Chapitre 8. Approvisionnement automatique et onboarding de RHEL for Edge avec FDO
Vous pouvez créer une image RHEL for Edge Simplified Installer et l'intégrer à une image RHEL for Edge. Le processus FIDO device onboarding (FDO) permet de provisionner et d'embarquer automatiquement vos appareils Edge et d'échanger des données avec d'autres appareils et systèmes connectés sur les réseaux.
Red Hat fournit le processus FDO en tant que fonctionnalité d'aperçu technologique et devrait être exécuté sur des réseaux sécurisés. Les fonctionnalités d'aperçu technologique ne sont pas prises en charge par les accords de niveau de service (SLA) de production de Red Hat et peuvent ne pas être complètes sur le plan fonctionnel. Ces fonctionnalités offrent un accès anticipé aux fonctionnalités des produits à venir, ce qui permet aux clients de tester les fonctionnalités et de fournir un retour d'information pendant le processus de développement. Voir Technology Preview Features Support Scope sur le portail client de Red Hat pour plus d'informations sur l'étendue de l'assistance pour les fonctionnalités Technology Preview.
8.1. Le processus d'intégration des dispositifs FIDO (FDO)
L'intégration de l'appareil est le processus qui :
- Dispositions et embarquement d'un dispositif physique.
- Configure automatiquement les informations d'identification pour ce périphérique.
- Permet à cet appareil de se connecter et d'interagir en toute sécurité sur le réseau.
Avec FIDO device onboarding (FDO), vous pouvez effectuer un onboarding sécurisé des appareils en ajoutant de nouveaux appareils à votre architecture IOT. Il s'agit notamment de la configuration spécifiée des appareils qui doit être approuvée et intégrée au reste des systèmes en cours d'exécution et de déployer de nouveaux systèmes prêts à être utilisés. L'authentification FDO est un processus d'intégration automatique qui est déclenché par l'installation d'un nouveau dispositif afin d'intégrer un dispositif en toute sécurité. Le protocole FDO résout le problème de la confiance et de la chaîne de propriété, ainsi que l'automatisation nécessaire à l'intégration sécurisée d'un appareil à grande échelle. Il effectue l'initialisation de l'appareil au stade de la fabrication et la liaison tardive de l'appareil pour son utilisation effective. Cela signifie que la liaison effective de l'appareil à un système de gestion a lieu lors du premier démarrage de l'appareil, sans qu'il soit nécessaire de procéder à une configuration manuelle de l'appareil. L'utilisation du protocole FDO permet de prendre en charge l'intégration automatisée des dispositifs sécurisés, c'est-à-dire l'installation et l'intégration sans contact qui ne nécessitent pas la présence d'une personne spécialisée à l'extrémité de l'appareil. Une fois le dispositif intégré, vous pouvez vous y connecter et appliquer des correctifs, des mises à jour et des retours en arrière.
Avec FDO, vous pouvez bénéficier des avantages suivants :
- FDO est un moyen sûr et simple d'enrôler un appareil dans une plateforme de gestion. Au lieu d'intégrer une configuration Kickstart à l'image, FDO applique la personnalisation, telle que l'inclusion de données sensibles comme les identifiants, les clés ou les certificats, directement à l'image ISO.
- FDO résout le problème de la liaison tardive à un appareil, ce qui permet de partager toutes les données sensibles sur un canal FDO sécurisé.
- FDO identifie cryptographiquement l'identité et la propriété du système avant d'enregistrer et de transmettre la configuration et d'autres secrets au système. Cela permet aux utilisateurs non techniques de mettre le système sous tension.
Pour créer une image RHEL for Edge Simplified Installer et l'intégrer automatiquement, fournissez un commit OSTree existant. L'image simplifiée qui en résulte contient une image brute dans laquelle le commit OSTree a été déployé. Une fois que vous avez démarré l'image ISO de l'installateur simplifié, elle fournit un système RHEL for Edge que vous pouvez utiliser sur un disque dur ou en tant qu'image de démarrage dans une machine virtuelle.
