Gérez vos hôtes

Cet article décrit certaines des actions que vous pouvez entreprendre pour gérer vos hôtes XenServer individuels.

Pour gérer les actions liées aux pools de ressources, consultez Gérer vos pools.

Configurer l’accès SSH

L’accès SSH à vos hôtes XenServer est activé par défaut. Si vous souhaitez désactiver l’accès SSH à votre hôte XenServer, exécutez la commande suivante :

  xe host-disable-ssh host=<host_uuid_or_name_label>
<!--NeedCopy-->

Cette commande désactive SSH. L’hôte refuse les nouvelles connexions SSH, mais ne déconnecte aucune session existante.

Pour activer l’accès SSH à votre hôte XenServer, exécutez la commande suivante :

  xe host-enable-ssh host=<host_uuid_or_name_label>
<!--NeedCopy-->

Pour la valeur du paramètre host dans l’une ou l’autre de ces commandes, vous pouvez utiliser un sélecteur d’hôte. Pour plus d’informations, voir Sélecteurs d’hôtes.

Vous pouvez gérer l’accès SSH pour tous les hôtes d’un pool XenServer en même temps. Pour plus d’informations, voir Désactiver l’accès SSH pour un pool.

Installer un certificat TLS sur votre hébergeur

L’hôte XenServer est installé avec un certificat TLS par défaut. Toutefois, pour utiliser HTTPS afin de sécuriser la communication entre XenServer et Citrix Virtual Apps and Desktops, installez un certificat fourni par une autorité de certification approuvée.

Cette section décrit comment installer des certificats à l’aide de l’interface de ligne de commande xe. Pour plus d’informations sur l’utilisation des certificats à l’aide de XenCenter, consultez la documentation XenCenter.

Assurez-vous que votre certificat TLS et sa clé répondent aux exigences suivantes :

• Le certificat et la paire de clés sont des clés RSA.
• La clé correspond au certificat.
• La clé est fournie dans un fichier distinct du certificat.
• Le certificat est fourni dans un fichier distinct de tous les certificats intermédiaires.
• Le fichier de clé doit être de l’un des types suivants : .Pem ou .clé.
• Tous les fichiers de certificat doivent être de l’un des types suivants : .Pem, .cerou .tube cathodique.
• La clé est supérieure ou égale à 2048 bits et inférieure ou égale à 4096 bits.
• Il s’agit d’une clé PKCS #8 non chiffrée et n’a pas de clé d’accès.
• La clé et le certificat sont au format « PEM » encodé en base 64.
• Le certificat est valide et n’a pas expiré.
• L’algorithme de signature est SHA-2 (SHA256 ou SHA512).

L’interface de ligne de commande xe vous avertit lorsque le certificat et la clé que vous choisissez ne répondent pas à ces exigences.

Où puis-je obtenir un certificat TLS ?

• Vous disposez peut-être déjà d’un certificat de confiance que vous souhaitez installer sur votre hôte XenServer.

• Vous pouvez également créer un certificat sur votre serveur et l’envoyer à l’autorité de certification de votre choix pour qu’il soit signé. Cette méthode est plus sûre car la clé privée peut rester sur l’hôte XenServer et ne pas être copiée entre les systèmes.

  La création d’un certificat TLS se fait comme suit :

  1. Générer une demande de signature de certificat
  2. Envoyer la demande de signature de certificat à une autorité de certification
  3. Installer le certificat signé sur votre hôte XenServer

1. Générer une demande de signature de certificat

Tout d’abord, générez une demande de signature de clé privée et de certificat. Sur l’hôte XenServer, procédez comme suit :

1. Pour créer un fichier de clé privée, exécutez la commande suivante :

     openssl genrsa -des3 -out privatekey.pem 2048
   <!--NeedCopy-->
   

   Vous êtes invité à saisir une phrase de passe. Cette phrase de passe est supprimée à l’étape suivante.

