Когда я занял место своего предшественника на своей нынешней должности, я унаследовал кучу машин (как и следовало ожидать). Одной из них была среда гипервизора oVirt компании (на 4.3, на двух серверах), которую он настроил, и я полностью признаю, что мне никогда не было комфортно с ее внутренностями. К сожалению, возникла ситуация, с которой мне приходится иметь дело: а именно, похоже, истекает срок действия сертификатов, поскольку сертификат HTTPS диспетчера виртуализации показывает дату в декабре, и я могу только предположить, что остальная часть системы привязана к той же дате. Документация oVirt предупреждает о тяжелых последствиях, если вы не обновите сертификаты до истечения срока их действия, поэтому мне пришлось разобраться с этим, и то, что я обнаружил, оказалось не таким проясняющим, как мне бы хотелось.
Сначала немного предыстории. oVirt был установлен на первом хосте (с движком, на том же голом железном оборудовании) в январе 2018 года, а второй физический хост-сервер был добавлен в марте 2018 года в тот же объединенный центр обработки данных oVirt. Добавьте экспортный домен, который был настроен на старом файловом сервере Windows, который мы в настоящее время выводим из эксплуатации (так что в долгосрочной перспективе он будет отменен), и мы придем к текущей схеме: ovirt-engine на основном сервере, домен хранения на каждом из основных и вторичных серверов и устаревший экспортный домен на внешнем сервере. Как уже упоминалось, сертификат в браузере (я предполагаю, привязанный к части движка oVirt?) имеет срок действия в конце декабря, примерно за 3 недели до 5-й годовщины даты настройки первого сервера.
Я нашел процедуру вhttps://www.ovirt.org/documentation/administration_guide/index.html#chap-Renewing_certificates_RHV_backup_restoreКажется, это подробно описывает то, что требуется, но это само по себе вызвало несколько вопросов, на которые я бы хотел получить ответы от того, кто действительно делал это раньше:
- Какой тип среды я вообще использую, помимо автономной и размещенной самостоятельно? Согласно определениям архитектуры наhttps://www.ovirt.org/documentation/migrating_from_a_standalone_manager_to_a_self-hosted_engine/, ни один из них, похоже, не подходит идеально для моей конфигурации сервера: я предполагаю Standalone, поскольку ovirt-engine, по-видимому, работает на «голом железе» основного хост-сервера, а не как виртуальная машина внутри него; но было бы неплохо получить второе мнение.
- Одним из основных преимуществ oVirt является то, что вы можете без проблем переносить виртуальные машины с одного сервера на другой — например, если вы обновляете их и вам нужно поддерживать виртуальные машины в рабочем состоянии или хосты пустыми во время процесса (некоторые обновления, похоже, требуют, чтобы вы сначала очистили сервер?). Однако с момента настройки серверы стали занимать больше места, и мы больше не можем запускать все виртуальные машины на одном сервере. Так было до того, как я занялся этим, я никогда не видел, чтобы среда использовала диск менее чем на 60%. Можно ли выполнить эту процедуру обновления сертификата, просто выключив/остановив виртуальные машины (независимо от того, закреплены они или нет), а также потенциально перенести некоторые из них на другой сервер?
- Насколько это может быть рискованно для среды oVirt? В руководстве говорится:
The engine-setup script prompts you with configuration questions.
«Помимо очевидного, для чего я это делаю (вопрос о продлении сертификатов), сколько еще вопросов он задаст и насколько возможно сжечь установку, если я сделаю что-то не так? Сколько полей сертификата мне придется указать: только значения O и CN или больше?
Наконец, я предполагаю, что мне придется сначала заняться обоими хостами, прежде чем заняться движком. Должен ли я был иметь напоминание об этом где-либо на консоли? Потому что у меня его не было; я обнаружил эту проблему только случайно, когда проверял SSL-сертификаты на всех своих машинах после истечения срока действия сертификата веб-сервера (который не был задокументирован и, как следствие, пропущен при обновлении) в недавнем прошлом.
Заранее спасибо!
решение1
С каким типом среды я вообще работаю, помимо автономной и размещенной на собственном сервере?
В контексте oVirt, self-hosted означает, что движок oVirt работает внутри гипервизора, которым он управляет сам. Standalone относится к сценариям, в которых движок oVirt работает снаружи, например, на выделенном baremetal сервере или на другом гипервизоре (который может быть совсем другой технологией, например, VMWare).
Другими словами, если вы открываете графический интерфейс oVirt и находите движок oVirt среди виртуальных машин, у вас есть самостоятельная установка. В противном случае она является автономной.
Возможно ли выполнить эту процедуру обновления сертификата, просто выключив/остановив виртуальные машины (независимо от того, закреплены они или нет), а также потенциально перенести некоторые из них на другой сервер?
Конечно. На самом деле, это первый шаг впроцедура, которую вы связали:
На портале администрирования нажмите «Вычислить хосты».
Нажмите Management Maintenance, а затем нажмите OK. Виртуальные машины должны автоматически мигрировать с хоста. Если они закреплены или по какой-либо причине не могут быть мигрированы, вы должны выключить их.
Когда хост находится в режиме обслуживания и на нем больше не осталось виртуальных машин, нажмите Установка Зарегистрировать сертификат.
Насколько это может быть рискованно для среды oVirt? В руководстве говорится: «Скрипт настройки движка запрашивает у вас вопросы по конфигурации». Помимо очевидного, ради которого я это делаю (вопрос о продлении сертификатов), сколько еще вопросов он будет задавать и насколько возможно сжечь установку, если я что-то сделаю неправильно? Сколько полей сертификата мне придется указать: только значения O и CN или больше?
Я не помню точно, что происходит, когда вам нужно обновить сертификат, но ответы по настройке движка, основанные на вашей текущей конфигурации, можно прочитать с помощью cat /var/lib/ovirt-engine/setup/answers/*.conf
, поэтому вы можете проверить содержимое этого файла (или даже скопировать его на свой ноутбук) и скопировать ответы.
(Возможно, более читабельная) версия этих файлов представлена ниже:
cat /var/lib/ovirt-engine/setup/answers/*.conf | sed 's/str:/ /g' | sort -u
который возвращает что-то вроде:
[среда:по умолчанию]
# Файл ответов OTOPI, созданный в результате человеческого диалога
ВОПРОС/1/DWH_VACUUM_FULL= да
ВОПРОС/1/ENGINE_VACUUM_FULL= да
[...]
ВОПРОС/1/OVESETUP_DWH_ENABLE= да