红帽全球峰会第 1 章 管理和维护 Red Hat Virtualization
Red Hat Virtualization 环境需要管理员保持它的运行。作为管理员,您的任务包括:
- 管理物理和虚拟资源,如主机和虚拟机.这包括升级和添加主机、导入域、转换外部虚拟机监控程序(hypervisors)上创建的虚拟机,以及管理虚拟机池。
- 监控整体系统资源以了解潜在的问题,如其中一个主机上高负载、内存或磁盘空间不足,以及执行任何必要的操作(例如,将虚拟机迁移到其他主机,以通过关闭机器减少负载或释放资源)。
- 响应对虚拟机的新要求(例如,升级操作系统或分配更多内存)。
- 使用标签管理自定义对象属性。
- 管理保存为公共书签的搜索。
- 管理用户设置和设置权限级别.
- 为特定用户或虚拟机提供整体系统功能的故障排除.
- 生成常规和特定报告.
1.1. 全局配置
通过单击
1.1.1. 角色
角色是可从 Red Hat Virtualization Manager 配置的预定义权限集。角色提供对数据中心中不同级别资源以及特定物理和虚拟资源的访问权限和管理权限。
通过多级管理,适用于容器对象的任何权限也适用于该容器中的所有单个对象。例如,当主机管理员角色分配给特定主机上的用户时,该用户将获得执行任何可用主机操作的权限,但只能在分配的主机上获得。但是,如果主机管理员角色分配给数据中心上的用户,该用户将获得在数据中心集群中的所有主机上执行主机操作的权限。
1.1.1.1. 创建新角色
如果您需要的角色不在 Red Hat Virtualization 的默认角色列表中,您可以创建新角色并对其进行自定义以满足您的需要。
流程
-
单击
。这将打开 Configure 窗口。默认情况下会选择 Roles 选项卡,显示默认用户和管理员角色以及任何自定义角色的列表。 - 单击 New。
- 输入新角色的名称和描述。
- 选择 Admin 或 User 作为帐户类型。
- 使用 Expand All 或 Collapse All 按钮,在 Check Boxes to Allow Action 列表中查看所列对象的一个或多个权限。您还可以扩展或折叠每个对象的选项。
- 对于每个对象,为您要设置的角色选择或清除您想要允许的操作或拒绝的操作。
- 单击以应用更改。新角色显示在角色列表中。
1.1.1.2. 编辑或复制角色
您可以更改已创建角色的设置,但无法更改默认角色。要更改默认角色,请克隆并修改它们以符合您的要求。
流程
-
单击
。这将打开 Configure 窗口,其中显示默认用户和管理员角色以及任何自定义角色的列表。 - 选择您要更改的角色。
- 点 或 。这将打开 Edit Role 或 Copy Role 窗口。
- 如有必要,编辑角色的 Name 和 Description。
- 使用 Expand All 或 Collapse All 按钮查看列出对象的一个或多个权限。您还可以扩展或折叠每个对象的选项。
- 对于每个对象,选择或清除您希望允许或拒绝您要编辑的角色的操作。
- 单击 以应用您所做的更改。
1.1.1.3. 用户角色和授权示例
以下示例演示了如何使用本章中描述的授权系统的不同功能,针对各种场景应用授权控制。
例 1.1. 集群权限
Sarah 是公司帐户部门的系统管理员。她所在部门的所有虚拟资源都在一个称为 Accounts 的 Red Hat Virtualization 集群。她被分配了 accounts 集群上的 ClusterAdmin 角色。这使她能够管理集群中的所有虚拟机,因为虚拟机是集群的子对象。管理虚拟机包括编辑、添加或删除磁盘等虚拟资源,以及执行快照。这些权限并不允许她管理此集群之外的任何资源。由于 ClusterAdmin 是管理员角色,因此它允许她使用管理门户或虚拟机门户来管理这些资源。
例 1.2. VM PowerUser 权限
John 是财务部门的软件开发人员。他使用虚拟机来构建和测试其软件。Sarah 已为他创建了一个名为 johndesktop 的虚拟桌面。John 被分配了 johndesktop 虚拟机上的 UserVmManager 角色。这允许他使用虚拟机门户访问此单一虚拟机。由于他具有 UserVmManager 权限,因此可以修改虚拟机。由于 UserVmManager 是用户角色,因此不允许他使用管理门户。
例 1.3. 数据中心 Power 用户角色权限
Penelope 是办事处经理。除了她自己的职责外,她偶尔还帮助人力资源经理完成各种任务,如安排访谈和跟进参考检查。根据公司政策,Penelope 需要使用特定的应用程序来完成招聘任务。
虽然 Penelope 拥有自己的机器来执行办公室管理任务,但她希望创建单独的虚拟机来运行该规范应用。为她被分配了新虚拟机的数据中心的 PowerUserRole 权限。这是因为要创建新虚拟机,她需要在数据中心内对多个组件进行更改,包括在存储域中创建虚拟磁盘。
