Настройки → Дополнения#

Auth-ldap – дополнение для аутентификации пользователей в Numa Collider через LDAP#

Настройка доступа пользователей через LDAP выполняется в следующей последовательности:

1. Раскройте дополнение auth-ldap, нажав
2. URI* – укажите IP-адрес или FQDN LDAP-сервера (например, ldap://10.10.10.10)
3. Base* – укажите базовую ветку каталога для поиска пользователя (например, DC=office,DC=example,DC=ru)
4. Если для доступа к каталогу необходимо выполнить авторизацию, то раскройте форму Credentials. Для этого установите рядом с полем Заполните информацию (не обязательно). После введите имя и пароль пользователя, имеющего права доступа к каталогу, в полях dn* и password* соответственно
5. User filter – укажите фильтр пользователей, по которому они буду добавляться в NC (например, (sAMAccountName={{name}})). Для MS AD также доступны другие фильтры, например:
   • (sAMAccountName={{name}}@<domain>)
   • (userPrincipalName={{name}})
   • (&(sAMAccountName={{name}})(memberOf=<group DN>)) – если нужно указать принадлежность к группе
6. ID attribute – укажите атрибут для сопоставления пользователя LDAP с пользователем Numa Collider (например, dn). Атрибут должен быть уникальным
7. Нажмите Сохранить конфигурацию

8. Активируйте плагин

   Примечание

   Пользователи будут отображаться в Настройки → Пользователи после их первого входа в Numa Collider

   

   

Тестирование подключения пользователей:

1. Укажите имя и пароль пользователя в разделе Test data и нажмите Test plugin
2. Убедитесь, что тест пройден
3. Перейдите в раздел Пользователи и убедитесь, что тестовый пользователь добавлен

4. Перейдите в раздел Контроль доступа:

   • Выберите добавленного пользователя
   • Выберите объекты, которые будут доступны пользователю
   • Выберите роль пользователя и нажмите Создать

5. Выйдите из учетной записи Администратора Numa Collider

6. Авторизуйтесь под учетной записью пользователя AD
7. Убедитесь в наличии доступных объектов

Настройка синхронизации групп выполняется в следующей последовательности:

1. Раскройте форму Synchronize groups. Для этого установите рядом с полем Заполните информацию (не обязательно)
2. Base* – укажите базовую ветку каталога для поиска групп (например, CN=Users,DC=office,DC=example,DC=ru)
3. Filter* – укажите фильтр (например, (ObjectClass=group))
4. ID attribute* – укажите атрибут для сопоставления группы LDAP с группой Collider (например, dn). Атрибут должен быть уникальным
5. Display name attribute* – укажите атрибут, используемый для определения названия группы в Collider, (например, cn)

6. В подразделе Members mapping:

   • Group attribute* – укажите атрибут, используемый для поиска членов группы (например, member). Значения должны ссылаться на идентификаторы пользователей (см. атрибут ID attribute)
   • User attribute* – укажите пользовательский атрибут, используемый для сопоставления членов группы с пользователями, (например, dn)

7. Нажмите Сохранить конфигурацию

8. Перейдите в раздел Настройки → Группы и нажмите Синхронизировать LDAP группы
9. Убедитесь, что после синхронизации подгрузились группы пользователей из LDAP-сервера

Backup-reports – дополнение отправки отчетов о резервном копировании#

Отправить отчет с результатом выполнения резервного копирования можно на электронную почту и на XMPP (Jabber) сервер.

1. Активируйте дополнение backup-reports, переключив его в положение (включено)
2. Настройте и активируйте дополнение transport-email для возможности отправки отчетов через email-сообщения
3. Для получения отчета на электронную почту:
   1. В разделе mails выберите Заполните информацию (необязательно)
   2. Нажмите Добавить
   3. Введите электронную почту получателя отчетов
4. Для получения отчета на XMPP-сервер NC1.2:
   1. Настройте XMPP-сервер
   2. В разделе xmpp address выберите Заполните информацию (необязательно)
   3. Нажмите Добавить
   4. Введите Jabber ID (JID) получателя отчетов в формате имя-пользователя@доменное-имя-сервера
5. Для тестирования дополнения:
   1. Скопируйте идентификатор выполненного задания резервного копирования, перейдя в Резервное копирование → Обзор → раздел Журнал → статус задания (1) → идентификатор задания (2) (см. рисунок)
   2. В разделе Test data введите в поле runId идентификатор и нажмите Test plugin
   3. В результате на электронную почту и (или) XMPP-сервер, указанного(-ых) при создании задания резервного копирования, должно быть доставлено сообщение

