Red Hat Summit4.3. グローバル登録を使用したホストの登録
Satellite で curl コマンドを生成し、ホストでこのコマンドを実行することで、ホストを Satellite に登録できます。この方法では、グローバル登録 テンプレートと Linux host_init_config default テンプレートの 2 つのプロビジョニングテンプレートを使用します。これにより、ホスト登録プロセスを完全に制御できます。
より高い柔軟性が必要な場合は、デフォルトのテンプレートをカスタマイズすることもできます。詳細は、「登録テンプレートのカスタマイズ」 を参照してください。
4.3.1. 登録用のグローバルパラメーター
Configure > Global Parameters に移動すると、次のグローバルパラメーターを設定できます。
-
host_registration_insightsパラメーターは、insightsスニペットで使用されます。このパラメーターがtrueに設定されていると、登録時にホストに Red Hat Insights クライアントがインストールされ、有効になります。このパラメーターがfalseに設定されていると、Satellite と Red Hat Insights クライアントがインベントリーレポートを Red Hat Hybrid Cloud Console にアップロードできなくなります。デフォルト値はtrueです。パラメーター値をオーバーライドする場合は、パラメーターのタイプをbooleanに設定します。 -
host_packagesパラメーターは、ホストにパッケージをインストールするためのものです。 -
host_registration_remote_executionパラメーターは、remote_execution_ssh_keysスニペットで使用されます。このパラメータがtrueに設定されていると、登録によりホストでリモート実行が有効になります。デフォルト値はtrueです。 -
remote_execution_ssh_keys、remote_execution_ssh_user、remote_execution_create_user、remote_execution_effective_user_methodパラメーターはremote_execution_ssh_keysスニペットで使用されます。詳細は、スニペットを参照してください。
Hosts > Templates > Provisioning Templates で、Satellite Web UI のスニペットに移動できます。
4.3.2. ホスト登録の設定
Satellite Server または Capsule Server に登録できるようにホストを設定します。設定管理ツールを使用して、複数のホストを一度に設定できます。
前提条件
- ホストはサポートされているオペレーティングシステムを使用している必要がある。詳細は、「登録時にサポートされるクライアント」 を参照してください。
- Satellite Server および Capsule Server のシステムクロックは、ネットワーク全体で同期する必要があります。システムクロックが同期されていない場合、SSL 証明書の検証が失敗する可能性があります。たとえば、時間管理には Chrony スイートを使用できます。
手順
ホスト上で時刻同期ツールを有効にして起動します。ホストは、Satellite Server および Capsule Server と同じ NTP サーバーと同期する必要があります。
# systemctl enable --now chronydホストが安全な登録呼び出しを行えるように、ホストに SSL CA ファイルをデプロイします。
- そのためには、Administer > Settings > Authentication に移動し、SSL CA file 設定を見つけて、Satellite が CA ファイルを保存する場所を検出します。
-
たとえば
scpを使用して、SSL CA ファイルをホストに安全に転送します。 - SSH を使用してホストにログインします。
証明書をトラストストアにコピーします。
# cp My_SSL_CA_file.pem /etc/pki/ca-trust/source/anchorsトラストストアを更新します。
# update-ca-trust
4.3.3. ホストの登録
登録テンプレートを使用してホストを登録し、登録プロセス中にさまざまなインテグレーション機能とホストツールを設定できます。
前提条件
- Satellite アカウントに Register hosts ロールが割り当てられているか、同等のパーミッションを持つロールがある。
- 登録するホストで root 権限がある。
- 登録用のホストが設定されている。詳細は、「ホスト登録の設定」 を参照してください。
- ホストのアクティベーションキーがある。詳細は、コンテンツの管理 の アクティベーションキーの管理 を参照してください。
-
オプション: ホストを Red Hat Insights に登録する場合は、
rhel-8-for-x86_64-baseos-rpmsリポジトリーとrhel-8-for-x86_64-appstream-rpmsリポジトリーを同期し、アクティベーションキーで使用できるようにする必要があります。これは、insights-clientパッケージをインストールするために必要です。 - ホストのオペレーティングシステムバージョン用の Red Hat Satellite Client 6 リポジトリーが、Satellite Server 上で同期され、使用するアクティベーションキーで有効になっている。詳細は、コンテンツの管理 の コンテンツのインポート を参照してください。このリポジトリーは、リモート実行プルクライアント、Puppet エージェント、Tracer、およびその他のツールに必要です。
Satellite Server の代わりに Capsule Server を使用する場合は、Capsule Server が適切に設定されていることを確認してください。
重要Satellite Server の信頼できるプロキシーのリストに Capsule Server を追加する必要があります。
詳細は、Capsule Server のインストール の ホストの登録とプロビジョニングのための Capsule の設定 を参照してください。
- Satellite Server または Capsule Server が HTTP プロキシーの背後にある場合は、接続に HTTP プロキシーを使用するようにホストでサブスクリプションマネージャーを設定します。詳細は、Red Hat ナレッジベース の How to access Red Hat Subscription Manager (RHSM) through a firewall or proxy を参照してください。
手順
- Satellite Web UI で、Hosts > Register Host に移動します。
- 登録ホストの設定方法を入力します。
- General タブの Activation Keys フィールドに、ホストに割り当てるアクティベーションキーを 1 つ以上入力します。
-
Generate をクリックして
curlコマンドを生成します。 -
登録するホストで、
curlコマンドをrootとして実行します。登録が完了すると、登録テンプレートの設定時に指定したホストグループに割り当てられた Ansible ロールがホスト上で実行されます。
指定できる登録の詳細は次のとおりです。
