在本文中,我們將介紹一些可選但有用的設置:
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- ;
- .
本文為續文,2小時後開始看oVirt и .
用品
- 附加設置 - 我們在這裡
附加管理器設置
為了方便起見,我們將安裝額外的軟件包:
$ sudo yum install bash-completion vim要啟用 bash-completion 命令的自動完成功能,請切換到 bash。
添加其他 DNS 名稱
當您需要使用備用名稱(CNAME、別名或只是不帶域後綴的短名稱)連接到管理器時,需要執行此操作。 出於安全原因,管理器僅允許連接到允許的名稱列表。
創建配置文件:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-sso-setup.conf以下內容:
SSO_ALTERNATE_ENGINE_FQDNS="ovirt.example.com some.alias.example.com ovirt"並重新啟動管理器:
$ sudo systemctl restart ovirt-engine配置AD認證
oVirt 具有內置用戶群,但也支持外部 LDAP 提供商,包括。 廣告。
典型配置的最簡單方法是啟動嚮導並重新啟動管理器:
$ sudo yum install ovirt-engine-extension-aaa-ldap-setup
$ sudo ovirt-engine-extension-aaa-ldap-setup
$ sudo systemctl restart ovirt-engine嚮導的示例
$ sudo ovirt-engine-extension-aaa-ldap-setup
可用的 LDAP 實現:
...
3 - 活動目錄
...
請選擇: 3
請輸入 Active Directory 林名稱: example.com
請選擇要使用的協議(startTLS、ldaps、plain) [啟動TLS]:
請選擇獲取 PEM 編碼的 CA 證書的方法(文件、URL、內聯、系統、不安全): 網址
網址:
輸入搜索用戶 DN(例如 uid=username,dc=example,dc=com 或留空以表示匿名): CN=oVirt-Engine、CN=用戶、DC=示例、DC=com
輸入搜索用戶密碼: *密碼*
[信息]嘗試使用“CN = oVirt-Engine,CN = Users,DC = example,DC = com”進行綁定
您打算對虛擬機使用單點登錄嗎(是、否) [是的]:
請指定用戶可見的個人資料名稱 [example.com]:
請提供憑據來測試登錄流程:
輸入用戶名: 一些任意用戶
輸入用戶密碼:
...
[ INFO ] 登錄序列已成功執行
...
選擇要執行的測試序列(完成、中止、登錄、搜索) [完畢]:
[ INFO ] 階段:交易設置
...
配置概要
...
使用嚮導適用於大多數情況。 對於復雜的配置,需要手動進行設置。 更多詳細信息請參閱 oVirt 文檔, 。 引擎成功連接AD後,連接窗口中會出現一個額外的配置文件,並在 權限 系統對象能夠向 AD 用戶和組授予權限。 需要注意的是,用戶和組的外部目錄不僅可以是AD,還可以是IPA、eDirectory等。
多路徑
在生產環境中,存儲系統必須通過多條獨立的多I/O路徑連接到主機。 一般來說,在 CentOS(以及 oVirt'e)中構建到設備的多個路徑沒有問題(find_multipaths yes)。 FCoE 的其他設置描述於 。 值得關注存儲製造商的建議 - 許多建議使用循環策略,而默認情況下 Enterprise Linux 7 使用服務時間。
以 3PAR 為例
和文件 EL 使用 Generic-ALUA Persona 2 創建為主機,在 /etc/multipath.conf 設置中輸入以下值:
defaults {
polling_interval 10
user_friendly_names no
find_multipaths yes
}
devices {
device {
vendor "3PARdata"
product "VV"
path_grouping_policy group_by_prio
path_selector "round-robin 0"
path_checker tur
features "0"
hardware_handler "1 alua"
prio alua
failback immediate
rr_weight uniform
no_path_retry 18
rr_min_io_rq 1
detect_prio yes
fast_io_fail_tmo 10
dev_loss_tmo "infinity"
}
}然後給出重新啟動的命令:
systemctl restart multipathd
米。 1 是默認的多 I/O 策略。
米。 2 - 應用設置後的多個 I/O 策略。
電源管理設置
例如,如果引擎長時間無法收到主機的響應,則允許您執行機器的硬重置。 通過 Fence Agent 實現。
計算 -> 主機 -> 主辦 - 編輯 -> 電源管理,然後打開“啟用電源管理”並添加代理 - “添加 Fence 代理” -> +.