2. Supprimez le mot de passe de la touche :

     openssl rsa -in privatekey.pem -out privatekey.nop.pem
   <!--NeedCopy-->
   

3. Créez la demande de signature de certificat à l’aide de la clé privée :

     openssl req -new -key privatekey.nop.pem -out csr
   <!--NeedCopy-->
   

4. Suivez les invites pour fournir les informations nécessaires à la génération de la demande de signature de certificat.

   • Nom du pays. Entrez les codes de pays du certificat TLS pour votre pays. Par exemple, CA pour le Canada ou JM pour la Jamaïque. Vous pouvez trouver une liste des codes de pays des certificats TLS sur le Web.
   • Nom de l’État ou de la province (nom complet). Entrez l’état ou la province où se trouve la piscine. Par exemple, le Massachusetts ou l’Alberta.
   • Nom de la localité. Le nom de la ville où se trouve la piscine.
   • Nom de l’organisation. Le nom de votre entreprise ou organisation.
   • Nom de l’unité organisationnelle. Entrez le nom du département. Ce champ est facultatif.
   • Nom commun. Entrez le nom de domaine complet de votre hôte XenServer. Nous vous recommandons de spécifier un nom de domaine complet ou une adresse IP qui n’expire pas.
   • Adresse courriel. Cette adresse e-mail est incluse dans le certificat lorsque vous le générez.

   La demande de signature de certificat est enregistrée dans le répertoire courant et est nommée Rse.

5. Affichez la demande de signature de certificat dans la fenêtre de console en exécutant la commande suivante :

     cat csr
   <!--NeedCopy-->
   

6. Copiez l’intégralité de la demande de signature de certificat et utilisez ces informations pour demander le certificat à l’autorité de certification.

   Exemple de demande de signature de certificat :

     -----BEGIN CERTIFICATE REQUEST-----
     MIIDBDCCAewCAQAwgYsxCzAJBgNVBAYTAlVLMRcwFQYDVQQIDA5DYW1icmlkZ2Vz
     aGlyZTESMBAGA1UEBwwJQ2FtYnJpZGdlMRIwEAYDVQQKDAlYZW5TZXJ2ZXIxFTAT
     ...
     SdYCkFdo+85z8hBULFzSH6jgSP0UGQU0PcfIy7KPKyI4jnFQqeCDvLdWyhtAx9gq
     Fu40qMSm1dNCFfnACRwYQkQgqCt/RHeUtl8srxyZC+odbunnV+ZyQdmLwLuQySUk
     ZL8naumG3yU=
     -----END CERTIFICATE REQUEST-----
   <!--NeedCopy-->
   

2. Envoyez la demande de signature de certificat à une autorité de certification

Maintenant que vous avez généré la demande de signature de certificat, vous pouvez l’envoyer à l’autorité de certification de votre organisation.

Une autorité de certification (CA) est un service qui fournit des certificats numériques. Vous pouvez disposer d’une autorité de certification au sein de votre organisation ou, alternativement, vous pouvez utiliser un tiers de confiance. Certaines autorités de certification exigent que les certificats soient hébergés sur un système accessible à partir d’Internet. Nous vous recommandons de ne pas utiliser une autorité de certification avec cette exigence.

L’autorité de certification répond à votre demande de signature et fournit les fichiers suivants :

• le certificat signé
• le cas échéant, un certificat intermédiaire

Vous pouvez maintenant installer tous ces fichiers sur votre hébergeur XenServer.

3. Installez le certificat signé sur votre hôte XenServer

Une fois que l’autorité de certification a répondu à la demande de signature de certificat, procédez comme suit pour installer le certificat sur votre hôte XenServer :

1. Obtenez le certificat signé et, si l’autorité de certification en possède un, le certificat intermédiaire auprès de l’autorité de certification.
2. Copiez la clé et les certificats sur l’hôte XenServer.

3. Exécutez la commande suivante sur l’hôte :

     xe host-server-certificate-install certificate=<path_to_certificate_file> private-key=<path_to_private_key> certificate-chain=<path_to_chain_file>
   

   Le chaîne-de-certificats est facultatif.

Pour plus de sécurité, vous pouvez supprimer le fichier de clé privée une fois le certificat installé.

