В это части мы рассмотрим механизмы Fencing, с помощью которых повышается уровень доступности как самих хостов виртуализации, так и выполняемых на этих хостах виртуальных машин в oVirt 4.0. Подробно о принципах и последовательности работы механизмов Fencing в oVirt можно почитать в документе Automatic Fencing. Здесь же мы поговорим об этих механизмах обзорно и рассмотрим несколько практических примеров.
-
Развёртывание и настройка oVirt 4.0. Часть 4. Fencing как средство повышения доступности хостов и виртуальных машин
-
Развёртывание и настройка oVirt 4.0. Часть 3. Базовые операции в oVirt
В этой заметке мы рассмотрим некоторые базовые приёмы работы с oVirt 4.0 в конфигурации Hosted Engine, то есть основные действия, которые может потребоваться выполнить администратору после развёртывания oVirt. Чтобы начать работу с oVirt, нужно хотя бы на базовом уровне понимать значение компонент инфраструктуры этого продукта. Довольно простым и доступным языком описал основные компоненты oVirt Александр Руденко в своём блоге: oVirt часть 4. Настройка инфраструктуры. Рекомендую к предварительному прочтению.
-
Развёртывание и настройка oVirt 4.0. Часть 2. Замена сертификата веб-сервера oVirt Engine
После развёртывания oVirt Engine, при попытке подключения к веб-порталам oVirt мы каждый раз будем получать предупреждение системы безопасности веб-браузера о том, что веб-узел имеет сертификат, которому нет доверия. Это происходит из-за того, что на веб-узле oVirt используется сертификат выданный локальным Центром сертификации (ЦС), который был развёрнут в ходе установки oVirt Engine. Для того, чтобы избавиться от этих предупреждений, а также для того чтобы веб-браузер корректно работал со всеми функциями, доступными на веб-порталах oVirt, нам потребуется сделать так, чтобы веб-браузер доверял SSL сертификату веб-сервера oVirt. Решить этот вопрос можно двумя способами.
-
Развёртывание и настройка oVirt 4.0. Часть 1. Создание кластера виртуализации в конфигурации Hosted Engine
С этой записи я начну серию заметок о развёртывании и базовой настройке свободно распространяемой системы виртуализации oVirt версии 4.0 в конфигурации Hosted Engine с учётом тех граблей, по которым мне удалось походить. Но для начала пару слов о том, каким образом я пришёл к решению о необходимости развёртывания такого продукта, как oVirt.
-
Конвертация формата загрузчика Legacy BIOS (таблица разделов MBR) в формат UEFI (таблица разделов GPT) на диске виртуальной машины Hyper-V для аплайнса Avaya Meetings (Equinox) с гостевой ОС RHEL 7.6
Запущенный ранее виртуальный аплайнс Avaya Meetings (Equinox) Management Server 9.1 может функционировать в формате Hyper-V Gen1, так как на его виртуальном диске используется таблица разделов MBR и загрузчик Legacy BIOS. Если мы хотим улучшить конфигурацию ВМ до уровня Hyper-V Gen2, то нам потребуется выполнить процедуры преобразования таблицы разделов на диске в формат GPT и подготовки гостевой ОС Red Hat Enterprise Linux (RHEL) к использованию UEFI загрузчика. В этой заметке мы рассмотрим данные процедуры на примере "родственного" аплайнса Avaya Meetings (Equinox) Media Server 9.1 на базе ОС RHEL 7.6.
-
Запуск аплайнса Avaya Meetings (Equinox) Management Server 9.1 в среде Hyper-V и исправление ошибки загрузки RHEL "Warning dracut-initqueue timeout - starting timeout scripts"
Виртуальный аплайнс Avaya Meetings (Equinox) Management Server 9.1 из состава программно-аппаратного комплекса Avaya Aura, поставляется в виде образа OVA и в случае, если попытаться запустить этот аплайнс на платформе виртуализации Hyper-V, можно столкнуться с проблемой невозможности загрузки гостевой ОС Red Hat Enterprise Linux (RHEL). Посмотрим как можно решить эту проблему.
