Administra tus hosts

Este artículo describe algunas de las acciones que puede realizar para administrar sus hosts XenServer individuales.

Para administrar acciones relacionadas con los grupos de recursos, consulte Administrar sus grupos.

Configurar el acceso SSH

El acceso SSH a sus hosts XenServer está habilitado de forma predeterminada. Si desea deshabilitar el acceso SSH a su host XenServer, ejecute el siguiente comando:

  xe host-disable-ssh host=<host_uuid_or_name_label>
<!--NeedCopy-->

Este comando deshabilita SSH. El host rechaza nuevas conexiones SSH, pero no desconecta ninguna sesión existente.

Para habilitar el acceso SSH a su host XenServer, ejecute el siguiente comando:

  xe host-enable-ssh host=<host_uuid_or_name_label>
<!--NeedCopy-->

Para el valor del parámetro host en cualquiera de estos comandos, puede utilizar un selector de host. Para obtener más información, consulte Selectores de host.

Puede administrar el acceso SSH para todos los hosts en un grupo de XenServer al mismo tiempo. Para obtener más información, consulte Deshabilitar el acceso SSH para un grupo.

Instale un certificado TLS en su host

El host de XenServer viene instalado con un certificado TLS predeterminado. Sin embargo, para usar HTTPS para proteger la comunicación entre XenServer y Citrix Virtual Apps and Desktops, instale un certificado proporcionado por una autoridad de certificación de confianza.

En esta sección se describe cómo instalar certificados mediante la CLI de xe. Para obtener información sobre cómo trabajar con certificados mediante XenCenter, consulte la documentación de XenCenter.

Asegúrese de que el certificado TLS y su clave cumplan los siguientes requisitos:

• El certificado y el par de claves son una clave RSA.
• La clave coincide con el certificado.
• La clave se proporciona en un archivo independiente del certificado.
• El certificado se proporciona en un archivo separado de los certificados intermedios.
• El archivo de claves debe ser de uno de los siguientes tipos: .Pem o .llave.
• Los archivos de certificado deben ser de uno de los siguientes tipos: .Pem, .cero .tubo de rayos catódicos.
• La clave es mayor o igual que 2048 bits y menor o igual que 4096 bits de longitud.
• La clave es una clave PKCS #8 sin cifrar y no tiene una clave de paso.
• La clave y el certificado están en formato ‘PEM’ codificado en base 64.
• El certificado es válido y no ha caducado.
• El algoritmo de firma es SHA-2 (SHA256 o SHA512).

La CLI de xe le avisa cuando el certificado y la clave que elija no cumplen estos requisitos.

¿Dónde puedo obtener un certificado TLS?

• Es posible que ya tenga un certificado de confianza que desee instalar en el host de XenServer.

• Alternativamente, puede crear un certificado en su servidor y enviarlo a su autoridad de certificación preferida para que lo firme. Este método es más seguro, ya que la clave privada puede permanecer en el host de XenServer y no copiarse entre sistemas.

  La creación de un certificado TLS consta de los siguientes pasos:

  1. Generar una solicitud de firma de certificado
  2. Enviar la solicitud de firma de certificado a una autoridad de certificación
  3. Instale el certificado firmado en el host de XenServer

1. Generar una solicitud de firma de certificado

En primer lugar, genere una clave privada y una solicitud de firma de certificado. En el host de XenServer, siga estos pasos:

1. Para crear un archivo de clave privada, ejecute el siguiente comando:

     openssl genrsa -des3 -out privatekey.pem 2048
   <!--NeedCopy-->
   

   Se le pedirá una frase de contraseña. Esta frase de contraseña se elimina en un paso siguiente.

2. Elimine la frase de contraseña de la clave:

     openssl rsa -in privatekey.pem -out privatekey.nop.pem
   <!--NeedCopy-->
   

3. Cree la solicitud de firma de certificado mediante la clave privada:

     openssl req -new -key privatekey.nop.pem -out csr
   <!--NeedCopy-->
   

4. Siga las indicaciones para proporcionar la información necesaria para generar la solicitud de firma de certificado.

   • Nombre del país. Introduzca los códigos de país del certificado TLS de su país. Por ejemplo, CA para Canadá o JM para Jamaica. Puede encontrar una lista de códigos de país del certificado TLS en la web.
   • Nombre del estado o provincia (nombre completo). Introduzca el estado o la provincia donde se encuentra el grupo. Por ejemplo, Massachusetts o Alberta.
   • Nombre de la localidad. El nombre de la ciudad donde se encuentra la piscina.
   • Nombre de la organización. El nombre de su empresa u organización.
   • Nombre de la unidad organizativa. Introduzca el nombre del departamento. Este campo es opcional.
   • Nombre común. Introduzca el FQDN del host de XenServer. Se recomienda especificar un FQDN o una dirección IP que no caduque.
   • Dirección de correo electrónico. Esta dirección de correo electrónico se incluye en el certificado cuando lo genera.