Gérer le mot de passe administrateur

Lorsque vous installez pour la première fois un hôte XenServer, vous définissez un administrateur ou racine mot de passe. Vous utilisez ce mot de passe pour connecter XenCenter à votre hôte ou (avec votre nom d’utilisateur racine) pour vous connecter xsconsole, la console de configuration du système.

Si vous joignez un hôte à un pool, le mot de passe administrateur de l’hôte est automatiquement modifié pour correspondre au mot de passe administrateur du coordinateur de pool.

Remarque :

Les mots de passe administrateur XenServer ne doivent contenir que des caractères ASCII imprimables.

Modifier le mot de passe

Vous pouvez utiliser XenCenter, l’interface de ligne de commande xe ou xsconsole pour modifier le mot de passe administrateur.

XenCenter

Pour modifier le mot de passe administrateur d’un pool ou d’un hôte autonome à l’aide de XenCenter, procédez comme suit :

1. Dans le Ressources , sélectionnez le pool ou n’importe quel hôte du pool.
2. Sur le Mare ou sur le menu Serveur menu, sélectionnez Modifier le mot de passe du serveur.

Pour modifier le mot de passe racine d’un hôte autonome, sélectionnez l’hôte dans le Ressources , puis cliquez sur Mot de passe Et puis Changement de la Serveur menu.

Si XenCenter est configuré pour enregistrer vos identifiants de connexion d’hôte entre les sessions, le nouveau mot de passe est mémorisé. Pour plus d’informations, consultez Stocker l’état de votre connexion hôte.

Après avoir modifié le mot de passe administrateur, faites pivoter le secret du pool. Pour plus d’informations, voir Faire pivoter le secret du pool.

xe CLI

Pour modifier le mot de passe administrateur à l’aide de l’interface de ligne de commande xe, exécutez la commande suivante sur un hôte du pool :

    xe user-password-change new=<new_password>
<!--NeedCopy-->

Remarque :

Assurez-vous de faire précéder la commande d’un espace pour éviter de stocker le mot de passe en texte brut dans l’historique des commandes.

Après avoir modifié le mot de passe administrateur, faites pivoter le secret du pool. Pour plus d’informations, voir Faire pivoter le secret du pool.

xsconsole

Pour modifier le mot de passe administrateur d’un pool ou d’un hôte autonome à l’aide de xsconsole, procédez comme suit :

1. Sur le coordinateur de piscine, accédez à la console.
2. Connectez-vous en tant que racine.
3. Type xsconsole. Presser Entrer. Le xsconsole s’affiche.
4. Dans xsconsole, utilisez les touches fléchées pour accéder à l’icône Authentification option. Presser Entrer.
5. Accédez à Changer le mot de passe. Presser Entrer.
6. Authentifiez-vous avec le mot de passe administrateur.
7. Dans le Changer le mot de passe dialogue:
   1. Entrez votre mot de passe actuel.
   2. Entrez un nouveau mot de passe.
   3. Entrez à nouveau le nouveau mot de passe pour le confirmer.

   Le Changement de mot de passe réussi s’affiche. Presser Entrer de rejeter.

Si l’hôte est le coordinateur du pool, ce mot de passe mis à jour est maintenant propagé aux autres hôtes du pool.

Après avoir modifié le mot de passe administrateur, faites pivoter le secret du pool. Pour plus d’informations, voir Faire pivoter le secret du pool.

Réinitialiser un mot de passe root perdu

Si vous perdez le mot de passe administrateur (root) de votre hôte XenServer, vous pouvez réinitialiser le mot de passe en accédant directement à l’hôte.

1. Redémarrez l’hôte XenServer.

2. Lorsque le menu GRUB s’affiche, appuyez sur e pour modifier l’entrée du menu de démarrage.

3. Ajouter init=/sysroot/bin/sh à la ligne qui commence par Module2.

4. Presser Ctrl-X pour démarrer dans un shell racine.

5. Au niveau de l’interpréteur de commandes, exécutez les commandes suivantes :

     chroot /sysroot
     passwd
   
     (type the new password twice)
   
     sync
     /sbin/reboot -f
   <!--NeedCopy-->
   

Si l’hôte est le coordinateur du pool, ce mot de passe mis à jour est maintenant propagé aux autres hôtes du pool.