指定類型(例如,對於 iLO5,您必須指定 ilo4)、ipmi 接口的名稱/地址以及用戶名/密碼。 建議創建一個單獨的用戶(例如,oVirt-PM),並在 iLO 的情況下授予他權限:
- 登入
- 遠程控制台
- 虛擬電源和復位
- 虛擬媒體
- 配置 iLO 設置
- 管理用戶帳戶
不要問為什麼會這樣,它是根據經驗選擇的。 控制台防護代理需要較少的權限集。
設置訪問控制列表時,應記住代理不在引擎上運行,而是在“相鄰”主機(所謂的電源管理代理)上運行,即,如果引擎中只有一個節點集群,電源管理將起作用 不會.
設置 SSL
完整的官方說明 - 在 ,附錄 D:oVirt 和 SSL - 替換 oVirt 引擎 SSL/TLS 證書。
該證書可以來自我們的公司 CA 或外部商業 CA。
重要提示:證書旨在連接到管理器,不會影響引擎和節點之間的交互 - 它們將使用引擎頒發的自簽名證書。
要求:
- PEM 格式的頒發 CA 的證書,包含到根 CA 的整個鏈(從開始的下級頒發到最後的根);
- 由頒發 CA 頒發的 Apache 證書(也包含整個 CA 證書鏈);
- Apache 的私鑰,無密碼。
假設我們的頒發 CA 正在運行 CentOS,名為 subca.example.com,並且請求、密鑰和證書位於 /etc/pki/tls/ 目錄中。
執行備份並創建臨時目錄:
$ sudo cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.`date +%F`
$ sudo cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.`date +%F`
$ sudo mkdir /opt/certs
$ sudo chown mgmt.mgmt /opt/certs下載證書,從您的工作站執行它或以其他方便的方式傳輸它:
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/cachain.pem [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]:/etc/pki/tls/private/ovirt.key [email protected]:/opt/certs
[myuser@mydesktop] $ scp -3 [email protected]/etc/pki/tls/certs/ovirt.crt [email protected]:/opt/certs結果,您應該看到所有 3 個文件:
$ ls /opt/certs
cachain.pem ovirt.crt ovirt.key安裝證書
複製文件並更新信任列表:
$ sudo cp /opt/certs/cachain.pem /etc/pki/ca-trust/source/anchors
$ sudo update-ca-trust
$ sudo rm /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/cachain.pem /etc/pki/ovirt-engine/apache-ca.pem
$ sudo cp /opt/certs/ovirt03.key /etc/pki/ovirt-engine/keys/apache.key.nopass
$ sudo cp /opt/certs/ovirt03.crt /etc/pki/ovirt-engine/certs/apache.cer
$ sudo systemctl restart httpd.service添加/更新配置文件:
$ sudo vim /etc/ovirt-engine/engine.conf.d/99-custom-truststore.confENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""$ sudo vim /etc/ovirt-engine/ovirt-websocket-proxy.conf.d/10-setup.confSSL_CERTIFICATE=/etc/pki/ovirt-engine/certs/apache.cer
SSL_KEY=/etc/pki/ovirt-engine/keys/apache.key.nopass$ sudo vim /etc/ovirt-imageio-proxy/ovirt-imageio-proxy.conf# Key file for SSL connections
ssl_key_file = /etc/pki/ovirt-engine/keys/apache.key.nopass
# Certificate file for SSL connections
ssl_cert_file = /etc/pki/ovirt-engine/certs/apache.cer接下來,重新啟動所有受影響的服務:
$ sudo systemctl restart ovirt-provider-ovn.service
$ sudo systemctl restart ovirt-imageio-proxy
$ sudo systemctl restart ovirt-websocket-proxy
$ sudo systemctl restart ovirt-engine.service準備好! 是時候連接到管理器並檢查連接是否受到簽名 SSL 證書的保護。
歸檔
