红帽全球峰会Satellite 概述、概念和部署注意事项
向红帽文档提供反馈
我们感谢您对文档提供反馈信息。请让我们了解如何改进文档。
您可以通过在 Bugzilla 中记录一个 ticket 来提交反馈:
- 导航到 Bugzilla 网站。
-
在 Component 字段中,使用
Documentation。 - 在 Description 字段中,输入您要改进的建议。包括文档相关部分的链接。
- 点 Submit Bug。
部分 I. Satellite 架构
第 1 章 Red Hat Satellite 简介
Red Hat Satellite 是一个系统管理解决方案,可让您跨物理、虚拟和云环境部署、配置和维护。卫星通过单一集中工具提供对多个 Red Hat Enterprise Linux 部署的调配、远程管理和监控。Satellite 服务器同步红帽客户门户和其他来源的内容,并提供精细生命周期管理、用户和组角色的访问控制、集成订阅管理以及高级 GUI、CLI 或 API 访问。
胶囊服务器 从卫星服务器对内容进行镜像,从而促进了跨不同地理位置的内容联合。主机系统可以从位置的胶囊服务器拉取内容和配置,而不是从中央卫星服务器拉取配置。胶囊服务器还提供本地化服务,如 Puppet 服务器、DHCP、DNS 或 TFTP。随着受管系统数量的增加,胶囊服务器可帮助您扩展 Satellite 环境。
胶囊服务器可降低中央服务器的负载,增加冗余并降低带宽使用量。更多信息请参阅 第 2 章 胶囊服务器概述。
1.1. 系统架构
下图显示了红帽卫星的高级架构。
图 1.1. Red Hat Satellite 系统架构
此架构中的内容流有四个阶段:
- 外部内容源
- Satellite 服务器 可以消耗来自各种来源的各种内容。红帽客户门户是软件包、勘误表和容器镜像的主要来源。另外,您可以使用其他支持的内容源(Git 存储库、Docker Hub、SCAP 存储库)以及您组织的内部数据存储。
- Satellite Server
Satellite 服务器允许您通过 GUI、CLI 或 API 来计划和管理内容生命周期及主机配置。
Satellite 服务器通过将组织作为主要部门单元来组织生命周期管理。组织根据特定要求和管理任务为一组主机隔离内容。例如,操作系统构建团队可以使用不同于 Web 开发团队的组织。
此外,卫星服务器还包含精细的身份验证系统,为卫星操作员提供相应的权限,以便精确访问基础架构的某些部分。
- 胶囊服务器
胶囊服务器从卫星服务器对内容进行镜像,以在各种地理位置建立内容源。这可让主机系统从其位置的胶囊服务器拉取内容和配置,而不是从中央卫星服务器拉取配置。因此,建议的最少的胶囊服务器数量按照使用 Satellite 运行的组织的地理区域数量来指定。
使用内容视图,您可以指定胶囊服务器对主机提供的确切内容子集。使用 Content Views 时,请参阅 图 1.2 “Red Hat Satellite 中的内容生命周期” 查看生命周期管理。
受管主机和卫星服务器之间的通信通过胶囊服务器路由,后者也可以代表主机管理多个服务。其中许多服务都使用专用的网络端口,但胶囊服务器可确保单一源 IP 地址用于从主机到卫星服务器的所有通信,从而简化防火墙管理。有关胶囊服务器的更多信息,请参阅 第 2 章 胶囊服务器概述。
- 受管主机
- 主机是来自胶囊服务器的内容的接收者。主机可以是物理或虚拟的。Satellite Server 可以具有直接受管主机。运行胶囊服务器的基础系统也是卫星服务器的受管主机。
下图显示了从卫星服务器到胶囊的内容分布。
图 1.2. Red Hat Satellite 中的内容生命周期
默认情况下,每个机构都包含来自外部来源的内容库。内容视图是智能过滤创建的库中内容的子集。您可以将内容视图发布并提升到生命周期环境(通常为 Dev、QA 和 Production)。在创建胶囊服务器时,您可以选择将哪些生命周期环境复制到该胶囊,并提供给受管主机。
内容视图可以合并,以创建 Composite Content Views。对于操作系统所需软件包的存储库,具有单独的内容视图,另一个用于应用所需软件包的存储库,这会非常有用。一个优点是,对一个存储库中的软件包的任何更新只需要重新发布相关的内容视图。然后,您可以使用 Composite Content Views 组合已发布的内容视图,以简化管理。
哪些内容视图应当推广到哪些胶囊服务器上取决于胶囊的预期功能。任何胶囊服务器都可以作为可补充的基础架构服务运行 DNS、DHCP 和 TFTP,例如,内容或配置服务。
您可以使用库中的同步内容,创建内容视图的新版本来更新胶囊服务器。新的 Content View 版本会通过生命周期环境提升。您还可以创建内容视图的原位升级。这意味着,在其当前生命周期环境中创建内容视图的次要版本,而不将其从库推进。例如,如果您需要将安全勘误应用到生产中使用的内容视图,您可以直接更新内容视图,而不提升到其他生命周期。有关内容管理的更多信息,请参阅管理内容。
1.2. 系统组件
Red Hat Satellite 由多个开源项目组成,它们作为 Satellite 集成、验证、交付和支持。这些信息会在红帽客户门户网站上维护并定期更新。请参阅 Satellite 6 组件版本。
Red Hat Satellite 包括以下开源项目:
- Foreman
- Foreman 是一个开源应用,用于物理和虚拟系统的调配和生命周期管理。Foreman 使用各种方法自动配置这些系统,包括 kickstart 和 Puppet 模块。Foreman 还为报告、审核和故障排除提供历史数据。
- Katello
- Katello 是一个 Foreman 插件,用于订阅和存储库管理。它为订阅红帽存储库和下载内容提供了一个途径。您可以创建和管理这些内容的不同版本,并将其应用到应用程序生命周期的用户定义的阶段的特定系统。
- Candlepin
- Candlepin 是 Katello 中的一个服务,负责处理订阅管理。
- Pulp
- Pulp 是 Katello 中的一个服务,负责处理存储库和内容管理。即使不同组织中的内容视图要求,Pulp 仍然不会复制 RPM 软件包来确保存储空间有效。
- Hammer
- Hammer 是一个 CLI 工具,提供命令行和 shell 等效于大多数卫星 Web UI 功能。
- REST API
- 红帽卫星包括一个 RESTful API 服务,它允许系统管理员和开发人员编写与红帽卫星交互的自定义脚本和第三方应用程序。
红帽卫星及其组件中使用的术语非常广泛。有关常用术语的解释请查看 附录 B, 术语表。
1.3. 支持的使用
每个 Red Hat Satellite 订阅包括一个受支持的红帽企业 Linux 服务器实例。该实例应该只保留为运行 Red Hat Satellite 的目的。不支持使用 Satellite 中包含的操作系统来运行其他守护进程、应用程序或服务。
对 Red Hat Satellite 组件的支持如下所述。
SELinux 必须是 enforcing 模式,或 permissive 模式,不支持禁用 SELinux。
- Puppet
红帽卫星包括受支持的 Puppet 软件包。安装程序允许用户安装和配置 Puppet 服务器作为胶囊服务器的一部分。红帽还支持在卫星服务器或卫星胶囊服务器上的 Puppet 服务器上运行的 Puppet 模块。有关支持的 Puppet 版本的详情,请参阅红帽知识库文章 Satellite 6 组件版本。
红帽支持许多不同的脚本和其他框架,包括 Puppet 模块。对这些框架的支持基于红帽知识库文章,红帽如何支持脚本框架。
- Pulp
- Pulp 使用量仅通过卫星 Web UI、CLI 和 API 支持。不支持直接修改或与 Pulp 的本地 API 或数据库交互,因为这可能会给红帽卫星数据库造成意外损坏。
- Foreman
Foreman 可使用插件进行扩展,但仅支持通过 Red Hat Satellite 打包的插件。红帽不支持 Red Hat Satellite Optional 软件仓库中的插件。
