Qulaylik uchun biz qo'shimcha paketlarni o'rnatamiz:
$ sudo yum install bash-completion vim
Buyruqni bajarishni yoqish uchun bash-to'ldirish bash-ga o'tishni talab qiladi.
Qo'shimcha DNS nomlarini qo'shish
Bu boshqa nom (CNAME, taxallus yoki domen qoʻshimchasisiz qisqa nom) yordamida menejerga ulanishingiz kerak boʻlganda talab qilinadi. Xavfsizlik nuqtai nazaridan menejer faqat ruxsat etilgan nomlar ro'yxatidan foydalangan holda ulanishga ruxsat beradi.
Konfiguratsiya faylini yarating:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Magistr ishiga misol
$ sudo ovirt-engine-kengaytma-aaa-ldap-sozlash
Mavjud LDAP ilovalari:
...
3 - Active Directory
...
Iltimos tanlang: 3
Iltimos, Active Directory Forest nomini kiriting: example.com
Foydalanish uchun protokolni tanlang (startTLS, ldaps, oddiy) [startTLS]:
PEM kodlangan CA sertifikatini olish usulini tanlang (Fayl, URL, Inline, Tizim, Ishonchsiz): URL
URL: wwwca.example.com/myRootCA.pem
Qidiruv foydalanuvchi DN-ni kiriting (masalan, uid=username,dc=example,dc=com yoki anonim uchun boʻsh qoldiring): CN = oVirt-Engine, CN = Foydalanuvchilar, DC = misol, DC = com
Qidiruv foydalanuvchi parolini kiriting: *parol*
[ INFO ] 'CN=oVirt-Engine,CN=Users,DC=example,DC=com' yordamida ulanishga urinish
Virtual mashinalar uchun yagona tizimga kirishdan foydalanmoqchimisiz (Ha, Yo'q) [Ha]:
Iltimos, foydalanuvchilarga ko'rinadigan profil nomini belgilang [example.com]:
Iltimos, kirish oqimini sinab ko'rish uchun hisob ma'lumotlarini taqdim eting:
Foydalanuvchi nomini kiriting: someAnyUser
Foydalanuvchi parolini kiriting:
...
[INFO] Kirish ketma-ketligi muvaffaqiyatli bajarildi
...
Bajariladigan test ketma-ketligini tanlang (Bajarildi, Bekor qilish, Kirish, Qidirish) [Bajarildi]:
[INFO] Bosqich: tranzaksiyani sozlash
...
KONFIGURASYON XULOSASI
...
Sehrgardan foydalanish ko'p hollarda mos keladi. Murakkab konfiguratsiyalar uchun sozlamalar qo'lda amalga oshiriladi. Batafsil ma'lumot oVirt hujjatlarida, Foydalanuvchilar va rollar. Dvigatelni AD ga muvaffaqiyatli ulagandan so'ng, ulanish oynasida va yorliqda qo'shimcha profil paydo bo'ladi ruxsatlar Tizim obyektlari AD foydalanuvchilari va guruhlariga ruxsat berish imkoniyatiga ega. Shuni ta'kidlash kerakki, foydalanuvchilar va guruhlarning tashqi katalogi nafaqat AD, balki IPA, eDirectory va boshqalar bo'lishi mumkin.
Ko'p tomonlama
Ishlab chiqarish muhitida saqlash tizimi bir nechta mustaqil, bir nechta kiritish/chiqarish yo'llari orqali xostga ulanishi kerak. Qoida tariqasida, CentOS-da (va shuning uchun oVirt) qurilmaga bir nechta yo'llarni yig'ish bilan bog'liq muammolar yo'q (find_multipaths ha). FCoE uchun qo'shimcha sozlamalar yozilgan 2-qism. Saqlash tizimini ishlab chiqaruvchining tavsiyasiga e'tibor qaratish lozim - ko'pchilik aylanma rejimdan foydalanishni tavsiya qiladi, ammo Enterprise Linux 7 da sukut bo'yicha xizmat vaqti ishlatiladi.
Guruch. 1 standart bir nechta kiritish/chiqarish siyosatidir.
Guruch. 2 - sozlamalarni qo'llashdan keyin bir nechta I/U siyosati.
Quvvat boshqaruvini sozlash
Agar Dvigatel uzoq vaqt davomida Xostdan javob ololmasa, masalan, mashinaning apparatini qayta o'rnatishga imkon beradi. Fence Agent orqali amalga oshirilgan.
Hisoblash -> Xostlar -> XOST — Tahrirlash -> Quvvatni boshqarish, keyin “Quvvat boshqaruvini yoqish” ni yoqing va agent qo‘shing — “Fence Agent qo‘shish” -> +.
Biz turini (masalan, iLO5 uchun siz ilo4 ni ko'rsatishingiz kerak), ipmi interfeysining nomini/manzilini, shuningdek foydalanuvchi nomini/parolni ko'rsatamiz. Alohida foydalanuvchi (masalan, oVirt-PM) yaratish va iLO bo'lsa, unga imtiyozlar berish tavsiya etiladi:
Kirish
Masofaviy konsol
Virtual quvvat va qayta o'rnatish
Virtual media
iLO sozlamalarini sozlang
Foydalanuvchi hisoblarini boshqarish
Nega bunday bo'lganini so'ramang, u empirik tarzda tanlangan. Konsol fextavonie agenti kamroq huquqlarni talab qiladi.
Kirishni boshqarish ro'yxatlarini o'rnatayotganda, agent dvigatelda emas, balki "qo'shni" xostda (Quvvatni boshqarish proksi deb ataladigan) ishlashini yodda tutishingiz kerak, ya'ni klasterda faqat bitta tugun bo'lsa, quvvat boshqaruvi ishlaydi bolmaydi.
SSL sozlanmoqda
To'liq rasmiy ko'rsatmalar - ichida hujjatlar, Ilova D: oVirt va SSL — oVirt Engine SSL/TLS sertifikatini almashtirish.
Sertifikat bizning korporativ CAdan yoki tashqi tijorat sertifikat organidan bo'lishi mumkin.
Muhim eslatma: Sertifikat menejerga ulanish uchun mo'ljallangan va Dvigatel va tugunlar o'rtasidagi aloqaga ta'sir qilmaydi - ular Dvigatel tomonidan chiqarilgan o'z-o'zidan imzolangan sertifikatlardan foydalanadilar.
Talablar:
PEM formatidagi CAni chiqarganligi to'g'risidagi guvohnoma, butun zanjir CA ildizigacha (boshidagi CAni chiqargan bo'ysunuvchidan oxirigacha);
emitent CA tomonidan berilgan Apache sertifikati (shuningdek, CA sertifikatlarining butun zanjiri bilan to'ldiriladi);
Apache uchun shaxsiy kalit, parolsiz.
Faraz qilaylik, bizning emitent CA subca.example.com deb nomlangan CentOS bilan ishlaydi va so'rovlar, kalitlar va sertifikatlar /etc/pki/tls/ katalogida joylashgan.
Biz zaxira nusxasini yaratamiz va vaqtinchalik katalog yaratamiz:
Tayyor! Menejerga ulanish va ulanish imzolangan SSL sertifikati bilan himoyalanganligini tekshirish vaqti keldi.
Arxivlash
Usiz qayerda bo'lardik? Ushbu bo'limda biz menejerni arxivlash haqida gapiramiz; VM arxivlash - bu alohida masala. Biz kuniga bir marta arxiv nusxalarini yaratamiz va ularni NFS orqali, masalan, ISO tasvirlarini joylashtirgan tizimda saqlaymiz - mynfs1.example.com:/exports/ovirt-backup. Dvigatel ishlayotgan bir xil mashinada arxivlarni saqlash tavsiya etilmaydi.
Endi siz xostga ulanishingiz mumkin: https://[Host IP yoki FQDN]:9090
VLANlar
Tarmoqlar haqida ko'proq o'qishingiz kerak hujjatlar. Ko'p imkoniyatlar mavjud, bu erda biz virtual tarmoqlarni ulashni tasvirlaymiz.
Boshqa pastki tarmoqlarni ulash uchun ular avvalo konfiguratsiyada tavsiflanishi kerak: Tarmoq -> Tarmoqlar -> Yangi, bu erda faqat nom shartli maydon; Mashinalarga ushbu tarmoqdan foydalanishga ruxsat beruvchi VM tarmog'i belgilash katakchasi yoqilgan, lekin tegni ulash uchun yoqilgan bo'lishi kerak VLAN teglarini yoqish, VLAN raqamini kiriting va OK tugmasini bosing.
Endi siz Xostlarni hisoblash -> Xostlar -> kvmNN -> Tarmoq interfeyslari -> Xost tarmoqlarini sozlash bo'limiga o'tishingiz kerak. Qo'shilgan tarmoqni tayinlanmagan mantiqiy tarmoqlarning o'ng tomonidan chapga, tayinlangan mantiqiy tarmoqlarga torting:
Guruch. 4 - tarmoqni qo'shishdan oldin.
Guruch. 5 - tarmoqni qo'shgandan keyin.
Bir nechta tarmoqlarni xostga ommaviy ravishda ulash uchun tarmoqlar yaratishda ularga teg(lar)ni belgilash va teglar bo‘yicha tarmoqlarni qo‘shish qulay.
Tarmoq yaratilgandan so'ng, tarmoq klasterdagi barcha tugunlarga qo'shilmaguncha xostlar Ishlamaydigan holatga o'tadi. Ushbu xatti-harakat yangi tarmoq yaratishda "Klaster" yorlig'idagi "Barchasini talab qilish" belgisi tufayli yuzaga keladi. Klasterning barcha tugunlarida tarmoq kerak bo'lmasa, ushbu bayroqni o'chirib qo'yish mumkin, keyin tarmoq xostga qo'shilganda, u "Talab qilinmagan" bo'limida o'ng tomonda bo'ladi va siz ulanishni tanlashingiz mumkin. ma'lum bir xostga.
Guruch. 6—tarmoq talabi atributini tanlang.
HPE-ga xos
Deyarli barcha ishlab chiqaruvchilar o'z mahsulotlaridan foydalanish qulayligini yaxshilaydigan vositalarga ega. Misol sifatida HPE dan foydalanish, AMS (Agentsiz boshqarish xizmati, iLO5 uchun amsd, iLO4 uchun hp-ams) va SSA (Smart Storage Administrator, disk boshqaruvchisi bilan ishlash) va boshqalar foydalidir.
HPE omborini ulash
Biz kalitni import qilamiz va HPE omborlarini ulaymiz:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo
Disk boshqaruvchisi bilan ishlash uchun yordamchi dasturga misol
Hozircha hammasi shu. Keyingi maqolalarda men ba'zi asosiy operatsiyalar va ilovalar haqida gapirishni rejalashtirmoqdaman. Masalan, oVirt-da VDI-ni qanday qilish kerak.