   La solicitud de firma de certificado se guarda en el directorio actual y se denomina Rse.

5. Muestre la solicitud de firma de certificado en la ventana de la consola ejecutando el siguiente comando:

     cat csr
   <!--NeedCopy-->
   

6. Copie toda la solicitud de firma de certificado y utilice esta información para solicitar el certificado a la autoridad de certificación.

   Ejemplo de solicitud de firma de certificado:

     -----BEGIN CERTIFICATE REQUEST-----
     MIIDBDCCAewCAQAwgYsxCzAJBgNVBAYTAlVLMRcwFQYDVQQIDA5DYW1icmlkZ2Vz
     aGlyZTESMBAGA1UEBwwJQ2FtYnJpZGdlMRIwEAYDVQQKDAlYZW5TZXJ2ZXIxFTAT
     ...
     SdYCkFdo+85z8hBULFzSH6jgSP0UGQU0PcfIy7KPKyI4jnFQqeCDvLdWyhtAx9gq
     Fu40qMSm1dNCFfnACRwYQkQgqCt/RHeUtl8srxyZC+odbunnV+ZyQdmLwLuQySUk
     ZL8naumG3yU=
     -----END CERTIFICATE REQUEST-----
   <!--NeedCopy-->
   

2. Enviar la solicitud de firma de certificado a una autoridad de certificación

Ahora que ha generado la solicitud de firma de certificado, puede enviar la solicitud a la entidad de certificación preferida de su organización.

Una autoridad de certificación (CA) es un servicio que proporciona certificados digitales; es posible que tenga una CA disponible dentro de su organización o, alternativamente, puede utilizar un tercero confiable. Algunas autoridades de certificación requieren que los certificados estén alojados en un sistema al que se pueda acceder desde Internet. Se recomienda no utilizar una autoridad de certificación con este requisito.

La autoridad de certificación responde a su solicitud de firma y proporciona los siguientes archivos:

• El certificado firmado
• en su caso, un certificado intermedio

Ahora puede instalar todos estos archivos en el host de XenServer.

3. Instale el certificado firmado en el host de XenServer

Una vez que la entidad de certificación responda a la solicitud de firma de certificado, complete los siguientes pasos para instalar el certificado en el host de XenServer:

1. Obtenga el certificado firmado y, si la autoridad de certificación tiene uno, el certificado intermedio de la autoridad de certificación.
2. Copie la clave y los certificados en el host de XenServer.

3. Ejecute el siguiente comando en el host:

     xe host-server-certificate-install certificate=<path_to_certificate_file> private-key=<path_to_private_key> certificate-chain=<path_to_chain_file>
   

   El cadena-de-certificados es opcional.

Para mayor seguridad, puede eliminar el archivo de clave privada después de instalar el certificado.

Administrar la contraseña de administrador

Cuando se instala por primera vez un host de XenServer, se establece un administrador o raíz contraseña. Utilice esta contraseña para conectar XenCenter a su host o (con nombre de usuario raíz) para iniciar sesión en xsconsola, la consola de configuración del sistema.

Si se une a un host a un grupo, la contraseña de administrador del host se cambia automáticamente para que coincida con la contraseña de administrador del coordinador del grupo.

Nota: No

Las contraseñas de administrador de XenServer solo deben contener caracteres ASCII imprimibles.

Cambiar la contraseña

Puede usar XenCenter, la CLI xe o xsconsola para cambiar la contraseña de administrador.

XenCenter

Para cambiar la contraseña de administrador de un grupo o host independiente mediante XenCenter, siga estos pasos:

1. En Recursos , seleccione el grupo o cualquier host del grupo.
2. En el Piscina menú o en el menú Servidor menú, seleccione Cambiar la contraseña del servidor.

Para cambiar la contraseña de root de un host independiente, seleccione el host en el archivo Recursos y haga clic en Contraseña Y entonces Cambio del Servidor menú.

Si XenCenter está configurado para guardar las credenciales de inicio de sesión del host entre sesiones, se recuerda la nueva contraseña. Para obtener más información, consulte Almacenar el estado de conexión del host.

Después de cambiar la contraseña de administrador, gire el secreto del grupo. Para obtener más información, consulte Rotar el secreto del grupo.

xe CLI

Para cambiar la contraseña de administrador mediante la CLI xe, ejecute el siguiente comando en un host del grupo:

    xe user-password-change new=<new_password>
<!--NeedCopy-->

Nota: No

Asegúrese de anteponer un espacio al comando para evitar almacenar la contraseña de texto no cifrado en el historial de comandos.