Load-balancer – балансировка нагрузки#

Максимальная

Для работы балансировки нагрузки (load-balancer) необходимо наличие двух и более серверов. Активация дополнения производится через меню Настройки → Дополнения → load-balancer. Для настройки дополнения создайте план:

1. Активируйте дополнение load-balancer
2. Раскройте настройки, нажав
3. В разделе Plans выберите Заполните информацию (необязательно)

4. Нажмите Добавить

   

5. Заполните форму Plan:

   • Name* – введите название создаваемой политики
   • Mode* – выберите режим (подробное описание режимов в Режимы балансировки нагрузки)
   • Pools* – выберите пул(-ы), в котором(-ых) будет применена политика
   • Execute host – выберите серверы, на которые не будет распространяться правило
   • Anti-affinity tags – выберите метки ВМ. Подробнее про правило Anti-affinity в VM anti-affinity (Правило Anti-affinity)
   • Performance plan behaviour – режимы отработки плана по балансировке нагрузки:
     • Conservative – режим по умолчанию. Балансировка нагрузки выполняется только при достижении критических порогов нагрузки на ЦП или ОЗУ
     • Preventive – профилактический режим. Балансировка нагрузки выполняется не только при достижении критических порогов нагрузки, но и при разрозненных значениях ЦП серверов в пуле. Например, чтобы избежать ситуаций, при которых ЦП сервера используется на 60%, а на других серверах – на 10%. В режиме по умолчанию (Conservative) такое поведение будет считаться приемлимым
     • vCPU balancing – режим балансировки vCPU. Когда нагрузка на пул низкая (меньше 40% нагрузки на ЦП серверов), этот режим пытается распределить ВМ по серверам так, чтобы избежать чрезмерных различий в количестве vCPU на ЦП и предотвратить большое количество миграций ВМ при увеличении нагрузки на сервер
6. Установите критические пороги использования ресурсов Critical thresholds (опционально):
   • CPU (%) – максимальная нагрузка ЦП (%). Это значение является средней нагрузкой за последние 30 минут на все ядра на сервере. Процесс балансировки нагрузки запускается при достижении 85% от критического порога, указанного в данном параметре
   • RAM, Free memory (MB) – максимальный объем ОЗУ (МБ)
7. Добавьте еще один план (опционально)
8. В разделе Advanced можно указать максимальное количество одновременных миграций ВМ, так как выполнение большого количества миграций значительно увеличивает время простоя мигрирующих ВМ NC1.2
9. Нажмите Сохранить конфигурацию

При достижении сервером из выбранного пула установленных критических значений нагрузки ЦП и (или) объема ОЗУ, Numa Collider начнет распределять ВМ из нагруженного сервера между другими доступными серверами для достижения максимальной производительности серверов.

Режимы балансировки нагрузки#

При создании правила балансировки нагрузки на выбор представлено 3 режима: Performance, Density и Simple.

Режим Performance обеспечивает достижение максимального уровня производительности для ВМ, распределяя ВМ по всем доступным серверам. Например, если на одном сервере развернуты несколько ВМ и в какой-то момент времени одна из ВМ начинает использовать большие ресурсы для своей работы, то другие ВМ перемещаются на другой менее нагруженный сервер во избежание снижения их производительности.

Режим Density наоборот размещает ВМ на минимальном количестве серверов для снижения энергопотребления за счет отключения не нагруженных серверов.

Режим Simple не производит балансировку нагрузки на основе производительности, он необходим для функционирования пользовательских правил размещения, таких как VM anti-affinity (Правило Anti-affinity).

VM anti-affinity (Правило Anti-affinity)#

Правило Anti-Affinity предотвращает запуск ВМ с одинаковыми пользовательскими метками на одном сервере и распределяет их между серверами, повышая производительность и отказоустойчивость системы. Применение данного правила полезно при разворачивании высоконагруженных систем на нескольких ВМ во избежание их одновременного функционирования с использованием ресурсов только одного сервера или если на нескольких ВМ развернута база данных с репликацией.

Перед настройкой правила Anti-affinity задайте пользовательские метки ВМ следующими способами:

• В Инфраструктура → Виртуальные машины раскройте сведения о ВМ , добавьте метки, нажав .

  или

• Перейдите в ВМ во вкладку Общее, под информацией о ресурсах нажмите , введите наименование метки или выберите из существующих.

Для настройки правила Anti-affinity в форме создания плана балансировки нагрузки:

1. Mode: выберите Simple mode
2. Anti-affinity tags: выберите необходимые метки ВМ

При запуске ВМ с одинаковыми метками, выбранных при настройке правила Anti-affinity, часть ВМ мигрирует на другой сервер.