Red Hat Satellite 还包括用于置备和配置 Red Hat Enterprise Linux 以外的操作系统的组件、配置和功能。尽管这些功能已包含在内,但红帽均支持其对 Red Hat Enterprise Linux 的使用。
- Candlepin
- 唯一支持的使用 Candlepin 的方法通过卫星 Web UI、CLI 和 API。红帽不支持与 Candlepin、其本地 API 或数据库进行直接交互,因为这可能导致对红帽卫星数据库造成意外损坏。
- 嵌入式 Tomcat 应用服务器
- 使用嵌入式 Tomcat 应用程序服务器的唯一支持方法是 Satellite Web UI、API 和数据库。红帽不支持与嵌入式 Tomcat 应用程序服务器的本地 API 或数据库直接交互。
在 Red Hat Satellite 上下文中只支持使用所有 Red Hat Satellite 组件。第三方组件的使用不在支持的使用范围内。
1.4. 支持的客户端架构
1.4.1. 内容管理
支持的 Red Hat Enterprise Linux 和硬件架构主要版本组合使用 Satellite 注册和管理主机。这包括 Satellite 客户端 6 软件仓库。
| 平台 | 构架 |
|---|---|
| Red Hat Enterprise Linux 9 | x86_64, ppc64le, s390x, aarch64 |
| Red Hat Enterprise Linux 8 | x86_64, ppc64le, s390x |
| Red Hat Enterprise Linux 7 | x86_64, ppc64(BE), ppc64le, aarch64, s390x |
| Red Hat Enterprise Linux 6 | x86_64, i386, s390x, ppc64(BE) |
1.4.2. 主机调配
支持的 Red Hat Enterprise Linux 和硬件架构组合使用 Satellite 进行主机置备。
| 平台 | 构架 |
|---|---|
| Red Hat Enterprise Linux 9 | x86_64 |
| Red Hat Enterprise Linux 8 | x86_64 |
| Red Hat Enterprise Linux 7 | x86_64 |
| Red Hat Enterprise Linux 6 | x86_64, i386 |
1.4.3. 配置管理
支持的 Red Hat Enterprise Linux 和硬件架构组合使用 Satellite 进行配置管理。
| 平台 | 构架 |
|---|---|
| Red Hat Enterprise Linux 9 | x86_64 |
| Red Hat Enterprise Linux 8 | x86_64, aarch64 |
| Red Hat Enterprise Linux 7 | x86_64 |
| Red Hat Enterprise Linux 6 | x86_64, i386 |
第 2 章 胶囊服务器概述
胶囊服务器 提供内容联合,并运行 本地化服务 以发现、配置、控制和配置主机。您可以使用 Capsules 将卫星部署扩展到不同的地理位置。本节概述可以在胶囊上启用的功能及其简单分类。
有关胶囊要求、安装过程和可扩展性注意事项的更多信息,请参阅安装胶囊服务器。
2.1. 胶囊功能
胶囊服务器提供两组功能:您可以使用 Capsule 来运行主机管理所需的服务。您还可以将 Capsule 配置为从卫星服务器镜像内容。
基础架构和主机管理服务:
- DHCP - 胶囊可以管理 DHCP 服务器,包括与现有解决方案集成,如 ISC DHCP 服务器、Active Directory 和 Libvirt 实例。
- DNS - 胶囊可以管理 DNS 服务器,包括与现有解决方案(如 ISC BIND 和 Active Directory)集成。
- TFTP - 胶囊可与任何基于 UNIX 的 TFTP 服务器集成。
- realm - Capsule 可以管理 Kerberos 域或域,以便主机可以在调配期间自动加入它们。胶囊可以与现有基础架构集成,包括红帽身份管理和 Active Directory。
- Puppet 服务器 - 胶囊可以通过运行 Puppet 服务器来充当配置管理服务器。
- Puppet 证书颁发机构 - 胶囊可以与 Puppet 的 CA 集成,以向主机提供证书。
- Baseboard Management Controller(BMC) - Capsule 可以使用 IPMI 或 Redfish 为主机提供电源管理。
- 置备模板代理 - 胶囊可为主机提供置备模板。
- OpenSCAP - 胶囊可以在主机上执行安全合规性扫描。
- 远程执行(REX) - 胶囊可以在主机上运行远程作业执行。
内容相关功能:
- 存储库同步 - Satellite 服务器的内容(从所选生命周期环境更精确)拉取到胶囊服务器以进行内容交付(由 Pulp 启用)。
- 内容交付 - 配置为使用胶囊服务器从该胶囊下载内容而非中央卫星服务器(由 Pulp 启用)的主机。
- 主机操作交付 - 胶囊服务器对主机执行计划操作。
- Red Hat Subscription Management(RHSM)代理 - 主机注册到其关联的胶囊服务器,而不是中央卫星服务器或红帽客户门户网站(由 Candlepin 提供)。
2.2. 胶囊类型
并非必须一次性启用所有胶囊功能。您可以为特定限制目的配置胶囊服务器。一些常见配置包括:
- 基础架构胶囊 [DNS + DHCP + TFTP] - 为主机提供基础架构服务。启用置备模板代理后,基础架构胶囊具有用于调配新主机的所有必要服务。
- 内容胶囊 [Pulp] - 提供从卫星服务器同步到主机的内容。
- 配置胶囊 [Pulp + Puppet + PuppetCA] - 为主机提供内容和运行配置服务。
- all-in-one Capsules [DNS + DHCP + TFTP + Pulp + Puppet + PuppetCA] - 提供一组完整的胶囊功能。all-in-one 胶囊通过为受管主机提供单一连接点来启用主机隔离。
2.3. 胶囊网络
胶囊隔离的目标是为所有主机的网络通信提供一个端点,以便在远程网络段中,您只需要为胶囊本身打开防火墙端口。下图显示了卫星组件与连接到隔离胶囊的主机的场景中的交互。
图 2.1. 带有 Isolated Capsule 的 Satellite 拓扑
下图显示了在主机直接连接到卫星服务器时卫星组件如何交互。请注意,由于外部胶囊的基本系统是卫星的客户端,因此即使您打算直接连接主机,此图表也相关。
图 2.2. 使用 Internal Capsule 的 Satellite 拓扑
您可以在以下文档中找到配置基于主机的防火墙的完整说明:
第 3 章 机构、位置和生命周期环境
红帽卫星采用统一的组织和位置管理方法。系统管理员在单个卫星服务器中定义多个组织和多个位置。例如,一个公司可能会在三个国家(美国、英国和日本)有三个机构(Finance、市场营销和销售)。在本例中,卫星服务器管理所有地理位置的所有组织,为管理系统创建 9 个不同的上下文。此外,用户可以定义特定位置并嵌套它们来创建层次结构。例如,卫星管理员可以将美国划分为特定的城市,如 Boston、Phoenix 或 San Francisco。
图 3.1. Red Hat Satellite 的拓扑示例
卫星服务器定义所有位置和组织。各个卫星胶囊服务器同步内容并处理不同位置中的系统配置。
主卫星服务器保留了管理功能,而内容和配置在主卫星服务器和分配至特定位置的卫星胶囊服务器之间同步。
3.1. 机构
组织根据所有权、目的、内容、安全级别或其他部门将红帽卫星资源划分为逻辑组。您可以通过红帽卫星创建和管理多个组织,然后将订阅划分并分配给每个单独的组织。这提供了一种方式,可以在一个管理系统下管理多个独立组织的内容。