Después de cambiar la contraseña de administrador, gire el secreto del grupo. Para obtener más información, consulte Rotar el secreto del grupo.

xsconsola

Para cambiar la contraseña de administrador de un grupo o un host independiente mediante xsconsola, complete los siguientes pasos:

1. En el coordinador de grupo, vaya a la consola.
2. Inicie sesión como raíz.
3. Tipo xsconsola. Prensa Entrar. El xsconsola se muestra.
4. En xsconsola, utilice las teclas de flecha para desplazarse hasta el Autenticación opción. Prensa Entrar.
5. Vaya a Cambiar contraseña. Prensa Entrar.
6. Autentíquese con la contraseña de administrador.
7. En Cambiar contraseña diálogo:
   1. Ingresa tu contraseña actual.
   2. Introduzca una nueva contraseña.
   3. Vuelva a introducir la nueva contraseña para confirmarla.

   El Cambio de contraseña exitoso se muestra la pantalla. Prensa Entrar para desestimar.

Si el host es el coordinador del grupo, esta contraseña actualizada ahora se propaga a los demás hosts del grupo.

Después de cambiar la contraseña de administrador, gire el secreto del grupo. Para obtener más información, consulte Rotar el secreto del grupo.

Restablecer una contraseña de root perdida

Si pierde la contraseña de administrador (raíz) del host de XenServer, puede restablecer la contraseña accediendo directamente al host.

1. Reinicie el host de XenServer.

2. Cuando aparezca el menú de GRUB, presione e para editar la entrada del menú de arranque.

3. Agregar init=/sysroot/bin/sh a la línea que comienza con Módulo2.

4. Prensa Ctrl-X para arrancar en un shell raíz.

5. En el shell de comandos, ejecute los siguientes comandos:

     chroot /sysroot
     passwd
   
     (type the new password twice)
   
     sync
     /sbin/reboot -f
   <!--NeedCopy-->
   

Si el host es el coordinador del grupo, esta contraseña actualizada ahora se propaga a los demás hosts del grupo.

Después de cambiar la contraseña de administrador, gire el secreto del grupo. Para obtener más información, consulte Rotar el secreto de la piscina

Cambiar la configuración NTP en un servidor

Puede actualizar la configuración NTP de su servidor desde xsconsole.

1. En la consola del host, escriba xsconsole.
2. En xsconsole, vaya a Interfaces de red y administración > Hora de red (NTP).
3. Introduzca su contraseña para continuar.
4. Desde el menú Configurar hora de red , elija la opción que desee configurar.

Preparar un grupo de hosts de XenServer para el mantenimiento

Antes de realizar operaciones de mantenimiento en un host que forma parte de un grupo de recursos, debe deshabilitarlo. Al deshabilitar el host, se impide que se inicien las máquinas virtuales en él. A continuación, debe migrar sus máquinas virtuales a otro host de XenServer del grupo. Para ello, coloque el host de XenServer en modo de mantenimiento mediante XenCenter. Para obtener más información, consulte Ejecutar en modo de mantenimiento en la documentación de XenCenter.

La sincronización de copias de seguridad se produce cada 24 horas. Colocar el coordinador del grupo en modo de mantenimiento da como resultado la pérdida de las últimas 24 horas de actualizaciones de RRD para las máquinas virtuales sin conexión.

Advertencia:

Se recomienda encarecidamente reiniciar todos los hosts de XenServer antes de instalar una actualización y, a continuación, verificar su configuración. Algunos cambios de configuración solo tienen efecto cuando se reinicia el host XenServer, por lo que el reinicio puede descubrir problemas de configuración que pueden provocar que la actualización falle.

Para preparar un host de un grupo para las operaciones de mantenimiento mediante la CLI

1. Ejecute este comando:

     xe host-disable uuid=XenServer_host_uuid
     xe host-evacuate uuid=XenServer_host_uuid
   <!--NeedCopy-->
   

   Este comando inhabilita el host de XenServer y, a continuación, migra las máquinas virtuales en ejecución a otros hosts de XenServer del grupo.

2. Realice la operación de mantenimiento deseada.

3. Habilite el host de XenServer cuando se complete la operación de mantenimiento:

     xe host-enable
   <!--NeedCopy-->
   

4. Reinicie las máquinas virtuales detenidas y reanude las máquinas virtuales suspendidas.

Apagar o reiniciar un host XenServer

Recomendamos utilizar siempre la CLI xe o XenCenter para apagar o reiniciar sus hosts XenServer. No utilice otros métodos (como reinicios basados en hardware o comandos del sistema operativo) para apagar o reiniciar sus hosts durante el funcionamiento normal. Si lo haces, puedes provocar comportamientos inesperados en tu host y en tu grupo.

