在本文中,我们将介绍一些可选但有用的设置:
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
本文为续篇,请参阅 2 小时内的 oVirt 作为开头 и .
用品
- 附加设置 - 我们在这里
附加管理器设置
为了方便起见,我们将安装额外的软件包:
$ sudo yum install bash-completion vim要启用命令完成,bash-completion 需要切换到 bash。
添加其他 DNS 名称
当您需要使用备用名称(CNAME、别名或只是不带域后缀的短名称)连接到管理器时,需要执行此操作。 出于安全原因,管理器仅允许使用允许的名称列表进行连接。
创建配置文件:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf以下内容:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"并重新启动管理器:
$ sudo systemctl restart ovirt-engine通过 AD 设置身份验证
oVirt 具有内置用户群,但也支持外部 LDAP 提供商,包括。 广告。
典型配置的最简单方法是启动向导并重新启动管理器:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine大师作品的例子
$ sudo ovirt-engine-extension-aaa-ldap-setup
可用的 LDAP 实现:
...
3 - 活动目录
...
请选择: 3
请输入 Active Directory 林名称: example.com
请选择要使用的协议(startTLS、ldaps、plain) [启动TLS]:
请选择获取 PEM 编码的 CA 证书的方法(文件、URL、内联、系统、不安全): 网址
网址:
输入搜索用户 DN(例如 uid=username,dc=example,dc=com 或留空以表示匿名): CN=oVirt-Engine、CN=用户、DC=示例、DC=com
输入搜索用户密码: *密码*
[信息]尝试使用“CN = oVirt-Engine,CN = Users,DC = example,DC = com”进行绑定
您打算对虚拟机使用单点登录吗(是、否) [是的]:
请指定用户可见的个人资料名称 [example.com]:
请提供凭据来测试登录流程:
输入用户名: 一些任意用户
输入用户密码:
...
[INFO] 登录序列已成功执行
...
选择要执行的测试序列(完成、中止、登录、搜索) [完毕]:
[INFO]阶段:交易设置
...
配置摘要
...
使用向导适用于大多数情况。 对于复杂的配置,需要手动进行设置。 更多详细信息请参阅 oVirt 文档, 。 成功将引擎连接到 AD 后,连接窗口和选项卡上将出现一个附加配置文件 权限 系统对象能够向 AD 用户和组授予权限。 需要注意的是,用户和组的外部目录不仅可以是AD,还可以是IPA、eDirectory等。
多路径
在生产环境中,存储系统必须通过多条独立的多I/O路径与主机连接。 一般来说,在 CentOS(以及 oVirt)中,将多个路径组装到设备上不会出现问题(find_multipaths yes)。 FCoE 的附加设置写入 。 值得关注存储系统制造商的建议 - 许多建议使用循环策略,但默认情况下在 Enterprise Linux 7 中使用服务时间。
以 3PAR 为例
和文件 EL 使用 Generic-ALUA Persona 2 创建为主机,在设置 /etc/multipath.conf 中输入以下值:
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}之后给出重新启动的命令:
systemctl restart multipathd
米。 1 是默认的多 I/O 策略。
米。 2 - 应用设置后的多个 I/O 策略。
设置电源管理
例如,如果引擎长时间无法收到主机的响应,则允许您执行机器的硬件重置。 通过Fence Agent实现。
计算 -> 主机 -> HOST — 编辑->电源管理,然后启用“启用电源管理”并添加代理 —“添加 Fence 代理”-> +.
我们指示类型(例如,对于 iLO5,您需要指定 ilo4)、ipmi 接口的名称/地址以及用户名/密码。 建议创建一个单独的用户(例如,oVirt-PM),并在 iLO 的情况下授予他权限:
- 登录
- 远程控制台
- 虚拟电源和复位
- 虚拟媒体
- 配置 iLO 设置
- 管理用户帐户
不要问为什么会这样,它是根据经验选择的。 控制台防护代理需要较少的权限。
设置访问控制列表时,您应该记住,代理不是在引擎上运行,而是在“相邻”主机(所谓的电源管理代理)上运行,即,如果集群中只有一个节点,电源管理将起作用 不会.