3.2. 位置
位置根据地理位置将组织划分为逻辑组。每个位置由单个帐户创建并使用,虽然每个帐户可以管理多个位置和组织。
3.3. 生命周期环境
应用程序生命周期分为不同的 生命周期阶段,这些环境 代表应用程序生命周期的每个阶段。生命周期环境链接为形成一个 环境变量。在需要时,您可以将内容以及下一个生命周期环境路径提升。例如,如果开发以应用程序的一个特定版本结束,您可以将此版本提升到测试环境,并在下一版本中开始开发。
图 3.2. 包含四个环境的环境路径
第 4 章 主机组概念
除了胶囊服务器的物理拓扑外,红帽卫星还提供多个逻辑单元来分组主机。作为这些组的成员的主机会继承组配置。例如,定义置备环境的简单参数可在以下级别应用:
Global > Organization > Location > Domain > Host group > Host
Global > Organization > Location > Domain > Host group > HostRed Hat Satellite 中的主要逻辑组是:
- 机构 - 主机的最高级别逻辑组。机构对内容和配置提供强有力的分离。每个组织都需要单独的红帽订阅清单,可以被视为卫星服务器的单独虚拟实例。如果应用较低级别主机分组,则避免使用机构。
- 位置 - 应该与物理位置匹配的一组主机。位置可用于映射网络基础架构,以防止不正确的主机放置或配置。例如,您无法将子网、域或计算资源直接分配给胶囊服务器,仅分配给一个位置。
- 主机组 - 主机 定义的主要载体,包括分配的 Puppet 类、内容视图或操作系统。建议您在主机组级别上配置大多数设置,而不是直接在定义主机。配置新主机之后,大体会变得添加该主机到正确的主机组中。当主机组可以嵌套,您可以创建一个最适合您的要求的结构(请参阅 第 4.1 节 “主机组结构”)。
- 主机集合 - 注册到卫星服务器的主机,用于订阅,内容管理称为 内容主机。内容主机可以组织到主机集合中,这样便可执行批量操作,如软件包管理或勘误表安装。
位置和主机组可以嵌套。组织和主机集合是扁平的。
4.1. 主机组结构
可以通过嵌套主机组来继承适合特定工作流的主机组层次结构的事实。计划良好的主机组结构有助于简化主机设置的维护。本节概述了组织主机组的四种方法。
图 4.1. 主机组评估示例
扁平结构
扁平结构的优点是有限的复杂性,避免继承性。在很少主机类型的部署中,这种情况是最佳选择。但是,如果没有继承,则主机组之间设置存在高重复设置的风险。
基于生命周期环境的结构
在这个层次结构中,第一个主机组级别保留给特定于生命周期环境的参数。第二个级别包含操作系统相关的定义,第三级别包含特定于应用的设置。在这样的结构中,职责划分到生命周期环境(例如,开发、Basz和生产 生命周期阶段的专用所有者)。
基于应用程序结构
这种层次结构基于特定应用中主机的角色。例如,它启用为后端和前端服务器组定义网络设置。主机的选定特征是隔离的,它支持以 Puppet 形式对复杂配置的管理。但是,内容视图只能在此层次结构的底部分配到主机组。
基于位置结构
在这种层次结构中,位置的分发与主机组结构一致。在位置(Capsule Server)拓扑决定许多其他属性的场景中,此方法是最佳选择。另一方面,此结构使跨位置共享参数变得复杂,因此在有大量应用程序的复杂环境中,每个配置更改所需的主机组更改数量会大大增加。
第 5 章 置备概念
红帽卫星的重要功能是无人值守的主机调配。为了达到此目的,红帽卫星使用 DNS 和 DHCP 基础架构、PXE 启动、TFTP 和 Kickstart。使用本章来理解这些概念的工作原则。
5.1. PXE 引导
预启动执行环境(PXE)提供了通过网络引导系统的功能。PXE 不使用本地硬盘驱动器或 CD-ROM,而是使用 DHCP 为主机提供有关网络的标准信息、发现 TFTP 服务器以及下载引导镜像。有关设置 PXE 服务器的详情,请查看红帽知识库 解决方案如何设置/配置 PXE 服务器。
5.1.1. PXE 序列
- 如果没有找到其他可引导镜像,则主机会引导 PXE 镜像。
- 主机的 NIC 将广播请求发送到 DHCP 服务器。
- DHCP 服务器收到请求并发送有关网络的标准信息:IP 地址、子网掩码、网关、DNS、TFTP 服务器和引导镜像。
-
主机从 TFTP 服务器获取引导装载程序
image/pxelinux.0和配置文件pxelinux.cfg/00:MA:CA:AD:D。 -
主机配置指定内核镜像
initrd和 Kickstart 的位置。 - 主机下载文件并安装镜像。
有关使用卫星服务器 PXE 引导的示例,请参阅 Provisioning Hosts 中的置备工作流。
5.1.2. PXE 引导要求
要使用 PXE 引导置备机器,请确定您满足以下要求:
网络要求
- 可选:如果主机和 DHCP 服务器由路由器分开,请配置 DHCP 中继代理并指向 DHCP 服务器。
客户端要求
- 确保将所有基于网络的防火墙配置为允许子网上的客户端访问胶囊。更多信息请参阅 图 2.1 “带有 Isolated Capsule 的 Satellite 拓扑”。
- 确保您的客户端能够访问 DHCP 和 TFTP 服务器。
Satellite 要求
- 确保卫星服务器和胶囊都配置了 DNS,并且能够解析置备的主机名。
- 确保客户端可以访问 UDP 端口 67 和 68,使客户端能够通过引导选项接收 DHCP 提供。
- 确保客户端可以访问 UDP 端口 69,以便客户端能够访问胶囊上的 TFTP 服务器。
- 确保客户端可以访问 TCP 端口 80,以允许客户端从胶囊下载文件和 Kickstart 模板。
- 确保主机置备接口子网设置了 DHCP 胶囊。
- 确保主机置备接口子网设置了 TFTP 胶囊。
- 确保主机置备接口子网设置了 Templates Capsule。
- 确保使用 Satellite 安装程序启用了带有正确子网的 DHCP。
- 使用 Satellite 安装程序启用 TFTP。
5.2. HTTP 引导
您可以使用 HTTP 引导通过网络引导系统,使用 HTTP。
5.2.1. 使用管理的 DHCP 进行 HTTP 引导要求
要通过 HTTP 引导置备机器,请确定您满足以下要求:
客户端要求
要使 HTTP 引导正常工作,请确保您的环境有以下客户端配置:
- 所有基于网络的防火墙都配置为允许子网上的客户端访问胶囊。更多信息请参阅 图 2.1 “带有 Isolated Capsule 的 Satellite 拓扑”。
- 您的客户端可以访问 DHCP 和 DNS 服务器。
- 您的客户端有权访问 HTTP UEFI 引导菜单。
网络要求
- 可选:如果主机和 DHCP 服务器由路由器分开,请配置 DHCP 中继代理并指向 DHCP 服务器。
Satellite 要求
虽然 TFTP 协议不用于 HTTP UEFI 引导,但卫星使用 TFTP 胶囊 API 部署引导装载程序配置。
要使 HTTP 引导正常工作,请确保 Satellite 有以下配置:
- Satellite Server 和 Capsule 都配置了 DNS,并可解析置备的主机名。
- 客户端可以访问 UDP 端口 67 和 68,以便客户端可以发送和接收 DHCP 请求并提供。
- 确保为客户端打开 TCP 端口 8000,以便从胶囊下载启动加载器和 Kickstart 模板。
- 打开 TCP 端口 9090,以便客户端使用 HTTPS 协议从胶囊下载引导加载器。
- 作为主机的置备接口支持的子网具有 DHCP 胶囊、HTTP 引导菜单、TFTP 胶囊和 Templates Capsule
grub2-efi软件包更新至最新版本。要将grub2-efi软件包更新至最新版本,并执行安装程序以将最新的引导装载程序从/boot复制到/var/lib/tftpboot目录中,请输入以下命令:satellite-maintain packages update grub2-efi satellite-installer