Perf-alert – отправка оповещений на основе критериев производительности#

NC1.2

Дополнение позволяет отправлять оповещения на электронную почту, если будут достигнуты предельные значения критериев производительности (в %) для серверов, ВМ и хранилищ:

• для серверов и ВМ доступна установка предельных значений для использования ЦП (cpuUsage) и использования памяти (memoryUsage)
• для хранилищ доступна установка предельных значений для использования памяти (memoryUsage)

Пример. Настройка оповещений при достижении предельных значений использования ЦП для ВМ#

1. Загрузите дополнение perf-alert, переключив его в положение (включено)
2. Настройте и загрузите дополнение transport-email для возможности отправки отчетов на электронную почту
3. Раскройте дополнение perf-alert, нажав
4. В разделе VM Monitors установите рядом с полем Заполните информацию (не обязательно) и нажмите Добавить
5. В разделе Элемент установите следующие значения:
   • Virtual Machines – выберите нужную ВМ. В данном примере – ОС Ubuntu
   • Alarm Type – выберите критерий производительности. В данном примере – cpuUsage
   • Comparator – выберите знак больше или меньше относительно заданного значения в Threshold. В данном примере – > (знак больше)
   • Threshold – задайте предельное значение использования ЦП в процентах. В данном примере – 50
   • Average Length (s) – укажите время в секундах. Если в течение указанного времени загруженность ЦП будет выше предельного значения, пользователь будет оповещен
6. В разделе Email addresses установите рядом с полем Заполните информацию (не обязательно) и введите электронную почту получателей оповещения

Тестирование дополнения#

1. Установим пакет stress на ВМ с ОС Ubuntu:

   1	sudo apt install stress

2. Запустим пакет stress для загрузки ЦП

   

3. Наблюдаем за статистикой использования ЦП во вкладке Статистика ВМ

   

4. Убедимся, что через 60 секунд на электронную почту пришло уведомление о достижении использования ЦП более чем 50%

   

SDN-controller – дополнение для настройки оверлейных сетей#

Виртуальный коммутатор значительно упрощает администрирование в виртуальных сетей – все настройки и данные статистики ВМ остаются связанными с ВМ, даже если она мигрирует с одного сервера общего пула на другой.

При использовании контроллера программно-определяемых сетей (SDN-controller), поддерживающего протокол OpenFlow, виртуальные коммутаторы будут реализовывать дополнительную функциональность, например, списки управления доступом (Access Control List, ACL).

Определение сетевого стека#

1. Для определения сетевого стека, настроенного в настоящее время, выполните:

   1	xe host-param-get param-name=software-version param-key=network_backend uuid=<host_uuid>

2. Если после выполнения команды вернулась строка bridge, переключите стек на Open vSwitch и выполните перезагрузку:

   1	xe-switch-network-backend openvswitch

   1

   reboot

3. Для возвращения к стеку Linux-моста выполните следующую команду и перезагрузите сервер:

   1	xe-switch-network-backend bridge

   1

   reboot

Стек Linux-моста не поддерживает протокол OpenFlow, межсерверные частные сети (Cross Server Private Networks) и не может управляться посредством контроллера программно-определяемых сетей.

Настройка iptables#

Далее выполните настройку iptables на всех хостах Numa vServer.

1. Откройте через текстовый редактор nano файл для хранения правил iptables:

   1	nano /etc/iptables/iptables

2. Добавьте строки:

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

   :xapi-INPUT - [0:0] :xapi_nbd_input_chain - [0:0] :xapi_nbd_output_chain - [0:0] -A INPUT -j xapi-INPUT -A INPUT -p tcp -m tcp --dport 10809 -j xapi_nbd_input_chain -A INPUT -p gre -j ACCEPT -A OUTPUT -p tcp -m tcp --sport 10809 -j xapi_nbd_output_chain -A vServer-Firewall-0-INPUT -p tcp -m tcp --dport 21064 -j ACCEPT -A vServer-Firewall-0-INPUT -p udp -m multiport --dports 5404,5405 -j ACCEPT -A xapi-INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 6653 -j ACCEPT -A xapi-INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 6640 -j ACCEPT -A xapi-INPUT -p udp -m conntrack --ctstate NEW -m udp --dport 6640 -j ACCEPT -A xapi-INPUT -j RETURN -A xapi_nbd_input_chain -j REJECT --reject-with icmp-port-unreachable -A xapi_nbd_output_chain -j REJECT --reject-with icmp-port-unreachable

   В итоге /etc/iptables/iptables приобретет вид:

