Để thuận tiện, chúng tôi sẽ cài đặt các gói bổ sung:
$ sudo yum install bash-completion vim
Để bật tính năng tự động hoàn thành các lệnh hoàn thành bash, hãy chuyển sang bash.
Thêm tên DNS bổ sung
Điều này sẽ được yêu cầu khi bạn cần kết nối với người quản lý bằng một tên thay thế (CNAME, bí danh hoặc chỉ một tên ngắn không có hậu tố tên miền). Vì lý do bảo mật, người quản lý chỉ cho phép kết nối với danh sách tên được phép.
Tạo một tập tin cấu hình:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf
Một ví dụ về thuật sĩ
$ sudo ovirt-engine-extension-aaa-ldap-setup
Triển khai LDAP có sẵn:
...
3 - Thư mục hoạt động
...
Vui lòng chọn: 3
Vui lòng nhập tên Active Directory Forest: example.com
Vui lòng chọn giao thức để sử dụng (startTLS, ldaps, plain) [bắt đầuTLS]:
Vui lòng chọn phương thức để lấy chứng chỉ CA được mã hóa PEM (Tệp, URL, Nội tuyến, Hệ thống, Không an toàn): URL
URL: wwwca.example.com/myRootCA.pem
Nhập DN người dùng tìm kiếm (ví dụ: uid=username,dc=example,dc=com hoặc để trống nếu ẩn danh): CN=oVirt-Engine,CN=Người dùng,DC=example,DC=com
Nhập mật khẩu người dùng tìm kiếm: *mật khẩu*
[ THÔNG TIN ] Đang cố liên kết bằng 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Bạn có định sử dụng Đăng nhập một lần cho Máy ảo không (Có, Không) [Đúng]:
Vui lòng chỉ định tên hồ sơ sẽ hiển thị với người dùng [ví dụ.com]:
Vui lòng cung cấp thông tin đăng nhập để kiểm tra quy trình đăng nhập:
Điền tên đăng nhập: một sốAnyUser
Nhập mật khẩu người dùng:
...
[ INFO ] Trình tự đăng nhập được thực hiện thành công
...
Chọn trình tự kiểm tra để thực hiện (Hoàn thành, Hủy bỏ, Đăng nhập, Tìm kiếm) [Xong]:
[ THÔNG TIN ] Giai đoạn: Thiết lập giao dịch
...
TÓM TẮT CẤU HÌNH
...
Sử dụng trình hướng dẫn phù hợp với hầu hết các trường hợp. Đối với các cấu hình phức tạp, cài đặt được thực hiện thủ công. Thêm chi tiết trong tài liệu oVirt, Người dùng và vai trò. Sau khi Engine được kết nối thành công với AD, một cấu hình bổ sung sẽ xuất hiện trong cửa sổ kết nối và trên màn hình Quyền các đối tượng hệ thống có khả năng cấp quyền cho người dùng và nhóm AD. Cần lưu ý rằng thư mục bên ngoài của người dùng và nhóm không chỉ có thể là AD mà còn có thể là IPA, eDirectory, v.v.
Nhân
Trong môi trường sản xuất, hệ thống lưu trữ phải được kết nối với máy chủ thông qua nhiều đường dẫn I/O độc lập. Theo quy định, trong CentOS (và do đó là oVirt'e), không có vấn đề gì khi xây dựng nhiều đường dẫn đến thiết bị (có find_multipaths). Cài đặt bổ sung cho FCoE được mô tả trong Phần thứ 2. Cần chú ý đến khuyến nghị của nhà sản xuất bộ lưu trữ - nhiều người khuyên sử dụng chính sách quay vòng, trong khi theo mặc định, Enterprise Linux 7 sử dụng thời gian phục vụ.
Cơm. 2 - chính sách nhiều I / O sau khi áp dụng cài đặt.
Cài đặt quản lý nguồn
Cho phép bạn thực hiện, chẳng hạn như khôi phục cài đặt gốc của máy nếu Engine không thể nhận được phản hồi từ Máy chủ trong một thời gian dài. Được thực hiện thông qua Đại lý hàng rào.
Tính toán -> Máy chủ -> HOST - Edit -> Power Management, sau đó bật "Enable Power Management" và thêm tác nhân - "Add Fence Agent" -> +.
Chỉ định loại (ví dụ: đối với iLO5, bạn phải chỉ định ilo4), tên/địa chỉ của giao diện ipmi và tên người dùng/mật khẩu. Bạn nên tạo một người dùng riêng (ví dụ: oVirt-PM) và, trong trường hợp của iLO, hãy cấp cho anh ta các đặc quyền:
Đăng nhập
Bảng điều khiển từ xa
Nguồn ảo và Đặt lại
Phương tiện ảo
Định cấu hình Cài đặt iLO
Quản lý tài khoản người dùng
Đừng hỏi tại sao nó lại như vậy, nó được chọn theo kinh nghiệm. Tác nhân đấu kiếm bảng điều khiển yêu cầu một nhóm quyền nhỏ hơn.