# satellite-maintain packages update grub2-efi # satellite-installerCopy to Clipboard Copied! Toggle word wrap Toggle overflow
5.2.2. 使用非受管 DHCP 进行 HTTP 引导要求
要在没有管理的 DHCP 的情况下通过 HTTP 引导置备机器,请确定您满足以下要求:
客户端要求
HTTP UEFI 引导 URL 必须设置为以下之一:
-
http://capsule.example.com:8000 -
https://capsule.example.com:9090
-
- 确保您的客户端能够访问 DHCP 和 DNS 服务器。
- 确保您的客户端有权访问 HTTP UEFI 引导菜单。
- 确保将所有基于网络的防火墙配置为允许子网上的客户端访问胶囊。更多信息请参阅 图 2.1 “带有 Isolated Capsule 的 Satellite 拓扑”。
网络要求
- 可供客户端使用的非受管 DHCP 服务器。
- 可供客户端使用的非受管 DNS 服务器。如果 DNS 不可用,请使用 IP 地址来配置客户端。
Satellite 要求
虽然 TFTP 协议不用于 HTTP UEFI 引导,但卫星使用 TFTP Capsule API 部署引导装载程序配置。
- 确保卫星服务器和胶囊都配置了 DNS,并且能够解析置备的主机名。
- 确保 UDP 端口 67 和 68 可以被客户端访问,以便客户端可以发送和接收 DHCP 请求并提供。
- 确保为客户端打开 TCP 端口 8000,以便从胶囊下载引导装载程序和 Kickstart 模板。
- 确保为客户端打开 TCP 端口 9090,以便客户端通过 HTTPS 协议从胶囊下载引导加载器。
- 确保主机置备接口子网设置了 HTTP Boot Capsule。
- 确保主机置备接口子网设置了 TFTP 胶囊。
- 确保主机置备接口子网设置了 Templates Capsule。
将
grub2-efi软件包更新至最新版本,并执行安装程序以将最新的引导装载程序从/boot目录复制到/var/lib/tftpboot目录中:satellite-maintain packages update grub2-efi satellite-installer
# satellite-maintain packages update grub2-efi # satellite-installerCopy to Clipboard Copied! Toggle word wrap Toggle overflow
5.3. Kickstart
您可以通过创建一个包含安装所需的所有信息的 Kickstart 文件,使用 Kickstart 自动自动安装 Red Hat Satellite 或 Capsule Server 的安装过程。有关 Kickstart 的详情,请查看 执行高级 RHEL 8 安装中的 Kickstart 执行自动安装。
5.3.1. 工作流
当您运行 Red Hat Satellite Kickstart 脚本时,会出现以下工作流:
- 它指定卫星服务器或胶囊服务器的安装位置。
- 它安装预定义的软件包。
- 它安装 Subscription Manager。
- 它使用激活码将主机订阅到 Red Hat Satellite。
-
它安装 Puppet,并配置
puppet.conf文件以指示 Red Hat Satellite 或 Capsule 实例。 - 它使得 Puppet 能够运行和请求证书。
- 它运行用户定义的片断。
第 6 章 内容交付网络结构
Red Hat Content Delivery Network(CDN)位于 cdn.redhat.com,是地理上分散的静态 webservers,其中包含旨在供系统使用的内容和勘误。此内容可通过使用 Subscription Manager 注册的系统或通过 Satellite Web UI 直接访问。CDN 的可访问子集是通过 使用红帽订阅管理 或 Satellite 服务器附加到系统的订阅来配置。
Red Hat Content Delivery 网络由 X.509 证书身份验证进行保护,以确保只有有效用户可以访问它。
CDN 的目录结构
- 1
内容目录。- 2
- 负责内容生命周期的目录。通用目录包括
beta(针对测试代码)、dist(生产)和eus(用于延长更新支持)目录。 - 3
- 负责产品名称的目录。通常为
RedHat Enterprise Linux 的 RHEL。 - 4
- 负责产品类型的目录。对于 Red Hat Enterprise Linux,这可能包括
服务器、工作站和计算节点目录。 - 5
- 负责发行版本的目录,如
7、7.2或7Server。 - 6
- 负责基本架构的目录,如
i386或x86_64。 - 7
- 负责存储库名称的目录,如
sat-tools、kickstart、rhscl。有些组件需要额外的子目录,它们可能有所不同。
此目录结构也用于 Red Hat Subscription Manifest。
部分 II. Satellite 部署规划
第 7 章 部署注意事项
本节概述了规划 Red Hat Satellite 部署以及更具体文档的建议和参考时需要考虑的一般主题。
7.1. Satellite 服务器配置
工作卫星基础架构的第一步是在专用 Red Hat Enterprise Linux 8 服务器上安装一个卫星服务器实例。
有关在连接的网络中安装 Satellite 服务器的更多信息,请参阅在连接的网络环境中安装卫星服务器。
在大型 Satellite 部署中,您可以通过使用预定义的调优配置文件配置 Satellite 来提高性能。有关更多信息,请参阅在 连接的网络环境中 安装卫星服务器 中的使用预定义配置集调整卫星服务器 。
有关在断开连接的环境中安装 Satellite 服务器的详情,请参考在断开连接的网络环境中 安装卫星服务器。
在大型 Satellite 部署中,您可以通过使用预定义的调优配置文件配置 Satellite 来提高性能。如需更多信息,请参阅在 断开连接 的网络环境中安装 Satellite Server 中的 调整 卫星服务器。
将 Red Hat Subscription Manifests 添加到 Satellite Server
Red Hat Subscription Manifest(Red Hat Subscription Manifest)是包含您的订阅信息的加密文件。Satellite 服务器使用此信息访问 CDN,并查找哪些存储库可用于关联的订阅。有关如何创建和导入 Red Hat 订阅清单的步骤,请参阅管理 内容。
Red Hat Satellite 需要一个单一的清单,用于 Satellite 上配置的每个机构。如果您计划在一个 Red Hat Network 账户中使用组织功能来管理基础架构的独立单元,那么请根据需要将订阅从一个帐户分配一个帐户。
如果您计划有多个红帽网络帐户,或者想要管理属于另一个实体的系统(其也是 Red Hat Network account holder),那么您和其他账户拥有者可以根据需要为清单分配订阅。没有 Satellite 订阅的客户可以创建订阅资产管理器清单,该清单可用于 Satellite(如果他们有其他有效的订阅)。然后,您可以使用一个卫星服务器中的多个清单来管理多个组织。
如果您必须管理系统,但无法访问 RPM 的订阅,则必须使用 Red Hat Enterprise Linux Satellite 附加组件。如需更多信息,请参阅 Satellite 附加组件。
下图显示了两个红帽网络帐户拥有者,他们希望将其系统由同一 Satellite 安装进行管理。在这种情况下,Syam 公司 1 可以为清单分配 60 个订阅的任何子集。在本例中,他们已分配 30 个订阅。这可以作为不同的组织导入到卫星中。这让系统管理员能够使用卫星完全独立于示例公司 2 的组织(R&D、运营和工程)管理示例公司 1 系统。