L'image RHEL for Edge Simplified Installer est optimisée pour une installation sans surveillance sur un périphérique et prend en charge à la fois les déploiements basés sur le réseau et les déploiements non basés sur le réseau. Toutefois, pour les déploiements basés sur le réseau, elle ne prend en charge que le démarrage UEFI HTTP.
Le protocole FDO est basé sur les serveurs suivants :
Serveur de fabrication
Ce serveur se trouve à l'emplacement du serveur du fabricant. Le serveur de fabrication :
- Signe le dispositif.
- Crée un bon qui est utilisé pour définir la propriété de l'appareil, plus tard dans le processus.
- Lier l'appareil à une plate-forme de gestion spécifique.
Serveur de rendez-vous
Ce serveur se trouve à l'emplacement du serveur du propriétaire ou sur la plateforme où le système de gestion des appareils sera situé, par exemple dans un nuage. Le serveur Rendezvous :
- Obtient le bon généré par le serveur de fabrication lors du premier démarrage de l'appareil.
- Fait correspondre l'UUID de l'appareil avec une plate-forme cible et fournit des informations à l'appareil sur le point de terminaison du serveur Owner qu'il doit utiliser.
Serveur de gestion des propriétaires
Ce serveur se trouve sur le site du serveur du propriétaire ou sur la plate-forme où l'appareil sera déployé. Le serveur de gestion du propriétaire :
- Crée un canal sécurisé entre l'appareil et le serveur du propriétaire après l'authentification de l'appareil.
- Utilise le canal sécurisé pour envoyer au dispositif les informations requises, telles que les fichiers et les scripts pour l'automatisation de l'accueil.
Client de l'appareil
Il s'agit du serveur installé sur l'appareil. Le client de l'appareil
- Lance les requêtes vers les multiples serveurs où l'automatisation de l'onboarding sera exécutée.
- Utilise les protocoles TCP/IP pour communiquer avec les serveurs.
Le diagramme suivant représente le processus d'intégration des dispositifs FIDO :
Figure 8.1. Déploiement de RHEL for Edge dans un environnement hors réseau
Sur le site Manufacturer server, l'appareil reçoit les informations d'identification FDO, un ensemble de certificats et de clés à installer sur le système d'exploitation, ainsi que le point d'extrémité du serveur Rendezvous (URL). Il reçoit également le bon de propriété, qui est conservé séparément au cas où vous auriez besoin de modifier l'affectation du propriétaire.
- Le client de l'appareil lit les informations d'identification de l'appareil
- L'appareil client se connecte au réseau
- À un stade précoce, le système de gestion du propriétaire informe le serveur de rendez-vous du fabricant de l'emplacement du système de gestion du propriétaire
- Après s'être connecté au réseau, le client de l'appareil contacte le serveur de rendez-vous
- Le serveur Rendezvous envoie l'URL du point de terminaison du propriétaire au client du périphérique et enregistre le périphérique. Cette action permet de connecter et de démarrer l'appareil.
- Le client du dispositif se connecte au système de gestion du propriétaire partagé par le serveur Rendezvous, prouve qu'il s'agit du bon dispositif en signant une déclaration avec une clé de dispositif
- Le système de gestion du propriétaire fait ses preuves en signant une déclaration avec la dernière clé du bon du propriétaire
- Le système de gestion des propriétaires fournit la configuration de l'appareil, que le client de l'appareil stocke, par exemple, dans une clé SSH
- Le client du dispositif reçoit et vérifie le justificatif de propriété
- Ensuite, le client de l'appareil récupère ses informations d'identification de l'appareil
Ensuite, le système de gestion des propriétaires signale que le client du dispositif a été intégré
L'ensemble du processus FDO est terminé et n'est plus utilisé dans ce dispositif.