请注意,这与为 Penelope 分配 DataCenterAdmin 权限不同。作为数据中心的 PowerUser,Perenelope 可以登录虚拟机门户,并对数据中心内的虚拟机执行特定于虚拟机的操作。她无法执行数据中心级别的操作,如将主机或存储附加到数据中心。
例 1.4. 网络管理员权限
Chris 担任 IT 部门的网络管理员。她的日常职责包括创建、操作和删除部门 Red Hat Virtualization 环境中的网络。对于她的角色,她需要资源以及每个资源的网络上的管理权限。例如,如果 Chris 对 IT 部门的数据中心具有 NetworkAdmin 权限,她可以在数据中心中添加和删除网络,并为属于数据中心的所有虚拟机附加和分离网络。
例 1.5. 自定义角色权限
Rachel 在 IT 部门工作,负责管理 Red Hat Virtualization 中的用户帐户。她需要添加用户帐户并为它们分配适当的角色和权限的权限。她不会自行使用任何虚拟机,并且不应有权管理主机、虚拟机、集群或数据中心。没有向她提供这一特定权限集的内置角色。必须创建自定义角色,以定义适合 Rachel 位置的权限集合。
图 1.1. UserManager 自定义角色
上面显示的 UserManager 自定义角色允许操作用户、权限和角色。这些操作在 System - 层次结构中显示的顶层对象下 进行组织。这意味着它们应用到系统的所有其他对象。该角色设置为帐户类型为 Admin。这意味着,当她被分配了此角色时,Rachel 可以同时使用管理门户和虚拟机门户。
1.1.2. 系统权限
权限允许用户对对象执行操作,其中对象可以是单个对象或容器对象。适用于容器对象的任何权限也适用于该容器的所有成员。
图 1.2. 权限和角色
图 1.3. Red Hat Virtualization 对象层次结构
1.1.2.1. 用户属性
角色和权限是用户的属性。角色是预定义的特权集合,允许访问不同级别的物理和虚拟资源。多级管理提供了精细的权限层次。例如,数据中心管理员具有管理数据中心所有对象的权限,而主机管理员则对单个物理主机具有系统管理员权限。一个用户可以具有使用单一虚拟机的权限,但不会对虚拟机配置进行任何更改,而另一用户则可分配给虚拟机的系统权限。
1.1.2.2. 用户和管理员角色
Red Hat Virtualization 提供一系列预配置的角色,从具有系统范围权限的管理员到有权访问单个虚拟机的最终用户。虽然您无法更改或删除默认角色,但您可以克隆和自定义它们,或者根据您的要求创建新角色。角色有两种类型:
- Administrator 角色:允许使用管理门户来管理物理和虚拟资源。管理员角色限制要在虚拟机门户中执行的操作的权限;但是,它不涉及用户在虚拟机门户中可以看到的内容。
- 用户角色:允许使用虚拟机门户来管理和访问虚拟机和模板。用户角色决定了用户在虚拟机门户中可以看到的内容。授予具有管理员角色的用户的权限反映在虚拟机门户中可供该用户使用的操作中。
1.1.2.3. 用户角色介绍
下表描述了基本用户角色,这些角色授予在虚拟机门户中访问和配置虚拟机的权限。
| 角色 | 权限 | 备注 |
|---|---|---|
| UserRole | 可以访问和使用虚拟机和池. | 可以登录虚拟机门户,使用分配的虚拟机和池,查看虚拟机状态和详细信息。 |
| PowerUserRole | 可以创建和管理虚拟机和模板. | 使用 Configure 窗口,或针对特定数据中心或集群,将这个角色应用到整个环境的用户。例如,如果在数据中心级别上应用 PowerUserRole,PowerUser 可以在数据中心中创建虚拟机和模板。 |
| UserVmManager | 虚拟机的系统管理员. | 可以管理虚拟机并创建和使用快照.在虚拟机门户中创建虚拟机的用户会自动被分配机器上的 UserVmManager 角色。 |
下表描述了高级用户角色,允许您进一步微调虚拟机门户中的资源的权限。
| 角色 | 权限 | 备注 |
|---|---|---|
| UserTemplateBasedVm | 有限的权限,仅能使用模板。 | 可以使用模板创建虚拟机。 |
| DiskOperator | 虚拟磁盘用户。 | 可以使用、查看和编辑虚拟磁盘.继承使用虚拟磁盘所附加虚拟机的权限。 |
| VmCreator | 可以在虚拟机门户中创建虚拟机. | 此角色不适用于特定的虚拟机;使用 Configure 窗口将此角色应用到整个环境的用户。另外,也可以将此角色应用到特定的数据中心或集群。当将此角色应用到集群时,还必须对整个数据中心或特定存储域应用 DiskCreator 角色。 |