图 7.1. 带有多个清单的 Satellite Server
创建 Red Hat Subscription 清单时:
- 如果计划断开连接的或自助注册卫星服务器,请将卫星服务器的订阅添加到清单中。对于使用基本系统中的 Subscription Manager 工具订阅的连接的卫星服务器,这不需要这样做。
- 为您要创建的所有胶囊服务器添加订阅。
- 为您要通过 Satellite 管理的所有红帽产品添加订阅。
- 请注意,订阅到期后的日期,并在到期日前计划其续订。
- 为每个机构创建一个清单。您可以使用多个清单,它们来自不同的红帽订阅。
红帽卫星允许在清单中使用未来日期的订阅。这会在现有订阅的到期日期前将后续订阅添加到清单中时,对存储库进行不间断访问。
请注意,如果基础架构有任何变化,或者在添加更多订阅时,可以修改并重新加载 Red Hat Subscription Manifest。不应该删除清单。如果您从红帽客户门户或 Satellite Web UI 中删除清单,则会取消注册所有内容主机。
7.2. 带有外部数据库的卫星服务器
安装 Satellite 时,satellite-installer 命令会在安装 Satellite 的同一服务器上创建数据库。根据您的要求,迁移到外部数据库可为 Satellite 提供增加的工作内存,这可提高数据库操作的响应时间。移动到外部数据库将分发工作负载,可以提高性能调节容量。
如果您计划将 Satellite 部署用于以下情况,请考虑使用外部数据库:
- 频繁远程执行任务.这会在 PostgreSQL 中创建大量记录并生成大量数据库工作负载。
- 频繁存储库同步或内容视图发布方面的高磁盘 I/O 工作负载。这会导致 Satellite 在 PostgreSQL 中为每个作业创建记录。
- 大量主机。
- 大量同步内容。
有关使用外部数据库的更多信息,请参阅在连接的网络 环境中安装 Satellite 中使用外部数据库。
7.3. 位置和拓扑
本节概述了应帮助您指定 Satellite 部署场景的一般注意事项。第 8 章 常见部署场景 列出了最常见的部署场景。定义的问题包括:
- 我需要多少个胶囊服务器? -您的机构运行的地理位置应转换为胶囊服务器的数量。通过为每个位置分配胶囊,您可以降低卫星服务器的负载,增加冗余并降低带宽使用量。卫星服务器本身可以充当胶囊(默认情况下它包含集成的胶囊)。这可以用于单一位置部署,以及调配基础系统的胶囊服务器。不建议使用集成胶囊与远程位置中的主机通信,因为它可能会导致网络利用率不足。
- 胶囊服务器将提供哪些服务? - 在建立胶囊的数量后,决定每个胶囊上要启用哪些服务。虽然有可用的内容和配置管理功能的整个堆栈,但一些基础架构服务(DNS、DHCP 和 TFTP)也可以位于 Satellite 管理员的控制之外。在这种情况下,Capsules 必须与这些外部服务集成(请参阅 第 8.5 节 “带有外部服务的胶囊”)。
- 我的 Satellite 服务器是否需要从互联网断开?- 断开连接的 Satellite 是一个通用部署场景(请参阅 第 8.4 节 “断开连接的 Satellite”)。如果您需要在非联网卫星上频繁地更新红帽内容,请规划额外的 Satellite 实例以进行卫星服务器同步。
- 我需要对我的主机需要哪些计算资源? - 在置备裸机主机中,您可以使用 Satellite 支持的各种计算资源。要了解在不同计算资源上调配的信息,请参阅 调配主机。
7.4. 内容源
Red Hat Subscription Manifest 决定可从您的 Satellite 服务器访问哪些红帽软件仓库。启用红帽存储库后,将自动创建一个关联的 Satellite 产品。要从自定义源分发内容,需要手动创建产品和存储库。默认情况下,Red Hat 软件仓库使用 GPG 密钥签名,建议为您的自定义软件仓库创建 GPG 密钥。自定义存储库的配置取决于它们保存的内容类型(RPM 软件包或 Docker 镜像)。
作为 yum 软件仓库配置的软件仓库(仅包含 RPM 软件包)可使用新的下载策略设置,以便在同步时间和存储空间时节省。此设置启用从 Immediate 和 On 需求中进行选择。On demand 设置只在客户端请求时下载软件包来节省空间和时间。有关设置内容源的详细信息,请参阅管理内容中的 导入内容。
大部分情况下,卫星服务器中的自定义存储库是填充外部暂存服务器的内容。然而,这些服务器位于 Satellite 基础架构之外,建议使用这些服务器上的修订控制系统(如 Git)来更好地控制自定义内容。
7.5. 内容生命周期
卫星提供了内容生命周期精确的管理功能。生命周期环境 表示内容生命周期中的一个阶段,内容视图是一个经过过滤的内容集合,可以被视为已定义的内容子集。通过将内容视图与生命周期环境关联,您可以按照定义的方式将内容提供给主机。有关进程的视觉化,请参阅 图 1.2 “Red Hat Satellite 中的内容生命周期”。有关内容管理流程的详细概述,请参阅 管理 内容中的导入 自定义内容 。以下小节提供了部署内容视图和生命周期环境的一般场景。
名为 Library 的默认生命周期环境从所有连接的源收集内容。不建议将主机与库直接关联,因为它会在提供给主机前对内容进行任何测试。相反,创建一个适合您的内容工作流的生命周期环境路径。以下情况比较常见:
单个生命周期环境 - 来自库的内容直接提升到生产阶段。这种方法限制了复杂性,但仍允许在向主机可用之前测试库中的内容。
单个生命周期环境路径 - 操作系统和应用程序内容通过相同的路径提升。该路径可由几个阶段组成(如开发、QA 和Production),这样可实现全面的测试,但需要额外的工作。
应用程序特定的生命周期环境路径 - 每个应用程序都有单独的路径,允许单个应用程序发行周期。您可以将特定的计算资源与应用程序生命周期阶段相关联,以便进行测试。另一方面,这种情况会增加维护复杂性。
以下内容视图情境很常见:
- 在一个内容视图中 - 一个内容视图,其中包含大多数主机所需的所有内容。减少内容视图数量是部署中具有约束的资源(时间、存储空间)或统一主机类型的优势。但是,这种情况限制了内容视图功能,如基于时间的快照或智能过滤。内容源的任何更改会影响比例主机。
- 主机特定内容视图 - 每种主机类型的专用内容视图。此方法在具有少量主机类型(最多 30)的部署中非常有用。但是,它可以防止跨主机类型共享内容,并根据主机类型以外的条件进行隔离(例如操作系统和应用程序)。对于关键更新,必须更新每个内容视图,这会增加维护工作。
- 主机特定的复合内容视图 - 为每个主机类型的内容视图专用组合。此方法可以分离特定主机和共享内容,例如,您可以为操作系统和应用程序内容提供专用的内容视图。通过使用复合,您可以单独管理操作系统和应用程序。
- 基于组件的内容视图 - 特定应用程序的专用内容视图。例如,数据库内容视图可以包含在几个复合内容视图中。这种方法可以加强标准化,但其会导致内容视图数量增加。
最佳解决方案取决于您的主机环境的性质。避免创建大量内容视图,但请注意,内容视图的大小会影响相关操作的速度(发布、提升)。另外,也请确保在为内容视图创建软件包的子集时,也会包含所有依赖项。请注意,kickstart 存储库不应添加到内容视图中,因为它们仅用于主机调配。
7.6. 内容部署
内容部署是内容主机上的勘误表和软件包的管理。可以通过两种方法在卫星上部署内容。默认方法是 远程执行,第二个方法是已弃用的 Katello 代理。
远程执行 - 远程执行允许安装、更新或删除软件包、引导配置管理代理以及 Puppet 运行触发器。您可以配置 Satellite 以通过 SSH (推送)或 MQTT/HTTPS (拉取)执行远程执行。默认情况下,卫星服务器上启用了远程执行,但在胶囊服务器和内容主机上被禁用。您必须手动启用它。
这是内容部署的首选方法。
Katello 代理 - Katello 代理安装和更新软件包。它使用 goferd 服务,该服务与卫星服务器通信。它在安装
