Ushbu maqolada biz bir qator ixtiyoriy, ammo foydali sozlamalarni ko'rib chiqamiz:
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
Ushbu maqola davomi, boshlanishi uchun 2 soat ichida oVirt-ga qarang и .
Maqolalar
- Qo'shimcha sozlamalar - Biz shu yerdamiz
Qo'shimcha menejer sozlamalari
Qulaylik uchun biz qo'shimcha paketlarni o'rnatamiz:
$ sudo yum install bash-completion vimBuyruqni bajarishni yoqish uchun bash-to'ldirish bash-ga o'tishni talab qiladi.
Qo'shimcha DNS nomlarini qo'shish
Bu boshqa nom (CNAME, taxallus yoki domen qoʻshimchasisiz qisqa nom) yordamida menejerga ulanishingiz kerak boʻlganda talab qilinadi. Xavfsizlik nuqtai nazaridan menejer faqat ruxsat etilgan nomlar ro'yxatidan foydalangan holda ulanishga ruxsat beradi.
Konfiguratsiya faylini yarating:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.confquyidagi tarkib:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"va menejerni qayta ishga tushiring:
$ sudo systemctl restart ovirt-engineAD orqali autentifikatsiyani sozlash
oVirt o'rnatilgan foydalanuvchi bazasiga ega, ammo tashqi LDAP provayderlari ham qo'llab-quvvatlanadi, jumladan. A.D.
Oddiy konfiguratsiyaning eng oddiy usuli - bu sehrgarni ishga tushirish va menejerni qayta ishga tushirish:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engineMagistr ishiga misol
$ sudo ovirt-engine-kengaytma-aaa-ldap-sozlash
Mavjud LDAP ilovalari:
...
3 - Active Directory
...
Iltimos tanlang: 3
Iltimos, Active Directory Forest nomini kiriting: example.com
Foydalanish uchun protokolni tanlang (startTLS, ldaps, oddiy) [startTLS]:
PEM kodlangan CA sertifikatini olish usulini tanlang (Fayl, URL, Inline, Tizim, Ishonchsiz): URL
URL:
Qidiruv foydalanuvchi DN-ni kiriting (masalan, uid=username,dc=example,dc=com yoki anonim uchun boʻsh qoldiring): CN = oVirt-Engine, CN = Foydalanuvchilar, DC = misol, DC = com
Qidiruv foydalanuvchi parolini kiriting: *parol*
[ INFO ] 'CN=oVirt-Engine,CN=Users,DC=example,DC=com' yordamida ulanishga urinish
Virtual mashinalar uchun yagona tizimga kirishdan foydalanmoqchimisiz (Ha, Yo'q) [Ha]:
Iltimos, foydalanuvchilarga ko'rinadigan profil nomini belgilang [example.com]:
Iltimos, kirish oqimini sinab ko'rish uchun hisob ma'lumotlarini taqdim eting:
Foydalanuvchi nomini kiriting: someAnyUser
Foydalanuvchi parolini kiriting:
...
[INFO] Kirish ketma-ketligi muvaffaqiyatli bajarildi
...
Bajariladigan test ketma-ketligini tanlang (Bajarildi, Bekor qilish, Kirish, Qidirish) [Bajarildi]:
[INFO] Bosqich: tranzaksiyani sozlash
...
KONFIGURASYON XULOSASI
...
Sehrgardan foydalanish ko'p hollarda mos keladi. Murakkab konfiguratsiyalar uchun sozlamalar qo'lda amalga oshiriladi. Batafsil ma'lumot oVirt hujjatlarida, . Dvigatelni AD ga muvaffaqiyatli ulagandan so'ng, ulanish oynasida va yorliqda qo'shimcha profil paydo bo'ladi ruxsatlar Tizim obyektlari AD foydalanuvchilari va guruhlariga ruxsat berish imkoniyatiga ega. Shuni ta'kidlash kerakki, foydalanuvchilar va guruhlarning tashqi katalogi nafaqat AD, balki IPA, eDirectory va boshqalar bo'lishi mumkin.
Ko'p tomonlama
Ishlab chiqarish muhitida saqlash tizimi bir nechta mustaqil, bir nechta kiritish/chiqarish yo'llari orqali xostga ulanishi kerak. Qoida tariqasida, CentOS-da (va shuning uchun oVirt) qurilmaga bir nechta yo'llarni yig'ish bilan bog'liq muammolar yo'q (find_multipaths ha). FCoE uchun qo'shimcha sozlamalar yozilgan . Saqlash tizimini ishlab chiqaruvchining tavsiyasiga e'tibor qaratish lozim - ko'pchilik aylanma rejimdan foydalanishni tavsiya qiladi, ammo Enterprise Linux 7 da sukut bo'yicha xizmat vaqti ishlatiladi.