| TemplateCreator | 可以在分配的资源内创建、编辑、管理和删除虚拟机模板。 | 此角色不适用于特定的模板;使用 Configure 窗口将此角色应用到整个环境的用户。另外,也可以将这个角色应用到特定的数据中心、集群或存储域。 |
| DiskCreator | 可以在分配的集群或数据中心内创建、编辑、管理和移除虚拟磁盘。 | 此角色不适用于特定的虚拟磁盘;使用 Configure 窗口将此角色应用到整个环境的用户。另外,也可以将这个角色应用到特定的数据中心或存储域。 |
| TemplateOwner | 可以编辑和删除模板,为模板分配和管理用户权限。 | 此角色自动分配给创建模板的用户。其他对模板没有 TemplateOwner 权限的用户无法查看或使用模板。 |
| VnicProfileUser | 虚拟机和模板的逻辑网络和网络接口用户。 | 可以将网络接口从特定逻辑网络附加或分离。 |
1.1.2.4. 管理员角色已说明
下表描述了基本管理员角色,这些角色授予访问管理门户中配置资源的权限。
| 角色 | 权限 | 备注 |
|---|---|---|
| SuperUser | Red Hat Virtualization 环境的系统管理员. | 具有所有对象和级别的完全权限,可以管理所有数据中心中的所有对象。 |
| ClusterAdmin | 集群管理员。 | 拥有特定集群下所有对象的管理权限。 |
| DataCenterAdmin | 数据中心管理员. | 拥有特定数据中心下除存储之外的所有对象的管理权限。 |
不要将目录服务器的管理用户用作 Red Hat Virtualization 管理用户。在目录服务器中创建一个用户,专门用于 Red Hat Virtualization 管理用户。
下表描述了高级管理员角色,允许您对管理门户中的资源的权限进行进一步微调。
| 角色 | 权限 | 备注 |
|---|---|---|
| TemplateAdmin | 虚拟机模板的管理员. | 可以创建、删除和配置模板的存储域和网络详细信息,并在域之间移动模板。 |
| StorageAdmin | 存储管理员。 | 可以创建、删除、配置和管理分配的存储域. |
| HostAdmin | 主机管理员。 | 可以连接、删除、配置和管理特定主机。 |
| NetworkAdmin | 网络管理员。 | 可以配置和管理特定数据中心或集群的网络。数据中心或集群的网络管理员继承集群中虚拟池的网络权限。 |
| VmPoolAdmin | 虚拟池系统管理员。 | 可以创建、删除和配置虚拟池;分配和删除虚拟池用户;可以对池中的虚拟机执行基本操作。 |
| GlusterAdmin | Gluster 存储管理员。 | 可以创建、删除、配置和管理 Gluster 存储卷。 |
| VmImporterExporter | 导入和导出虚拟机的管理员。 | 可以导入和导出虚拟机.能够查看其他用户导出的所有虚拟机和模板。 |
1.1.2.5. 将管理员或用户角色分配给资源
将管理员或用户角色分配到资源,以允许用户访问或管理该资源。
流程
- 查找并单击资源名称。这会打开详情视图。
- 单击 Permissions 选项卡,以列出分配的用户、每个用户的角色以及所选资源的继承权限。
- 点 Add。
- 在搜索文本框中输入现有用户的名称或用户名,然后单击 Go。从生成的可能匹配项列表中选择用户。
- 从 Role to Assign 下拉列表中选择一个角色。
- 点击 。
用户现在为该资源启用了该角色的继承权限。
避免将全局权限分配给集群等资源的常规用户,因为权限由系统层次结构中较低资源自动继承。设置 UserRole 以及对特定资源(如虚拟机、池或虚拟机池)的所有其他用户角色权限,特别是后者。
分配全局权限可能会导致两个问题,因为权限继承:
- 普通用户可自动获得控制虚拟机池的权限,即使管理员分配权限并非有意这样做。
- 虚拟机门户可能会与池意外发生。
因此,强烈建议仅对特定资源设置 UserRole 和所有其他用户角色权限,特别是虚拟机池资源,而不设置其他资源从中继承权限的资源。
1.1.2.6. 从资源中删除管理员或用户角色
从资源中删除管理员或用户角色;用户丢失与该资源的角色关联的继承权限。
流程
- 查找并单击资源名称。这会打开详情视图。
- 单击 Permissions 选项卡,以列出分配的用户、用户的角色以及所选资源的继承权限。
- 选择要从资源中删除的用户。
- 单击 Remove。
- 点击 。
1.1.2.7. 管理系统权限
作为 SuperUser,系统管理员可以管理管理门户的所有方面。可以为其他用户分配更具体的管理角色。这些受限管理员角色可用于授予用户管理特权,以限制它们仅具有特定资源。例如,DataCenterAdmin 角色仅对分配的数据中心具有管理员特权,但该数据中心的存储除外,ClusterAdmin 则仅对分配的群集具有管理员特权。
