Red Hat Summit11.2.2.5.3. Asegurar los grupos de almacenamiento iSCSI con secretos de libvirt
Los parámetros de nombre de usuario y contraseña pueden configurarse con virsh para asegurar un pool de almacenamiento iSCSI. Puede configurar esto antes o después de definir el pool, pero el pool debe iniciarse para que la configuración de autenticación surta efecto.
A continuación se ofrecen instrucciones para asegurar los grupos de almacenamiento basados en iSCSI con libvirt secrets.
Este procedimiento es necesario si a user_ID y password se definieron al crear el objetivo iSCSI.
Procedimiento
Cree un archivo secreto de libvirt con un nombre de usuario del protocolo de autenticación por desafío y apretón de manos (CHAP). Por ejemplo:
<secret ephemeral='no' private='yes'> <description>Passphrase for the iSCSI example.com server</description> <usage type='iscsi'> <target>iscsirhel7secret</target> </usage> </secret>Defina el secreto de libvirt con el comando
virsh secret-define.# virsh secret-define secret.xmlVerifique el UUID con el comando
virsh secret-list.# virsh secret-list UUID Usage ------------------------------------------------------------------- 2d7891af-20be-4e5e-af83-190e8a922360 iscsi iscsirhel7secretAsigne un secreto al UUID en la salida del paso anterior utilizando el comando
virsh secret-set-value. Esto asegura que el nombre de usuario y la contraseña de CHAP están en una lista de secretos controlada por libvirt. Por ejemplo:# virsh secret-set-value --interactive 2d7891af-20be-4e5e-af83-190e8a922360 Enter new value for secret: Secret value setAñade una entrada de autenticación en el archivo XML del pool de almacenamiento utilizando el comando
virsh edit, y añade un elemento<auth>elemento, especificandoauthentication type,usernameysecret usage.Por ejemplo:
<pool type='iscsi'> <name>iscsirhel7pool</name> <source> <host name='192.168.122.1'/> <device path='iqn.2010-05.com.example.server1:iscsirhel7guest'/> <auth type='chap' username='redhat'> <secret usage='iscsirhel7secret'/> </auth> </source> <target> <path>/dev/disk/by-path</path> </target> </pool>NotaEl subelemento
<auth>subelemento existe en diferentes ubicaciones dentro de la máquina virtual<pool>y<disk>Elementos XML. Para un<pool>,<auth>se especifica dentro del elemento<source>ya que describe dónde encontrar las fuentes de pool, ya que la autenticación es una propiedad de algunas fuentes de pool (iSCSI y RBD). Para a<disk>, que es un subelemento de un dominio, la autenticación en el disco iSCSI o RBD es una propiedad del disco. Además, el<auth>subelemento de un disco difiere del de un pool de almacenamiento.<auth username='redhat'> <secret type='iscsi' usage='iscsirhel7secret'/> </auth>Para activar los cambios, active el pool de almacenamiento. Si el pool ya se ha iniciado, detenga y reinicie el pool de almacenamiento:
# virsh pool-destroy iscsirhel7pool # virsh pool-start iscsirhel7pool
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}