Para apagar o reiniciar un host mediante la CLI xe, utilice los siguientes comandos:

1. Evitar que se inicien nuevas máquinas virtuales o que se migren al host especificado:

     xe host-disable host=<host name>
   <!--NeedCopy-->
   

2. Si es necesario, migre cualquier máquina virtual en ejecución fuera del host:

     xe host-evacuate uuid=<host uuid>
   <!--NeedCopy-->
   

3. Apague o reinicie el host con uno de los siguientes comandos CLI xe.

   • Para apagar limpiamente el host:

     ``` xe host-shutdown host=

   • To cleanly restart the host:

      xe host-reboot host=<host name>
     

For how to shut down a server by using XenCenter, see the XenCenter documentation.

Configure host power-on

Powering on hosts remotely

You can use the XenServer host Power On feature to turn a host on and off remotely, either from XenCenter or by using the CLI.

To enable host power, the host must have one of the following power-control solutions:

• Wake on LAN enabled network card.

• Intelligent Platform Management Interface (IPMI).

• A custom script based on the management API that enables you to turn the power on and off through XenServer. For more information, see Configuring a custom script for the Host Power On feature in the following section.

Using the Host Power On feature requires two tasks:

1. Ensure the hosts in the pool support controlling the power remotely. For example, they have Wake on LAN functionality or support IPMI, or you have created a custom script.

2. Enable the Host Power On functionality using the CLI or XenCenter.

Use the CLI to manage host power-on

You can manage the Host Power On feature using either the CLI or XenCenter. This section provides information about managing it with the CLI.

Host Power On is enabled at the host level (that is, on each XenServer).

After you enable Host Power On, you can turn on hosts using either the CLI or XenCenter.

To enable host power-on by using the CLI

Run the command:

xe host-set-power-on-mode host=<host uuid> \
modo de encendido=("", "wake-on-lan", "IPMI", "personalizado") \
power-on-config=key:value

To turn on hosts remotely by using the CLI

Run the command:

xe encendido del host host=<host uuid>

Configure a custom script for the Host Power On feature

If your host’s remote-power solution uses a protocol that is not supported by default (such as Wake-On-Ring or Intel Active Management Technology), you can create a custom Linux Python 3 script to turn on your XenServer computers remotely. However, you can also create custom scripts for IPMI and Wake on LAN remote-power solutions.

This section provides information about configuring a custom script for Host Power On using the key-value pairs associated with the XenServer API call host.power_on.

When you create a custom script, run it from the command line each time you want to control power remotely on a XenServer host. Alternatively, you can specify it in XenCenter and use the XenCenter UI features to interact with it.

The XenServer API is documented in the XenServer Management API.

Advertencia:

No cambie los scripts proporcionados por defecto en el directorio /etc/xapi.d/plugins/. You can include new scripts in this directory, but you must never change the scripts contained in that directory after installation.

Key-value pairs

To use Host Power On, configure the host.power_on_mode and host.power_on_config keys. See the following section for information about the values.

There is also an API call that lets you set these fields simultaneously:

void host.set_host_power_on_mode(string mode, Diccionario<string,string> config)

host.power_on_mode

• Definition: Contains key-value pairs to specify the type of remote-power solution.

• Possible values:

  • An empty string, representing power-control disabled.

  • “IPMI”: Lets you specify Intelligent Platform Management Interface.

  • “wake-on-lan”: Lets you specify Wake on LAN.

  • Any other name (used to specify a custom power-on script). This option is used to specify a custom script for power management.

• Type: string

host.power_on_config

• Definition: Contains key-value pairs for mode configuration. Provides additional information for IPMI.

• Possible values:

  • If you configured IPMI as the type of remote-power solution, you must also specify one of the following keys:

    • “power_on_ip”: The IP address that you specified configured to communicate with the power-control card.

    • “power_on_user”: The IPMI user name associated with the management processor, which you might have changed from its factory default settings.

    • “power_on_password_secret”: Specifies using the secrets feature to secure your password.

  • To use the secrets feature to store your password, specify the key “power_on_password_secret”. For more information, see Secrets.

• Type: Map (string, string)

Sample script

The sample script imports the XenServer API, defines itself as a custom script, and then passes parameters specific to the host you want to control remotely. You must define the parameters session in all custom scripts.

The result appears when the script is unsuccessful.

import XenAPI def custom(session,remote_host, power_on_config): result="Power On Not Successful" for key in power_on_config.keys(): result=result+'' key=''+key+'' value=''+power_on_config[key] return result ```

> **Nota: No**
> 
> Después de crear el script, guárdelo en /etc/xapi.d/plugins con una extensión .py.
<!--NeedCopy-->