数据中心管理员仅仅是特定数据中心的系统管理角色。这在具有多个数据中心(每个数据中心需要管理员)的虚拟化环境中非常有用。DataCenterAdmin 角色是一种分层模型;分配了数据中心管理员角色的用户可以管理数据中心中的所有对象,但该数据中心的存储除外。使用标题栏中的 Configure 按钮,为环境中所有数据中心分配数据中心管理员。
数据中心管理员角色允许执行以下操作:
- 创建和删除与数据中心关联的集群。
- 添加和删除与数据中心关联的主机、虚拟机和池。
- 编辑与数据中心关联的虚拟机的用户权限。
您只能将角色和权限分配给现有用户。
您可以通过删除现有系统管理员并添加新系统管理员来更改数据中心的系统管理员。
1.1.2.8. 数据中心管理员角色说明
数据中心权限角色
下表描述了适用于数据中心管理的管理员角色和特权。
| 角色 | 权限 | 备注 |
|---|---|---|
| DataCenterAdmin | 数据中心管理员 | 可以使用、创建、删除、管理特定数据中心内的所有物理和虚拟资源,但存储除外,包括集群、主机、模板和虚拟机。 |
| NetworkAdmin | 网络管理员 | 可以配置和管理特定数据中心的网络。数据中心的网络管理员还继承数据中心内虚拟机的网络权限。 |
1.1.2.9. 管理系统权限
作为 SuperUser,系统管理员可以管理管理门户的所有方面。可以为其他用户分配更具体的管理角色。这些受限管理员角色可用于授予用户管理特权,以限制它们仅具有特定资源。例如,DataCenterAdmin 角色仅对分配的数据中心具有管理员特权,但该数据中心的存储除外,ClusterAdmin 则仅对分配的群集具有管理员特权。
集群管理员仅是特定集群的系统管理角色。这在具有多个集群的数据中心中很有用,每个集群都需要系统管理员。ClusterAdmin 角色是一种层次结构模型:被分配了集群管理员角色的用户可以管理群集中的所有对象。使用标题栏中的 Configure 按钮,为环境中所有群集分配集群管理员。
集群管理员角色允许执行以下操作:
- 创建和删除关联的集群。
- 添加和删除与集群关联的主机、虚拟机和池。
- 编辑与集群关联的虚拟机的用户权限。
您只能将角色和权限分配给现有用户。
您还可以删除现有系统管理员并添加新系统管理员来更改集群的系统管理员。
1.1.2.10. 集群管理员角色已说明
集群权限角色
下表描述了适用于集群管理的管理角色和特权。
| 角色 | 权限 | 备注 |
|---|---|---|
| ClusterAdmin | Cluster Administrator | 可以使用、创建、删除、管理特定集群中的所有物理和虚拟资源,包括主机、模板和虚拟机。可以在集群中配置网络属性,如指定显示网络,或者将网络标记为必需或非必需网络。 但是,ClusterAdmin 没有从集群附加或分离网络的权限,因此需要 NetworkAdmin 权限。 |
| NetworkAdmin | 网络管理员 | 可以配置和管理特定群集的网络。集群的网络管理员还继承集群中虚拟机的网络权限。 |
1.1.2.11. 管理系统权限
作为 SuperUser,系统管理员可以管理管理门户的所有方面。可以为其他用户分配更具体的管理角色。这些受限管理员角色可用于授予用户管理特权,以限制它们仅具有特定资源。例如,DataCenterAdmin 角色仅对分配的数据中心具有管理员特权,但该数据中心的存储除外,ClusterAdmin 则仅对分配的群集具有管理员特权。
网络管理员是一种系统管理角色,可应用于特定网络,或数据中心、群集、主机、虚拟机或模板上的所有网络。网络用户可以执行有限的管理角色,如在特定虚拟机或模板上查看和附加网络。您可以使用标题栏中的 Configure 按钮为环境中的所有网络分配网络管理员。
网络管理员角色允许执行以下操作:
- 创建、编辑和删除网络。
- 编辑网络的配置,包括配置端口镜像。
- 在资源(包括集群和虚拟机)上附加和分离网络。
系统会自动为创建网络的用户分配所创建网络上的 NetworkAdmin 权限。您还可以删除现有管理员并添加新管理员来更改网络的管理员。
1.1.2.12. 网络管理员和用户角色说明
网络权限角色
下表描述了适用于网络管理的管理员、用户角色和特权。
| 角色 | 权限 | 备注 |
|---|---|---|
| NetworkAdmin | 数据中心、集群、主机、虚拟机或模板的网络管理员.系统会自动为创建网络的用户分配所创建网络上的 NetworkAdmin 权限。 | 可以配置和管理特定数据中心、集群、主机、虚拟机或模板的网络。数据中心或集群的网络管理员继承集群中虚拟池的网络权限。要在虚拟机网络上配置端口镜像,请在网络上应用 NetworkAdmin 角色,并在虚拟机上应用 UserVmManager 角色。 |
