Als ich meinen jetzigen Posten von meinem Vorgänger übernahm, erbte ich (wie zu erwarten) eine Reihe von Maschinen. Eine davon war die oVirt-Hypervisor-Umgebung des Unternehmens (auf 4.3, auf zwei Servern), die er eingerichtet hatte, und ich gebe zu, dass ich mit deren Innerem nie vertraut war. Leider hat sich eine Situation ergeben, mit der ich mich befassen muss: Es scheint nämlich, dass die Zertifikate ablaufen, da das HTTPS-Zertifikat des Virtualization Managers ein Datum im Dezember anzeigt und ich nur annehmen kann, dass der Rest des Systems an dasselbe Datum gebunden ist. Die oVirt-Dokumentation warnt vor schlimmen Konsequenzen, wenn Sie die Zertifikate nicht vor Ablauf erneuern, also musste ich der Sache nachgehen, und was ich herausgefunden habe, war nicht so aufschlussreich, wie ich es mir gewünscht hätte.
Zunächst einige Hintergrundinformationen. oVirt wurde im Januar 2018 auf dem ersten Host (mit der Engine, auf derselben Bare-Metal-Hardware) installiert, und im März 2018 wurde ein zweiter physischer Hostserver im selben gemeinsamen oVirt-Rechenzentrum hinzugefügt. Wenn man eine Exportdomäne hinzufügt, die auf einem alten Windows-Dateiserver eingerichtet wurde, den wir gerade außer Betrieb nehmen (und der daher auf lange Sicht abgesagt wird), kommt man zum aktuellen Layout: ovirt-engine auf dem primären Server, eine Speicherdomäne auf jedem der primären und sekundären Server und eine Legacy-Exportdomäne auf einem externen Server. Wie erwähnt, hat das Zertifikat im Browser (ich nehme an, es ist mit dem oVirt-Engine-Teil verknüpft?) ein Ablaufdatum Ende Dezember, ungefähr 3 Wochen vor dem 5. Jahrestag des Einrichtungsdatums des ersten Servers.
Ich habe ein Verfahren gefunden beihttps://www.ovirt.org/documentation/administration_guide/index.html#chap-Renewing_certificates_RHV_backup_restoredas scheint im Detail zu beschreiben, was erforderlich ist, hat aber selbst einige Fragen aufgeworfen, und ich würde mich freuen, wenn mir jemand, der das tatsächlich schon einmal gemacht hat, ein paar Antworten darauf geben könnte:
- Welche Art von Umgebung betreibe ich überhaupt, Standalone oder selbst gehostet? Gemäß den Architekturdefinitionen unterhttps://www.ovirt.org/documentation/migrating_from_a_standalone_manager_to_a_self-hosted_engine/, keines von beiden scheint perfekt zu meinem Server-Setup zu passen: Ich gehe von Standalone aus, da die Ovirt-Engine anscheinend auf dem Bare Metal des primären Host-Servers läuft und nicht als VM darin; aber es wäre schön, eine zweite Meinung zu bekommen.
- Einer der Hauptvorteile von oVirt besteht darin, dass Sie VMs problemlos von einem Server auf einen anderen übertragen können – beispielsweise, wenn Sie sie aktualisieren und während des Vorgangs VMs aktiv halten oder Hosts leer lassen müssen (bei manchen Aktualisierungen müssen Sie den Server anscheinend zuerst löschen?). Allerdings ist der belegte Speicherplatz der Server seit ihrer Einrichtung gewachsen, und wir können nicht mehr alle VMs auf einer Box laufen lassen. Das war schon vor meiner Übernahme der Fall, ich habe noch nie erlebt, dass die Umgebung weniger als 60 % Festplattennutzung hatte. Ist es möglich, dieses Verfahren zur Zertifikatserneuerung einfach durch Herunterfahren/Stoppen von VMs durchzuführen (unabhängig davon, ob sie fixiert sind oder nicht) und möglicherweise zuerst einige davon auf den anderen Server zu übertragen?
