Red Hat Summit第1章 Red Hat Edge Manager (テクノロジープレビュー)
テクノロジープレビュー: Red Hat Edge Manager は、宣言型アプローチを通じてエッジデバイスとアプリケーションを合理化して管理します。
オペレーティングシステムのバージョン、ホスト設定、およびアプリケーションのデプロイメントなど、エッジデバイスの必要な状態を定義することで、Red Hat Edge Manager はデバイスフリート全体でこれらの設定を自動的に実装および維持します。
Red Hat Advanced Cluster Management for Kubernetes で Red Hat Edge Manager を使用すると、Red Hat Enterprise Linux マシンで Kubernetes 以外のワークロードとオペレーティングシステムの設定を、Red Hat OpenShift Container Platform での管理方法と同じように管理できます。
Red Hat Advanced Cluster Management での Red Hat Edge Manager の使用に関する詳細は、以下のトピックを参照してください。すべての機能は、テクノロジープレビュー 機能のステータスです。
1.1. Red Hat Edge Manager アーキテクチャー
テクノロジープレビュー: Red Hat Edge Manager を使用して、個々のデバイスまたはデバイスフリート全体を管理できます。Red Hat Edge Manager は、ネットワーク条件が限られている場合でも、スケーラブルで堅牢なデバイス管理を可能にするエージェントベースのアーキテクチャーを使用します。
Red Hat Edge Manager エージェントをデバイスにデプロイすることで、エージェントは Red Hat Edge Manager サービスと定期的に通信しながら、デバイスを自動管理および監視して、新しい設定を確認し、デバイスのステータスを報告します。
Red Hat Edge Manager はイメージベースのオペレーティングシステムをサポートします。Red Hat Edge Manager エージェントとエージェント設定を、デバイスに配布されるイメージに追加できます。
イメージベースのオペレーティングシステムにより、エージェントはイメージのトランザクション更新を開始し、更新エラーが発生した場合に以前のバージョンにロールバックできます。
Red Hat Edge Manager アーキテクチャーの主な機能は、以下のとおりです。
- エージェント
- サービス
- イメージベースのオペレーティングシステム
- API サーバー
- データベース
- デバイス
- デバイスフリート
詳細は、以下を参照してください。
1.1.1. Red Hat Edge Manager エージェントおよびサービス
Red Hat Edge Manager エージェントは、各管理対象デバイス上で動作するプロセスで、Red Hat Advanced Cluster Management ハブクラスター上の Red Hat Edge Manager サービスと定期的に通信します。エージェントは以下のタスクを行います。
- デバイスをサービスに登録する
- オペレーティングシステム、設定、アプリケーションの変更など、デバイス仕様の変更に関するサービスを定期的にチェックする
- サービスとは別に更新を適用する
- デバイスとアプリケーションのステータスを報告する
Red Hat Edge Manager サービスは、以下のタスクを行います。
- ユーザーとエージェントを認証および承認する
- デバイスを登録する
- デバイスインベントリーを管理する
- 個々のデバイスまたはデバイス群のステータスを報告する
このサービスは、デバイスのインベントリーと目的のデバイス設定を格納するデータベースと通信します。サービスと通信する際、エージェントは設定の変更に関するサービスをポーリングします。現在の設定がターゲット設定から逸脱していることをエージェントが検出すると、エージェントはデバイスに変更を適用しようとします。
エージェントがサービスから新しいターゲット設定を受け取ると、エージェントは次のタスクを実行します。
- 更新時にネットワーク接続に依存しないようにするため、エージェントは、オペレーティングシステムイメージやアプリケーションコンテナーイメージなど、必要なリソースをすべてネットワーク経由でディスクにダウンロードします。
-
エージェントは、
bootcに委譲してオペレーティングシステムイメージを更新します。 - エージェントは、サービスがデバイスに送信するファイルのセットをオーバーレイすることにより、デバイスのファイルシステム上の設定ファイルを更新します。
- 必要な場合は、エージェントは新しいオペレーティングシステムで再起動します。それ以外の場合、エージェントは、更新された設定をリロードするようにシステムサービスとアプリケーションに通知します。
