Prohoster > Blog > quản lý > oVirt trong 2 giờ. Phần 3. Cài đặt bổ sung

oVirt trong 2 giờ. Phần 3. Cài đặt bổ sung

Trong bài viết này, chúng ta sẽ xem xét một số cài đặt tùy chọn nhưng hữu ích:

Bài viết này là phần tiếp theo, hãy bắt đầu xem oVirt sau 2 giờ nữa Часть 1 и Phần 2.

bài viết

  1. Giới thiệu
  2. Cài đặt trình quản lý (ovirt-engine) và trình ảo hóa (máy chủ)
  3. Cài đặt bổ sung - Chúng tôi ở đây

Cài đặt người quản lý bổ sung

Để thuận tiện, chúng tôi sẽ cài đặt các gói bổ sung:

$ sudo yum install bash-completion vim

Để bật tính năng tự động hoàn thành các lệnh hoàn thành bash, hãy chuyển sang bash.

Thêm tên DNS bổ sung

Điều này sẽ được yêu cầu khi bạn cần kết nối với người quản lý bằng một tên thay thế (CNAME, bí danh hoặc chỉ một tên ngắn không có hậu tố tên miền). Vì lý do bảo mật, người quản lý chỉ cho phép kết nối với danh sách tên được phép.

Tạo một tập tin cấu hình:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

nội dung sau:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

và khởi động lại trình quản lý:

$ sudo systemctl restart ovirt-engine

Định cấu hình xác thực thông qua AD

oVirt có cơ sở người dùng tích hợp, nhưng các nhà cung cấp LDAP bên ngoài cũng được hỗ trợ, bao gồm. QUẢNG CÁO.

Cách đơn giản nhất cho cấu hình thông thường là khởi động trình hướng dẫn và khởi động lại trình quản lý:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

Một ví dụ về thuật sĩ
$ sudo ovirt-engine-extension-aaa-ldap-setup
Triển khai LDAP có sẵn:
...
3 - Thư mục hoạt động
...
Vui lòng chọn: 3
Vui lòng nhập tên Active Directory Forest: example.com

Vui lòng chọn giao thức để sử dụng (startTLS, ldaps, plain) [bắt đầuTLS]:
Vui lòng chọn phương thức để lấy chứng chỉ CA được mã hóa PEM (Tệp, URL, Nội tuyến, Hệ thống, Không an toàn): URL
URL: wwwca.example.com/myRootCA.pem
Nhập DN người dùng tìm kiếm (ví dụ: uid=username,dc=example,dc=com hoặc để trống nếu ẩn danh): CN=oVirt-Engine,CN=Người dùng,DC=example,DC=com
Nhập mật khẩu người dùng tìm kiếm: *mật khẩu*
[ THÔNG TIN ] Đang cố liên kết bằng 'CN=oVirt-Engine,CN=Users,DC=example,DC=com'
Bạn có định sử dụng Đăng nhập một lần cho Máy ảo không (Có, Không) [Đúng]:
Vui lòng chỉ định tên hồ sơ sẽ hiển thị với người dùng [ví dụ.com]:
Vui lòng cung cấp thông tin đăng nhập để kiểm tra quy trình đăng nhập:
Điền tên đăng nhập: một sốAnyUser
Nhập mật khẩu người dùng:
...
[ INFO ] Trình tự đăng nhập được thực hiện thành công
...
Chọn trình tự kiểm tra để thực hiện (Hoàn thành, Hủy bỏ, Đăng nhập, Tìm kiếm) [Xong]:
[ THÔNG TIN ] Giai đoạn: Thiết lập giao dịch
...
TÓM TẮT CẤU HÌNH
...

Sử dụng trình hướng dẫn phù hợp với hầu hết các trường hợp. Đối với các cấu hình phức tạp, cài đặt được thực hiện thủ công. Thêm chi tiết trong tài liệu oVirt, Người dùng và vai trò. Sau khi Engine được kết nối thành công với AD, một cấu hình bổ sung sẽ xuất hiện trong cửa sổ kết nối và trên màn hình Quyền các đối tượng hệ thống có khả năng cấp quyền cho người dùng và nhóm AD. Cần lưu ý rằng thư mục bên ngoài của người dùng và nhóm không chỉ có thể là AD mà còn có thể là IPA, eDirectory, v.v.