- Wie riskant ist es wahrscheinlich für die oVirt-Umgebung? In der Anleitung steht: "
The engine-setup script prompts you with configuration questions." Abgesehen von dem offensichtlichen Grund, warum ich dies tue (die Frage nach der Erneuerung der Zertifikate), wie viele andere Fragen werde ich stellen und wie wahrscheinlich ist es, dass die Installation zerstört wird, wenn ich etwas falsch mache? Wie viele Zertifikatsfelder muss ich angeben: nur die O- und CN-Werte oder mehr?
Abschließend gehe ich davon aus, dass ich zuerst beide Hosts bearbeiten muss, bevor ich die Engine ausführe. Hätte ich irgendwo auf der Konsole eine Erinnerung daran erhalten sollen? Denn ich hatte keine. Ich habe dieses Problem nur zufällig entdeckt, als ich die SSL-Zertifikate auf allen meinen Maschinen überprüfte, nachdem vor Kurzem das Zertifikat eines Webservers abgelaufen war (was nicht dokumentiert war und daher bei einer Verlängerung übersehen wurde).
Dank im Voraus!
Antwort1
Welche Art von Umgebung verwende ich überhaupt, Standalone oder selbst gehostet?
Im oVirt-Kontext bedeutet „selbstgehostet“, dass die oVirt-Engine innerhalb des Hypervisors läuft, den sie selbst verwaltet. „Standalone“ bezieht sich auf Szenarien, in denen die oVirt-Engine außerhalb läuft, beispielsweise auf einem dedizierten Baremetal-Server oder auf einem anderen Hypervisor (der auch eine ganz andere Technologie sein kann, wie etwa VMWare).
Mit anderen Worten: Wenn Sie die oVirt-GUI öffnen und die oVirt-Engine unter den virtuellen Maschinen finden, verfügen Sie über eine selbstgehostete Installation. Andernfalls handelt es sich um eine eigenständige Installation.
Ist es möglich, dieses Verfahren zur Zertifikatserneuerung einfach durch Herunterfahren/Stoppen von VMs durchzuführen (unabhängig davon, ob sie angeheftet sind oder nicht) und möglicherweise einige davon zuerst auf den anderen Server zu übertragen?
Sicher. Tatsächlich ist dies der erste Schritt in derVerfahren, das Sie verlinkt haben:
Klicken Sie im Administrationsportal auf Compute-Hosts.
Klicken Sie auf „Verwaltung und Wartung“ und dann auf „OK“. Die virtuellen Maschinen sollten automatisch vom Host migriert werden. Wenn sie fixiert sind oder aus anderen Gründen nicht migriert werden können, müssen Sie sie herunterfahren.
Wenn sich der Host im Wartungsmodus befindet und keine virtuellen Maschinen mehr auf diesem Host vorhanden sind, klicken Sie auf „Installationszertifikat registrieren“.
Wie riskant ist das wahrscheinlich für die oVirt-Umgebung? In der Anleitung steht: „Das Engine-Setup-Skript stellt Ihnen Konfigurationsfragen.“ Abgesehen von der offensichtlichen Frage, für die ich das mache (die Frage nach der Zertifikatserneuerung), wie viele andere Fragen werden gestellt und wie wahrscheinlich ist es, dass die Installation abstürzt, wenn ich etwas falsch mache? Wie viele Zertifikatsfelder muss ich angeben: nur die O- und CN-Werte oder mehr?
Ich weiß nicht mehr genau, was passiert, wenn Sie ein Zertifikat aktualisieren müssen, aber die Antworten des Engine-Setups basierend auf Ihrer aktuellen Konfiguration können mit gelesen werden cat /var/lib/ovirt-engine/setup/answers/*.conf. Sie können also den Inhalt dieser Datei überprüfen (oder sie sogar auf Ihren Laptop kopieren) und die Antworten kopieren.
Eine (möglicherweise besser lesbare) Version dieser Dateien wird bereitgestellt durch:
cat /var/lib/ovirt-engine/setup/answers/*.conf | sed 's/str:/ /g' | sort -u
Das Ergebnis ist etwa:
[Umgebung:Standard]
# OTOPI-Antwortdatei, generiert durch menschlichen Dialog
FRAGE/1/DWH_VACUUM_FULL= ja
FRAGE/1/ENGINE_VACUUM_FULL= ja
[...]
FRAGE/1/OVESETUP_DWH_ENABLE= ja