Après avoir modifié le mot de passe administrateur, faites pivoter le secret du pool. Pour plus d’informations, voir Faire pivoter le secret de la piscine

Modifier la configuration NTP sur un serveur

Vous pouvez mettre à jour la configuration NTP de votre serveur depuis xsconsole.

1. Dans la console hôte, tapez xsconsole.
2. Dans xsconsole, accédez à Interfaces réseau et de gestion > Heure réseau (NTP).
3. Entrez votre mot de passe pour continuer.
4. Dans le menu Configurer l’heure réseau , choisissez l’option que vous souhaitez configurer.

Préparer un pool d’hôtes XenServer pour la maintenance

Avant d’effectuer des opérations de maintenance sur un hôte qui fait partie d’un pool de ressources, vous devez le désactiver. La désactivation de l’hôte empêche le démarrage des machines virtuelles sur celui-ci. Vous devez ensuite migrer ses VM vers un autre hôte XenServer du pool. Pour ce faire, placez l’hôte XenServer en mode Maintenance à l’aide de XenCenter. Pour plus d’informations, consultez Exécuter en mode maintenance dans la documentation XenCenter.

La synchronisation des sauvegardes a lieu toutes les 24 heures. Placer le coordinateur de pool en mode maintenance entraîne la perte des dernières 24 heures de mises à jour RRD pour les machines virtuelles hors ligne.

Avertissement :

Nous vous recommandons vivement de redémarrer tous les hôtes XenServer avant d’installer une mise à jour, puis de vérifier leur configuration. Certaines modifications de configuration ne prennent effet que lorsque l’hôte XenServer est redémarré. Le redémarrage peut donc révéler des problèmes de configuration pouvant entraîner l’échec de la mise à jour.

Pour préparer un hôte d’un pool pour les opérations de maintenance à l’aide de l’interface de ligne de commande

1. Exécutez la commande suivante :

     xe host-disable uuid=XenServer_host_uuid
     xe host-evacuate uuid=XenServer_host_uuid
   <!--NeedCopy-->
   

   Cette commande désactive l’hôte XenServer, puis migre toutes les machines virtuelles en cours d’exécution vers d’autres hôtes XenServer du pool.

2. Effectuez l’opération de maintenance souhaitée.

3. Activez l’hôte XenServer lorsque l’opération de maintenance est terminée :

     xe host-enable
   <!--NeedCopy-->
   

4. Redémarrez toutes les machines virtuelles arrêtées et reprenez toutes les machines virtuelles suspendues.

Arrêter ou redémarrer un hôte XenServer

Nous vous recommandons de toujours utiliser la CLI xe ou XenCenter pour arrêter ou redémarrer vos hôtes XenServer. N’utilisez pas d’autres méthodes (telles que les réinitialisations matérielles ou les commandes du système d’exploitation) pour arrêter ou redémarrer vos hôtes pendant le fonctionnement normal. Cela peut entraîner des comportements inattendus sur votre hôte et votre pool.

Pour arrêter ou redémarrer un hôte à l’aide de la CLI xe, utilisez les commandes suivantes :

1. Empêcher le démarrage ou la migration de nouvelles machines virtuelles vers l’hôte spécifié :

     xe host-disable host=<host name>
   <!--NeedCopy-->
   

2. Si nécessaire, migrez toutes les machines virtuelles en cours d’exécution hors de l’hôte :

     xe host-evacuate uuid=<host uuid>
   <!--NeedCopy-->
   

3. Arrêtez ou redémarrez l’hôte avec l’une des commandes CLI xe suivantes.

   • Pour arrêter proprement l’hôte :

     ``` xe host-shutdown host=

   • To cleanly restart the host:

      xe host-reboot host=<host name>
     

For how to shut down a server by using XenCenter, see the XenCenter documentation.

