Red Hat Summit1장. Red Hat Edge Manager (기술 프리뷰)
기술 프리뷰: Red Hat Edge Manager는 선언적 접근 방식을 통해 에지 장치 및 애플리케이션을 효율적으로 관리할 수 있습니다.
운영 체제 버전, 호스트 구성 및 애플리케이션 배포를 포함하는 에지 장치의 필수 상태를 정의하면 Red Hat Edge Manager가 전체 장치 플릿에서 이러한 구성을 자동으로 구현하고 유지 관리합니다.
Red Hat Advanced Cluster Management for Kubernetes에서 Red Hat Edge Manager를 사용하면 Red Hat OpenShift Container Platform에서 관리하는 방법과 함께 Red Hat Enterprise Linux 머신에서 비Kubernetes 워크로드와 운영 체제 구성을 일관되게 관리할 수 있습니다.
Red Hat Advanced Cluster Management에서 Red Hat Edge Manager를 사용하는 방법에 대한 자세한 내용은 다음 항목을 참조하십시오. 모든 기능은 기술 프리뷰 상태입니다.
1.1. Red Hat Edge Manager 아키텍처
기술 프리뷰: Red Hat Edge Manager를 사용하여 개별 장치 또는 전체 함대를 관리할 수 있습니다. Red Hat Edge Manager는 제한된 네트워크 조건에서도 확장 가능하고 강력한 장치 관리를 지원하는 에이전트 기반 아키텍처를 사용합니다.
Red Hat Edge Manager 에이전트를 장치에 배포하면 에이전트는 장치를 자율적으로 관리하고 Red Hat Edge Manager 서비스와 정기적으로 통신하여 새 구성을 확인하고 장치 상태를 보고합니다.
Red Hat Edge Manager는 이미지 기반 운영 체제를 지원합니다. Red Hat Edge Manager 에이전트와 에이전트 구성을 장치에 배포된 이미지에 포함할 수 있습니다.
이미지 기반 운영 체제를 사용하면 에이전트가 이미지의 트랜잭션 업데이트를 시작하고 업데이트 오류 발생 시 이전 버전으로 롤백할 수 있습니다.
Red Hat Edge Manager 아키텍처에는 다음과 같은 주요 기능이 있습니다.
- agent
- Service
- 이미지 기반 운영 체제
- API 서버
- 데이터베이스
- 장치
- 장치 플릿
다음 섹션에서 자세히 알아보십시오.
1.1.1. Red Hat Edge Manager 에이전트 및 서비스
Red Hat Edge Manager 에이전트는 Red Hat Advanced Cluster Management Hub 클러스터에서 정기적으로 Red Hat Edge Manager 서비스를 전달하는 각 관리 장치에서 실행되는 프로세스입니다. 에이전트는 다음 작업을 담당합니다.
- 서비스에 장치 등록
- 운영 체제, 구성 및 애플리케이션 변경과 같은 장치 사양의 변경 사항이 있는지 주기적으로 서비스에 확인합니다.
- 서비스와 독립적으로 업데이트 적용
- 장치 및 애플리케이션의 상태 보고
Red Hat Edge Manager 서비스는 다음 작업을 담당합니다.
- 사용자 및 에이전트 인증 및 승인
- 장치 등록
- 장치 인벤토리 관리
- 개별 장치 또는 함대의 상태 보고
또한 서비스는 장치 인벤토리 및 대상 장치 구성을 저장하는 데이터베이스와 통신합니다. 서비스와 통신할 때 에이전트는 구성 변경에 대해 서비스를 폴링합니다. 에이전트가 현재 구성이 대상 구성에서 벗어나는 것을 감지하면 에이전트는 변경 사항을 장치에 적용하려고 시도합니다.
에이전트가 서비스에서 새 대상 구성을 수신하면 에이전트는 다음 작업을 수행합니다.
- 업데이트 중 네트워크 연결을 피하기 위해 에이전트는 네트워크를 통해 운영 체제 이미지 및 애플리케이션 컨테이너 이미지와 같은 필요한 모든 리소스를 디스크로 다운로드합니다.
-
에이전트는
bootc로 위임하여 운영 체제 이미지를 업데이트합니다. - 에이전트는 서비스가 장치에 보내는 파일 집합을 오버레이하여 장치의 파일 시스템에서 구성 파일을 업데이트합니다.
- 필요한 경우 에이전트가 새 운영 체제로 재부팅됩니다. 그렇지 않으면 에이전트가 시스템 서비스 및 애플리케이션을 전달하여 업데이트된 구성을 다시 로드합니다.
- 에이전트는 Podman 또는 MicroShift에서 실행되는 애플리케이션을 업데이트합니다.
업데이트가 실패하거나 재부팅 후 시스템이 온라인 상태가 되지 않으면 에이전트는 이전 운영 체제 이미지 및 구성으로 자동으로 롤백됩니다.
참고: Git에서 플릿 정의를 유지 관리할 수 있습니다. Red Hat Edge Manager는 데이터베이스의 플릿 정의와 주기적으로 동기화됩니다.
1.1.2. Red Hat Edge Manager API 서버
API 서버는 사용자 및 에이전트가 서비스와 통신할 수 있는 Red Hat Edge Manager 서비스의 핵심 구성 요소입니다.
API 서버는 다음 끝점을 노출합니다.
- 사용자용 API 끝점
- 사용자는 CLI 또는 웹 콘솔에서 사용자용 API 끝점에 연결할 수 있습니다. 사용자는 HTTPS 요청을 수행하기 위해 JSON 웹 토큰(JWT)을 가져오려면 구성된 외부 인증 서비스로 인증해야 합니다.
- 에이전트용 API 끝점
- 에이전트는 mTLS가 보호되는 에이전트용 엔드포인트에 연결합니다. 서비스는 X.509 클라이언트 인증서를 사용하여 장치를 인증합니다.
Red Hat Edge Manager 서비스는 또한 다양한 외부 시스템과 통신하여 사용자를 인증하고 권한을 부여하거나, mTLS 인증서를 서명하거나, 관리되는 장치에 대한 쿼리 구성을 가져옵니다.
1.1.3. 장치 등록
기술 프리뷰: 장치를 Red Hat Edge Manager 서비스에 등록하려면 먼저 해당 장치를 관리해야 합니다. 장치에서 실행되는 Red Hat Edge Manager 에이전트는 장치 등록을 처리합니다.
에이전트가 장치에서 시작되면 에이전트는 /etc/flightctl/config.yaml 파일에서 구성을 검색합니다. 파일은 다음 구성을 정의합니다.
- 에이전트가 등록하기 위해 연결되는 Red Hat Edge Manager 서비스인 등록 끝점입니다.
- X.509 클라이언트 인증서 및 에이전트가 Red Hat Edge Manager 서비스의 등록을 안전하게 요청하는 데에만 사용하는 등록 인증서입니다.
- 선택사항: 추가 에이전트 구성입니다.
에이전트는 구성 파일에 정의된 Red Hat Edge Manager 서비스 등록 끝점을 검색하여 등록 프로세스를 시작합니다.
서비스와 함께 보안 mTLS로 보호되는 네트워크 연결을 설정한 후 에이전트는 서비스에 등록 요청을 제출합니다.
요청에는 장치의 하드웨어 및 운영 체제 설명, X.509 인증서 서명 요청, 장치의 암호화 ID가 포함됩니다.
등록 요청은 승인된 사용자가 승인해야 합니다. 요청이 승인되면 Red Hat Edge Manager 서비스에서 장치를 신뢰하고 관리합니다.
1.1.3.1. 등록 방법
다음과 같은 방법으로 장치에 등록 끝점 및 인증서를 프로비저닝할 수 있습니다.
- early binding
- 등록 끝점 및 인증서가 포함된 운영 체제 이미지를 빌드할 수 있습니다. 초기 바인딩 이미지를 사용하는 장치는 프로비저닝 인프라에 의존하지 않고 정의된 Red Hat Edge Manager 서비스에 자동으로 연결하여 등록을 요청할 수 있습니다.
장치는 동일한 수명이 긴 X.509 클라이언트 인증서를 공유합니다. 그러나 이 경우 장치는 특정 서비스 및 소유자에 바인딩됩니다.
- 늦은 바인딩
- 운영 체제 이미지에 포함되지 않고 프로비저닝 시 등록 끝점 및 인증서를 정의할 수 있습니다. 늦은 바인딩 이미지를 사용하는 장치는 단일 소유자 또는 서비스에 바인딩되지 않으며 장치별 X.509 클라이언트 인증서가 있을 수 있습니다.
그러나 늦은 바인딩에는 Red Hat Edge Manager 서비스에서 장치별 등록 끝점 및 인증서를 요청하고 cloud-init,Ignition 또는 kickstart 와 같은 메커니즘을 사용하여 프로비저닝된 시스템에 삽입할 수 있는 가상화 또는 베어 메탈 프로비저닝 인프라가 필요합니다.
참고: 등록 인증서는 등록 요청을 제출하기 위한 네트워크 연결을 보호하는 데만 사용됩니다. 등록 인증서는 등록 요청의 실제 확인 또는 승인에 포함되지 않습니다. 장치가 장치별 관리 인증서에 의존하므로 등록 인증서는 등록된 장치에 더 이상 사용되지 않습니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}