更新oVirt证书

Question

当我以目前的职位接替我的前任时，我继承了一堆机器(正如你所期望的)。其中之一是公司的oVirt系统管理程序环境(在4.3上，跨两台服务器)，他设置了这个环境，我完全承认，我从来没有适应过它的内部环境。不幸的是，有一种情况暴露了我必须处理的问题:也就是说，证书似乎即将过期，因为Virtualization Manager的HTTPS证书显示的日期是12月，而我只能假设系统的其余部分与同一日期相关联。oVirt文档警告说，如果在证书到期前不续签，将会产生可怕的后果，因此我不得不对此进行调查，而我所发现的却没有我想要的那么有启发性。

先了解一些背景。oVirt于2018年1月安装在第一个主机上(引擎安装在相同的裸金属硬件上)，第二个物理主机服务器于2018年3月添加到同一个oVirt数据中心。添加一个在旧Windows文件服务器上设置的导出域，我们目前正在进行退役(因此从长远来看，将被取消)，然后我们到达当前的布局:主服务器上的ovirt，每个主服务器和辅助服务器上的存储域，以及外部服务器上的遗留导出域。如前所述，证书在浏览器中(我假设绑定到oVirt引擎部分？)有一个截止日期12月底，大约3周前5周年的第一个服务器的设置日期。

我在https://www.ovirt.org/documentation/administration_指南/index.html#chap-更新_证书_RHV_备份_恢复找到了一个程序，它似乎详细说明了所需的内容，但这本身也提出了一些问题，我希望有人能在此之前就这样做，给出一些答案：

1. 我甚至在运行哪种类型的环境，没有独立的和自我托管的？根据https://www.ovirt.org/documentation/migrating_从…_一个_独立的_经理_至_一个_自托管_发动机/的体系结构定义，两者似乎都不太适合我的服务器设置:我假设是独立的，因为ovirt引擎似乎运行在主主机服务器上，而不是作为一个VM运行在主主机服务器上；但最好能获得第二种意见。
2. oVirt的主要优点之一是可以将VM从一台服务器抛到另一台服务器，而不会出现任何问题--例如，如果您正在升级VM，并且需要在此过程中保持VM处于空状态(有些升级似乎需要首先清除服务器？)但是，自从服务器被设置以来，服务器已经在使用的空间中增长了，并且我们不再能够让所有VM都运行在一个机器上。这是我接手之前的情况，我从未见过环境的磁盘使用率低于60%。是否可以通过关闭/停止VM(不管它们被固定或不固定)来完成此证书更新过程，并可能首先将一些证书传输到另一台服务器？
3. 它对oVirt环境的风险究竟有多大？指南上写着"The engine-setup script prompts you with configuration questions.“，除了我所做的(续订证书问题)之外，它还会问多少问题，如果我出了什么问题，还会有多大的可能点燃安装呢？我需要提供多少个证书字段:只有O和CN值，或者更多？

最后，我假设在执行引擎之前，我必须先做两个主机。我应该在任何地方的控制台上都有这样的提醒吗？因为我没有这样的问题；我只是偶然发现了这个问题，当时我正在检查我所有机器上的SSL证书，这是在最近的一次web服务器证书过期之后(在更新过程中没有文档记录并因此错过的)。

提前感谢！

Answer 1

我甚至在运行哪种类型的环境，没有独立的和自我托管的？

在oVirt上下文中，自托管意味着oVirt引擎在它自己管理的管理程序中运行。独立指的是oVirt引擎在外部运行的场景，例如在专用的裸金属服务器上或在不同的管理程序上(这完全可以是另一种技术，如VMWare)。

换句话说，如果您打开oVirt图形用户界面，并且在虚拟机中找到了oVirt引擎，那么您就有了一个自托管安装。否则，它是独立的。

是否可以仅通过关闭/停止VM(不管它们是固定的还是不固定的)来完成此证书更新过程，以及可能先将一些文件传输到另一台服务器上？

好的。实际上，这是你连接的程序的第一步：

在“管理门户”中，单击“计算主机”。单击“管理维护”，然后单击“确定”。虚拟机应该自动从主机迁移。如果它们被固定或无法迁移，则必须关闭它们。当主机处于维护模式，并且此主机上不再存在虚拟机时，请单击“安装登记证书”。它对oVirt环境的风险究竟有多大？指南说：“引擎安装脚本提示您配置问题。”除了我所做的显而易见的事情(续订证书问题)之外，它还会问多少问题，如果我出了什么问题，还会有多大可能烧掉安装呢？我需要提供多少个证书字段:只有O和CN值，或者更多？

我不记得当您必须更新证书时会发生什么，但是基于您当前配置的引擎设置答案可以用cat /var/lib/ovirt-engine/setup/answers/*.conf读取，这样您就可以检查该文件的内容(甚至复制到您的笔记本上)并复制答案。

以下是这些文件的(可能更易读)的版本：

cat /var/lib/ovirt-engine/setup/answers/*.conf | sed 's/str:/ /g' | sort -u

它返回的内容如下：

OTOPI答案文件，由人的对话框生成 问题/1/DWH_K211_FULL= yes问题/1/ENGINE_真空度_FULL= yes问题/1/OVESETUP_DWH_ENABLE= yes