| VnicProfileUser | 虚拟机和模板的逻辑网络和网络接口用户。 | 可以将网络接口从特定逻辑网络附加或分离。 |
1.1.2.13. 管理系统权限
作为 SuperUser,系统管理员可以管理管理门户的所有方面。可以为其他用户分配更具体的管理角色。这些受限管理员角色可用于授予用户管理特权,以限制它们仅具有特定资源。例如,DataCenterAdmin 角色仅对分配的数据中心具有管理员特权,但该数据中心的存储除外,ClusterAdmin 则仅对分配的群集具有管理员特权。
主机管理员仅仅是特定主机的系统管理角色。这在有多个主机的集群中很有用,每个主机都需要系统管理员。您可以使用标题栏中的 Configure 按钮为环境中所有主机分配主机管理员。
主机管理员角色允许执行以下操作:
- 编辑主机的配置。
- 设置逻辑网络。
- 删除主机。
您还可以删除现有系统管理员并添加新系统管理员来更改主机的系统管理员。
1.1.2.14. 主机管理员角色已说明
主机权限角色
下表描述了适用于主机管理的管理角色和特权。
| 角色 | 权限 | 备注 |
|---|---|---|
| HostAdmin | 主机管理员 | 可以配置、管理和删除特定主机。还可以在特定主机上执行网络相关的操作。 |
1.1.2.15. 为存储域管理系统权限
作为 SuperUser,系统管理员可以管理管理门户的所有方面。可以为其他用户分配更具体的管理角色。这些受限管理员角色可用于授予用户管理特权,以限制它们仅具有特定资源。例如,DataCenterAdmin 角色仅对分配的数据中心具有管理员特权,但该数据中心的存储除外,ClusterAdmin 则仅对分配的群集具有管理员特权。
存储管理员只是特定存储域的系统管理角色。这在具有多个存储域的数据中心中很有用,每个存储域都需要系统管理员。使用标题栏中的 Configure 按钮,为环境中所有存储域分配存储管理员。
存储域管理员角色允许执行以下操作:
- 编辑存储域的配置。
- 将存储域移至维护模式。
- 删除存储域。
您只能将角色和权限分配给现有用户。
您还可以删除现有系统管理员并添加新系统管理员来更改存储域的系统管理员。
1.1.2.16. 存储管理员角色已说明
存储域权限角色
下表描述了适用于存储域管理的管理角色和特权。
| 角色 | 权限 | 备注 |
|---|---|---|
| StorageAdmin | 存储管理员 | 可以创建、删除、配置和管理特定的存储域. |
| GlusterAdmin | Gluster 存储管理员 | 可以创建、删除、配置和管理 Gluster 存储卷。 |
1.1.2.17. 为虚拟机池管理系统权限
作为 SuperUser,系统管理员可以管理管理门户的所有方面。可以为其他用户分配更具体的管理角色。这些受限管理员角色可用于授予用户管理特权,以限制它们仅具有特定资源。例如,DataCenterAdmin 角色仅对分配的数据中心具有管理员特权,但该数据中心的存储除外,ClusterAdmin 则仅对分配的群集具有管理员特权。
虚拟机池管理员是数据中心中虚拟机池的系统管理角色。此角色可以应用到特定的虚拟机池、数据中心或整个虚拟化环境;这对于允许不同的用户管理某些虚拟机池资源非常有用。
虚拟机池管理员角色允许执行以下操作:
- 创建、编辑和删除池。
- 将虚拟机从池中添加和分离。
您只能将角色和权限分配给现有用户。
1.1.2.18. 虚拟机池管理员角色说明
池权限角色
下表描述了适用于池管理的管理角色和特权。
| 角色 | 权限 | 备注 |
|---|---|---|
| VmPoolAdmin | 虚拟池的系统管理员角色. | 可以创建、删除和配置虚拟池,分配和删除虚拟池用户,以及对虚拟机执行基本操作。 |
| ClusterAdmin | Cluster Administrator | 可以使用、创建、删除、管理特定集群中的所有虚拟机池. |
1.1.2.19. 为虚拟磁盘管理系统权限
作为 SuperUser,系统管理员可以管理管理门户的所有方面。可以为其他用户分配更具体的管理角色。这些受限管理员角色可用于授予用户管理特权,以限制它们仅具有特定资源。例如,DataCenterAdmin 角色仅对分配的数据中心具有管理员特权,但该数据中心的存储除外,ClusterAdmin 则仅对分配的群集具有管理员特权。
Red Hat Virtualization Manager 提供两个默认虚拟磁盘用户角色,但没有默认的虚拟磁盘管理员角色。其中一个用户角色 DiskCreator 角色允许从虚拟机门户管理虚拟磁盘。此角色可应用于特定的虚拟机、数据中心、特定存储域或整个虚拟化环境;这对于允许不同的用户管理不同的虚拟资源非常有用。
虚拟磁盘创建者角色允许执行以下操作:
- 创建、编辑和删除与虚拟机或其他资源关联的虚拟磁盘。
- 编辑虚拟磁盘的用户权限。
您只能将角色和权限分配给现有用户。
1.1.2.20. 虚拟磁盘用户角色已说明
虚拟磁盘用户权限角色
下表描述了适用于在虚拟机门户中使用和管理虚拟磁盘的用户角色和特权。
| 角色 | 权限 | 备注 |
|---|---|---|
| DiskOperator | 虚拟磁盘用户。 | 可以使用、查看和编辑虚拟磁盘.继承使用虚拟磁盘所附加虚拟机的权限。 |
| DiskCreator | 可以在分配的集群或数据中心内创建、编辑、管理和移除虚拟磁盘。 | 此角色不适用于特定的虚拟磁盘;使用 Configure 窗口将此角色应用到整个环境的用户。另外,也可以将这个角色应用到特定的数据中心、集群或存储域。 |
1.1.2.20.1. 设置传统 SPICE 密码
SPICE 控制台默认使用 FIPS 兼容加密和密码字符串。默认的 SPICE 密码字符串为: kECDHE+FIPS:kDHE+FIPS:kRSA+FIPS:!eNULL:!aNULL:!aNULL
此字符串通常已足够。但是,如果您的虚拟机具有较旧的操作系统或 SPICE 客户端,其中一个或另一个不支持 FIPS 兼容的加密,则必须使用更弱的密码字符串。否则,如果您在现有集群中安装新集群或新主机并尝试连接到该虚拟机,则可能会出现连接安全错误。
您可以使用 Ansible playbook 更改密码字符串。
更改密码字符串
在 Manager 计算机上,在
/usr/share/ovirt-engine/playbooks目录中创建文件。例如:vim /usr/share/ovirt-engine/playbooks/change-spice-cipher.yml
# vim /usr/share/ovirt-engine/playbooks/change-spice-cipher.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在文件中输入以下内容并保存它:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 运行您刚才创建的文件:
ansible-playbook -l hostname /usr/share/ovirt-engine/playbooks/change-spice-cipher.yml
# ansible-playbook -l hostname /usr/share/ovirt-engine/playbooks/change-spice-cipher.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
或者,您可以使用带有变量 host_deploy_spice_cipher_string 的 --extra-vars 选项的 Ansible playbook ovirt-host-deploy 重新配置主机:
ansible-playbook -l hostname \ --extra-vars host_deploy_spice_cipher_string=”DEFAULT:-RC4:-3DES:-DES” \ /usr/share/ovirt-engine/playbooks/ovirt-host-deploy.yml
# ansible-playbook -l hostname \
--extra-vars host_deploy_spice_cipher_string=”DEFAULT:-RC4:-3DES:-DES” \
/usr/share/ovirt-engine/playbooks/ovirt-host-deploy.yml1.1.3. 调度策略
调度策略是一组规则,用于定义在群集中应用调度策略的主机之间分发虚拟机的逻辑。调度策略通过过滤器、权重和负载平衡策略的组合来确定此逻辑。过滤器模块应用硬实施,并过滤掉不符合该过滤器指定条件的主机。weights 模块应用软实施,用于控制决定集群中可以运行虚拟机的主机时所考虑因素的相对优先级。
Red Hat Virtualization Manager 提供了五种默认的调度策略:Evenly_Distributed, Cluster_Maintenance, None, Power_Saving, 和 VM_Evenly_Distributed。您还可以定义新的调度策略,对虚拟机的分发提供精细的控制。无论调度策略如何,虚拟机都不会在 CPU 过载的主机上启动。默认情况下,如果主机的 CPU 的负载超过 80% 达到 5 分钟,则主机 CPU 被视为过载,但这些值可以使用调度策略来更改。如需有关每个调度策略属性的更多信息,请参阅管理指南中的调度策略。
如需有关调度策略的工作方式的详细信息,请参阅 集群调度策略如何工作?
图 1.4. 平均分布式调度策略
Evenly_Distributed 调度策略在集群中的所有主机上平均分配内存和 CPU 处理负载。如果主机已达到定义的 CpuOverCommitDurationMinutes、HighUtilization、VCpuToPhysicalCpuRatio 或 MaxFreeMemoryForOverUtilized,则附加到主机的其他虚拟机将不会启动。
VM_Evenly_Distributed 调度策略根据虚拟机的数量在主机之间均匀分布虚拟机。如果任何主机运行的虚拟机数量超过 HighVmCount,且至少有一个主机具有超出 MigrationThreshold 范围的虚拟机数,则该集群被视为未平衡。
图 1.5. 节能调度策略
Power_Saving 调度策略在可用主机子集之间分配内存和 CPU 处理负载,以减少利用率不足的主机上的功耗。CPU 负载低于低利用率值的主机将超过定义的时间间隔,将所有虚拟机迁移到其他主机,以便将其关闭。如果主机已达到定义的高利用率值,则附加到主机的其他虚拟机将不会启动。
将 None 策略设置为主机之间没有用于运行虚拟机的负载或电源共享。这是默认的模式。当虚拟机启动时,内存和 CPU 处理负载会在集群中的所有主机上均匀分布。如果主机已达到定义的 CpuOverCommitDurationMinutes、HighUtilization 或 MaxFreeMemoryForOverUtilized,则附加到主机的其他虚拟机将不会启动。
Cluster_Maintenance 调度策略在维护任务期间限制集群中的活动。设置 Cluster_Maintenance 策略时,除了高可用性虚拟机外,无法启动新的虚拟机。如果发生主机故障,高可用性虚拟机将正确重新启动,任何虚拟机都可以迁移。
1.1.3.1. 创建调度策略
您可以创建新的调度策略,以控制将虚拟机分布到 Red Hat Virtualization 环境中的给定集群中的逻辑。
流程
-
单击
。 - 单击调度策略选项卡。
- 单击 New。
- 输入调度策略的 Name 和 Description。
配置过滤器模块:
- 在 Filter Modules 部分中,将要应用到 Disabled Filters 部分中的调度策略的首选过滤器模块拖放到 Enabled Filters 部分中。
- 也可以将特定过滤器模块设置为第一个,被赋予最高优先级 (或 Last ),从而获得最低的优先级,以进行基本的优化。要设置优先级,请右键单击任何过滤器模块,将光标悬停在位置上,然后选择 First 或 Last。
配置权重模块:
- 在 Weights 模块部分中,将应用于 Disabled Weights 部分的首选权重模块拖放到 Enabled Weights & Factors 部分。
- 使用已启用的权重模块左侧的 + 和 - 按钮来增加或减少这些模块的权重。
指定负载平衡策略:
- 从 Load Balancer 部分的下拉菜单中选择要应用到调度策略的负载平衡策略。
- 从 Properties 部分的下拉菜单中,选择要应用到调度策略的负载平衡属性,并使用该属性右侧的文本字段来指定值。
- 使用 + 和 - 按钮来添加或删除其他属性。
- 点击 。
1.1.3.2. 新调度策略和编辑调度策略窗口中的设置说明
下表详述了新建调度策略和编辑调度策略窗口中可用的选项。
| 字段名称 | Description |
|---|---|
| Name | 调度策略的名称。这是用于引用 Red Hat Virtualization Manager 中的调度策略的名称。 |
| Description | 调度策略的描述信息。建议使用此字段,但不强制设置。 |
| Filter Modules | 用于控制集群中虚拟机可以运行的主机的一组过滤器。启用过滤器将过滤不满足该过滤器指定条件的主机,如下所示:
|
| Weights Modules | 用于控制在决定虚拟机可以运行集群中的主机时所考虑因素的相对优先级的一组权重。
|
| Load Balancer | 此下拉菜单允许您选择要应用的负载平衡模块。负载平衡模块决定了用于将虚拟机从高使用量较高的主机迁移到利用率较低的主机的逻辑。 |
| Properties | 此下拉菜单允许您为负载平衡模块添加或删除属性,并且仅在您为调度策略选择负载平衡模块时才可用。默认情况下不定义任何属性,可用的属性特定于所选的负载平衡模块。使用 + 和 - 按钮向负载平衡模块添加或删除其他属性。 |
1.1.4. 实例类型
实例类型可用于定义虚拟机的硬件配置。创建或编辑虚拟机时选择实例类型将自动填写硬件配置字段。这使得用户可以使用相同硬件配置创建多个虚拟机,而无需手动填写每个字段。
对实例类型的支持现已弃用,并将在以后的发行版本中删除。
下表中所示,默认提供了一组预定义的实例类型:
| Name | 内存 | VCPU |
|---|---|---|
| tiny | 512 MB | 1 |
| small | 2 GB | 1 |
| Medium | 4 GB | 2 |
| Large | 8 GB | 2 |
| xlarge | 16 GB | 4 |
管理员还可以从 Configure 窗口的 Instance Types 选项卡创建、编辑和删除实例类型。
新虚拟机和编辑虚拟机窗口中绑定到实例类型的字段旁边有一个链链接镜像 (
)。如果更改了其中一个字段的值,则虚拟机将从实例类型分离,更改为 Custom,并且链会出现中断(
)。但是,如果值被更改回,链将重新链接,实例类型将移回所选类型。
1.1.4.1. 创建实例类型
管理员可以创建新的实例类型,用户可在创建或编辑虚拟机时选择这些类型。
流程
-
单击
。 - 单击 Instance Types 选项卡。
- 单击 New。
- 输入实例类型的 Name 和 Description。