Configure host power-on

Powering on hosts remotely

You can use the XenServer host Power On feature to turn a host on and off remotely, either from XenCenter or by using the CLI.

To enable host power, the host must have one of the following power-control solutions:

• Wake on LAN enabled network card.

• Intelligent Platform Management Interface (IPMI).

• A custom script based on the management API that enables you to turn the power on and off through XenServer. For more information, see Configuring a custom script for the Host Power On feature in the following section.

Using the Host Power On feature requires two tasks:

1. Ensure the hosts in the pool support controlling the power remotely. For example, they have Wake on LAN functionality or support IPMI, or you have created a custom script.

2. Enable the Host Power On functionality using the CLI or XenCenter.

Use the CLI to manage host power-on

You can manage the Host Power On feature using either the CLI or XenCenter. This section provides information about managing it with the CLI.

Host Power On is enabled at the host level (that is, on each XenServer).

After you enable Host Power On, you can turn on hosts using either the CLI or XenCenter.

To enable host power-on by using the CLI

Run the command:

xe host-set-power-on-mode hôte=<host uuid> \
mode-de-mise-en-marche=("" , "wake-on-lan", "IPMI","personnalisé") \
power-on-config=key:value

To turn on hosts remotely by using the CLI

Run the command:

xe hôte-mise sous tension hôte=<host uuid>

Configure a custom script for the Host Power On feature

If your host’s remote-power solution uses a protocol that is not supported by default (such as Wake-On-Ring or Intel Active Management Technology), you can create a custom Linux Python 3 script to turn on your XenServer computers remotely. However, you can also create custom scripts for IPMI and Wake on LAN remote-power solutions.

This section provides information about configuring a custom script for Host Power On using the key-value pairs associated with the XenServer API call host.power_on.

When you create a custom script, run it from the command line each time you want to control power remotely on a XenServer host. Alternatively, you can specify it in XenCenter and use the XenCenter UI features to interact with it.

The XenServer API is documented in the XenServer Management API.

Avertissement :

Ne modifiez pas les scripts fournis par défaut dans le répertoire /etc/xapi.d/plugins/. You can include new scripts in this directory, but you must never change the scripts contained in that directory after installation.

Key-value pairs

To use Host Power On, configure the host.power_on_mode and host.power_on_config keys. See the following section for information about the values.

There is also an API call that lets you set these fields simultaneously:

void host.set_host_power_on_mode(mode chaîne, Dictionnaire<string,string> config)

host.power_on_mode

• Definition: Contains key-value pairs to specify the type of remote-power solution.

• Possible values:

  • An empty string, representing power-control disabled.

  • “IPMI”: Lets you specify Intelligent Platform Management Interface.

  • “wake-on-lan”: Lets you specify Wake on LAN.

  • Any other name (used to specify a custom power-on script). This option is used to specify a custom script for power management.

• Type: string

host.power_on_config

• Definition: Contains key-value pairs for mode configuration. Provides additional information for IPMI.

• Possible values:

  • If you configured IPMI as the type of remote-power solution, you must also specify one of the following keys:

    • “power_on_ip”: The IP address that you specified configured to communicate with the power-control card.

    • “power_on_user”: The IPMI user name associated with the management processor, which you might have changed from its factory default settings.

    • “power_on_password_secret”: Specifies using the secrets feature to secure your password.

  • To use the secrets feature to store your password, specify the key “power_on_password_secret”. For more information, see Secrets.

• Type: Map (string, string)

Sample script

The sample script imports the XenServer API, defines itself as a custom script, and then passes parameters specific to the host you want to control remotely. You must define the parameters session in all custom scripts.

The result appears when the script is unsuccessful.

import XenAPI def custom(session,remote_host, power_on_config): result="Power On Not Successful" for key in power_on_config.keys(): result=result+'' key=''+key+'' value=''+power_on_config[key] return result ```

> **Remarque :**
> 
> Après avoir créé le script, enregistrez-le dans /etc/xapi.d/plugins avec une extension .py.
<!--NeedCopy-->