- General タブの Capsule フィールドで、ホストの登録に使用する Capsule を選択します。ロードバランサーの背後にある Capsule は、Satellite Web UI でホストのコンテンツソースとして選択された Capsule よりも優先されます。
General タブで Insecure オプションを選択すると、最初の呼び出しを insecure にします。この最初の呼び出し中に、ホストは Satellite から CA ファイルをダウンロードします。ホストは、この CA ファイルを使用して Satellite に接続し、今後のすべての呼び出しは安全になります。
Red Hat は、セキュアでない呼び出しを回避することを推奨します。
Satellite とホスト間のネットワークに存在する攻撃者が、初回の安全ではない呼び出しから CA ファイルをフェッチする場合、攻撃者は登録したホストと JSON Web Tokens (JWT) 間の API 呼び出しの内容にアクセスできます。そのため、登録中の SSH キーのデプロイを選択した場合、攻撃者は SSH キーを使用してホストにアクセスできます。
- Advanced タブの Repositories フィールドでは、登録を実行する前に追加するリポジトリーをリスト表示できます。アクティベーションキーでリポジトリーを指定する場合は、リポジトリーを指定する必要はありません。
Advanced タブの Token lifetime (hours) フィールドで、Satellite が認証に使用する JSON Web Token (JWT) の有効期間を変更できます。このトークンの期間は、生成された
curlコマンドが機能する期間を定義します。Satellite は、ホストの認証に
curlコマンドを生成するユーザーのパーミッションを適用する点に注意してください。ユーザーが追加のパーミッションを失ったり取得したりすると、JWT のパーミッションも変わってきます。そのため、トークン期間中にユーザーのパーミッションを削除、ブロック、または変更しないでください。JWT の範囲は登録エンドポイントのみに制限されているため、その他の場所では使用できません。
CLI 手順
-
hammer host-registration generate-commandを使用して、curlコマンドを生成し、ホストを登録します。 -
登録するホストで、
curlコマンドをrootとして実行します。
詳細は、Hammer CLI のヘルプ hammer host-registration generate-command --help を参照してください。
Ansible の手順
-
redhat.satellite.registration_commandモジュールを使用します。
詳細は、ansible-doc redhat.satellite.registration_command の Ansible モジュールのドキュメントを参照してください。
API の手順
-
POST /api/registration_commandsリソースを使用します。
詳細は、https://satellite.example.com/apidoc/v2.html にある完全な API リファレンスを参照してください。
4.3.4. スニペットを使用したホスト登録のカスタマイズ
事前に定義された名前のスニペットを作成することで、登録プロセスをカスタマイズできます。Global Registration テンプレートには、これらのスニペットが自動的に含まれます。したがって、テンプレートを編集する必要はありません。
登録にカスタム手順を追加するには、次のスニペットの 1 つまたは両方を作成します。
before_registration-
このスニペットは、ホストを Satellite に登録する前に、
Global Registrationテンプレートによって読み込まれ、実行されます。 after_registration-
このスニペットは、ホストを Satellite に登録した後、
Global Registrationテンプレートによって読み込まれ、実行されます。
スニペットに正確な名前を付けるようにしてください。正確な名前を指定しない場合は、Global Registration テンプレートでスニペットを読み込むことができません。
前提条件
-
Satellite アカウントには、
view_provisioning_templates、create_provisioning_templates、assignment_organizations、およびassignment_locationsの権限を付与するロールがある。 - 特定の組織と場所のコンテキストを選択しておく。
手順
- Satellite Web UI で、Hosts > Templates > Provisioning Templates に移動します。
- Create Template をクリックします。
-
Name フィールドに、必要なスニペットの名前を入力します
(before_registrationまたはafter_registration)。 - テンプレートエディターでスニペットを作成します。
- Type タブで、Snippet を選択します。
- Locations タブで、スニペットを必要な場所に割り当てます。
- Organizations タブで、スニペットを必要な組織に割り当てます。
- Submit をクリックします。
関連情報
4.3.5. 登録テンプレートのカスタマイズ
プロビジョニングテンプレートを編集することで、登録プロセスをカスタマイズできます。Satellite のデフォルトテンプレートはすべてロックされている点に注意してください。登録テンプレートをカスタマイズする場合は、デフォルトのテンプレートのクローンを作成し、クローンを編集する必要があります。
Red Hat がサポートするのは、編集されていないオリジナルのテンプレートのみです。カスタマイズされたテンプレートは、Red Hat がリリースした更新を受け取りません。
登録プロセスでは、以下のプロビジョニングテンプレートを使用します。
-
グローバル登録 テンプレートには、ホストを Satellite に登録するための手順が含まれています。このテンプレートは、ホストが
/registerSatellite API エンドポイントにアクセスするとレンダリングされます。 - Linux host_init_config default テンプレートには、登録後にホストの初期設定を行う手順が含まれます。
手順
- Hosts > Templates > Provisioning Templates に移動します。
- 編集するテンプレートを検索します。
- 必要なテンプレートの行で、Clone をクリックします。
- 必要に応じてテンプレートを編集します。詳細は、付録B テンプレート作成リファレンス を参照してください。
- Submit をクリックします。
- Administer > Settings > Provisioning に移動します。
必要に応じて次の設定を変更します。
- Default Global registration template の設定で、カスタムのグローバル登録テンプレートを指定します。
- Default 'Host initial configuration' template の設定で、カスタムの初期設定テンプレートを指定します。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}