-
Использование клиента NFS в Windows 10 редакции Professional
Администрируя серверы на базе ОС Linux в среде, где в качестве основной клиентской ОС используется Windows, время от времени приходится сталкиваться с необходимостью что-либо скопировать с клиентской Windows на Linux-систему или наоборот, с Linux-системы на Windows. Чаще всего для этого используются возможности протоколов SSH/SCP с помощью таких инструментов, как например, утилита pscp.exe. Но когда приходится сталкиваться с файловыми Linux-серверами, позволяющими использовать возможности протокола NFS, мы можем задаться вопросами типа "может ли клиентская ОС Windows выступать в качестве NFS-клиента?", "есть ли в клиентской ОС Windows какая-то встроенная реализация клиента NFS?". Именно такие вопросы у меня возникли в период времени, который совпал с периодом, когда мы перебирались с Windows 8.1 на первый релиз Windows 10. Информация, которую в тот момент удалось найти по этому вопросу, заключалась в том, что функциональность NFS-клиента имеют только "старшие" редакции клиентских ОС Windows, такие как Windows 7 Ultimate/Enterprise, Windows 8/8.1 Enterprise и Windows 10 Enterprise. Однако в нашем случае использовалась ОС Windows 10 редакции Professional, поэтому пришлось отбросить эти мысли. Читать далее...
-
Ошибка "There is not enough space available on the disk(s) to complete this operation" при попытке выполнить сжатие дискового тома NTFS на хосте виртуализации Hyper-V с Windows Server 2012 R2
Работа с операционной системой Windows Server не бывает скучной, так как, порой, можно получить сюрприз с загадкой в самом неожиданном месте. Казалось бы, что можно ожидать от привычной функции, которую уже приходилось использовать десятки раз. С таким, абсолютно невозмутимым настроем, на одном из хостов виртуализации Hyper-V на базе Windows Server 2012 R2 я решил выполнить сжатие дискового тома NTFS (Shrink Volume) с ОС, чтобы освободить немного места на конце диска.
-
Добавление SPN записей в keytab-файл (на стороне сервера Linux с помощью утилиты ktutil), связанный с учётной записью Computer в домене Active Directory
Представим себе ситуацию, что есть некий сервер на базе Debian GNU/Linux, который уже введён в домен Active Directory с помощью SSSD и realmd и на нём уже имеется keytab-файл, который используется для механизмов аутентификации Kerberos и Single sign-on (SSO) при подключении к серверу по протоколу SSH. И вот возникает необходимость на данном Linux-сервере дополнительно настроить роль веб-сервера для служебных администраторских задач и организовать Kerberos SSO при подключении к веб-узлам этого веб-сервера. По ранее описанным примерам (здесь, здесь и здесь), предполагается, что для целей Kerberos-аутентификации веб-сервера Apache в домене Active Directory (AD) создаётся отдельная сервисная учётная запись типа User, для которой генерируется keytab-файл и в последствии привязывается к настройкам Apache на стороне Linux-сервера. С точки зрения аспектов безопасности такой поход (отдельный Linux-сервис = отдельная учётная запись в AD со своим keytab-файлом) можно считать вполне правильным. Но что, если Linux-сервис, использующий Kerberos-аутентификацию, используется не широким кругом пользователей, а исключительно для административных целей парой-тройкой системных администраторов? В таком случае создание отдельной учётной записи типа User в домене со своим keytab-файлом может показаться избыточным. В этой заметке мы рассмотрим пример того, как добавить дополнительную нужную нам запись servicePrincipalName (SPN) (на примере SPN-записи типа HTTP/) в уже имеющийся на Linux-сервере keytab-файл, ориентированный на сам хост (содержащий SPN-записи типа HOST/). В результате мы получим Kerberos аутентификацию на веб-узлах нашего Linux-сервера и при этом не будем плодить в домене лишние сервисные учётные записи типа User.