現在のポジションで前任者から引き継いだとき、私はたくさんのマシンを引き継ぎました (当然のことですが)。その 1 つは、彼がセットアップした会社の oVirt ハイパーバイザー環境 (4.3、2 台のサーバー) でしたが、正直言って、その内部にはまったく慣れていません。残念ながら、対処しなければならない状況が明らかになりました。つまり、証明書の有効期限が切れるようです。Virtualization Manager の HTTPS 証明書には 12 月の日付が表示されており、システムの残りの部分も同じ日付に関連付けられているとしか思えません。oVirt のドキュメントには、証明書が期限切れになる前に更新しないと悲惨な結果になるという警告があるため、これについて調べる必要がありましたが、思ったほど明確な答えは見つかりませんでした。
まず背景を説明します。oVirt は 2018 年 1 月に最初のホスト (エンジン付き、同じベアメタル ハードウェア上) にインストールされ、2 番目の物理ホスト サーバーが 2018 年 3 月に同じ共同 oVirt データセンターに追加されました。現在廃止中の古い Windows ファイル サーバーに設定されたエクスポート ドメインを追加すると (長期的にはキャンセルされます)、現在のレイアウトに到達します。プライマリ サーバーに ovirt-engine、プライマリ サーバーとセカンダリ サーバーにそれぞれストレージ ドメイン、外部サーバーにレガシー エクスポート ドメインがあります。前述のように、ブラウザー内の証明書 (oVirt エンジン部分に関連付けられていると思います) の有効期限は 12 月下旬で、最初のサーバーのセットアップ日から 5 年目の約 3 週間前です。
私は手順を見つけましたhttps://www.ovirt.org/documentation/administration_guide/index.html#chap-Renewing_certificates_RHV_backup_restore必要なことが詳しく説明されているようですが、これ自体がいくつかの疑問を引き起こしています。実際にこれをやったことがある人が答えてくれると嬉しいです。
- 私が実行している環境は、スタンドアロンとセルフホストのどちらでしょうか?アーキテクチャ定義によると、https://www.ovirt.org/documentation/migrating_from_a_standalone_manager_to_a_self-hosted_engine/どちらも私のサーバー設定に完全に適合しているようには思えません。ovirt-engine はプライマリ ホスト サーバーの VM としてではなく、そのサーバーのベア メタル上で実行されているように見えるため、スタンドアロンであると想定していますが、セカンド オピニオンを得るのも良いでしょう。
- oVirt の主な利点の 1 つは、VM を 1 つのサーバーから別のサーバーに問題なく移動できることです。たとえば、VM をアップグレードしていて、そのプロセス中に VM を起動したままにしたり、ホストを空にしたりする必要がある場合 (一部のアップグレードでは、最初にサーバーを消去する必要があるようです)。ただし、サーバーはセットアップ以来使用領域が拡大しており、すべての VM を 1 つのボックスで実行できなくなりました。これは私が引き継ぐ前のケースで、ディスク使用率が 60% 未満の環境は見たことがありません。VM をシャットダウン/停止するだけで (ピン留めされているかどうかに関係なく)、証明書の更新手順を実行し、一部を最初に他のサーバーに転送することは可能ですか?
- oVirt 環境にとって、これはどの程度のリスクになるのでしょうか? ガイドには、「
The engine-setup script prompts you with configuration questions.私がこれを実行する明らかな目的 (証明書の更新の質問) 以外に、他にどの程度の質問がされるのでしょうか。また、何か間違えた場合にインストールが失敗する可能性はどの程度あるのでしょうか。証明書フィールドのうち、いくつを指定する必要がありますか。O 値と CN 値だけですか、それとももっとありますか?」と書かれています。
最後に、エンジンを実行する前に、まず両方のホストを実行する必要があると思います。コンソールのどこかにこれに関するリマインダーがあるべきだったでしょうか? なぜなら、そのようなリマインダーはなかったからです。この問題は、最近 Web サーバーの証明書の有効期限が切れた (文書化されていなかったため、更新時に見逃されました) ため、すべてのマシンの SSL 証明書を確認していたときに偶然発見しました。
前もって感謝します!
答え1
スタンドアロンとセルフホストのどちらのタイプの環境を実行しているのでしょうか?
oVirt のコンテキストでは、セルフホストとは、oVirt エンジンがそれ自体が管理するハイパーバイザー内で実行されることを意味します。スタンドアロンとは、専用のベアメタル サーバーや別のハイパーバイザー (VMWare など、まったく別のテクノロジーの場合もあります) など、oVirt エンジンが外部で実行されるシナリオを指します。
つまり、oVirt GUI を開いて仮想マシンの中に oVirt エンジンが見つかった場合、それはセルフホスト型インストールです。それ以外の場合は、スタンドアロンです。
この証明書の更新手順は、VM をシャットダウン/停止するだけで実行できますか (VM がピン留めされているかどうかに関係なく)。また、一部の VM を最初に他のサーバーに転送することもできます。
確かに。実際、これはリンクした手順:
管理ポータルで、「コンピューティング ホスト」をクリックします。
[管理メンテナンス] をクリックし、[OK] をクリックします。仮想マシンはホストから自動的に移行されます。仮想マシンが固定されている場合や移行できない場合は、シャットダウンする必要があります。
ホストがメンテナンス モードになっていて、このホストに仮想マシンが残っていない場合は、[インストール証明書の登録] をクリックします。
oVirt 環境にとって、これはどの程度のリスクになるのでしょうか? ガイドには、「engine-setup スクリプトは、構成に関する質問を表示します」と書かれています。私がこれを実行する明らかな目的 (証明書の更新に関する質問) 以外に、どの程度の質問がされるのでしょうか。また、間違ったことをするとインストールが失敗する可能性はどの程度あるのでしょうか。証明書フィールドをいくつ提供する必要がありますか。O 値と CN 値だけですか、それとももっとありますか?
証明書を更新する必要がある場合に何が起こるかは正確には覚えていませんが、現在の構成に基づく engine-setup の回答は を使用して読み取ることができるcat /var/lib/ovirt-engine/setup/answers/*.confため、そのファイルの内容を確認して (またはラップトップにコピーして)、回答をコピーすることができます。
これらのファイルの(おそらくより読みやすい)バージョンは次のように示されます。
cat /var/lib/ovirt-engine/setup/answers/*.conf | sed 's/str:/ /g' | sort -u
次のような結果が返されます:
[環境:デフォルト]
# OTOPI 回答ファイル(人間の対話によって生成)
質問/1/DWH_VACUUM_FULL=はい
QUESTION/1/ENGINE_VACUUM_FULL= はい
[...]
QUESTION/1/OVESETUP_DWH_ENABLE= はい