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux ve OracleVM Sunucu Uygulama Kılavuzu EL, /etc/multipath.conf ayarlarına aşağıdaki değerlerin girildiği Generic-ALUA Persona 2'ye sahip bir Ana Bilgisayar olarak oluşturulmuştur:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Bundan sonra yeniden başlatma komutu verilir:

systemctl restart multipathd

Pirinç. 1, varsayılan çoklu G/Ç ilkesidir.

Pirinç. 2 - ayarları uyguladıktan sonra çoklu G/Ç politikası.

Güç yönetimini ayarlama

Örneğin, Motorun Ana Bilgisayardan uzun süre yanıt alamaması durumunda makinenin donanım sıfırlamasını gerçekleştirmenize olanak tanır. Fence Agent aracılığıyla uygulanır.

Bilgi İşlem -> Ana Bilgisayarlar -> HOST — Düzenle -> Güç Yönetimi, ardından “Güç Yönetimini Etkinleştir”i etkinleştirin ve bir aracı ekleyin — “Çit Aracısı Ekle” -> +.

Türü (örneğin, iLO5 için ilo4'ü belirtmeniz gerekir), ipmi arayüzünün adını/adresini ve ayrıca kullanıcı adını/şifresini belirtiriz. Ayrı bir kullanıcı oluşturmanız (örneğin, oVirt-PM) ve iLO durumunda ona ayrıcalıklar vermeniz önerilir:

• Giriş Yap
• Uzak Konsol
• Sanal Güç ve Sıfırlama
• Sanal Medya
• iLO Ayarlarını Yapılandırma
• Kullanıcı Hesaplarını Yönetin

Bunun neden böyle olduğunu sormayın, ampirik olarak seçilmiştir. Konsol koruma aracısı daha az hak gerektirir.

Erişim kontrol listelerini ayarlarken, aracının motorda değil, "komşu" bir ana bilgisayarda (Güç Yönetimi Proxy'si olarak adlandırılır) çalıştığını, yani kümede yalnızca bir düğüm varsa, güç yönetimi işe yarayacak değil.

SSL'yi ayarlama

Tam resmi talimatlar - içinde belgeleme, Ek D: oVirt ve SSL — oVirt Motoru SSL/TLS Sertifikasının Değiştirilmesi.

Sertifika, kurumsal CA'mızdan veya harici bir ticari sertifika yetkilisinden alınabilir.

Önemli not: Sertifika, yöneticiye bağlanmak için tasarlanmıştır ve Motor ile düğümler arasındaki iletişimi etkilemez; Motor tarafından verilen kendinden imzalı sertifikaları kullanırlar.

Gereksinimler:

• veren CA'nın, kök CA'ya kadar tüm zinciri içerecek şekilde (başlangıçta veren CA'dan sondaki köke kadar) PEM formatındaki sertifikası;
• Sertifikayı veren CA tarafından yayınlanan Apache sertifikası (aynı zamanda tüm CA sertifikaları zinciri tarafından desteklenir);
• Apache için şifresiz özel anahtar.

Sertifikayı veren CA'mızın subca.example.com adı verilen CentOS'u çalıştırdığını ve isteklerin, anahtarların ve sertifikaların /etc/pki/tls/ dizininde bulunduğunu varsayalım.

Yedeklemeler yapıyoruz ve geçici bir dizin oluşturuyoruz:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Sertifikaları indirin, iş istasyonunuzdan gerçekleştirin veya başka bir uygun yöntemle aktarın:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Sonuç olarak, 3 dosyanın tümünü görmelisiniz:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Sertifikaları yükleme

Dosyaları kopyalayın ve güven listelerini güncelleyin:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Yapılandırma dosyalarını ekleyin/güncelleyin:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Ardından, etkilenen tüm hizmetleri yeniden başlatın:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Hazır! Yöneticiye bağlanmanın ve bağlantının imzalı bir SSL sertifikasıyla korunduğunu kontrol etmenin zamanı geldi.

arşivleme

O olmasaydı nerede olurduk? Bu bölümde yönetici arşivlemesinden bahsedeceğiz, VM arşivlemesi ayrı bir konu. Günde bir kez arşiv kopyaları oluşturacağız ve bunları NFS aracılığıyla, örneğin ISO görüntülerini yerleştirdiğimiz aynı sistemde (mynfs1.example.com:/exports/ovirt-backup) saklayacağız. Arşivlerin Motorun çalıştığı makinede saklanması önerilmez.