katello-agent软件包后,会在内容主机上启用和自动启动。请注意,Katello 代理已弃用,并将在以后的 Satellite 发行版本中删除。
7.7. 置备
卫星提供了一些功能,可帮助您自动执行主机调配,包括通过 Puppet 进行调配模板、配置管理以及主机角色标准化的主机组。有关置备工作流的描述,请参阅 Provisioning Hosts 中的置备工作流。同一指南包含在不同的计算资源上置备的说明。
7.8. 基于角色的身份验证
为用户分配角色可根据一组权限控制对 Satellite 组件的访问。您可以考虑基于角色的身份验证,作为从不应该与它们交互的用户隐藏不必要的对象的方法。
有不同的条件来区分组织内的不同角色。除了管理员角色外,以下类型也很常见:
- 与应用程序或基础架构相关的角色( 例如,Red Hat Enterprise Linux 所有者作为操作系统而不是应用程序服务器和数据库服务器的所有者)的角色。
- 与软件生命周期的特定阶段 相关的角色(例如,角色划分到开发、测试和生产阶段),其中每个阶段具有一个或多个所有者。
- 与特定任务相关的角色 - 例如安全管理器或许可证管理器。
在定义自定义角色时,请考虑以下建议:
- 定义预期的任务和职责 - 定义卫星基础架构的子集,该基础架构将可以被角色访问,以及此子集上允许的操作。认为角色的职责以及它们与其他角色有何不同。
- 尽可能使用预定义的角色 - Satellite 提供了多个示例角色,它们可以单独使用或作为角色组合的一部分。复制和编辑现有角色可能是一个好的起点,用于创建自定义角色。
- 例如,考虑所有受影响的实体 - 例如,内容视图提升会自动为特定生命周期环境和内容视图组合创建新的 Puppet 环境。因此,如果某个角色应该提升内容视图,它也需要创建和编辑 Puppet 环境的权限。
- 考虑到关注方面 --尽管角色数量有限,但可能还有更多关注领域。因此,您可以授予角色对影响其职责的卫星基础架构部分的只读访问。这允许用户提前访问有关潜在的更改的信息。
- 按步骤添加权限步骤 - 测试您的自定义角色以确保它按预期工作。如果问题发生,最好是以有限的权限集合开始,逐步添加权限,并持续测试。
有关定义角色并将其分配给用户的说明,请参阅管理 红帽卫星中的 用户和角色。同一指南包含有关配置外部身份验证源的信息。
7.9. 其他任务
本节概述了所选 Satellite 功能,可用于自动化某些任务或扩展 Satellite 的核心使用:
- 发现裸机主机 - Satellite 发现插件可在 provisioning 网络中启用未知主机的自动发现。这些新主机将自身注册到卫星服务器和客户端上 Puppet 代理上传系统事实,如串行 ID、网络接口、内存和磁盘信息。注册后,您可以初始化这些发现的主机。如需更多信息,请参阅在 Provisioning Hosts 中从发现的主机创建 主机。
- 备份管理 - 备份和灾难恢复说明,请参阅管理红帽卫星中的 备份卫星服务器和胶囊服务器。通过使用远程执行,您还可以在受管主机上配置重复的备份任务。有关远程执行的更多信息 ,请参阅管理主机中的配置和设置 远程作业。
- 安全管理 - 卫星通过各种方式支持安全管理,包括更新和勘误表管理、用于系统验证的 OpenSCAP 集成、更新和安全合规性报告以及精细角色验证。在管理主机 中查找有关勘误表管理和 OpenSCAP 概念的更多信息。 https://access.redhat.com/documentation/zh-cn/red_hat_satellite/6.12/html-single/managing_hosts/index#
- 事件管理 - 卫星通过对所有系统(包括报告和电子邮件通知)的集中概述来支持事件管理流程。每个主机的详细信息可以从卫星服务器访问,包括最近更改的事件历史记录。卫星也 与红帽 Insights 集成。
- 使用 Hammer 和 API 编写脚本 - Satellite 提供了名为 Hammer 的命令行工具,它提供与大多数 Web UI 过程等效的 CLI。另外,您可以使用 Satellite API 访问来以所选编程语言编写自动化脚本。如需更多信息,请参阅 hammer CLI 指南和 API 指南。
第 8 章 常见部署场景
本节概述了红帽卫星的常见部署场景。请注意,可能有多个布局的变体和组合。
8.1. 单一位置
集成 的胶囊是在安装过程中在卫星服务器中默认创建的虚拟胶囊服务器。这意味着,卫星服务器可用于为位于单一地理位置的卫星部署直接连接的主机,因此只需要一个物理服务器。隔离胶囊的基本系统可以直接由卫星服务器管理,但不建议使用此布局管理远程位置中的其他主机。
8.2. 分隔子网的单个位置
即使单一地理位置部署了红帽卫星,您的基础架构可能需要多个隔离的子网。例如,可以通过使用 DHCP 和 DNS 服务部署多个胶囊服务器来实现,但推荐的方法是利用单一胶囊来创建隔离的子网。然后,此胶囊用于管理这些隔离网络中的主机和计算资源,以确保它们只能访问调配、配置、勘误表和常规管理的胶囊。有关配置子网的更多信息,请参阅管理主机。
8.3. 多个位置
建议为每个地理位置至少创建一个胶囊服务器。这种做法可以节省带宽,因为主机可从本地胶囊服务器获取内容。远程存储库的内容仅由胶囊(而非位置上的每个主机)进行同步。另外,这种布局使得置备基础架构更加可靠且更易于配置。有关这个方法的演示,请参阅 图 1.1 “Red Hat Satellite 系统架构”。
8.4. 断开连接的 Satellite
在与互联网连接的封闭网络中需要主机正常工作的高安全环境中,Red Hat Satellite 可以使用最新的安全更新、勘误、软件包和其他内容置备系统。在这种情况下,卫星服务器不能直接访问互联网,但其他基础架构组件的布局不会受到影响。有关从断开连接的网络安装 Satellite 服务器的详情,请参考在断开连接 的网络环境中安装卫星服务器。有关升级断开连接的 Satellite 的详情,请参阅在 升级和更新 Red Hat Satellite 中升级断开连接的 Satellite 服务器。
将内容导入到断开连接的 Satellite 服务器有两个选项:
- 带有内容 ISO 的断开连接的 Satellite - 在这个设置中,您可以使用红帽客户门户网站的内容下载 ISO 镜像,并将它们提取到 Satellite 服务器或本地 web 服务器。然后,卫星服务器上的内容会在本地同步。这实现了卫星服务器的完整网络隔离,但内容 ISO 镜像的发行频率大约为 6 周,不包括所有产品内容。要查看您的订阅中哪些内容 ISO 镜像可用的产品,请通过 https://access.redhat.com 登录红帽客户门户网站,进入 Downloads > Red Hat Satellite 并点 Content ISO。有关如何将内容 ISO 导入到断开连接的 Satellite 的说明,请参考在 管理内容 中将 Satellite 配置为通过本地 CDN 服务器 同步内容。请注意,之前托管在 redhat.com 的 Content ISOs 已被弃用,并将在下一个 Satellite 版本中删除。
- 断开与卫星服务器间同步的卫星 - 在这个设置中,您要安装一个连接的卫星服务器并从中导出内容以使用一些存储设备填充断开连接的卫星。这允许在您选择的频率导出红帽提供的和自定义内容,但需要使用单独的订阅部署额外的服务器。有关如何在卫星中配置卫星服务器间同步的说明,请参阅管理内容 间的同步内容。
上述将内容导入到非联网卫星服务器的方法也可用于加快连接的 Satellite 的初始填充。
8.5. 带有外部服务的胶囊
您可以配置胶囊服务器(集成或独立)以使用外部 DNS、DHCP 或 TFTP 服务。如果您已有在您的环境中提供这些服务的服务器,您可以将它与 Satellite 部署集成。有关如何使用外部服务配置胶囊的详情,请参考在安装胶囊服务器中 使用外部服务 配置胶囊服务器。
附录 A. Satellite 提供了并需要的技术用户