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34

   *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :vServer-Firewall-0-INPUT - [0:0] :xapi-INPUT - [0:0] :xapi_nbd_input_chain - [0:0] :xapi_nbd_output_chain - [0:0] -A INPUT -j xapi-INPUT -A INPUT -p tcp -m tcp --dport 10809 -j xapi_nbd_input_chain -A INPUT -p gre -j ACCEPT -A INPUT -j vServer-Firewall-0-INPUT -A FORWARD -j vServer-Firewall-0-INPUT -A OUTPUT -p tcp -m tcp --sport 10809 -j xapi_nbd_output_chain -A vServer-Firewall-0-INPUT -i lo -j ACCEPT -A vServer-Firewall-0-INPUT -p icmp --icmp-type any -j ACCEPT # DHCP for host internal networks (CA-6996) -A vServer-Firewall-0-INPUT -p udp -m udp --dport 67 --in-interface xenapi -j ACCEPT -A vServer-Firewall-0-INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # Linux HA hearbeat -A vServer-Firewall-0-INPUT -m conntrack --ctstate NEW -m udp -p udp --dport 694 -j ACCEPT -A vServer-Firewall-0-INPUT -m conntrack --ctstate NEW -m tcp -p tcp --dport 22 -j ACCEPT -A vServer-Firewall-0-INPUT -m conntrack --ctstate NEW -m tcp -p tcp --dport 80 -j ACCEPT -A vServer-Firewall-0-INPUT -m conntrack --ctstate NEW -m tcp -p tcp --dport 443 -j ACCEPT -A vServer-Firewall-0-INPUT -p tcp -m tcp --dport 21064 -j ACCEPT -A vServer-Firewall-0-INPUT -p udp -m multiport --dports 5404,5405 -j ACCEPT -A vServer-Firewall-0-INPUT -j REJECT --reject-with icmp-host-prohibited -A xapi-INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 6653 -j ACCEPT -A xapi-INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 6640 -j ACCEPT -A xapi-INPUT -p udp -m conntrack --ctstate NEW -m udp --dport 6640 -j ACCEPT -A xapi-INPUT -j RETURN -A xapi_nbd_input_chain -j REJECT --reject-with icmp-port-unreachable -A xapi_nbd_output_chain -j REJECT --reject-with icmp-port-unreachable COMMIT

3. Сохраните файл сочетанием клавиш Ctrl+O

4. Подтвердите сохранение изменений нажатием Enter
5. Выйдите из редактора nano сочетанием клавиш Ctrl+X
6. Перезагрузите МЭ

   1	systemctl restart iptables

Настройка TLS#

Для настройки TLS-соединения необходимо сгенерировать:

1. Для каждого хоста виртуализации:
   1. Корневой сертификат (sdn-controller-ca.pem)
   2. Серверный сертификат (server-cert.pem)
   3. Серверный ключ (server-key.pem)
2. Для ВМ Numa Collider:
   1. Корневой сертификат (ca-cert.pem)
   2. Сертификат клиента (client-cert.pem)
   3. Ключ клиента (client-key.pem)

Настройки в CLI Numa vServer, приведенные ниже, необходимо провести для каждого хоста виртуализации.

1. Скопируйте sdn-controller-ca.pem, server-cert.pem и server-key.pem в /etc/stunnel/certs/
2. Войдите в CLI Numa vServer как суперпользователь root (ssh или локальная консоль)
3. Перейдите в каталог /etc/stunnel/certs/ и создайте файл xapi-stunnel-ca-bundle.pem. Для этого выполните следующие команды:

   1	find /etc/stunnel/certs -name '*.pem' | xargs cat > /etc/stunnel/xapi-stunnel-ca-bundle.pem.tmp

   1	mv /etc/stunnel/xapi-stunnel-ca-bundle.pem.tmp /etc/stunnel/xapi-stunnel-ca-bundle.pem

4. Находясь в /etc/stunnel/certs/, создайте файл xapi-ssl.pem и скопируйте его в /etc/xcp

   1	cat server-key.pem > xapi-ssl.pem

   1	cat server-cert.pem >> xapi-ssl.pem

   1	mv ./xapi-ssl.pem /etc/xcp/

5. Включите SSL в Open vSwitch

   1	ovs-vsctl set-ssl /etc/stunnel/certs/server-key.pem /etc/stunnel/certs/server-cert.pem /etc/stunnel/certs/sdn-controller-ca.pem

