第 11 章 自动提供和加入带有 FDO 的 RHEL for Edge 设备
您可以构建 RHEL for Edge Simplified Installer 镜像,并将其置备为 RHEL for Edge 镜像。FIDO 设备加入(FDO)过程会自动置备和加入边缘设备,并与网络连接的其他设备和系统交换数据。
红帽提供了 FDO
流程作为技术预览功能,应在安全网络上运行。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。如需有关 技术预览功能支持范围 的信息,请参阅红帽客户门户网站中的技术预览功能支持范围。
11.1. FIDO 设备加入(FDO)过程
FIDO 设备加入(FDO)是这样的过程:
- 置备并载入设备。
- 自动配置此设备的凭证。FDO 进程是一个自动加入机制,由安装的新设备触发。
- 允许此设备在网络上安全连接和交互。
借助 FIDO 设备加入(FDO),您可以通过向 IoT 架构中添加新设备来实现安全的设备加入。这包括需要信任的,以及与正在运行的系统的其余部分集成的指定的设备配置。FDO 进程是一个自动加入机制,由安装的新设备触发。
FDO 协议执行以下任务:
- 解决信任和所有权链,以及大规模安全加入设备所需的自动化。
- 在制造阶段执行设备初始化,并为其实际用途执行后期设备绑定。这意味着,首先将设备绑定到管理系统的实际绑定会在设备第一次引导时进行。
- 支持自动安全设备加入,即在边缘位置不需要任何专业人员的零接触安装和加入。设备加入后,管理平台可以连接到它,并应用补丁、更新和回滚。
有了 FDO,您可以从以下方面获益:
- FDO 是向管理平台注册设备的一种安全、简单的方法。FDO 不是将 Kickstart 配置嵌入到镜像中,而是在设备首次引导过程中将设备凭据直接应用到 ISO 镜像。
- FDO 解决了之后绑定到设备的问题,使任何敏感数据可以通过安全的 FDO 通道共享。
- FDO 口令在注册并将配置和其他 secret 传递给系统之前以加密方式识别系统身份和所有权。这可让非技术用户加电系统。
要构建 RHEL for Edge 简化的安装程序镜像并自动加入它,请提供现有的 OSTree 提交。生成的简化镜像包含部署了 OSTree 提交的原始镜像。引导简化的安装程序 ISO 镜像后,它提供边缘系统的 RHEL ,您可以在硬盘上使用它,也可以在虚拟机中用作引导镜像。
RHEL for Edge Simplified Installer 镜像对设备的无人值守安装进行了优化,并支持基于网络的部署和非基于网络的部署。但是,对于基于网络的部署,它只支持 UEFI HTTP 引导。
FDO 协议基于以下服务器:
- 制造服务器
- 生成设备凭据。
- 创建一个所有权凭证,用于在稍后的过程中设置设备的所有权。
- 将设备绑定到特定的管理平台。
- 所有者管理系统
- 从制造服务器接收所有权凭证,并成为相关设备的所有者。
- 在过程的后期,它会在设备身份验证后在设备和所有者加入服务器之间创建一个安全通道。
- 使用安全通道来发送所需信息,如将自动化载入到设备的文件和脚本。
- service-info API 服务器
- 根据客户端上可用的 Service-info API 服务器的配置和模块,它会在目标客户端设备上执行加入的最后步骤,如复制 SSH 密钥和文件、执行命令、创建用户、加密磁盘等
- Rendezvous 服务器
- 从 Owner 管理系统获取所有权凭证,并创建一个设备 UUID 到 Owner 服务器 IP 的映射。然后,Rendezvous 服务器将设备 UUID 与目标平台匹配,并告知设备有关这个设备必须使用的 Owner 加入 服务器端点。
- 第一次引导过程中,Rendezvous 服务器将是设备的联系点,它会将设备定向到所有者,因此设备和所有者可以建立一个安全通道。
- 设备客户端
这安装在设备上。设备客户端执行以下操作:
- 将对要执行载入自动化的多个服务器启动查询。
- 使用 TCP/IP 协议与服务器进行通信。
下图代表 FIDO 设备加入工作流:
图 11.1. 在非网络环境中部署 RHEL for Edge
![FDO 设备加入](https://access.redhat.com/webassets/avalon/d/Red_Hat_Enterprise_Linux-9-Composing_installing_and_managing_RHEL_for_Edge_images-zh-CN/images/3ae9c1b1c569e2a1ab2ce772f489fc10/356_RHEL_FDO_process_0823.png)
在 设备初始化 中,设备联系制造服务器以获取 FDO 凭证,一组要安装在带有 Rendezvous 服务器端点(URL)的操作系统上的证书和密钥。它还会获得所有权凭据,在需要更改所有者分配时单独维护。
- 设备联系制造服务器
- 制造服务器为该设备生成一个所有权凭证和设备凭证。
- 所有权凭证被传到所有者加入服务器。
在 现场加入 时,设备会从其设备凭证获取 Rendezvous 服务器端点(URL),并联系 Rendezvous 服务器端点以开始加入过程,这将其重定向到所有者管理系统,后者是由所有者加入服务器和 Service Info API 服务器组成的。
- 所有者加入服务器将所有权凭据传给 Rendezvous 服务器,这将创建一个所有权凭证到所有者的映射。
- 设备客户端读取设备凭据。
- 设备客户端连接到网络。
- 连接到网络后,设备客户端会联系 Rendezvous 服务器。
- Rendezvous 服务器将所有者端点 URL 发送给设备客户端 ,并注册该设备。
- 设备客户端连接到 Rendezvous 服务器共享的所有者加入服务器。
- 设备通过使用设备密钥签名语句来证明它是正确的设备。
- 所有者加入服务器通过使用所有者凭证的最后密钥签署声明来证明自己是正确的。
- 所有者加入服务器将设备的信息传给 Service Info API 服务器。
- Service info API 服务器发送设备的配置。
- 设备已加入。