제가 현재 직위를 맡은 전임자로부터 물려받았을 때 (예상하셨겠지만) 많은 기계를 물려받았습니다. 그 중 하나는 그가 설정한 회사의 oVirt 하이퍼바이저 환경(4.3, 두 서버에 걸쳐)이었으며 저는 그 내부가 결코 편하지 않았다는 것을 완전히 인정합니다. 불행하게도 제가 처리해야 할 상황이 드러났습니다. 즉, Virtualization Manager의 HTTPS 인증서에 날짜가 12월로 표시되어 있고 나머지 시스템도 동일하게 연결되어 있다고 가정할 수 있기 때문에 인증서가 만료되는 것 같습니다. 날짜. oVirt 문서에서는 인증서가 만료되기 전에 갱신하지 않으면 심각한 결과가 발생할 수 있다고 경고하므로 이를 조사해야 했지만 내가 찾은 내용은 원하는 만큼 명확하지 않았습니다.
먼저 몇 가지 배경을 살펴보겠습니다. oVirt는 2018년 1월에 첫 번째 호스트(동일한 베어 메탈 하드웨어에 엔진 포함)에 설치되었으며, 두 번째 물리적 호스트 서버는 2018년 3월에 동일한 공동 oVirt Datacenter에 추가되었습니다. 현재 폐기 과정에 있는 이전 Windows 파일 서버에 설정된 내보내기 도메인을 추가하면(장기적으로는 취소될 예정임) 기본 서버의 ovirt-engine이라는 현재 레이아웃에 도달합니다. , 각 기본 및 보조 서버의 스토리지 도메인, 외부 서버의 레거시 내보내기 도메인입니다. 언급한 바와 같이, 브라우저 내 인증서(oVirt 엔진 부분에 연결되어 있다고 가정합니까?)의 만료 날짜는 첫 번째 서버 설정 날짜로부터 5주년이 되기 약 3주 전인 12월 말입니다.
다음에서 절차를 찾았습니다.https://www.ovirt.org/documentation/administration_guide/index.html#chap-Renewing_certificates_RHV_backup_restore필요한 것이 무엇인지 자세히 설명하는 것처럼 보이지만 이로 인해 자체적으로 몇 가지 질문이 제기되었습니다. 이전에 실제로 이 작업을 수행한 사람이 다음에 대한 답변을 제공하고 싶습니다.
- 독립 실행형 및 자체 호스팅 환경 중 어떤 유형의 환경을 실행하고 있습니까? 아키텍처 정의에 따르면https://www.ovirt.org/documentation/migating_from_a_standalone_manager_to_a_self-hosted_engine/, 둘 다 내 서버 설정에 완벽하게 맞지 않는 것 같습니다. ovirt-engine이 기본 호스트 서버 내의 VM이 아닌 기본 호스트 서버에서 실행되는 것처럼 보이기 때문에 독립 실행형으로 가정합니다. 하지만 두 번째 의견을 받는 것이 좋을 것 같아요.
- oVirt의 주요 이점 중 하나는 문제 없이 한 서버에서 다른 서버로 VM을 던질 수 있다는 것입니다. 예를 들어 업그레이드 중이고 프로세스 중에 VM을 유지하거나 호스트를 비워야 하는 경우(일부 업그레이드에서는 초기화가 필요한 것 같습니다) 서버부터?) 그러나 서버가 설정된 이후로 사용 공간이 늘어나서 더 이상 모든 VM을 하나의 시스템에서 실행할 수 없습니다. 제가 인수하기 전의 경우였습니다. 환경의 디스크 사용량이 60% 미만인 것을 본 적이 없습니다. VM을 종료/중지하고(고정 여부에 관계없이) 이 인증서 갱신 절차를 수행하고 잠재적으로 일부를 먼저 다른 서버로 전송하는 것이 가능합니까?
- oVirt 환경에 얼마나 위험할 가능성이 있습니까? 가이드에는 "
The engine-setup script prompts you with configuration questions."라고 나와 있습니다. 제가 이 작업을 수행하는 명백한 것(인증서 갱신 질문) 외에 얼마나 많은 것을 요구할 것이며 잘못된 것이 있을 경우 설치를 불태우는 것이 얼마나 가능합니까? 얼마나 많은 인증서 필드를 제공해야 합니까? O 및 CN 값만 제공합니까, 아니면 그 이상입니까?
마지막으로 엔진을 작업하기 전에 먼저 두 호스트를 모두 수행해야 한다고 가정합니다. 콘솔 어디에서든 이에 대한 알림을 표시해야 합니까? 왜냐하면 나는 그것을 가지고 있지 않았기 때문입니다. 최근에 웹 서버의 인증서가 만료된 후(문서화되지 않아 갱신 시 누락됨) 모든 컴퓨터에서 SSL 인증서를 확인할 때 우연히 이 문제를 발견했습니다.
미리 감사드립니다!
답변1
독립 실행형 및 자체 호스팅 환경 중 어떤 유형의 환경을 실행하고 있습니까?
oVirt 맥락에서 자체 호스팅이란 oVirt 엔진이 자체적으로 관리하는 하이퍼바이저 내에서 실행된다는 의미입니다. 독립 실행형은 oVirt 엔진이 전용 베어메탈 서버 또는 다른 하이퍼바이저(VMWare와 같은 완전히 다른 기술일 수 있음) 등 외부에서 실행되는 시나리오를 나타냅니다.
즉, oVirt GUI를 열고 가상 머신 중에서 oVirt 엔진을 찾으면 자체 호스팅 설치가 있는 것입니다. 그렇지 않으면 독립형입니다.
VM을 종료/중지하고(고정 여부에 관계없이) 잠재적으로 일부를 먼저 다른 서버로 전송하는 것만으로 이 인증서 갱신 절차를 수행할 수 있습니까?
확신하는. 사실 이것은 첫 번째 단계입니다.당신이 링크한 절차:
관리 포털에서 컴퓨팅 호스트를 클릭합니다.
관리 유지 관리를 클릭한 다음 확인을 클릭합니다. 가상 머신은 호스트에서 자동으로 마이그레이션되어야 합니다. 고정되어 있거나 마이그레이션할 수 없는 경우 종료해야 합니다.
호스트가 유지 관리 모드이고 이 호스트에 더 이상 가상 머신이 남아 있지 않으면 설치 인증서 등록을 클릭합니다.
oVirt 환경에 얼마나 위험할 가능성이 있습니까? 가이드에는 "엔진 설정 스크립트가 구성 질문을 표시합니다."라고 나와 있습니다. 내가 이 작업을 수행하는 명백한 것(인증서 갱신 질문) 외에도 얼마나 많은 것을 요구할 것이며 잘못된 것이 있을 경우 설치를 불태우는 것이 얼마나 가능합니까? 얼마나 많은 인증서 필드를 제공해야 합니까? O 및 CN 값만 제공합니까, 아니면 그 이상입니까?
인증서를 업데이트해야 할 때 어떤 일이 발생하는지 정확히 기억하지 못하지만 현재 구성을 기반으로 한 엔진 설정 답변을 로 읽을 수 있으므로 cat /var/lib/ovirt-engine/setup/answers/*.conf해당 파일의 내용을 확인하거나 노트북에 복사할 수도 있습니다. 답을 복사하세요.
해당 파일의 (더 읽기 쉬운) 버전은 다음과 같습니다.
cat /var/lib/ovirt-engine/setup/answers/*.conf | sed 's/str:/ /g' | sort -u
이는 다음과 같은 것을 반환합니다:
[환경:기본값]
# 사람의 대화로 생성된 OTOPI 응답 파일
질문/1/DWH_VACUUM_FULL= 예
질문/1/ENGINE_VACUUM_FULL= 예
[...]
질문/1/OVESETUP_DWH_ENABLE= 예