设置 SSL
完整的官方说明 - 在 ,附录 D:oVirt 和 SSL — 替换 oVirt 引擎 SSL/TLS 证书。
该证书可以来自我们的公司 CA,也可以来自外部商业证书颁发机构。
重要提示:该证书用于连接到管理器,不会影响引擎和节点之间的通信 - 它们将使用引擎颁发的自签名证书。
要求:
- PEM 格式的发证 CA 的证书,整个链一直到根 CA(从开始的下级发证 CA 到最后的根);
- 由颁发 CA 颁发的 Apache 证书(还由整个 CA 证书链进行补充);
- Apache 的私钥,无密码。
假设我们的颁发 CA 正在运行 CentOS,名为 subca.example.com,并且请求、密钥和证书位于 /etc/pki/tls/ 目录中。
我们执行备份并创建一个临时目录:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs下载证书,从您的工作站执行它或以其他方便的方式传输它:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs结果,您应该看到所有 3 个文件:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.key安装证书
复制文件并更新信任列表:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service添加/更新配置文件:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.confENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confSSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer接下来,重新启动所有受影响的服务:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service准备好! 是时候连接到管理器并检查连接是否受到签名 SSL 证书的保护。
归档
没有她我们会在哪里? 在本节中,我们将讨论管理器归档;VM 归档是一个单独的问题。 我们将每天制作一次存档副本并通过 NFS 存储它们,例如,存储在我们放置 ISO 映像的同一系统上 - mynfs1.example.com:/exports/ovirt-backup。 不建议将存档存储在运行引擎的同一台计算机上。
安装并启用 autofs:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs让我们创建一个脚本:
$ sudo vim /etc/cron.daily/make.oVirt.backup.sh以下内容:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;使文件可执行:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh现在每天晚上我们都会收到经理设置的存档。
主机管理界面
— Linux 系统的现代管理界面。 在这种情况下,它的作用类似于 ESXi Web 界面。
米。 3——面板外观。
安装非常简单,您需要 cockpit 软件包和 cockpit-ovirt-dashboard 插件:
$ sudo yum install cockpit cockpit-ovirt-dashboard -y启用驾驶舱:
$ sudo systemctl enable --now cockpit.socket防火墙设置:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent现在您可以连接到主机:https://[Host IP or FQDN]:9090
VLAN
您应该阅读有关网络的更多信息 。 有很多可能性,这里我们将描述连接虚拟网络。
要连接其他子网,首先必须在配置中对其进行描述:网络 -> 网络 -> 新建,这里只有名称是必填字段; 允许计算机使用此网络的 VM 网络复选框已启用,但必须启用连接标记 启用 VLAN 标记,输入 VLAN 号并单击“确定”。
现在您需要转到计算主机 -> 主机 -> kvmNN -> 网络接口 -> 设置主机网络。 将添加的网络从“未分配的逻辑网络”右侧拖至左侧到“已分配的逻辑网络”中:
米。 4 - 添加网络之前。
米。 5 - 添加网络后。
当一台主机上批量连接多个网络时,可以方便地在创建网络时为其分配标签,然后通过标签添加网络。
创建网络后,主机将进入 Non Operatingal 状态,直到该网络添加到集群中的所有节点。 此行为是由创建新网络时“集群”选项卡上的“要求全部”标志引起的。 当集群所有节点都不需要网络的情况下,可以禁用此标志,那么当主机添加网络时,它会在右侧的“不需要”部分中,您可以选择是否连接它到一个特定的主机。
米。 6 — 选择网络要求属性。
HPE 特定
几乎所有制造商都有可以提高其产品可用性的工具。 以HPE为例,AMS(Agentless Management Service,amsd for iLO5,hp-ams for iLO4)和SSA(Smart Storage Administrator,与磁盘控制器配合使用)等很有用。
连接 HPE 存储库
我们导入密钥并连接 HPE 存储库:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo以下内容:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp查看存储库内容和包信息(供参考):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd安装和启动:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsd使用磁盘控制器的实用程序示例
目前为止就这样了。 在接下来的文章中我打算讲一些基本的操作和应用。 比如如何在oVirt中制作VDI。
来源: habr.com