Misol sifatida 3PAR dan foydalanish
va hujjat EL Generic-ALUA Persona 2 bilan xost sifatida yaratilgan, buning uchun /etc/multipath.conf sozlamalariga quyidagi qiymatlar kiritilgan:
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}Keyin qayta ishga tushirish buyrug'i beriladi:
systemctl restart multipathd
Guruch. 1 standart bir nechta kiritish/chiqarish siyosatidir.
Guruch. 2 - sozlamalarni qo'llashdan keyin bir nechta I/U siyosati.
Quvvat boshqaruvini sozlash
Agar Dvigatel uzoq vaqt davomida Xostdan javob ololmasa, masalan, mashinaning apparatini qayta o'rnatishga imkon beradi. Fence Agent orqali amalga oshirilgan.
Hisoblash -> Xostlar -> XOST — Tahrirlash -> Quvvatni boshqarish, keyin “Quvvat boshqaruvini yoqish” ni yoqing va agent qo‘shing — “Fence Agent qo‘shish” -> +.
Biz turini (masalan, iLO5 uchun siz ilo4 ni ko'rsatishingiz kerak), ipmi interfeysining nomini/manzilini, shuningdek foydalanuvchi nomini/parolni ko'rsatamiz. Alohida foydalanuvchi (masalan, oVirt-PM) yaratish va iLO bo'lsa, unga imtiyozlar berish tavsiya etiladi:
- Kirish
- Masofaviy konsol
- Virtual quvvat va qayta o'rnatish
- Virtual media
- iLO sozlamalarini sozlang
- Foydalanuvchi hisoblarini boshqarish
Nega bunday bo'lganini so'ramang, u empirik tarzda tanlangan. Konsol fextavonie agenti kamroq huquqlarni talab qiladi.
Kirishni boshqarish ro'yxatlarini o'rnatayotganda, agent dvigatelda emas, balki "qo'shni" xostda (Quvvatni boshqarish proksi deb ataladigan) ishlashini yodda tutishingiz kerak, ya'ni klasterda faqat bitta tugun bo'lsa, quvvat boshqaruvi ishlaydi bolmaydi.
SSL sozlanmoqda
To'liq rasmiy ko'rsatmalar - ichida , Ilova D: oVirt va SSL — oVirt Engine SSL/TLS sertifikatini almashtirish.
Sertifikat bizning korporativ CAdan yoki tashqi tijorat sertifikat organidan bo'lishi mumkin.
Muhim eslatma: Sertifikat menejerga ulanish uchun mo'ljallangan va Dvigatel va tugunlar o'rtasidagi aloqaga ta'sir qilmaydi - ular Dvigatel tomonidan chiqarilgan o'z-o'zidan imzolangan sertifikatlardan foydalanadilar.
Talablar:
- PEM formatidagi CAni chiqarganligi to'g'risidagi guvohnoma, butun zanjir CA ildizigacha (boshidagi CAni chiqargan bo'ysunuvchidan oxirigacha);
- emitent CA tomonidan berilgan Apache sertifikati (shuningdek, CA sertifikatlarining butun zanjiri bilan to'ldiriladi);
- Apache uchun shaxsiy kalit, parolsiz.
Faraz qilaylik, bizning emitent CA subca.example.com deb nomlangan CentOS bilan ishlaydi va so'rovlar, kalitlar va sertifikatlar /etc/pki/tls/ katalogida joylashgan.
Biz zaxira nusxasini yaratamiz va vaqtinchalik katalog yaratamiz:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certsSertifikatlarni yuklab oling, uni ish stantsiyangizdan bajaring yoki boshqa qulay usulda o'tkazing:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certsNatijada siz barcha 3 ta faylni ko'rishingiz kerak:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.keySertifikatlarni o'rnatish
Fayllardan nusxa oling va ishonchli ro'yxatlarni yangilang:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.serviceKonfiguratsiya fayllarini qo'shish/yangilash:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.confENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confSSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cerKeyin, barcha ta'sirlangan xizmatlarni qayta ishga tushiring:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.serviceTayyor! Menejerga ulanish va ulanish imzolangan SSL sertifikati bilan himoyalanganligini tekshirish vaqti keldi.