在安装过程中,系统帐户会被创建。它们用于管理集成到卫星中的组件的文件和流程所有权。其中一些帐户有固定的 UID 和 GID,而其他人则采用系统上的下一个可用 UID 和 GID。要控制分配给帐户的 UID 和 GID,您可以在安装 Satellite 前定义帐户。因为某些帐户有硬编码的 UID 和 GID,因此无法使用在 Satellite 安装过程中创建的所有帐户执行此操作。
下表列出了安装期间卫星创建的所有帐户。在安装 Satellite 之前,您可以预定义具有 Flexible UID 和 GID 且具有自定义 UID 和 GID 的帐户。
不要更改系统帐户的主目录和 shell 目录,因为它们是卫星正常工作的要求。
由于与卫星创建的本地用户冲突,您无法将外部身份提供程序用于 Satellite 基础操作系统的系统用户。
| 用户名 | UID | 组名称 | GID | 灵活的 UID 和 GID | Home | shell |
|---|---|---|---|---|---|---|
| foreman | N/A | foreman | N/A | 是 | /usr/share/foreman | /sbin/nologin |
| foreman-proxy | N/A | foreman-proxy | N/A | 是 | /usr/share/foreman-proxy | /sbin/nologin |
| Apache | 48 | Apache | 48 | 否 | /usr/share/httpd | /sbin/nologin |
| postgres | 26 | postgres | 26 | 否 | /var/lib/pgsql | /bin/bash |
| Pulp | N/A | Pulp | N/A | 否 | N/A | /sbin/nologin |
| puppet | 52 | puppet | 52 | 否 | /opt/puppetlabs/server/data/puppetserver | /sbin/nologin |
| qdrouterd | N/A | qdrouterd | N/A | 是 | /var/lib/qdrouterd | /sbin/nologin |
| qpidd | N/A | qpidd | N/A | 是 | /var/lib/qpidd | /sbin/nologin |
| saslauth | N/A | saslauth | 76 | 否 | /run/saslauthd | /sbin/nologin |
| tomcat | 53 | tomcat | 53 | 否 | /usr/share/tomcat | /bin/nologin |
| unbound | N/A | unbound | N/A | 是 | /etc/unbound | /sbin/nologin |
附录 B. 术语表
该术语表记录了与红帽卫星相关的各种术语。
- 激活码
- 主机注册和订阅附加的令牌。激活密钥定义与新创建的主机关联的订阅、产品、内容视图和其他参数。
- 回答文件
- 定义安装场景设置的配置文件。回答文件以 YAML 格式定义,并存储在 /etc/foreman-installer/scenarios.d/ 目录中。
- ARF 报告
- OpenSCAP 审计的结果。总结由 Red Hat Satellite 管理的主机的安全合规性。
- Audits
- 提供特定用户所做的更改的报告。可以在 Satellite Web UI 的 Monitor > Audits 下查看审计。
- Baseboard Management Controller(BMC)
- 启用裸机主机的远程电源管理。在 Satellite 中,您可以创建一个 BMC 接口来管理所选主机。
- 引导磁盘
- 用于 PXE 的无 PXE 调配的 ISO 镜像。此 ISO 允许主机连接到卫星服务器,引导安装介质并安装操作系统。有多个引导磁盘: 主机镜像、完整主机镜像、通用镜像 、子网镜像。
- Capsule(Capsule Server)
- 可以在 Red Hat Satellite 部署中使用的额外服务器,用于协助内容联合和分发(作为 Pulp 镜像功能),以及运行其他本地化服务(Puppet 服务器、DHCP、DNS、TFTP 等等)。胶囊适用于不同地理位置的卫星部署。在上游 Foreman 术语中,胶囊被称为 Smart Proxy。
- 目录
- 描述由 Puppet 管理的一个特定主机所需的系统状态的文档。它列出了需要管理的所有资源,以及这些资源之间的依赖项。目录由 Puppet 清单中的 Puppet 服务器以及来自 Puppet 代理的数据进行编译。
- Candlepin
- Katello 中的服务负责订阅管理。
- 合规策略
- 是指在卫星服务器上执行的调度任务,用于检查指定的主机是否与 SCAP 内容相符。
- 计算配置集
- 指定计算资源上新虚拟机的默认属性。
- 计算资源
- Red Hat Satellite 用于部署主机和系统的一个虚拟或云基础架构。Red Hat Virtualization、Red Hat OpenStack Platform、EC2 和 VMWare 等示例。
- 容器(Docker 容器)
- 包含应用程序所需的所有运行时依赖项的隔离应用程序沙盒。卫星支持在专用计算资源上调配容器。
- 容器镜像
- 容器配置的静态快照。卫星支持通过内容视图导入容器镜像的各种方法,并将镜像分发到主机。
- 内容
- Satellite 分发到主机的一般术语。包含软件包(RPM 文件),或 Docker 镜像。内容会同步到库中,然后使用内容视图将其提升到生命周期环境,以便主机可以消耗它们。
- 内容交付网络 (CDN)
- 用于将红帽内容提供给卫星服务器的机制。
- 内容主机
- 主机的一部分,用于管理与内容和订阅相关的任务。
- 内容视图
- 由智能过滤创建的库内容子集。发布内容视图后,可以通过生命周期环境路径,或使用增量升级进行修改。
- 发现的主机
- Discovery 插件在 provisioning 网络中检测到的裸机主机。
- 发现镜像
- 是指基于 Red Hat Enterprise Linux 的最小操作系统,它在主机上 PXE 引导来获取初始硬件信息,并在开始配置过程前与卫星服务器通信。
- 发现插件
- 在 provisioning 网络中启用自动裸机发现未知主机。该插件由三个组件组成:在卫星服务器和胶囊服务器上运行的服务,以及主机上运行的发现镜像。
- 发现规则
- 组预定义的调配规则,为发现的主机分配主机组,并自动触发调配。
- Docker 标签
- 用于区分容器镜像的标记,通常由镜像中存储的应用版本区分。在 Satellite Web UI 中,您可以通过 Content > Docker Tags 下的 tag 来过滤镜像。
- ERB
- 嵌入式 Ruby(ERB)是可在配置和作业模板中使用的模板语法。
- 勘误
- 更新了包含安全修复、错误修复和增强的 RPM 软件包。与主机的关系,勘误 适用于 更新主机上安装的软件包,并在主机的内容视图中(这意味着可访问在主机上进行安装)。
- 外部节点分类器
为配置主机时要使用的服务器提供额外数据的构造。红帽卫星充当卫星部署中的 Puppet 服务器的外部节点类别。
请注意,下一个 Satellite 版本中将删除 External Node Classifier。
- 2021 年
- 提供运行该系统的信息(事实(fact))的程序;例如,Miote 可以报告内存、操作系统版本、架构等等。Puppet 模块根据 Facter 收集的主机数据启用特定的配置。
- 事实
- 主机参数,如总内存、操作系统版本或架构。事实由 Facter 报告,供 Puppet 使用。
- Foreman
- 组件主要负责置备和内容生命周期管理。Foreman 是红帽卫星的主要上游对应部分。
- Satellite 服务
-
组服务,供卫星服务器和胶囊服务器用于操作。您可以使用
