- Обновление сертификатов oVirt, пох., 21:17 , 28-Фев-23 (1)
- Обновление сертификатов oVirt, casm, 05:34 , 01-Мрт-23 (2)
CA находится на oVirt Engine. Если oVirt развёрнут по схеме HostedEngine, то ВМ с CA не запустится пока vdsmcert.pem has expired. Замкнутый круг - чтобы починить сертификат нужен СА, а СА не запустится пока сертификат не починен. Самоподписной сертификат хоть с altname, хоть без - кластер не примет. Можно развернуть Engine на физическом сервере, но тогда для него не будет High Availability.
- Обновление сертификатов oVirt, пох., 16:12 , 05-Мрт-23 (8)
- Обновление сертификатов oVirt, casm, 17:03 , 05-Мрт-23 (9)
CA сделан на базе openssl, находится на виртуалке с engine работает постоянно, отдельной виртуалки для CA нет. Но если выключить engine при истекшем сертификате (сбой питания или "у нас консоль не работает, а давайте всё перезагрузим, может заработает"), то обратно она уже не включится.
- Обновление сертификатов oVirt, Noname, 14:14 , 01-Мрт-23 (3)
- Обновление сертификатов oVirt, RHEL Fan, 21:33 , 03-Мрт-23 (4)
- Обновление сертификатов oVirt, pofigist, 12:48 , 04-Мрт-23 (5)
- Обновление сертификатов oVirt, ivan_erohin, 08:51 , 05-Мрт-23 (6)
- Обновление сертификатов oVirt, casm, 10:37 , 05-Мрт-23 (7)
0) сложно сказать - я сисадмин, а не разработчик oVirt. Исходный код доступен https://github.com/oVirt думаю если его изучить, то найдёте решение 1) теоретически можно отредактировать файлы openssl https://github.com/oVirt/ovirt-engine/blob/master/packaging/... на практике не проверял 2) сертификаты web-интерфейса oVirt Engine можно перевести на Let's Encrypt https://habr.com/ru/post/424127/, https://www.ovirt.org/documentation/administration_guide/#Re... для обмена между engine и хостами виртуализации используются самоподписные сертификаты, созданные на engine. По-умолчанию CA находится на ваших серверах, под вашим управлением. Переводить их в зависимость от внешних служб, для меня - сомнительная идея. 3) потеря производительности при виртуализации будет заметна при интенсивном использовании CPU и памяти (СУБД, задачи САПР) - для таких задач лучше использовать физические сервера. Виртуализацию лучше использовать для мало или средне нагруженных задач - появится возможность миграции между хостами, динамически менять объём ОЗУ и кол-во процессоров ВМ если не будет хватать ресурсов для задачи. На моей практике производительность больше упирается в ограничения ввода/вывода дисковой системы - когда несколько ВМ совместно используют хранилище.
- Обновление сертификатов oVirt, 54r, 06:38 , 06-Мрт-23 (11) –1
- Обновление сертификатов oVirt, casm, 08:58 , 06-Мрт-23 (12)
1. Сертификаты Let's Encrypt можно использовать только для web-консоли, для хостов (гипервизоров) используется внутренний CA. Перезапускать службы при обновлении сертификатов хоть let's encrypt, хоть собственных в любом случае придётся. Только вот с let's encrypt это придётся делать раз в 90 дней, а с собственными - раз с год.2. Физические сервера, естественно, нужно дублировать. Для защиты служб есть кластерные решения: Pacemaker/Corosync, Oracle Clusterware, MS Cluster Services.
- Обновление сертификатов oVirt, ivan_erohin, 15:57 , 06-Мрт-23 (13)
- Обновление сертификатов oVirt, пох., 13:57 , 08-Авг-23 (21)
- Обновление сертификатов oVirt, Alexey, 13:26 , 02-Мрт-24 (22)
|