Для включення автодоповнення команд bash-completion слід перейти в bash.
Додавання додаткових імен DNS
Це буде потрібно, коли до менеджера необхідно підключитися за альтернативним ім'ям (CNAME, псевдонім або просто коротке ім'я без доменного суфікса). З міркувань безпеки менеджер допускає підключення лише з дозволеного списку імен.
Створюємо файл конфігурації:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Приклад роботи майстра
$ sudo ovirt-engine-extension-aaa-ldap-setup
Доступні LDAP implementations:
...
3 — Active Directory
...
Виберіть будь ласка: 3
Please enter Active Directory Forest name: example.com
Please select protocol to use (startTLS, ldaps, plain) [startTLS]:
Please select method to obtain PEM encoded CA certificate (File, URL, Inline, System, Insecure): URL
URL: wwwca.example.com/myRootCA.pem
Enter search user DN (для example uid=username,dc=example,dc=com or leave empty for anonymous): CN=oVirt-Engine,CN=Users,DC=example,DC=com
Enter search user password: *password*
[ INFO ] Attempting to bind using 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Будь ласка, використовуйте Single Sign-On для Virtual Machines (Yes, No) [Так]:
Please specify profile name that will be visible to users [example.com]:
Please provide credentials to test login flow:
Введіть ім'я користувача: someAnyUser
Enter user password:
...
[ INFO ] Login sequence executed successfully
...
Select test sequence to execute (Done, Abort, Login, Search) [Done]:
[ INFO ] Stage: Transaction setup
...
РЕЗЮМЕ КОНФІГУРАЦІЇ
...
Використання майстра підходить для більшості випадків. Для складних конфігурацій налаштування виконуються вручну. Докладніше у документації oVirt, Користувачі та ролі. Після успішного підключення Engine до AD у вікні підключення з'явиться додатковий профіль, а на вкладці Дозволи об'єкти системи — можливість видавати повноваження користувачам і групам AD. Слід зазначити, що зовнішнім каталогом користувачів та груп може бути не тільки AD, але й IPA, eDirectory та ін.
Багатопрохідність
У виробничому середовищі система зберігання повинна бути підключена до хоста декількома незалежними шляхами множинного вводу-виводу. Як правило, у CentOS (і отже oVirt'е) проблем зі складанням множинних шляхів до пристрою не виникає (find_multipaths yes). Про додаткові налаштування для FCoE написано у 2-ї частини. Варто звернути увагу на рекомендацію виробника СГД — багато хто рекомендує використовувати політику round-robin, а за промовчанням в Enterprise Linux 7 використовується service-time.
Мал. 1 - політика множинного введення-виводу за умовчанням.
Мал. 2 - політика множинного введення-виведення після застосування налаштувань.
Налаштування керування живленням
Дозволяє виконати, наприклад, апаратне скидання машини, якщо Engine не зможе тривалий час отримати відповідь від Host'а. Реалізується через Fence Agent (агент огорожі).
Compute -> Hosts -> HOST - Edit -> Power Management, далі включити Enable Power Management і додати агента - Add Fence Agent -> +.
Вказуємо тип (наприклад, для iLO5 треба вказати ilo4), ім'я/адресу ipmi інтерфейсу, а також ім'я/пароль користувача. Користувача рекомендується створити окремого (напр., oVirt-PM) і, у разі iLO видати йому привілеї:
Увійти
Віддалена консоль
Virtual Power and Reset
Віртуальний медіа
Configure iLO Settings
Administer User Accounts
Не питайте, чому саме так, підібрано досвідченим шляхом. Консольний fencing agent вимагає меншого набору прав.
При налаштуванні списків контролю доступу слід мати на увазі, що агент запускається не на engine, а на «сусідному» хості (так званий Power Management Proxy), тобто якщо в кластері виявиться тільки один вузол, керування харчуванням працювати не буде.
Налаштування SSL
Повна офіційна інструкція - в документації, Appendix D: oVirt and SSL — Replacing the oVirt Engine SSL/TLS Certificate.
Сертифікат може бути як нашого корпоративного ЦС, так і зовнішнього комерційного центру сертифікації.
Важливе зауваження: сертифікат призначений для підключення до менеджера, що не вплине на взаємодію між Engine та вузлами – вони будуть використовувати самопідписані сертифікати, видані Engine.
вимоги:
сертифікат видавця ЦС у форматі PEM, з усім ланцюжком до кореневого ЦС (від підлеглого видавця на початку до кореневого наприкінці);
сертифікат для Apache, випущений видавцем ЦС (також доповнений всім ланцюжком сертифікатів ЦС);
приватний ключ для Apache без пароля.
Припустимо, наш видавничий центр сертифікації працює під керуванням CentOS, називається subca.example.com, а запити, ключі та сертифікати розміщуються в каталозі /etc/pki/tls/.
Виконуємо резервні копії та створюємо тимчасовий каталог:
Готово! Час підключитися до менеджера та перевірити, чи з'єднання захищене підписаним SSL сертифікатом.
Архівація
Куди ж без неї! У цій секції йтиметься про архівацію менеджера, архівація ВМ — окреме питання. Архівні копії робитимемо 1 раз на добу і складатимемо NFS, напр., на ту саму систему, де ми розмістили ISO образи — mynfs01.example.com:/exports/ovirt-backup. Не рекомендується зберігати архіви на тій самій машині, де працює Engine.
Тепер можна підключитися до хоста: https://[Host IP or FQDN]:9090
VLAN
Докладніше про мережі варто почитати в документації. Можливостей багато, тут опишемо підключення віртуальних мереж.
Для підключення інших підмереж їх спочатку слід описати в конфігурації: Network -> Networks -> New, тут обов'язковим полем є лише ім'я; чекбокс VM Network, що дозволяє машинам використовувати цю мережу, увімкнений, а для підключення тега треба включити Enable VLAN tagging, прописати номер VLAN та натиснути Ок.
Тепер потрібно пройти в хости Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks. Додану мережу з правої частини Unassigned Logical Networks перетягнути вліво Assigned Logical Networks:
Мал. 4 — перед додаванням мережі.
Мал. 5 — після додавання мережі.
Для масового підключення кількох мереж до хоста зручно при створенні мереж надати їм мітку(и), і додавати мережі за мітками.
Після створення мережі хости перейдуть у стан Non Operational, поки не закінчиться додавання мережі на всі вузли кластера. Така поведінка викликається ознакою Require All на вкладці Cluster під час створення нової мережі. Якщо мережа потрібна не на всіх вузлах кластера, цю ознаку можна відключити, тоді мережа при додаванні хосту буде праворуч у секції Non Required і можна вибрати, чи підключати її до конкретного хоста.
Мал. 6 - вибір ознаки вимоги мережі.
Специфічне для HPE
Майже всі виробники мають інструменти, що підвищують зручність роботи з їх продуктами. На прикладі HPE, корисні AMS (Agentless Management Service, amsd для iLO5, hp-ams для iLO4) та SSA (Smart Storage Administrator, робота з дисковим контролером) та ін.
Підключення репозиторію HPE
Імпортуємо ключ та підключаємо репозиторії HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo