oVirt 2 گھنٹے میں۔ حصہ 3۔ اضافی ترتیبات

اس مضمون میں ہم متعدد اختیاری لیکن مفید ترتیبات کو دیکھیں گے:

• مینیجر کے لیے اضافی نام استعمال کرنا;
• ایکٹو ڈائریکٹری کے ذریعے تصدیق کو مربوط کرنا;
• ملٹی پیتھنگ;
• پاور مینجمنٹ;
• SSL سرٹیفکیٹ کو تبدیل کرنا;
• آرکائیونگ;
• میزبان مینجمنٹ انٹرفیس (کاک پٹ);
• VLANs;
• HPE مخصوص.

یہ مضمون ایک تسلسل ہے، شروع کے لیے 2 گھنٹے میں oVirt دیکھیں 1 حصہ и . 2.

مضامین

1. تعارف
2. مینیجر (اوورٹ-انجن) اور ہائپر وائزرز (میزبان) کی تنصیب
3. اضافی ترتیبات - ہم یہاں ہیں۔

اضافی مینیجر کی ترتیبات

سہولت کے لیے، ہم اضافی پیکجز انسٹال کریں گے:

$ sudo yum install bash-completion vim

کمانڈ کی تکمیل کو فعال کرنے کے لیے، bash-completion کو bash پر سوئچ کرنے کی ضرورت ہے۔

اضافی DNS نام شامل کرنا

یہ اس وقت درکار ہوگا جب آپ کو ایک متبادل نام (CNAME، عرف، یا ڈومین لاحقہ کے بغیر صرف ایک مختصر نام) کا استعمال کرتے ہوئے مینیجر سے جڑنے کی ضرورت ہوگی۔ سیکورٹی وجوہات کی بناء پر، مینیجر صرف ناموں کی اجازت شدہ فہرست کا استعمال کرتے ہوئے کنکشن کی اجازت دیتا ہے۔

کنفیگریشن فائل بنائیں:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

مندرجہ ذیل مواد:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

اور مینیجر کو دوبارہ شروع کریں:

$ sudo systemctl restart ovirt-engine

AD کے ذریعے توثیق ترتیب دینا

oVirt کے پاس بلٹ ان یوزر بیس ہے، لیکن بیرونی LDAP فراہم کنندگان بھی تعاون یافتہ ہیں، بشمول۔ A.D.

عام کنفیگریشن کا آسان ترین طریقہ یہ ہے کہ وزرڈ کو لانچ کریں اور مینیجر کو دوبارہ شروع کریں:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

ماسٹر کے کام کی ایک مثال
$ sudo ovirt-engine-extension-aa-ldap-setup
دستیاب LDAP نفاذ:
...
3 - ایکٹو ڈائریکٹری
...
براہ مہربانی منتخب کریں: 3
براہ کرم ایکٹو ڈائریکٹری فارسٹ کا نام درج کریں: example.com

براہ کرم استعمال کرنے کے لیے پروٹوکول منتخب کریں (startTLS، ldaps، سادہ) [startTLS]:
براہ کرم PEM انکوڈ شدہ CA سرٹیفکیٹ حاصل کرنے کے لیے طریقہ منتخب کریں (فائل، URL، ان لائن، سسٹم، غیر محفوظ): URL
URL: wwwca.example.com/myRootCA.pem
تلاش صارف DN درج کریں (مثال کے طور پر uid=username,dc=exampal,dc=com یا گمنام کے لیے خالی چھوڑیں): CN=oVirt-Engine,CN=Users,DC=example,DC=com
تلاش صارف کا پاس ورڈ درج کریں: *پاس ورڈ*
[ INFO ] 'CN=oVirt-Engine,CN=Users,DC=example,DC=com' کا استعمال کرتے ہوئے پابند کرنے کی کوشش
کیا آپ ورچوئل مشینوں کے لیے سنگل سائن آن استعمال کرنے جا رہے ہیں (ہاں، نہیں) [جی ہاں]:
براہ کرم پروفائل کا نام بتائیں جو صارفین کو نظر آئے گا۔ [example.com]:
لاگ ان فلو کو جانچنے کے لیے براہ کرم اسناد فراہم کریں:
صارف کا نام درج کریں: کوئی بھی صارف
صارف کا پاس ورڈ درج کریں:
...
[INFO] لاگ ان کی ترتیب کامیابی سے مکمل ہو گئی۔
...
عمل کرنے کے لیے ٹیسٹ کی ترتیب کو منتخب کریں (ہو گیا، اسقاط، لاگ ان، تلاش) [ہو گیا]:
[INFO] مرحلہ: لین دین کا سیٹ اپ
...
کنفیگریشن کا خلاصہ
...

وزرڈ کا استعمال زیادہ تر معاملات کے لیے موزوں ہے۔ پیچیدہ کنفیگریشنز کے لیے، ترتیبات کو دستی طور پر انجام دیا جاتا ہے۔ oVirt دستاویزات میں مزید تفصیلات، صارفین اور کردار. انجن کو AD سے کامیابی کے ساتھ جوڑنے کے بعد، کنکشن ونڈو اور ٹیب پر ایک اضافی پروفائل ظاہر ہوگا۔ اجازت سسٹم آبجیکٹ میں AD صارفین اور گروپس کو اجازت دینے کی صلاحیت ہوتی ہے۔ واضح رہے کہ صارفین اور گروپس کی بیرونی ڈائریکٹری نہ صرف AD بلکہ IPA، eDirectory وغیرہ بھی ہو سکتی ہے۔

کثیر راستہ

پیداواری ماحول میں، سٹوریج سسٹم کو میزبان سے متعدد آزاد، متعدد I/O راستوں کے ذریعے منسلک ہونا چاہیے۔ ایک اصول کے طور پر، CentOS (اور اس وجہ سے oVirt) میں ایک ڈیوائس کے متعدد راستے جمع کرنے میں کوئی مسئلہ نہیں ہے (find_multipaths yes)۔ FCoE کے لیے اضافی سیٹنگیں لکھی ہوئی ہیں۔ دوسرا حصہ. یہ سٹوریج سسٹم بنانے والے کی سفارش پر توجہ دینے کے قابل ہے - بہت سے لوگ راؤنڈ رابن پالیسی استعمال کرنے کی سفارش کرتے ہیں، لیکن انٹرپرائز لینکس 7 میں بطور ڈیفالٹ سروس ٹائم استعمال ہوتا ہے۔

مثال کے طور پر 3PAR استعمال کرنا
اور دستاویز HPE 3PAR Red Hat Enterprise Linux، CentOS Linux، Oracle Linux، اور OracleVM سرور نفاذ گائیڈ EL کو Generic-ALUA Persona 2 کے ساتھ ایک میزبان کے طور پر بنایا گیا ہے، جس کے لیے مندرجہ ذیل قدریں سیٹنگز میں داخل کی گئی ہیں /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

جس کے بعد دوبارہ شروع کرنے کا حکم دیا جاتا ہے:

systemctl restart multipathd

چاول۔ 1 ڈیفالٹ متعدد I/O پالیسی ہے۔

چاول۔ 2 - ترتیبات کو لاگو کرنے کے بعد متعدد I/O پالیسی۔

پاور مینجمنٹ قائم کرنا

آپ کو انجام دینے کی اجازت دیتا ہے، مثال کے طور پر، مشین کا ہارڈ ویئر ری سیٹ اگر انجن کو میزبان کی جانب سے طویل عرصے تک جواب موصول نہیں ہوتا ہے۔ باڑ ایجنٹ کے ذریعے لاگو کیا گیا۔

کمپیوٹ -> میزبان -> HOST - ترمیم کریں -> پاور مینجمنٹ، پھر "پاور مینجمنٹ کو فعال کریں" کو فعال کریں اور ایک ایجنٹ شامل کریں - "باڑ ایجنٹ شامل کریں" -> +.

ہم قسم کی نشاندہی کرتے ہیں (مثال کے طور پر، iLO5 کے لیے آپ کو ilo4 کی وضاحت کرنے کی ضرورت ہے)، ipmi انٹرفیس کا نام/پتہ، نیز صارف کا نام/پاس ورڈ۔ ایک علیحدہ صارف بنانے کی سفارش کی جاتی ہے (مثال کے طور پر، oVirt-PM) اور، iLO کے معاملے میں، اسے مراعات دیں:

• لاگ ان
• ریموٹ کنسول
• ورچوئل پاور اور ری سیٹ
• ورچوئل میڈیا۔
• آئی ایل او کی ترتیبات کو ترتیب دیں۔
• صارف اکاؤنٹس کا انتظام کریں۔

مت پوچھو کہ ایسا کیوں ہے، اس کا انتخاب تجرباتی طور پر کیا گیا تھا۔ کنسول باڑ لگانے والے ایجنٹ کو کم حقوق درکار ہیں۔

رسائی کنٹرول کی فہرستیں ترتیب دیتے وقت، آپ کو یہ بات ذہن میں رکھنی چاہیے کہ ایجنٹ انجن پر نہیں، بلکہ "پڑوسی" میزبان (نام نہاد پاور مینجمنٹ پراکسی) پر چلتا ہے، یعنی اگر کلسٹر میں صرف ایک نوڈ ہے، پاور مینجمنٹ کام کرے گا نہیں کریں گے.

SSL ترتیب دینا

مکمل سرکاری ہدایات - میں دستاویزات, ضمیمہ D: oVirt اور SSL — oVirt انجن SSL/TLS سرٹیفکیٹ کو تبدیل کرنا۔

سرٹیفکیٹ یا تو ہمارے کارپوریٹ CA سے ہو سکتا ہے یا کسی بیرونی کمرشل سرٹیفکیٹ اتھارٹی سے۔

اہم نوٹ: سرٹیفکیٹ کا مقصد مینیجر سے رابطہ قائم کرنا ہے اور یہ انجن اور نوڈس کے درمیان مواصلات کو متاثر نہیں کرے گا - وہ انجن کے ذریعہ جاری کردہ خود دستخط شدہ سرٹیفکیٹ استعمال کریں گے۔

کے تقاضے:

• PEM فارمیٹ میں جاری کرنے والے CA کا سرٹیفکیٹ، جڑ CA تک پوری زنجیر کے ساتھ (شروع میں جاری کرنے والے CA سے آخر میں جڑ تک)؛
• جاری کرنے والے CA کی طرف سے جاری کردہ Apache کے لیے ایک سرٹیفکیٹ (جسے CA سرٹیفکیٹس کی پوری چین سے بھی ضمیمہ کیا جاتا ہے)؛
• اپاچی کے لیے نجی کلید، بغیر پاس ورڈ کے۔

آئیے فرض کریں کہ ہمارا جاری کرنے والا CA CentOS چلا رہا ہے، جسے subca.example.com کہتے ہیں، اور درخواستیں، کلیدیں، اور سرٹیفکیٹ /etc/pki/tls/ ڈائریکٹری میں موجود ہیں۔

ہم بیک اپ کرتے ہیں اور ایک عارضی ڈائرکٹری بناتے ہیں:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

سرٹیفکیٹ ڈاؤن لوڈ کریں، اسے اپنے ورک سٹیشن سے انجام دیں یا اسے کسی اور آسان طریقے سے منتقل کریں:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

نتیجے کے طور پر، آپ کو تمام 3 فائلوں کو دیکھنا چاہئے:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

سرٹیفکیٹ انسٹال کرنا

فائلوں کو کاپی کریں اور اعتماد کی فہرستوں کو اپ ڈیٹ کریں:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

کنفیگریشن فائلیں شامل/اپ ڈیٹ کریں:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

اگلا، تمام متاثرہ خدمات کو دوبارہ شروع کریں:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

تیار! یہ مینیجر سے جڑنے اور چیک کرنے کا وقت ہے کہ کنکشن ایک دستخط شدہ SSL سرٹیفکیٹ کے ذریعے محفوظ ہے۔

محفوظ شدہ دستاویزات۔

ہم اس کے بغیر کہاں ہوں گے؟ اس سیکشن میں ہم منیجر آرکائیونگ کے بارے میں بات کریں گے؛ VM آرکائیونگ ایک الگ مسئلہ ہے۔ ہم دن میں ایک بار آرکائیو کاپیاں بنائیں گے اور انہیں NFS کے ذریعے اسٹور کریں گے، مثال کے طور پر، اسی سسٹم پر جہاں ہم نے ISO امیجز رکھی تھیں - mynfs1.example.com:/exports/ovirt-backup۔ آرکائیوز کو اسی مشین پر ذخیرہ کرنے کی سفارش نہیں کی جاتی ہے جہاں انجن چل رہا ہو۔

autofs کو انسٹال اور فعال کریں:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

آئیے ایک اسکرپٹ بنائیں:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

مندرجہ ذیل مواد:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

فائل کو قابل عمل بنانا:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

اب ہر رات ہمیں مینیجر کی ترتیبات کا آرکائیو ملے گا۔

میزبان مینجمنٹ انٹرفیس

کاک پٹ - لینکس سسٹمز کے لیے ایک جدید انتظامی انٹرفیس۔ اس صورت میں، یہ ESXi ویب انٹرفیس کی طرح کا کردار ادا کرتا ہے۔

چاول۔ 3 - پینل کی ظاہری شکل۔

انسٹالیشن بہت آسان ہے، آپ کو کاک پٹ پیکجز اور کاک پٹ-اوورٹ-ڈیش بورڈ پلگ ان کی ضرورت ہے:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

کاک پٹ کو فعال کرنا:

$ sudo systemctl enable --now cockpit.socket

فائر وال سیٹ اپ:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

اب آپ میزبان سے جڑ سکتے ہیں: https://[Host IP or FQDN]:9090

VLANs

آپ کو نیٹ ورکس کے بارے میں مزید پڑھنا چاہئے۔ دستاویزات. بہت سے امکانات ہیں، یہاں ہم ورچوئل نیٹ ورکس کو جوڑنے کی وضاحت کریں گے۔

دوسرے ذیلی نیٹ ورکس کو مربوط کرنے کے لیے، انہیں پہلے ترتیب میں بیان کیا جانا چاہیے: نیٹ ورک -> نیٹ ورکس -> نیا، یہاں صرف نام ایک مطلوبہ فیلڈ ہے۔ VM نیٹ ورک چیک باکس، جو مشینوں کو اس نیٹ ورک کو استعمال کرنے کی اجازت دیتا ہے، فعال ہے، لیکن ٹیگ کو مربوط کرنے کے لیے فعال ہونا ضروری ہے۔ VLAN ٹیگنگ کو فعال کریں۔VLAN نمبر درج کریں اور ٹھیک ہے پر کلک کریں۔

اب آپ کو کمپیوٹ میزبان -> میزبان -> kvmNN -> نیٹ ورک انٹرفیس -> سیٹ اپ ہوسٹ نیٹ ورکس پر جانے کی ضرورت ہے۔ شامل کردہ نیٹ ورک کو غیر تفویض شدہ منطقی نیٹ ورکس کے دائیں جانب سے بائیں طرف تفویض شدہ منطقی نیٹ ورکس میں گھسیٹیں:

چاول۔ 4 - نیٹ ورک شامل کرنے سے پہلے۔

چاول۔ 5 - نیٹ ورک شامل کرنے کے بعد۔

ایک سے زیادہ نیٹ ورکس کو ہوسٹ سے بلک میں جوڑنے کے لیے، نیٹ ورک بناتے وقت ان کو ایک لیبل تفویض کرنا اور لیبل کے ذریعے نیٹ ورکس شامل کرنا آسان ہے۔

نیٹ ورک بننے کے بعد، میزبان اس وقت تک غیر آپریشنل حالت میں چلے جائیں گے جب تک کہ نیٹ ورک کلسٹر کے تمام نوڈس میں شامل نہ ہو جائے۔ یہ رویہ نیا نیٹ ورک بناتے وقت کلسٹر ٹیب پر Require All پرچم کی وجہ سے ہوتا ہے۔ ایسی صورت میں جب کلسٹر کے تمام نوڈس پر نیٹ ورک کی ضرورت نہ ہو، اس جھنڈے کو غیر فعال کیا جا سکتا ہے، پھر جب نیٹ ورک کو کسی میزبان میں شامل کیا جائے گا، تو یہ غیر ضروری سیکشن میں دائیں طرف ہو گا اور آپ منتخب کر سکتے ہیں کہ کنیکٹ کرنا ہے یا نہیں۔ اسے ایک مخصوص میزبان کے لیے۔

چاول۔ 6- نیٹ ورک کی ضرورت کی خصوصیت کو منتخب کریں۔

HPE مخصوص

تقریباً تمام مینوفیکچررز کے پاس ایسے اوزار ہوتے ہیں جو ان کی مصنوعات کے استعمال کو بہتر بناتے ہیں۔ مثال کے طور پر HPE کا استعمال کرتے ہوئے، AMS (ایجنٹ لیس مینجمنٹ سروس، iLO5 کے لیے amsd، iLO4 کے لیے hp-ams) اور SSA (اسمارٹ اسٹوریج ایڈمنسٹریٹر، ڈسک کنٹرولر کے ساتھ کام کرنا) وغیرہ مفید ہیں۔

HPE ذخیرہ کو جوڑنا
ہم کلید درآمد کرتے ہیں اور HPE ذخیروں کو جوڑتے ہیں:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

مندرجہ ذیل مواد:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

ذخیرہ مواد اور پیکیج کی معلومات دیکھیں (حوالہ کے لیے):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

تنصیب اور لانچ:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

ڈسک کنٹرولر کے ساتھ کام کرنے کی افادیت کی ایک مثال

ابھی کے لیے اتنا ہی ہے۔ مندرجہ ذیل مضامین میں میں کچھ بنیادی آپریشنز اور ایپلی کیشنز کے بارے میں بات کرنے کا ارادہ رکھتا ہوں۔ مثال کے طور پر، oVirt میں VDI کیسے بنایا جائے۔

ماخذ: www.habr.com