Nhân

Trong môi trường sản xuất, hệ thống lưu trữ phải được kết nối với máy chủ thông qua nhiều đường dẫn I/O độc lập. Theo quy định, trong CentOS (và do đó là oVirt'e), không có vấn đề gì khi xây dựng nhiều đường dẫn đến thiết bị (có find_multipaths). Cài đặt bổ sung cho FCoE được mô tả trong Phần thứ 2. Cần chú ý đến khuyến nghị của nhà sản xuất bộ lưu trữ - nhiều người khuyên sử dụng chính sách quay vòng, trong khi theo mặc định, Enterprise Linux 7 sử dụng thời gian phục vụ.

Ví dụ về 3PAR
và tài liệu Hướng dẫn triển khai HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux và OracleVM Server EL được tạo dưới dạng Máy chủ với Generic-ALUA Persona 2, theo đó các giá trị sau được nhập vào cài đặt /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

Sau đó, lệnh khởi động lại được đưa ra:

systemctl restart multipathd

oVirt trong 2 giờ. Phần 3. Cài đặt bổ sung
Cơm. 1 là chính sách nhiều I/O mặc định.

oVirt trong 2 giờ. Phần 3. Cài đặt bổ sung
Cơm. 2 - chính sách nhiều I / O sau khi áp dụng cài đặt.

Cài đặt quản lý nguồn

Cho phép bạn thực hiện, chẳng hạn như khôi phục cài đặt gốc của máy nếu Engine không thể nhận được phản hồi từ Máy chủ trong một thời gian dài. Được thực hiện thông qua Đại lý hàng rào.

Tính toán -> Máy chủ -> HOST - Edit -> Power Management, sau đó bật "Enable Power Management" và thêm tác nhân - "Add Fence Agent" -> +.

Chỉ định loại (ví dụ: đối với iLO5, bạn phải chỉ định ilo4), tên/địa chỉ của giao diện ipmi và tên người dùng/mật khẩu. Bạn nên tạo một người dùng riêng (ví dụ: oVirt-PM) và, trong trường hợp của iLO, hãy cấp cho anh ta các đặc quyền:

  • Đăng nhập
  • Bảng điều khiển từ xa
  • Nguồn ảo và Đặt lại
  • Phương tiện ảo
  • Định cấu hình Cài đặt iLO
  • Quản lý tài khoản người dùng

Đừng hỏi tại sao nó lại như vậy, nó được chọn theo kinh nghiệm. Tác nhân đấu kiếm bảng điều khiển yêu cầu một nhóm quyền nhỏ hơn.

Khi thiết lập danh sách kiểm soát truy cập, cần lưu ý rằng tác nhân không chạy trên động cơ mà chạy trên máy chủ “lân cận” (cái gọi là Proxy quản lý nguồn), tức là nếu chỉ có một nút trong cụm, quản lý năng lượng sẽ hoạt động sẽ không.

Thiết lập SSL

Hướng dẫn chính thức đầy đủ - trong tài liệu, Phụ lục D: oVirt và SSL - Thay thế Chứng chỉ SSL/TLS của Công cụ oVirt.

Chứng chỉ có thể từ CA công ty của chúng tôi hoặc từ CA thương mại bên ngoài.

Lưu ý quan trọng: chứng chỉ nhằm mục đích kết nối với trình quản lý, sẽ không ảnh hưởng đến sự tương tác giữa Engine và các nút - chúng sẽ sử dụng chứng chỉ tự ký do Engine cấp.

Yêu cầu:

  • chứng chỉ của CA phát hành ở định dạng PEM, với toàn bộ chuỗi đến CA gốc (từ cấp dưới phát hành ở đầu đến gốc ở cuối);
  • chứng chỉ cho Apache do CA phát hành cấp (cũng hoàn chỉnh với toàn bộ chuỗi chứng chỉ CA);
  • khóa riêng cho Apache, không có mật khẩu.

Giả sử CA phát hành của chúng tôi đang chạy CentOS, được gọi là subca.example.com và các yêu cầu, khóa và chứng chỉ nằm trong thư mục /etc/pki/tls/.

Thực hiện sao lưu và tạo một thư mục tạm thời:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

Tải xuống các chứng chỉ, thực thi nó từ máy trạm của bạn hoặc chuyển nó theo cách thuận tiện khác:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

Kết quả là bạn sẽ thấy cả 3 file:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

Cài đặt chứng chỉ

Sao chép tệp và cập nhật danh sách tin cậy:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

Thêm/cập nhật tệp cấu hình:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf
ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""
$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf
SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf
# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

Tiếp theo, khởi động lại tất cả các dịch vụ bị ảnh hưởng:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

Sẵn sàng! Đã đến lúc kết nối với trình quản lý và kiểm tra xem kết nối có được bảo mật bằng chứng chỉ SSL đã ký hay không.

lưu trữ

Ở đâu mà không có cô ấy! Trong phần này, chúng ta sẽ nói về việc lưu trữ trình quản lý, lưu trữ VM là một vấn đề riêng biệt. Chúng tôi sẽ tạo các bản sao lưu trữ mỗi ngày một lần và lưu trữ chúng qua NFS, chẳng hạn như trên cùng hệ thống mà chúng tôi đã đặt ảnh ISO — mynfs1.example.com:/exports/ovirt-backup. Không nên lưu trữ các kho lưu trữ trên cùng một máy mà Engine đang chạy.

