לאָזן אין 2 שעה. טייל 3. נאָך סעטטינגס

אין דעם אַרטיקל מיר וועלן קוקן אין אַ נומער פון אַפּשאַנאַל אָבער נוציק סעטטינגס:

• ניצן נאָך נעמען פֿאַר די פאַרוואַלטער;
• קאַנעקטינג אָטענטאַקיישאַן דורך אַקטיוו Directory;
• מוטליפּאַטהינג;
• מאַכט פאַרוואַלטונג;
• ריפּלייסינג ססל באַווייַזן;
• אַרקייווינג;
• באַלעבאָס פאַרוואַלטונג צובינד (קאַקפּיט);
• וולאַנס;
• HPE ספּעציפיש.

דער אַרטיקל איז אַ קאַנטיניויישאַן, זען oVirt אין 2 שעה פֿאַר די אָנהייב Часть קסנומקס и טייל 2.

ארטיקלען

1. הקדמה
2. ינסטאַלירונג פון די פאַרוואַלטער (אָווירט-מאָטאָר) און כייפּערווייזערז (מחנות)
3. נאָך סעטטינגס - מיר זענען דאָ

נאָך פאַרוואַלטער סעטטינגס

פֿאַר קאַנוויניאַנס, מיר וועלן ינסטאַלירן נאָך פּאַקאַדזשאַז:

$ sudo yum install bash-completion vim

צו געבן קאַמאַנדז קאַמפּלישאַן, באַש-קאָמפּלעשאַן ריקווייערז סוויטשינג צו באַש.

אַדינג נאָך דנס נעמען

דאָס וועט זיין פארלאנגט ווען איר דאַרפֿן צו פאַרבינדן צו די פאַרוואַלטער מיט אַן אָלטערנאַטיוו נאָמען (CNAME, אַליאַס אָדער נאָר אַ קורץ נאָמען אָן אַ פעלד סאַפיקס). פֿאַר זיכערהייט סיבות, דער פאַרוואַלטער אַלאַוז קאַנעקשאַנז בלויז ניצן די ערלויבט רשימה פון נעמען.

שאַפֿן אַ קאַנפיגיעריישאַן טעקע:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf

די פאלגענדע אינהאַלט:

SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"

און ריסטאַרט די פאַרוואַלטער:

$ sudo systemctl restart ovirt-engine

באַשטעטיקן אָטענטאַקיישאַן דורך AD

oVirt האט אַ געבויט-אין באַניצער באַזע, אָבער פונדרויסנדיק LDAP פּראַוויידערז זענען אויך געשטיצט, ינקל. א.ד.

די סימפּלאַסט וועג פֿאַר אַ טיפּיש קאַנפיגיעריישאַן איז צו קאַטער די מאַזעק און ריסטאַרט די פאַרוואַלטער:

$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine

א ביישפיל פון א בעל ווערק
$ sudo ovirt-engine-extension-aaa-ldap-setup
בנימצא LDAP ימפּלאַמאַנץ:
...
3 - אַקטיוו Directory
...
ביטע קלויבט אויס: 3
ביטע אַרייַן אַקטיוו Directory וואַלד נאָמען: example.com