- エージェントは、Podman または MicroShift で実行されているアプリケーションを更新します。
更新が失敗した場合や、再起動後にシステムがオンラインに戻らない場合、エージェントは自動的に以前のオペレーティングシステムイメージと設定にロールバックします。
注記: Git でフリート定義を維持することができます。Red Hat Edge Manager は、データベース内のフリート定義と定期的に同期します。
1.1.2. Red Hat Edge Manager API サーバー
API サーバーは、ユーザーとエージェントがサービスと通信できるようにする Red Hat Edge Manager サービスのコアコンポーネントです。
API サーバーは以下のエンドポイントを公開します。
- ユーザー向け API エンドポイント
- ユーザーは、CLI または Web コンソールからユーザー向け API エンドポイントに接続できます。ユーザーは、HTTPS 要求を行うための JSON Web Token (JWT) を取得するために、設定された外部認証サービスを使用して認証する必要があります。
- エージェント向け API エンドポイント
- エージェントは、mTLS で保護されるエージェント向けエンドポイントに接続します。サービスは、X.509 クライアント証明書を使用してデバイスを認証します。
Red Hat Edge Manager サービスは、さまざまな外部システムと通信して、ユーザーの認証および承認、mTLS 証明書署名、または管理対象デバイスのクエリー設定も行います。
1.1.3. デバイスの登録
テクノロジープレビュー: デバイスの管理を開始する前に、デバイスを Red Hat Edge Manager サービスに登録する必要があります。デバイス上で実行される Red Hat Edge Manager エージェントがデバイスの登録を処理します。
エージェントがデバイスで起動すると、エージェントは /etc/flightctl/config.yaml ファイル内の設定を検索します。このファイルは、以下の設定を定義します。
- 登録エンドポイント。これは、エージェントが登録のために接続する Red Hat Edge Manager サービスです。
- 登録証明書は、Red Hat Edge Manager サービスからの登録を安全に要求するためだけにエージェントが使用する X.509 クライアント証明書とキーです。
- オプション: 追加のエージェント設定。
エージェントは、設定ファイルで定義されている登録エンドポイントである Red Hat Edge Manager サービスを検索して、登録プロセスを開始します。
サービスとのセキュアな mTLS で保護されるネットワーク接続を確立した後、エージェントは登録要求をサービスに送信します。
要求には、デバイスのハードウェアおよびオペレーティングシステムの説明、X.509 証明書署名要求、およびデバイスの暗号化アイデンティティーが含まれます。
登録要求は、認可されたユーザーによって承認される必要があります。要求が承認されると、デバイスは Red Hat Edge Manager サービスによって信頼され、管理されます。
1.1.3.1. 登録方法
以下の方法で、登録エンドポイントと証明書をデバイスにプロビジョニングできます。
- 早期バインディング
- 登録エンドポイントおよび証明書を含むオペレーティングシステムイメージをビルドできます。早期バインディングイメージを使用するデバイスは、プロビジョニングインフラストラクチャーに依存することなく、定義された Red Hat Edge Manager サービスに自動的に接続し、登録を要求できます。
デバイスは、同じ有効期間の長い X.509 クライアント証明書を共有します。ただし、この場合、デバイスは特定のサービスと所有者にバインドされます。
- 遅延バインディング
- 登録エンドポイントと証明書は、オペレーティングシステムイメージに含めるのではなく、プロビジョニング時に定義できます。遅延バインディングイメージを使用するデバイスは、単一の所有者またはサービスにバインドされず、デバイス固有の有効期限の短い X.509 クライアント証明書を持つことができます。
ただし、遅延バインディングでは、Red Hat Edge Manager サービスからデバイス固有の登録エンドポイントと証明書を要求し 、cloud-init、Ignition、キックスタート などのメカニズムを使用してそれらをプロビジョニングされたシステムに注入できる仮想化またはベアメタルプロビジョニングインフラストラクチャーが必要です。
注記: 登録証明書は、登録要求を送信するためにネットワーク接続を保護するためにのみ使用されます。登録証明書は、登録要求の実際の検証または承認に関与しません。デバイスは代わりにデバイス固有の管理証明書に依存するため、登録証明書は登録されたデバイスで使用されなくなりました。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}