- 单击 Show Advanced Options,再根据需要配置实例类型的设置。New Instance Type 窗口中出现的设置与 New Virtual Machine 窗口中出现的设置相同,但仅与相关字段相同。请参阅虚拟机管理指南中的新虚拟机和编辑虚拟机 Windows 中的设置说明。
- 点击 。
新实例类型将显示在 Configure 窗口中的 Instance Types 选项卡中,可以在创建或编辑虚拟机时从 Instance Type 下拉列表中选择。
1.1.4.2. 编辑实例类型
管理员可以从 Configure 窗口编辑现有的实例类型。
流程
-
单击
。 - 单击 Instance Types 选项卡。
- 选择要编辑的实例类型。
- 点 Edit。
- 根据需要更改设置。
- 点击 。
实例类型的配置已更新。创建基于此实例类型的新虚拟机时,或者更新基于此实例类型的现有虚拟机时,会应用新的配置。
基于此实例类型的现有虚拟机将显示标记为链图标的字段,该字段将更新。如果现有虚拟机在实例类型发生更改时正在运行,则它们旁边将显示 orange Pending Changes 图标,并且在下次重启时将更新链图标的字段。
1.1.4.3. 删除实例类型
流程
-
单击
。 - 单击 Instance Types 选项卡。
- 选择要删除的实例类型。
- 单击 Remove。
- 如果任何虚拟机都基于要删除的实例类型,则将显示一个警告窗口,列出附加的虚拟机。若要继续删除实例类型,可选中 Approve Operation 复选框。否则,单击取消。
- 点击 。
实例类型从 Instance Types 列表中删除,在创建新虚拟机时无法再使用。任何附加到已移除实例类型的虚拟机现在都将附加到自定义 (无实例类型)。
1.1.5. MAC 地址池
MAC 地址池定义为每个集群分配的 MAC 地址范围。为每个集群指定一个 MAC 地址池。通过使用 MAC 地址池,Red Hat Virtualization 可以自动生成 MAC 地址并为新的虚拟网络设备分配,这有助于防止 MAC 地址重复。当与集群相关的所有 MAC 地址都超出所分配的 MAC 地址池的范围时,MAC 地址池的内存池会提高内存效率。
同一 MAC 地址池可由多个集群共享,但每个集群分配了一个 MAC 地址池。Red Hat Virtualization 创建默认 MAC 地址池,并在未分配其他 MAC 地址池时使用。有关为集群分配 MAC 地址池的更多信息,请参阅创建新集群。
如果多个 Red Hat Virtualization 集群共享一个网络,则不要只依赖默认的 MAC 地址池,因为每个集群的虚拟机都将尝试使用相同的 MAC 地址范围,从而导致冲突。为避免 MAC 地址冲突,请检查 MAC 地址池范围,以确保为每个集群分配唯一的 MAC 地址范围。
MAC 地址池分配返回到池的最后一个地址之后的下一个可用 MAC 地址。如果范围中没有剩余地址,则搜索将从范围的开头重新开始。如果有多个 MAC 地址范围中定义了可用 MAC 地址,则范围将以与选择可用 MAC 地址相同的方式为传入的请求提供服务。
1.1.5.1. 创建 MAC 地址池
您可以创建新的 MAC 地址池。
流程
-
单击
。 - 单击 MAC Address Pools 选项卡。
- 点 Add。
- 输入新 MAC 地址池的名称和描述。
选中 Allow Duplicates 复选框,以允许池中多次使用 MAC 地址。MAC 地址池不会自动使用重复的 MAC 地址,但启用重复选项意味着用户可以手动使用重复的 MAC 地址。
注意如果一个 MAC 地址池被禁用,并且另一个 MAC 地址启用了重复,则池中可以多次使用重复项并禁用重复,但可以在启用了重复功能的池中多次使用。
- 输入所需的 MAC Address Ranges。若要输入多个范围,可单击 From 和 To 字段旁边的加号按钮。
- 点击 。
1.1.5.2. 编辑 MAC 地址池
您可以编辑 MAC 地址池来更改详细信息,包括池中可用的 MAC 地址范围以及是否允许重复。
流程
-
单击
。 - 单击 MAC Address Pools 选项卡。
- 选择要编辑的 MAC 地址池。
- 点 Edit。
根据需要更改 Name, Description, Allow Duplicates, 和 MAC Address Ranges 字段。
注意更新 MAC 地址范围时,不会重新分配现有 NIC 的 MAC 地址。已分配但位于新 MAC 地址范围之外的 MAC 地址作为用户指定的 MAC 地址添加,仍然由 MAC 地址池跟踪。
- 点击 。
1.1.5.3. 编辑 MAC 地址池权限
创建 MAC 地址池后,您可以编辑其用户权限。用户权限控制哪些数据中心可以使用 MAC 地址池。有关添加新用户权限的更多信息,请参阅 角色。
流程
-
单击
。 - 单击 MAC Address Pools 选项卡。
- 选择所需的 MAC 地址池。
编辑 MAC 地址池的用户权限:
在 MAC 地址池中添加用户权限:
- 在 Configure 窗口底部的用户权限窗格中,单击 Add。
- 搜索并选择所需用户。
- 从 Role to Assign 下拉列表中选择所需的角色。
- 单击以添加用户权限。
从 MAC 地址池删除用户权限:
- 在 Configure 窗口底部的用户权限窗格中,选择要删除的用户权限。
- 单击 Remove 以删除用户权限。
1.1.5.4. 删除 MAC 地址池
如果池没有与集群关联,您可以删除创建的 MAC 地址池,但无法删除默认的 MAC 地址池。
流程
-
单击
。 - 单击 MAC Address Pools 选项卡。
- 选择要删除的 MAC 地址池。
- 单击 Remove。
- 点击 。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}