哪裡沒有她! 在本節中,我們將討論歸檔管理器,歸檔虛擬機是一個單獨的問題。 我們將每天製作一次存檔副本,並通過 NFS 存儲它們,例如,在我們放置 ISO 映像的同一系統上 — mynfs1.example.com:/exports/ovirt-backup。 不建議將存檔存儲在運行引擎的同一台計算機上。
安裝並啟用 autofs:
$ sudo yum install autofs
$ sudo systemctl enable autofs
$ sudo systemctl start autofs創建一個腳本:
$ sudo vim /etc/cron.daily/make.oVirt.backup.sh以下內容:
#!/bin/bash
datetime=`date +"%F.%R"`
backupdir="/net/mynfs01.example.com/exports/ovirt-backup"
filename="$backupdir/`hostname --short`.`date +"%F.%R"`"
engine-backup --mode=backup --scope=all --file=$filename.data --log=$filename.log
#uncomment next line for autodelete files older 30 days
#find $backupdir -type f -mtime +30 -exec rm -f {} ;使文件可執行:
$ sudo chmod a+x /etc/cron.daily/make.oVirt.backup.sh現在每天晚上我們都會收到經理設置的存檔。
主機管理界面
是 Linux 系統的現代管理界面。 在這種情況下,它的作用類似於 ESXi Web 界面。
米。 3 - 面板外觀。
安裝非常簡單,需要 cockpit 包和 cockpit-ovirt-dashboard 插件:
$ sudo yum install cockpit cockpit-ovirt-dashboard -y切換駕駛艙:
$ sudo systemctl enable --now cockpit.socket防火牆設置:
sudo firewall-cmd --add-service=cockpit
sudo firewall-cmd --add-service=cockpit --permanent現在您可以連接到主機:https://[Host IP or FQDN]:9090
VLAN的
閱讀有關網絡的更多信息 。 有很多種可能性,這裡我們將描述虛擬網絡的連接。
要連接其他子網,首先必須在配置中對其進行描述:網絡 -> 網絡 -> 新建,這裡只有名稱是必填字段; VM 網絡複選框已啟用,該複選框允許計算機使用此網絡,並且要連接標記,您必須啟用 啟用 VLAN 標記,輸入 VLAN 號並單擊“確定”。
現在您需要轉到計算 -> 主機 -> kvmNN -> 網絡接口 -> 設置主機網絡主機。 將添加的網絡從“未分配的邏輯網絡”右側拖至左側到“已分配的邏輯網絡”中:
米。 4 - 添加網絡之前。
米。 5 - 添加網絡後。
對於一個主機上大量連接多個網絡的情況,在創建網絡時為它們分配標籤,並通過標籤添加網絡是很方便的。
網絡創建後,主機將進入 Non Operatingal 狀態,直到網絡添加到所有集群節點。 創建新網絡時,“集群”選項卡上的“要求全部”標誌會觸發此行為。 當集群所有節點都不需要網絡的情況下,可以禁用該功能,那麼在添加主機時,該網絡會出現在右側的“不需要”部分,您可以選擇是否連接到特定的主機。
米。 6 — 選擇網絡要求的標誌。
HPE 特定
幾乎所有製造商都有可以提高其產品可用性的工具。 以HPE為例,AMS(Agentless Management Service,amsd for iLO5,hp-ams for iLO4)和SSA(Smart Storage Administrator,與磁盤控制器配合使用)等很有用。
連接 HPE 存儲庫
導入密鑰並連接 HPE 存儲庫:
$ sudo rpm --import https://downloads.linux.hpe.com/SDR/hpePublicKey2048_key1.pub
$ sudo vim /etc/yum.repos.d/mcp.repo以下內容:
[mcp]
name=Management Component Pack
baseurl=http://downloads.linux.hpe.com/repo/mcp/centos/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp
[spp]
name=Service Pack for ProLiant
baseurl=http://downloads.linux.hpe.com/SDR/repo/spp/RHEL/$releasever/$basearch/current/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/GPG-KEY-mcp查看存儲庫的內容和包的信息(供參考):
$ sudo yum --disablerepo="*" --enablerepo="mcp" list available
$ yum info amsd安裝和啟動:
$ sudo yum install amsd ssacli
$ sudo systemctl start amsd使用磁盤控制器的實用程序示例
目前為止就這樣了。 在接下來的文章中,我計劃介紹一些基本操作和應用程序。 比如如何在oVirt中製作VDI。
來源: www.habr.com