Arxivlash
Usiz qayerda bo'lardik? Ushbu bo'limda biz menejerni arxivlash haqida gapiramiz; VM arxivlash - bu alohida masala. Biz kuniga bir marta arxiv nusxalarini yaratamiz va ularni NFS orqali, masalan, ISO tasvirlarini joylashtirgan tizimda saqlaymiz - mynfs1.example.com:/exports/ovirt-backup. Dvigatel ishlayotgan bir xil mashinada arxivlarni saqlash tavsiya etilmaydi.
Avtomatik sozlamalarni o'rnating va yoqing:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofsKeling, skript yarataylik:
$ sudo vim /etc/cron.daily/make.oVirt.backup.shquyidagi tarkib:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;Faylni bajariladigan qilish:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.shEndi har kecha biz menejer sozlamalari arxivini olamiz.
Xost boshqaruv interfeysi
— Linux tizimlari uchun zamonaviy boshqaruv interfeysi. Bunday holda, u ESXi veb-interfeysiga o'xshash rolni bajaradi.
Guruch. 3 - panelning ko'rinishi.
O'rnatish juda oddiy, sizga kokpit paketlari va kokpit-ovirt-dashboard plaginlari kerak bo'ladi:
$ sudo yum install cockpit cockpit-ovirt-dashboard -yKokpitni yoqish:
$ sudo systemctl enable --now cockpit.socketXavfsizlik devorini sozlash:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanentEndi siz xostga ulanishingiz mumkin: https://[Host IP yoki FQDN]:9090
VLANlar
Tarmoqlar haqida ko'proq o'qishingiz kerak . Ko'p imkoniyatlar mavjud, bu erda biz virtual tarmoqlarni ulashni tasvirlaymiz.
Boshqa pastki tarmoqlarni ulash uchun ular avvalo konfiguratsiyada tavsiflanishi kerak: Tarmoq -> Tarmoqlar -> Yangi, bu erda faqat nom shartli maydon; Mashinalarga ushbu tarmoqdan foydalanishga ruxsat beruvchi VM tarmog'i belgilash katakchasi yoqilgan, lekin tegni ulash uchun yoqilgan bo'lishi kerak VLAN teglarini yoqish, VLAN raqamini kiriting va OK tugmasini bosing.
Endi siz Xostlarni hisoblash -> Xostlar -> kvmNN -> Tarmoq interfeyslari -> Xost tarmoqlarini sozlash bo'limiga o'tishingiz kerak. Qo'shilgan tarmoqni tayinlanmagan mantiqiy tarmoqlarning o'ng tomonidan chapga, tayinlangan mantiqiy tarmoqlarga torting:
Guruch. 4 - tarmoqni qo'shishdan oldin.
Guruch. 5 - tarmoqni qo'shgandan keyin.
Bir nechta tarmoqlarni xostga ommaviy ravishda ulash uchun tarmoqlar yaratishda ularga teg(lar)ni belgilash va teglar bo‘yicha tarmoqlarni qo‘shish qulay.
Tarmoq yaratilgandan so'ng, tarmoq klasterdagi barcha tugunlarga qo'shilmaguncha xostlar Ishlamaydigan holatga o'tadi. Ushbu xatti-harakat yangi tarmoq yaratishda "Klaster" yorlig'idagi "Barchasini talab qilish" belgisi tufayli yuzaga keladi. Klasterning barcha tugunlarida tarmoq kerak bo'lmasa, ushbu bayroqni o'chirib qo'yish mumkin, keyin tarmoq xostga qo'shilganda, u "Talab qilinmagan" bo'limida o'ng tomonda bo'ladi va siz ulanishni tanlashingiz mumkin. ma'lum bir xostga.
Guruch. 6—tarmoq talabi atributini tanlang.
HPE-ga xos
Deyarli barcha ishlab chiqaruvchilar o'z mahsulotlaridan foydalanish qulayligini yaxshilaydigan vositalarga ega. Misol sifatida HPE dan foydalanish, AMS (Agentsiz boshqarish xizmati, iLO5 uchun amsd, iLO4 uchun hp-ams) va SSA (Smart Storage Administrator, disk boshqaruvchisi bilan ishlash) va boshqalar foydalidir.
HPE omborini ulash
Biz kalitni import qilamiz va HPE omborlarini ulaymiz:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repoquyidagi tarkib:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcpRepozitoriy tarkibi va paket ma'lumotlarini ko'rish (ma'lumot uchun):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsdO'rnatish va ishga tushirish:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsdDisk boshqaruvchisi bilan ishlash uchun yordamchi dasturga misol
Hozircha hammasi shu. Keyingi maqolalarda men ba'zi asosiy operatsiyalar va ilovalar haqida gapirishni rejalashtirmoqdaman. Masalan, oVirt-da VDI-ni qanday qilish kerak.
Manba: www.habr.com