Khi thiết lập danh sách kiểm soát truy cập, cần lưu ý rằng tác nhân không chạy trên động cơ mà chạy trên máy chủ “lân cận” (cái gọi là Proxy quản lý nguồn), tức là nếu chỉ có một nút trong cụm, quản lý năng lượng sẽ hoạt động sẽ không.
Thiết lập SSL
Hướng dẫn chính thức đầy đủ - trong tài liệu, Phụ lục D: oVirt và SSL - Thay thế Chứng chỉ SSL/TLS của Công cụ oVirt.
Chứng chỉ có thể từ CA công ty của chúng tôi hoặc từ CA thương mại bên ngoài.
Lưu ý quan trọng: chứng chỉ nhằm mục đích kết nối với trình quản lý, sẽ không ảnh hưởng đến sự tương tác giữa Engine và các nút - chúng sẽ sử dụng chứng chỉ tự ký do Engine cấp.
Yêu cầu:
chứng chỉ của CA phát hành ở định dạng PEM, với toàn bộ chuỗi đến CA gốc (từ cấp dưới phát hành ở đầu đến gốc ở cuối);
chứng chỉ cho Apache do CA phát hành cấp (cũng hoàn chỉnh với toàn bộ chuỗi chứng chỉ CA);
khóa riêng cho Apache, không có mật khẩu.
Giả sử CA phát hành của chúng tôi đang chạy CentOS, được gọi là subca.example.com và các yêu cầu, khóa và chứng chỉ nằm trong thư mục /etc/pki/tls/.
Sẵn sàng! Đã đến lúc kết nối với trình quản lý và kiểm tra xem kết nối có được bảo mật bằng chứng chỉ SSL đã ký hay không.
lưu trữ
Ở đâu mà không có cô ấy! Trong phần này, chúng ta sẽ nói về việc lưu trữ trình quản lý, lưu trữ VM là một vấn đề riêng biệt. Chúng tôi sẽ tạo các bản sao lưu trữ mỗi ngày một lần và lưu trữ chúng qua NFS, chẳng hạn như trên cùng hệ thống mà chúng tôi đã đặt ảnh ISO — mynfs1.example.com:/exports/ovirt-backup. Không nên lưu trữ các kho lưu trữ trên cùng một máy mà Engine đang chạy.
Bây giờ bạn có thể kết nối với máy chủ: https://[Host IP or FQDN]:9090
Vlan
Đọc thêm về các mạng trong tài liệu. Có nhiều khả năng, ở đây chúng tôi sẽ mô tả kết nối của các mạng ảo.
Để kết nối các mạng con khác, trước tiên chúng phải được mô tả trong cấu hình: Mạng -> Mạng -> Mới, ở đây chỉ có tên là trường bắt buộc; hộp kiểm Mạng VM, cho phép các máy sử dụng mạng này, được bật và để kết nối thẻ, bạn phải bật Kích hoạt tính năng gắn thẻ VLAN, nhập số VLAN và bấm OK.
Bây giờ bạn cần vào Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks hosts. Kéo mạng đã thêm từ phía bên phải của Mạng logic chưa được chỉ định sang bên trái vào Mạng logic được chỉ định:
Cơm. 4 - trước khi thêm mạng.
Cơm. 5 - sau khi thêm mạng.
Để kết nối hàng loạt một số mạng với máy chủ, sẽ thuận tiện khi gán (các) nhãn cho chúng khi tạo mạng và thêm mạng theo nhãn.
Sau khi mạng được tạo, các máy chủ sẽ chuyển sang trạng thái Không hoạt động cho đến khi mạng được thêm vào tất cả các nút cụm. Hiện tượng này được kích hoạt bởi cờ Yêu cầu Tất cả trên tab Cụm khi tạo một mạng mới. Trong trường hợp không cần mạng trên tất cả các nút của cụm, tính năng này có thể bị tắt, khi đó mạng khi thêm máy chủ sẽ ở bên phải trong phần Không bắt buộc và bạn có thể chọn có kết nối nó với một máy chủ cụ thể.
Cơm. 6 — lựa chọn dấu hiệu của yêu cầu mạng.
HPE cụ thể
Hầu như tất cả các nhà sản xuất đều có các công cụ cải thiện khả năng sử dụng sản phẩm của họ. Sử dụng HPE làm ví dụ, AMS (Agentless Management Service, amsd cho iLO5, hp-ams cho iLO4) và SSA (Quản trị viên lưu trữ thông minh, làm việc với bộ điều khiển đĩa), v.v. đều hữu ích.
Kết nối Kho lưu trữ HPE
Nhập khóa và kết nối kho HPE:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo