11.2.2.5.3. Asegurar los grupos de almacenamiento iSCSI con secretos de libvirt
Los parámetros de nombre de usuario y contraseña pueden configurarse con virsh
para asegurar un pool de almacenamiento iSCSI. Puede configurar esto antes o después de definir el pool, pero el pool debe iniciarse para que la configuración de autenticación surta efecto.
A continuación se ofrecen instrucciones para asegurar los grupos de almacenamiento basados en iSCSI con libvirt
secrets.
Este procedimiento es necesario si a user_ID
y password
se definieron al crear el objetivo iSCSI.
Procedimiento
Cree un archivo secreto de libvirt con un nombre de usuario del protocolo de autenticación por desafío y apretón de manos (CHAP). Por ejemplo:
<secret ephemeral='no' private='yes'> <description>Passphrase for the iSCSI example.com server</description> <usage type='iscsi'> <target>iscsirhel7secret</target> </usage> </secret>
Defina el secreto de libvirt con el comando
virsh secret-define
.# virsh secret-define secret.xml
Verifique el UUID con el comando
virsh secret-list
.# virsh secret-list UUID Usage ------------------------------------------------------------------- 2d7891af-20be-4e5e-af83-190e8a922360 iscsi iscsirhel7secret
Asigne un secreto al UUID en la salida del paso anterior utilizando el comando
virsh secret-set-value
. Esto asegura que el nombre de usuario y la contraseña de CHAP están en una lista de secretos controlada por libvirt. Por ejemplo:# virsh secret-set-value --interactive 2d7891af-20be-4e5e-af83-190e8a922360 Enter new value for secret: Secret value set
Añade una entrada de autenticación en el archivo XML del pool de almacenamiento utilizando el comando
virsh edit
, y añade un elemento<auth>
elemento, especificandoauthentication type
,username
ysecret usage
.Por ejemplo:
<pool type='iscsi'> <name>iscsirhel7pool</name> <source> <host name='192.168.122.1'/> <device path='iqn.2010-05.com.example.server1:iscsirhel7guest'/> <auth type='chap' username='redhat'> <secret usage='iscsirhel7secret'/> </auth> </source> <target> <path>/dev/disk/by-path</path> </target> </pool>
NotaEl subelemento
<auth>
subelemento existe en diferentes ubicaciones dentro de la máquina virtual<pool>
y<disk>
Elementos XML. Para un<pool>
,<auth>
se especifica dentro del elemento<source>
ya que describe dónde encontrar las fuentes de pool, ya que la autenticación es una propiedad de algunas fuentes de pool (iSCSI y RBD). Para a<disk>
, que es un subelemento de un dominio, la autenticación en el disco iSCSI o RBD es una propiedad del disco. Además, el<auth>
subelemento de un disco difiere del de un pool de almacenamiento.<auth username='redhat'> <secret type='iscsi' usage='iscsirhel7secret'/> </auth>
Para activar los cambios, active el pool de almacenamiento. Si el pool ya se ha iniciado, detenga y reinicie el pool de almacenamiento:
# virsh pool-destroy iscsirhel7pool
# virsh pool-start iscsirhel7pool