Autofs'i yükleyin ve etkinleştirin:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Bir komut dosyası oluşturalım:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

aşağıdaki içerik:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Dosyayı yürütülebilir hale getirmek:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Artık her gece yönetici ayarlarının bir arşivini alacağız.

Ana bilgisayar yönetimi arayüzü

Pilot kabini — Linux sistemleri için modern bir yönetim arayüzü. Bu durumda ESXi web arayüzüne benzer bir rol üstlenir.

Pirinç. 3 — panelin görünümü.

Kurulum çok basit, kokpit paketlerine ve kokpit-ovirt-dashboard eklentisine ihtiyacınız var:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Kokpitin Etkinleştirilmesi:

$ sudo systemctl enable --now cockpit.socket

Güvenlik duvarı kurulumu:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Artık ana makineye bağlanabilirsiniz: https://[Ana Bilgisayar IP'si veya FQDN]:9090

VLAN

Ağlar hakkında daha fazla bilgiyi şurada okumalısınız: belgeleme. Pek çok olasılık var, burada sanal ağlara bağlanmayı açıklayacağız.

Diğer alt ağlara bağlanmak için bunların öncelikle yapılandırmada açıklanması gerekir: Ağ -> Ağlar -> Yeni, burada yalnızca ad gerekli bir alandır; Makinelerin bu ağı kullanmasına izin veren VM Ağı onay kutusu etkindir ancak bağlanmak için etiketin etkinleştirilmesi gerekir VLAN etiketlemeyi etkinleştir, VLAN numarasını girin ve Tamam'a tıklayın.

Şimdi Hesaplama ana bilgisayarları -> Ana Bilgisayarlar -> kvmNN -> Ağ Arayüzleri -> Ana Bilgisayar Ağlarını Kur seçeneğine gitmeniz gerekiyor. Eklenen ağı Atanmamış Mantıksal Ağlar'ın sağ tarafından sola, Atanmış Mantıksal Ağlar'a sürükleyin:

Pirinç. 4 - bir ağ eklemeden önce.

Pirinç. 5 - bir ağ ekledikten sonra.

Birden fazla ağı bir ana bilgisayara toplu olarak bağlamak için, ağları oluştururken bunlara etiket(ler) atamak ve ağları etiketlere göre eklemek uygundur.

Ağ oluşturulduktan sonra, ana bilgisayarlar, ağ kümedeki tüm düğümlere eklenene kadar Operasyonel Olmayan duruma geçecektir. Bu davranışa, yeni bir ağ oluştururken Küme sekmesindeki Tümünü Gerektir bayrağı neden olur. Kümenin tüm düğümlerinde ağa ihtiyaç duyulmaması durumunda bu bayrak devre dışı bırakılabilir, ardından ağ bir ana bilgisayara eklendiğinde sağdaki Gerekli Değil bölümünde olacaktır ve bağlanıp bağlanmayacağını seçebilirsiniz. belirli bir ana bilgisayara.

Pirinç. 6—bir ağ gereksinimi niteliği seçin.

HPE'ye özel

Hemen hemen tüm üreticilerin, ürünlerinin kullanılabilirliğini artıran araçları vardır. Örnek olarak HPE'yi kullanırsak, AMS (Ajansız Yönetim Hizmeti, iLO5 için amsd, iLO4 için hp-ams) ve SSA (Akıllı Depolama Yöneticisi, disk denetleyicisiyle çalışma) vb. faydalıdır.

HPE deposunu bağlama
Anahtarı içe aktarıyoruz ve HPE depolarını bağlıyoruz:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

aşağıdaki içerik:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Depo içeriğini ve paket bilgilerini görüntüleyin (referans için):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Kurulum ve başlatma:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Disk denetleyicisiyle çalışmaya yönelik bir yardımcı program örneği

Şimdilik bu kadar. İlerleyen yazılarda bazı temel işlemler ve uygulamalardan bahsetmeyi planlıyorum. Örneğin, oVirt'te VDI nasıl yapılır.

Kaynak: habr.com