ביטע אויסקלייַבן פּראָטאָקאָל צו נוצן (סטאַרטטלס, לדאַפּס, קלאָר) [startTLS]:
ביטע סעלעקטירן דעם אופֿן צו באַקומען PEM קאָדעד CA באַווייַזן (טעקע, URL, ינלינע, סיסטעם, ינסאַקיער): URL
URL: wwwca.example.com/myRootCA.pem
אַרייַן זוכן באַניצער DN (למשל uid = באַניצער נאָמען, DC = בייַשפּיל, DC = com אָדער לאָזן ליידיק פֿאַר אַנאָנימע באַנוצערס): CN=oVirt-Engine,CN=Users,DC=example,DC=com
אַרייַן זוכן באַניצער פּאַראָל: *שפּריכוואָרט*
[ INFO ] פּרווון צו בינדן מיט 'CN = oVirt-Engine, CN = יוזערז, DC = ביישפּיל, DC = com'
וועט איר נוצן איין צייכן-אויף פֿאַר ווירטואַל מאשינען (יאָ, ניין) [יא]:
ביטע ספּעציפיצירן פּראָפיל נאָמען וואָס וועט זיין קענטיק צו יוזערז [example.com]:
ביטע צושטעלן קראַדענטשאַלז צו פּרובירן לאָגין לויפן:
אַרייַן באַניצער נאָמען: someAnyUser
אַרייַן באַניצער פּאַראָל:
...
[INFO] לאָגין סיקוואַנס עקסאַקיוטאַד הצלחה
...
אויסקלייַבן די פּראָבע סיקוואַנס צו ויספירן (געטאן, אַבאָרט, לאָגין, זוכן) [געטאן]:
[INFO] סטאַגע: טראַנסאַקטיאָן סעטאַפּ
...
קאָנפיגוראַטיאָן קיצער
...

ניצן די מאַזעק איז פּאַסיק פֿאַר רובֿ קאַסעס. פֿאַר קאָמפּלעקס קאַנפיגיעריישאַנז, סעטטינגס זענען מאַניואַלי. מער דעטאַילס אין oVirt דאַקיומענטיישאַן, ניצערס און ראָלעס. נאָך הצלחה קאַנעקטינג די מאָטאָר צו אַד, אַן נאָך פּראָפיל וועט דערשייַנען אין די קשר פֿענצטער און אויף די קוויטל פּערמישאַנז סיסטעם אַבדזשעקץ האָבן די פיייקייט צו געבן פּערמישאַנז צו אַד ניצערס און גרופּעס. עס זאָל זיין אנגעוויזן אַז די פונדרויסנדיק וועגווייַזער פון יוזערז און גרופּעס קענען זיין ניט בלויז אַד, אָבער אויך IPA, eDirectory, עטק.

מולטיפּאַטהינג

אין אַ פּראָדוקציע סוויווע, די סטאָרידזש סיסטעם מוזן זיין קאָננעקטעד צו דער באַלעבאָס דורך קייפל פרייַ, קייפל י / אָ פּאַטס. ווי אַ הערשן, אין CentOS (און דעריבער oVirt) עס זענען קיין פראבלעמען מיט אַסעמבאַלינג קייפל פּאַטס צו אַ מיטל (find_multipaths יאָ). נאָך סעטטינגס פֿאַר FCoE זענען געשריבן אין 2טער טייל. עס איז ווערט צו באַצאָלן ופמערקזאַמקייט צו די רעקאָמענדאַציע פון ​​דער פאַבריקאַנט פון סטאָרידזש סיסטעם - פילע רעקאָמענדירן צו נוצן די ראָונד-ראָבין פּאָליטיק, אָבער דורך פעליקייַט אין ענטערפּרייז לינוקס 7 דינסט-צייט איז געניצט.

ניצן 3PAR ווי אַ בייַשפּיל
און דאָקומענט HPE 3PAR Red Hat Enterprise Linux, CentOS Linux, Oracle Linux און OracleVM Server Implementation Guide EL איז באשאפן ווי אַ האָסט מיט Generic-ALUA Persona 2, פֿאַר וואָס די פאלגענדע וואַלועס זענען אריין אין די סעטטינגס /etc/multipath.conf:

defaults {
           polling_interval      10
           user_friendly_names   no
           find_multipaths       yes
          }
devices {
          device {
                   vendor                   "3PARdata"
                   product                  "VV"
                   path_grouping_policy     group_by_prio
                   path_selector            "round-robin 0"
                   path_checker             tur
                   features                 "0"
                   hardware_handler         "1 alua"
                   prio                     alua
                   failback                 immediate
                   rr_weight                uniform
                   no_path_retry            18
                   rr_min_io_rq             1
                   detect_prio              yes
                   fast_io_fail_tmo         10
                   dev_loss_tmo             "infinity"
                 }
}

נאָך וואָס די באַפֿעל צו ריסטאַרט איז געגעבן:

systemctl restart multipathd

רייס. 1 איז די פעליקייַט קייפל י / אָ פּאָליטיק.

רייס. 2 - קייפל י / אָ פּאָליטיק נאָך אַפּלייינג סעטטינגס.

באַשטעטיקן מאַכט פאַרוואַלטונג

אַלאַוז איר צו דורכפירן, למשל, אַ ייַזנוואַרג באַשטעטיק פון די מאַשין אויב די מאָטאָר קען נישט באַקומען אַ ענטפער פון דער באַלעבאָס פֿאַר אַ לאַנג צייַט. ימפּלאַמענאַד דורך פענס אַגענט.

רעכענען -> האָסץ -> באַלעבאָס - רעדאַגירן -> מאַכט מאַנאַגעמענט, און געבן "געבן מאַכט מאַנאַגעמענט" און לייגן אַן אַגענט - "לייג פענס אַגענט" -> +.

מיר אָנווייַזן דעם טיפּ (למשל, פֿאַר iLO5 איר דאַרפֿן צו ספּעציפיצירן ilo4), די נאָמען / אַדרעס פון די ipmi צובינד, ווי געזונט ווי די באַניצער נאָמען / פּאַראָל. עס איז רעקאַמענדיד צו שאַפֿן אַ באַזונדער באַניצער (למשל, oVirt-PM) און, אין דעם פאַל פון iLO, געבן אים פּריווילאַדזשאַז:

• צייכן אריין
• רימאָוט קאַנסאָול
• ווירטואַל מאַכט און באַשטעטיק
• ווירטואַל מידיאַ
• קאַנפיגיער ילאָ סעטטינגס
• פירן באַניצער אַקאַונץ

דו זאלסט נישט פרעגן וואָס דאָס איז אַזוי, עס איז געווען עמפּיריקלי אויסדערוויילט. דער קאַנסאָול פענסינג אַגענט ריקווייערז ווייניקערע רעכט.

ווען איר שטעלן אַרויף אַקסעס קאָנטראָל רשימות, איר זאָל האַלטן אין זינען אַז דער אַגענט לויפט נישט אויף די מאָטאָר, אָבער אויף אַ "ארבייטער" באַלעבאָס (די אַזוי גערופענע מאַכט מאַנאַגעמענט פּראָקסי), ד"ה אויב עס איז בלויז איין נאָדע אין דעם קנויל, מאַכט פאַרוואַלטונג וועט אַרבעטן וועט ניט.

באַשטעטיקן SSL

גאַנץ באַאַמטער ינסטראַקשאַנז - אין דאַקיומענטיישאַן, אַפּפּענדיקס ד: oVirt און SSL - ריפּלייסינג די oVirt Engine SSL / TLS סערטיפיקאַט.

די באַווייַזן קענען זיין פֿון אונדזער פֿירמע CA אָדער פֿון אַ פונדרויסנדיק געשעפט באַווייַזן אויטאָריטעט.

וויכטיק טאָן: די באַווייַזן איז בדעה פֿאַר קאַנעקטינג צו די פאַרוואַלטער און וועט נישט ווירקן קאָמוניקאַציע צווישן די מאָטאָר און די נאָודז - זיי וועלן נוצן זיך-געחתמעט סערטיפיקאַץ ארויס דורך די מאָטאָר.

רעקווירעמענץ:

• באַווייַזן פון די אַרויסגעבן CA אין PEM פֿאָרמאַט, מיט די גאנצע קייט אַרויף צו די וואָרצל CA (פון די סאַבאָרדאַנייט ישוינג CA אין די אָנהייב צו די וואָרצל אין די סוף);
• אַ באַווייַזן פֿאַר אַפּאַטשי ארויס דורך די אַרויסגעבן CA (אויך סאַפּלאַמענטאַד דורך די גאנצע קייט פון CA סערטיפיקאַץ);
• פּריוואַט שליסל פֿאַר אַפּאַטשי, אָן פּאַראָל.

לאָמיר יבערנעמען אונדזער ישוינג CA איז פליסנדיק CentOS, גערופֿן subca.example.com, און די ריקוועס, שליסלען און סערטיפיקאַץ זענען ליגן אין די /etc/pki/tls/ וועגווייַזער.

מיר דורכפירן באַקאַפּס און שאַפֿן אַ צייַטווייַליק וועגווייַזער:

$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs

אראפקאפיע סערטיפיקאַץ, דורכפירן עס פֿון דיין ווערקסטיישאַן אָדער אַריבערפירן עס אויף אן אנדער באַקוועם וועג:

[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs

ווי אַ רעזולטאַט, איר זאָל זען אַלע 3 טעקעס:

$ ls /opt/certs
cachain.pem  ovirt.crt  ovirt.key

ינסטאָלינג סערטיפיקאַץ

נאָכמאַכן די טעקעס און דערהייַנטיקן די צוטרוי רשימות:

$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service

לייג / דערהייַנטיקן קאַנפיגיעריישאַן טעקעס:

$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.conf

SSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass

$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf

# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer

דערנאָך, ריסטאַרט אַלע אַפעקטאַד באַדינונגס:

$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service

גרייט! עס איז צייט צו פאַרבינדן צו די פאַרוואַלטער און קאָנטראָלירן אַז די קשר איז פּראָטעקטעד דורך אַ געחתמעט ססל באַווייַזן.

אַרטשיווינג

װוּ װאָלטן מיר געװען אָן איר? אין דעם אָפּטיילונג מיר וועלן רעדן וועגן פאַרוואַלטער אַרטשיווינג; VM אַרקייווינג איז אַ באַזונדער אַרויסגעבן. מיר וועלן מאַכן אַרקייוו עקזעמפלארן אַמאָל אַ טאָג און קראָם זיי דורך NFS, למשל, אויף דער זעלביקער סיסטעם ווו מיר שטעלן די ISO בילדער - mynfs1.example.com:/exports/ovirt-backup. עס איז נישט רעקאַמענדיד צו קראָם אַרקייווז אויף דער זעלביקער מאַשין ווו די מאָטאָר איז פליסנדיק.

ינסטאַלירן און געבן אַוטאָפס:

$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs

לאמיר מאכן א שריפט:

$ sudo vim /etc/cron.daily/make.oVirt.backup.sh

די פאלגענדע אינהאַלט:

#!/bin/bash

datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days 
#find $backupdir -type f -mtime +30 -exec rm -f {} ;

מאַכן די טעקע עקסעקוטאַבלע:

$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh

איצט יעדער נאַכט מיר וועלן באַקומען אַן אַרקייוו פון פאַרוואַלטער סעטטינגס.

האָסט פאַרוואַלטונג צובינד

קאַקפּיט - אַ מאָדערן אַדמיניסטראַטיווע צובינד פֿאַר לינוקס סיסטעמען. אין דעם פאַל, עס פּערפאָרמז אַ ראָלע ענלעך צו די ESXi וועב צובינד.

רייס. 3 - אויסזען פון די טאַפליע.

די ינסטאַלירונג איז זייער פּשוט, איר דאַרפֿן די קאַקפּיט פּאַקאַדזשאַז און די קאַקפּיט-אָווירט-דאַשבאָרד פּלוגין:

$ sudo yum install cockpit cockpit-ovirt-dashboard -y

געבן קאַקפּיט:

$ sudo systemctl enable --now cockpit.socket

Firewall סעטאַפּ:

sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent

איצט איר קענען פאַרבינדן צו דער באַלעבאָס: https://[Host IP or FQDN]:9090

וולאַנס

איר זאָל לייענען מער וועגן נעטוואָרקס אין דאַקיומענטיישאַן. עס זענען פילע פּאַסאַבילאַטיז, דאָ מיר וועלן באַשרייַבן קאַנעקטינג ווירטואַל נעטוואָרקס.

צו פאַרבינדן אנדערע סובנעץ, זיי מוזן ערשטער זיין דיסקרייבד אין די קאַנפיגיעריישאַן: נעטוואָרק -> נעטוואָרקס -> נייַ, דאָ בלויז די נאָמען איז אַ פארלאנגט פעלד; די VM Network טשעקקבאָקס, וואָס אַלאַוז מאשינען צו נוצן דעם נעץ, איז ענייבאַלד, אָבער צו פאַרבינדן די קוויטל מוזן זיין ענייבאַלד. געבן וולאַן טאַגינג, אַרייַן די VLAN נומער און גיט OK.

איצט איר דאַרפֿן צו גיין צו קאָמפּיוטע האָסץ -> האָסץ -> kvmNN -> נעטוואָרק ינטערפייסיז -> סעטאַפּ האָסט נעטוואָרקס. שלעפּן די צוגעלייגט נעץ פון די רעכט זייַט פון ונסאַסיינד לאַדזשיקאַל נעטוואָרקס צו די לינקס אין אַסיינד לאַדזשיקאַל נעטוואָרקס:

רייס. 4 - איידער אַדינג אַ נעץ.

רייס. 5 - נאָך אַדינג אַ נעץ.

צו פאַרבינדן קייפל נעטוואָרקס צו אַ באַלעבאָס אין פאַרנעם, עס איז באַקוועם צו באַשטימען אַ פירמע (s) צו זיי ווען קריייטינג נעטוואָרקס, און לייגן נעטוואָרקס דורך לאַבעלס.

נאָך די נעץ איז באשאפן, די מחנות וועלן גיין אין די ניט-אָפּעראַטיווע שטאַט ביז די נעץ איז מוסיף צו אַלע נאָודז אין דעם קנויל. דעם אָפּפירונג איז געפֿירט דורך די רעקווירע אַלע פאָן אויף די קנויל קוויטל ווען קריייטינג אַ נייַע נעץ. אין דעם פאַל ווען די נעץ איז ניט דארף אויף אַלע נאָודז פון דעם קנויל, דעם פאָן קענען זיין פאַרקריפּלט, און ווען די נעץ איז מוסיף צו אַ באַלעבאָס, עס וועט זיין אויף די רעכט אין די ניט פארלאנגט אָפּטיילונג און איר קענען קלייַבן צי צו פאַרבינדן עס צו אַ ספּעציפיש באַלעבאָס.

רייס. 6 - אויסקלייַבן אַ נעץ פאָדערונג אַטריביוט.

HPE ספּעציפיש

כּמעט אַלע מאַניאַפאַקטשערערז האָבן מכשירים וואָס פֿאַרבעסערן די וסאַביליטי פון זייער פּראָדוקטן. ניצן HPE ווי אַ ביישפּיל, AMS (אַגענטלעסס מאַנאַגעמענט סערוויס, amsd פֿאַר iLO5, hp-ams פֿאַר iLO4) און SSA (סמאַרט סטאָרידזש אַדמיניסטראַטאָר, ארבעטן מיט אַ דיסק קאָנטראָללער), אאז"ו ו.

קאַנעקטינג די HPE ריפּאַזאַטאָרי
מיר אַרייַנפיר דעם שליסל און פאַרבינדן די HPE ריפּאַזאַטאָריז:

$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo

די פאלגענדע אינהאַלט:

[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp

זען ריפּאַזאַטאָרי אינהאַלט און פּעקל אינפֿאָרמאַציע (פֿאַר דערמאָנען):

$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd

ינסטאַלירונג און קאַטער:

$ sudo yum install amsd ssacli
$ sudo systemctl start amsd

אַ בייַשפּיל פון אַ נוצן פֿאַר ארבעטן מיט אַ דיסק קאָנטראָללער

אַז ס אַלע פֿאַר איצט. אין די פאלגענדע אַרטיקלען איך פּלאַן צו רעדן וועגן עטלעכע יקערדיק אַפּעריישאַנז און אַפּלאַקיישאַנז. פֿאַר בייַשפּיל, ווי צו מאַכן VDI אין oVirt.

מקור: www.habr.com