satellite-maintain工具来管理这些服务。要查看服务的完整列表,请在安装 Satellite 或 Capsule Server 的机器上输入satellite-maintain service list命令。
- Foreman Hook
发生编配事件时会自动触发的可执行文件,如创建主机或调配主机完成后会自动触发的可执行文件。
请注意,Foreman Hook 功能已弃用,并将在下一个 Satellite 版本中删除。
- 完整主机镜像
- 用于特定主机的 PXE 调配的引导磁盘。完整主机镜像包含相关操作系统安装程序的嵌入式 Linux 内核和 init RAM 磁盘。
- 通用镜像
- 用于 PXE 的无 PXE 的引导磁盘,不绑定到特定主机。通用镜像将主机的 MAC 地址发送到卫星服务器,该服务器与主机条目匹配。
- Hammer
- 用于管理红帽卫星的命令行工具。您可以从命令行执行 Hammer 命令,或者在脚本中使用它们。Hammer 还提供了交互式 shell。
- 主机
- 代表 Red Hat Satellite 管理的任何系统(物理或虚拟)。
- 主机集合
- 用于定义的一个或多个主机组,用于批量操作,如勘误表安装。
- 主机组
- 用于构建主机的模板。主机组包含由主机组成员继承的子网或生命周期环境等共享参数。主机组可以嵌套,以创建分级结构。
- 主机镜像
- 用于特定主机的 PXE 调配的引导磁盘。主机镜像仅包含访问卫星服务器上安装介质所需的引导文件。
- 增量升级(内容视图)
- 在生命周期环境中创建新的(minor)内容视图版本的操作。增量升级提供了一种方式,可以对已发布的内容视图进行原位修改。对于快速更新很有用,例如应用安全勘误时。
- 作业
- 从卫星服务器在主机上远程执行的命令。每个作业都在作业模板中定义。
- 任务模板
- 定义作业的属性。
- Katello
- 此 Foreman 插件负责订阅和存储库管理。
- lazy Sync
-
将
yum存储库的默认下载策略更改为 On Demand 的能力。On Demand 设置只在客户端请求软件包时下载存储空间和同步时间,从而节省存储空间和同步时间。
- 位置
- 代表物理位置的默认设置集合。
- 程序库
- 用于卫星服务器上所有同步存储库的内容的容器。每个机构默认存在库,作为每个生命周期环境路径的根目录以及每个内容视图的内容源。
- 生命周期环境
- 用于内容主机消耗的内容视图版本的容器。生命周期环境代表生命周期环境路径中的一个步骤。内容通过发布和推广内容视图在生命周期环境中移动。
- 生命周期环境路径
- 将内容视图提升到的一系列生命周期环境。您可以通过典型的提升路径来提升内容视图,例如从开发到测试到生产。
- 清单(Red Hat Subscription Manifest)
- 将订阅从红帽客户门户网站转让到 Red Hat Satellite 的机制。不要与 Puppet 清单混淆。
- OpenSCAP
- 根据安全内容自动化协议(SCAP)实施安全合规审计的项目。OpenSCAP 集成到卫星中,为受管主机提供合规性审计。
- 机构(Organization)
- 卫星部署中的系统、内容和其他功能的隔离集合。
- 参数
- 在调配期间定义 Red Hat Satellite 组件的行为。根据参数范围,我们区分全局、域、主机组和主机参数。根据参数复杂性,我们区分简单参数(键值对)和智能参数(条件参数、验证、覆盖)。
- Parametrized Class(Smart Class Parameter)
- 从 Puppet 服务器导入类来创建的参数。
- 权限
- 定义与所选卫星基础架构(资源类型)相关的操作。每个资源类型都与一组权限关联,例如 架构 资源类型有以下权限: view_architectures、create_architectures、edit_architectures 和 destroy_architectures。您可以将权限分组为角色,并将它们与用户或用户组相关联。
- 产品
- 内容存储库的集合。产品可由红帽 CDN 提供,或者由 Satellite 管理员创建来对自定义存储库进行分组。
- 提升(内容视图)
- 将内容视图从一个生命周期环境移到另一个生命周期环境的操作。
- 虚拟机模板
- 定义主机调配设置。自定义模板可与主机组、生命周期环境或操作系统关联。
- 发布(内容视图)
- 在生命周期环境中提供内容视图版本并可供主机使用。
- Pulp
- Katello 中的服务负责存储库和内容管理。
- Pulp Mirror
- 镜像内容的胶囊服务器组件。
- Puppet
- Satellite 的配置管理组件。
- Puppet 代理
- 在主机上运行的服务,用于应用对该主机的配置更改。
- Puppet 环境
- 可与一组特定的 Puppet 模块关联的隔离 Puppet 代理节点。
- Puppet 清单
指的是 Puppet 脚本,它们是 .pp 扩展名的文件。该文件包含用于定义一组必要资源(如软件包、服务、文件、用户和组等)的代码,在其属性中使用一组键值对。
不要与清单 (Red Hat Subscription Manifest) 混淆。
- Puppet Server
- 向主机提供 Puppet 清单的胶囊服务器组件,供 Puppet 代理执行。
- Puppet 模块
- 您可以用来管理资源(如用户、文件和服务)的自包含代码(Puppet 清单)和数据(信息)。
- 重复日志
- 根据计划自动执行的作业。在 Satellite Web UI 中,您可以在 Monitor > Recurring logics 下查看这些作业。
- Registry
- 容器镜像存档。Satellite 支持从本地和外部 registry 导入镜像。Satellite 本身可以充当主机的镜像 registry。但是,主机无法将更改推送回 registry。
- 软件仓库
- 为集合内容提供存储。
- 资源类型
- 指的是卫星基础架构的一部分,如 host、Capsule 或 architecture。用于权限过滤。
- 角色
- 指定应用于一组资源(如主机)的权限集合。角色可以分配给用户和用户组。Satellite 提供了很多预定义角色。
- SCAP 内容
- 包含针对其检查主机的配置和安全基准的文件。合规策略使用。
- 场景
-
Satellite CLI 安装程序的一组预定义设置。场景定义了安装类型,例如安装胶囊服务器执行
satellite-installer --scenario 胶囊。每个场景有自己的回答文件,用于存储场景设置。
- 智能代理
- 可与外部服务(如 DNS 或 DHCP )集成的胶囊服务器组件。在上游 Foreman 术语中,智能代理是胶囊的概要。
- 标准操作环境(SOE)
- 部署应用程序的操作系统的受控版本。
- 子网镜像
- 用于 PXE 无 PXE 的置备类型的通用镜像,它们通过胶囊服务器进行通信。
- 订阅
- 红帽接收内容和服务的权利。
- 同步
- 是指从外部资源将内容镜像(mirror)到 Red Hat Satellite 库。
- 同步计划
- 提供内容同步的计划执行。
- 任务
- 在卫星或胶囊服务器上执行的后台进程,如存储库同步或内容视图发布。您可以在 Satellite Web UI 中的 Monitor > Tasks 下监控任务状态。
- 趋势
- 跟踪卫星基础架构特定部分的更改。在 Monitor > Trends 下,在 Satellite Web UI 中配置趋势。
- 用户组
- 可分配给用户集合的角色集合。
- User
- 注册到使用 Red Hat Satellite 的任何人。通过外部资源(LDAP、身份管理或 Active Directory)或 Kerberos,可以利用内置逻辑进行身份验证和授权。
- virt-who
- 用于从虚拟机监控程序检索虚拟机 ID 的代理。与 Satellite 一起使用时,virt-who 会将这些 ID 报告到卫星服务器,以便它可以为虚拟机上调配的主机提供订阅。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}