Cuando reemplacé a mi predecesor en mi puesto actual, heredé un montón de máquinas (como era de esperar). Uno de ellos fue el entorno de hipervisor oVirt de la empresa (en 4.3, en dos servidores) que él configuró y admito plenamente que nunca me he sentido cómodo con sus entrañas. Desafortunadamente, se ha revelado una situación con la que tengo que lidiar: es decir, parece que los certificados están caducando, ya que el certificado HTTPS del Virtualization Manager muestra una fecha en diciembre y solo puedo asumir que el resto del sistema está vinculado al mismo fecha. La documentación de oVirt advierte sobre consecuencias nefastas si no renueva los certificados antes de que caduquen, así que tuve que investigar esto y lo que encontré no fue tan esclarecedor como me gustaría.
Algunos antecedentes primero. oVirt se instaló en el primer host (con el motor, en el mismo hardware básico) en enero de 2018, y se agregó un segundo servidor host físico en marzo de 2018, en el mismo centro de datos conjunto de oVirt. Agregue un dominio de exportación que se configuró en un antiguo servidor de archivos de Windows que actualmente estamos en el proceso de desmantelamiento (por lo que a la larga se cancelará) y llegamos al diseño actual: ovirt-engine en el servidor primario. , un dominio de almacenamiento en cada uno de los servidores primario y secundario, y un dominio de exportación heredado en un servidor externo. Como se mencionó, el certificado en el navegador (¿supongo que está vinculado a la parte del motor oVirt?) tiene una fecha de vencimiento a fines de diciembre, aproximadamente 3 semanas antes del quinto aniversario de la fecha de configuración del primer servidor.
Encontré un procedimiento enhttps://www.ovirt.org/documentation/administration_guide/index.html#chap-Renewing_certificates_RHV_backup_restoreeso parece detallar lo que se requiere, pero esto ha planteado algunas preguntas, y me encantaría que alguien que haya hecho esto antes me diera algunas respuestas:
- ¿Qué tipo de entorno estoy ejecutando, independiente y autohospedado? Según las definiciones de arquitectura enhttps://www.ovirt.org/documentation/migrating_from_a_standalone_manager_to_a_self-hosted_engine/, ninguno parece encajar perfectamente en la configuración de mi servidor: supongo que es independiente porque el motor ovirt parece estar ejecutándose en el servidor host principal, en lugar de como una máquina virtual dentro de él; pero sería bueno tener una segunda opinión.
- Uno de los principales beneficios de oVirt es que puede enviar máquinas virtuales de un servidor a otro sin ningún problema; por ejemplo, si las está actualizando y necesita mantener las máquinas virtuales activas o los hosts vacíos durante el proceso (algunas actualizaciones parecen requerir que borre las máquinas virtuales). ¿El servidor primero?) Sin embargo, el espacio utilizado de los servidores ha aumentado desde que se configuraron y ya no podemos tener todas las máquinas virtuales ejecutándose en una sola máquina. Este era el caso antes de que asumiera el control, nunca había visto que el entorno tuviera menos del 60% de uso del disco. ¿Es posible realizar este procedimiento de renovación de certificado simplemente apagando/deteniendo las máquinas virtuales (independientemente de si están fijadas o no), así como potencialmente transfiriendo algunas al otro servidor primero?
- ¿Qué tan riesgoso puede ser para el entorno oVirt? La guía dice "
The engine-setup script prompts you with configuration questions." Más allá de lo obvio por lo que estoy haciendo esto (la pregunta sobre la renovación de certificados), ¿cuánto más se va a pedir y qué tan posible es incendiar la instalación si hago algo mal? ¿Cuántos campos del certificado tendré que proporcionar: solo los valores O y CN, o más?
Finalmente, supongo que tendré que hacer ambos hosts primero antes de hacer el motor. ¿Debería haber recibido un recordatorio sobre esto en la consola en algún lugar? Porque no he tenido uno; Solo descubrí este problema por casualidad cuando estaba verificando los certificados SSL en todas mis máquinas, luego de que un certificado de servidor web expirara (que no estaba documentado y, como tal, no se renovó) en el pasado reciente.
¡Gracias de antemano!
Respuesta1
¿Qué tipo de entorno estoy ejecutando, independiente y autohospedado?
En el contexto de oVirt, autohospedado significa que el motor oVirt se ejecuta dentro del hipervisor que él mismo administra. Independiente se refiere a escenarios en los que el motor oVirt se ejecuta en el exterior, por ejemplo, en un servidor baremetal dedicado o en un hipervisor diferente (que podría ser otra tecnología completamente diferente, como VMWare).
En otras palabras, si abre la GUI de oVirt y encuentra el motor oVirt entre las máquinas virtuales, tiene una instalación autohospedada. De lo contrario, es independiente.
¿Es posible realizar este procedimiento de renovación de certificado simplemente apagando/deteniendo las máquinas virtuales (independientemente de si están fijadas o no), así como potencialmente transfiriendo algunas al otro servidor primero?
Seguro. De hecho, este es el primer paso en elprocedimiento que vinculó:
En el Portal de administración, haga clic en Computar hosts.
Haga clic en Mantenimiento de gestión y luego haga clic en Aceptar. Las máquinas virtuales deberían migrar automáticamente fuera del host. Si están anclados o no se pueden migrar, debe cerrarlos.
Cuando el host esté en modo de mantenimiento y no queden más máquinas virtuales en este host, haga clic en Certificado de inscripción de instalación.
¿Qué tan riesgoso puede ser para el entorno oVirt? La guía dice "El script de configuración del motor le plantea preguntas de configuración". Más allá de lo obvio por lo que estoy haciendo esto (la pregunta sobre la renovación de certificados), ¿cuánto más se va a pedir y qué tan posible es incendiar la instalación si hago algo mal? ¿Cuántos campos del certificado tendré que proporcionar: solo los valores O y CN, o más?
No recuerdo exactamente qué sucede cuando tienes que actualizar un certificado, pero las respuestas de configuración del motor basadas en tu configuración actual se pueden leer con cat /var/lib/ovirt-engine/setup/answers/*.conf, por lo que puedes verificar el contenido de ese archivo (o incluso copiarlo en tu computadora portátil) y Copia las respuestas.
Una versión (posiblemente más legible) de esos archivos viene dada por:
cat /var/lib/ovirt-engine/setup/answers/*.conf | sed 's/str:/ /g' | sort -u
que devuelve algo como:
[entorno: predeterminado]
# Archivo de respuesta OTOPI, generado por diálogo humano
PREGUNTA/1/DWH_VACUUM_FULL= sí
PREGUNTA/1/ENGINE_VACUUM_FULL= sí
[...]
QUESTION/1/OVESETUP_DWH_ENABLE= sí