Cài đặt và kích hoạt autofs:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

Tạo một kịch bản:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

nội dung sau:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

Làm cho tệp có thể thực thi được:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

Bây giờ mỗi đêm chúng tôi sẽ nhận được một kho lưu trữ các cài đặt của người quản lý.

Giao diện quản lý máy chủ

Buồng lái là một giao diện quản trị hiện đại cho các hệ thống Linux. Trong trường hợp này, nó thực hiện vai trò tương tự như giao diện web ESXi.

oVirt trong 2 giờ. Phần 3. Cài đặt bổ sung
Cơm. 3 - sự xuất hiện của bảng điều khiển.

Việc cài đặt rất đơn giản, bạn cần các gói buồng lái và plugin buồng lái-ovirt-dashboard:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

Buồng lái chuyển đổi:

$ sudo systemctl enable --now cockpit.socket

Cài đặt tường lửa:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

Bây giờ bạn có thể kết nối với máy chủ: https://[Host IP or FQDN]:9090

Vlan

Đọc thêm về các mạng trong tài liệu. Có nhiều khả năng, ở đây chúng tôi sẽ mô tả kết nối của các mạng ảo.

Để kết nối các mạng con khác, trước tiên chúng phải được mô tả trong cấu hình: Mạng -> Mạng -> Mới, ở đây chỉ có tên là trường bắt buộc; hộp kiểm Mạng VM, cho phép các máy sử dụng mạng này, được bật và để kết nối thẻ, bạn phải bật Kích hoạt tính năng gắn thẻ VLAN, nhập số VLAN và bấm OK.

Bây giờ bạn cần vào Compute -> Hosts -> kvmNN -> Network Interfaces -> Setup Host Networks hosts. Kéo mạng đã thêm từ phía bên phải của Mạng logic chưa được chỉ định sang bên trái vào Mạng logic được chỉ định:

oVirt trong 2 giờ. Phần 3. Cài đặt bổ sung
Cơm. 4 - trước khi thêm mạng.

oVirt trong 2 giờ. Phần 3. Cài đặt bổ sung
Cơm. 5 - sau khi thêm mạng.

Để kết nối hàng loạt một số mạng với máy chủ, sẽ thuận tiện khi gán (các) nhãn cho chúng khi tạo mạng và thêm mạng theo nhãn.

Sau khi mạng được tạo, các máy chủ sẽ chuyển sang trạng thái Không hoạt động cho đến khi mạng được thêm vào tất cả các nút cụm. Hiện tượng này được kích hoạt bởi cờ Yêu cầu Tất cả trên tab Cụm khi tạo một mạng mới. Trong trường hợp không cần mạng trên tất cả các nút của cụm, tính năng này có thể bị tắt, khi đó mạng khi thêm máy chủ sẽ ở bên phải trong phần Không bắt buộc và bạn có thể chọn có kết nối nó với một máy chủ cụ thể.

oVirt trong 2 giờ. Phần 3. Cài đặt bổ sung
Cơm. 6 — lựa chọn dấu hiệu của yêu cầu mạng.

HPE cụ thể

Hầu như tất cả các nhà sản xuất đều có các công cụ cải thiện khả năng sử dụng sản phẩm của họ. Sử dụng HPE làm ví dụ, AMS (Agentless Management Service, amsd cho iLO5, hp-ams cho iLO4) và SSA (Quản trị viên lưu trữ thông minh, làm việc với bộ điều khiển đĩa), v.v. đều hữu ích.

Kết nối Kho lưu trữ HPE
Nhập khóa và kết nối kho HPE:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

nội dung sau:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

Xem nội dung của kho lưu trữ và thông tin về gói (để tham khảo):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

Cài đặt và khởi chạy:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

Một ví dụ về tiện ích để làm việc với bộ điều khiển đĩa
oVirt trong 2 giờ. Phần 3. Cài đặt bổ sung

Đó là tất cả cho bây giờ. Trong các bài viết sau, tôi dự định sẽ đề cập đến một số thao tác và ứng dụng cơ bản. Ví dụ: cách tạo VDI trong oVirt.

Nguồn: www.habr.com