6. Перезапустите xe-toolstack и загрузите модуль vport_vxlan

   1	xe-toolstack-restart

   1	modprobe vport_vxlan

7. Войдите в CLI ВМ Numa Collider (ncvm), используя логин и пароль ncadmin

8. Создайте каталог хранения сертификатов и ключа

   1	mkdir /home/ncadmin/certs

9. Скопируйте ca-cert.pem, client-cert.pem, client-key.pem в /home/ncadmin/certs/
10. В Numa Collider подключите настроенные серверы через Добавить → Сервер

Настройка дополнения настройки оверлейных сетей sdn-controller#

В Numa Collider модуль sdn-controller является дополнением для настройки оверлейных сетей. Для настройки данного дополнения:

1. Перейдите в меню Настройки → Дополнения. Найдите модуль sdn-controller

   Внимание

   При попытке инкапсулировать в GRE пакет размером в 1500 байт, реальный размер пакета увеличится до 1524 байт (за счет добавления дополнительных заголовков GRE), а ввиду установленного маршрутизатором DF-бита (do not fragment), фрагментация пакета невозможна. Решить эту проблему можно принудительным снятием бита DF, тем самым побуждая маршрутизатор совершить фрагментацию пакета. Этот способ не рекомендуется, поскольку увеличивает количество передаваемых пакетов и количество служебной информации (overhead), тем самым снижая максимально доступную пропускную способность и увеличивая нагрузку на оборудование. Также сама процедура фрагментации требует дополнительного буфера памяти для хранения фрагментов и вычислительных мощностей для совершения сборки и фрагментирования пакетов. При наличии маршрутизаторов на пути следования пакетов рекомендуется уменьшить MTU до 1476, либо увеличить MTU на всех интерфейсах и каналах между маршрутизаторами формирующими GRE (использование Jumbo-кадров c MTU от 1500 до 9216 байт).

2. В блоке cert-dir укажите путь к сертификатам в ncvm (/home/ncadmin/certs)

3. Сохраните конфигурацию
4. Для загрузки дополнения переведите его в положение (включено)

Создание оверлейной сети#

Далее рассматривается создание оверлейной сети с инкапсуляцией GRE. Сеть с VxLAN создается аналогично (на шаге 7 из списка выберите тип инкапсуляции VxLAN). Настройка Iptables, Open vSwitch и SDN-контроллера уже выполнена с учетом использования как GRE, так и VxLAN инкапсуляции.

Для создания сети:

1. Перейдите в меню Добавить → Сеть
2. Выберите основной пул (1)
3. Включите режим Частная сеть (2)
4. Выберите сетевой интерфейс (3)
5. Задайте имя для новой сети (4)
6. При необходимости задайте MTU (5)
7. Выберите тип инкапсуляции (6)
8. Нажмите Добавить пул и выберите все пулы и их физические сетевые интерфейсы, для которых создается сеть (7)
9. Нажмите Создать сеть (8)

По завершении процесса создания сети откроется вкладка «Сеть» мастер-хоста пула, который был назначен на шаге 2 создания сети.

Проверка работы созданной сети#

Проверить работу созданного туннеля возможно следующим способом:

1. Создайте ВМ на хостах Numa vServer, содержащих tunnel0
2. Переведите VIF ВМ в сеть созданного ранее туннеля
3. Включите ВМ
4. Повторите шаги с 1, 2, 3 для других ВМ
5. В консоли ВМ выполните команду:

   1	ping <ip_vm>

   где <ip_vm> – IP другой виртуальной машины с VIF в сети созданного туннельного подключения.

Transport-email – дополнение для настройки отправки email-сообщений#

1. В блоке from в поле address* укажите электронную почту, которая будет отображаться в качестве отправителя
2. В блоке transport укажите данные почтового сервера
3. Сохраните конфигурацию
4. Дополнительно до загрузки дополнения можно протестировать настройки. Для этого введите в поле to* электронную почту получателя и нажмите Test plugin. В результате на указанный адрес должно быть доставлено сообщение
5. Для загрузки дополнения переведите его в положение (включено)

Usage-report – дополнение отправки отчетов#

Дополнение предназначено для формирования отчета об использовании ресурсов всеми компонентами инфраструктуры.

1. Раскройте дополнение usage-report, нажав
2. В блоке emails нажмите Добавить и укажите электронные адреса всех получателей отчетов
3. all – при активации параметра будут сформированы подробные отчеты по каждому компоненту инфраструкты в отдельных csv-файлах, а также общий отчет со статистикой по каждому элементу ВМ, серверов и хранилищ

4. periodicity – укажите периодичность отправки отчетов:

   • monthly – ежемесячная
   • weekly – еженедельная
   • daily – ежедневная

5. Нажмите Сохранить конфигурацию

6. Для загрузки дополнения переведите его в положение (включено)