Изменение FQDN менеджера управления
1. Общие сведения
|
Данная инструкция применима только для установок с Keycloak. При использовании AAA-JDBC необходимо воспользоваться инструкцией Использование альтернативного доменного имени или IP адреса для доступа к веб-интерфейсу менеджера управления zVirt. |
В процессе развертывания среды виртуализации генерируется ряд сертификатов и ключей, которые используют указанное в процессе установки полное доменное имя (далее - FQDN) менеджера управления виртуализации.
Если в дальнейшем FQDN менеджера управления виртуализации будет изменен (например, в процессе переноса хоста в другой домен, на котором размещен менеджер управления), FQDN необходимо обновить.
Утилита ovirt-engine-rename автоматизирует процесс обновления FQDN менеджера управления и обновляет FQDN в следующих конфигурационных файлах:
-
Для версий zVirt 4.2 и старше:
/etc/ovirt-engine/engine.conf.d/10-setup-protocols.conf /etc/ovirt-engine/isouploader.conf.d/10-engine-setup.conf /etc/ovirt-engine/logcollector.conf.d/10-engine-setup.conf /etc/pki/ovirt-engine/cert.conf /etc/pki/ovirt-engine/cert.template /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.p12 -
Для версий zVirt 4.3 и новее:
/etc/grafana/grafana.ini /etc/httpd/conf.d/internalsso-openidc.conf /etc/ovirt-engine/engine.conf.d/10-setup-grafana-access.conf /etc/ovirt-engine/engine.conf.d/10-setup-protocols.conf /etc/ovirt-engine/logcollector.conf.d/10-engine-setup.conf /etc/ovirt-engine/ovirt-vmconsole-proxy-helper.conf.d/10-setup.conf /etc/ovirt-provider-ovn/conf.d/10-setup-ovirt-provider-ovn.conf /etc/pki/ovirt-engine/cert.conf /etc/pki/ovirt-engine/cert.template /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/ovirt-provider-ovn.cer /etc/pki/ovirt-engine/certs/websocket-proxy.cer /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.p12 /etc/pki/ovirt-engine/keys/ovirt-provider-ovn.key.nopass /etc/pki/ovirt-engine/keys/ovirt-provider-ovn.p12 /etc/pki/ovirt-engine/keys/websocket-proxy.key.nopass /etc/pki/ovirt-engine/keys/websocket-proxy.p12 /etc/pki/ovirt-engine/qemu-cert.template
|
В процессе обновления прежний FQDN должен разрешаться с помощью DNS. Если в процессе работы ovirt-engine-rename завершается с ошибкой:
необходимо добавить прежний FQDN в файл Команда После выполнения процедуры смены FQDN менеджера управления не удаляйте старое имя хоста из файла /etc/hosts, так как оно необходимо для корректной работы внутренних служб менеджера управления. |
Во время выполнения процедуры переименования менеджера управления, утилита ovirtengine-rename проверяет среду виртуализации, а именно расположены ли локально на хосте с менеджером управления домены данных или ISO.
Если утилита обнаруживает локальные домены, то пользователю будет предложено извлечь, выключить или перевести в режим обслуживания все виртуальные машины или домены хранения, подключенные к локальному хранилищу перед выполнением операции.
Это гарантирует, что виртуальные машины не потеряют связь со своими виртуальными дисками, а домены хранения ISO не потеряют связь во время процесса переименования.
2. Изменение FQDN менеджера управления
2.1. Изменение FQDN менеджера управления в режиме Standalone
-
Подготовьте соответствующие записи для нового FQDN в DNS.
-
Обновите конфигурацию DHCP-сервера, если DHCP используется.
-
Если хост совмещает функции гипервизора и менеджера управления, тогда этот хост необходимо удалить из среды виртуализации.
-
Обновите имя хоста, на котором располагается менеджер управления с помощью команды:
hostnamectl set-hostname __new_engine_fqdn__ -
Выполните следующую команду:
/usr/share/ovirt-engine/setup/bin/ovirt-engine-rename -
При появлении запроса нажмите Enter, чтобы остановить службу engine:
During execution engine service will be stopped (OK, Cancel) [OK]: -
При появлении запроса введите новое FQDN для Менеджера управления:
New fully qualified server name:__new_engine_fqdn__
Команда ovirt-engine-rename обновит записи FQDN Менеджера управления.
2.2. Изменение FQDN менеджера управления в режиме HostedEngine
-
Подготовьте соответствующие записи для нового FQDN в DNS.
-
Обновите конфигурацию DHCP-сервера, если DHCP используется.
-
Перейдите в консоль гипервизора и включите режим глобального обслуживания с помощью команды:
hosted-engine --set-maintenance --mode=global -
Перейдите в консоль ВМ HostedEngine и обновите hostname с помощью команды:
hostnamectl set-hostname __new_engine_fqdn__ -
Выполните следующую команду:
/usr/share/ovirt-engine/setup/bin/ovirt-engine-rename -
При появлении запроса нажмите Enter, чтобы остановить службу engine:
During execution engine service will be stopped (OK, Cancel) [OK]: -
При появлении запроса введите новое FQDN для Менеджера управления:
New fully qualified server name:__new_engine_fqdn__ -
Выполните следующую команду на каждом существующем узле с ролью hosted engine
hosted-engine --set-shared-config fqdn __new_engine_fqdn__ --type=he_localЭта команда изменяет FQDN в локальной копии файла /etc/ovirt-hosted-engine-ha/hosted-engine.conf, имеющейся на каждом узле с ролью hosted engine
-
Выполните следующую команду на одном из узлов с ролью hosted engine
hosted-engine --set-shared-config fqdn __new_engine_fqdn__ --type=he_sharedЭта команда изменяет FQDN в мастер-копии файла /etc/ovirt-hosted-engine-ha/hosted-engine.conf в общем домене хранения.
-
Перейдите в консоль гипервизора и выключите режим глобального обслуживания с помощью команды:
hosted-engine --set-maintenance --mode=noneТеперь все новые и существующие узлы с ролью hosted engine используют новое FQDN.
3. Дополнительные действия после изменения FQDN
Для zVirt версии 4.2 с Keycloak после смены FQDN необходимо также выполнить следующие действия:
-
Подключитесь к Менеджеру управления по ssh.
-
Откройте на редактирование файл /etc/httpd/conf.d/internalsso-openidc.conf.
-
Укажите новый FQDN в параметрах: OIDCProviderMetadataURL, OIDCRedirectURI, OIDCDefaultURL. Например:
OIDCProviderMetadataURL https://<new-fqdn>/ovirt-engine-auth/realms/zvirt-internal/.well-known/openid-configuration OIDCRedirectURI https://<new-fqdn>/ovirt-engine/callback OIDCDefaultURL https://<new-fqdn>/ovirt-engine/login?scope=ovirt-app-admin+ovirt-app-portal+ovirt-ext%3Dauth%3Asequence-priority%3D%7E -
Обновите конфигурацию сервиса httpd: systemctl reload httpd
systemctl reload httpd -
Перейдите в портал Keycloak и авторизуйтесь.
-
Убедитесь, что выбран realm zvirt-internal.
-
Перейдите в раздел в Клиенты (Clients).
-
В списке клиентов нажмите на имя zvirt-engine-internal.
-
В разделе Настройки доступа (Access settings) во всех полях укажите новый FQDN.
Значение в конце параметра Валидация URI перенаправления (Valid Redirect URIs) должно оканчиваться символом "*"
-
Нажмите Сохранить (Save) для сохранения изменений.