Действия по установке и настройке сервисов ПК СВ выполняются под учетной записью администратора с высоким уровнем целостности.

В домене FreeIPA с помощью программного средства Ansible возможно удаленно инициировать сервис фронтальной машины и узла виртуализации (см. Инициализация сервисов ПК СВ с помощью плейбуков Ansible).


Для установки и инициализации сервиса узла виртуализации необходимо выполнить действия, описанные ниже.

  1. На сервере с ролью узла виртуализации установить пакет ipa-libvirt-qemu командой:

    sudo apt install ipa-libvirt-qemu
    В открывшемся окне ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ нажать кнопку Принять.

    В процессе установки пакета ipa-libvirt-qemu для локальной учетной записи администратора будет установлен максимальный уровень целостности, равный 127.

  2. Перезагрузить сервер.

  3. Выполнить инициализацию сервиса узла виртуализации командой:

    sudo ipa-libvirt-qemu-configure

    В процессе инициализации сервиса узла виртуализации необходимо:

    1. указать имя администратора домена (имя администратора ipa-сервера), заданное во время выполнения действий по установке и настройке сервиса контроллера домена, и нажать клавишу <Enter>;
    2. ввести пароль администратора домена, заданный во время выполнения действий по установке и настройке сервиса контроллера домена, и нажать клавишу <Enter>;

    3. ввести полное доменное имя фронтальной машины (например fn.brest.local) и нажать клавишу <Enter>;

      Внимание!

      Если для обеспечения отказоустойчивости сервиса фронтальной машины в ПК СВ применяется технология Raft, то при инициализации сервиса узла виртуализации необходимо указывать netbios имя (домен будет добавлен автоматически) имя экземпляра фронтальной машины, выступающего в роли лидера.

    4. ввести имя локального администратора фронтальной машины;
    5. ввести пароль локального администратора фронтальной машины.

    Об успешной инициализации сервиса узла виртуализации будет свидетельствовать следующая надпись:

    Настройка прошла успешно!
    CODE

  4. Дополнительно при подключении узла виртуализации, сконфигурированного в режиме Raft, к ПК СВ необходимо прописать публичные ключи фронт серверов  в состоянии follower для "сквозной" авторизации пользователя oneadmin командой:

    На каждом сервере виртуализации выполнить обмен SSH-ключами со всех серверов управления:

    KEY=$(ssh <local-admin>@<front-N-hostname> "sudo -u oneadmin /bin/bash -c \"/bin/cat ~/.ssh/id_rsa.pub\""); sudo  -u oneadmin bash -c "/bin/echo ${KEY} >> /var/lib/one/.ssh/authorized_keys"

    где

    • <front- N-hostname> – имя (hostname) N-го экземпляра сервера управления. Допускается вместо имен указывать IP-адреса;

    • <local-admin> – имя локального администратора сервера, заданное при установке ОС.

При выполнении команды будет запрошен пароль от локального администратора фронтальной машины.
При появлении приглашения для ввода вида:

Are you sure you want to continue connecting (yes/no)?
CODE

ввести yes и нажать клавишу <Enter>. 

Для проверки успешной регистрации компьютера с ролью узла виртуализации на фронтальной машине необходимо выполнить действия, описанные ниже.

  1. На фронтальной машине вывести перечень зарегистрированных узлов виртуализации командой:

    onehost list
    Пример вывода после выполнения команды:

    ID NAME              CLUSTER    TVM      ALLOCATED_CPU     ALLOCATED_MEM  STAT
1  node.brest.local  default      0       0 / 200 (0%)     0K / 1.9G (0%) on  
0  fn.brest.local    default      0       0 / 600 (0%)     0K / 5.8G (0%) on
    CODE
  2. Необходимо убедиться, что в столбце STAT для зарегистрированного узла виртуализации установлено значение "on".

При поддержке узлом технологии IPMI (Intelligent Platform Management Interface) необходимо произвести дополнительные настройки в веб-интерфейсе ПК СВ для задействования механизма ограждения (IPMI fencing): 

  1. В меню слева выбрать пункт меню Инфраструктура — Узлы.
  2. Выбрать созданный узел и на странице Узел во вкладке Сведения в разделе IPMI задать значения полей Имя пользователя, Пароль и IP-адрес.

    При необходимости использования дополнительных ключей (например, для указания набора шифров аутентификации -C 17 при работе с OpenBMC), то их нужно задать в поле IP-адрес после значения адреса.


  3. После заполнения полей Имя пользователя, Пароль и IP-адрес проводится автоматическая проверка IPMI-соединения (power status), результат которой отобразится в поле Проверка соединения.