红帽全球峰会Satellite 概述、概念和部署注意事项
向红帽文档提供反馈
我们感谢您对我们文档的反馈。让我们了解如何改进它。
使用 Red Hat JIRA 中的 Create Issue 表单提供您的反馈。JIRA 问题在 Red Hat Satellite Jira 项目中创建,您可以在其中跟踪其进度。
先决条件
- 确保您已注册了 红帽帐户。
流程
- 单击以下链接: 创建问题。如果 Jira 显示登录错误,则登录并在您重定向到表单后继续。
- 完成 Summary 和 Description 字段。在 Description 字段中,包含文档 URL、章节号以及问题的详细描述。不要修改表单中的任何其他字段。
- 点 Create。
部分 I. Satellite 架构
第 1 章 Red Hat Satellite 简介
Red Hat Satellite 是一个系统管理解决方案,可让您在物理、虚拟和云环境中部署、配置和维护您的系统。Satellite 通过单一的集中工具提供对多个 Red Hat Enterprise Linux 部署的调配、远程管理和监控。Satellite 服务器同步红帽客户门户网站和其他源中的内容,并提供精细的生命周期管理、用户和组基于角色的访问控制、集成订阅管理以及高级 GUI、CLI 或 API 访问等功能。
胶囊式服务器从卫星服务器 镜像内容,以协助各种地理位置进行内容联合。主机系统可以从胶囊式服务器拉取内容和配置,可以从其位置而不是中央卫星服务器中提取内容和配置。胶囊式服务器还提供本地化服务,如 Puppet 服务器、DHCP、DNS 或 TFTP。随着受管系统数量的增加,胶囊式服务器可帮助您扩展 Satellite 环境。
胶囊式服务器减少了中央服务器上的负载,提高冗余性,并减少带宽使用量。更多信息请参阅 第 2 章 胶囊式服务器概述。
1.1. 系统架构
下图显示了 Red Hat Satellite 的高级架构。
图 1.1. Red Hat Satellite System Architecture
此架构中的内容流有四个阶段:
- 外部内容源
- 卫星服务器 可以使用各种来源的不同类型内容。红帽客户门户网站是软件包、勘误表和容器镜像的主要来源。另外,您可以使用其他支持的内容源(Git 存储库、Docker Hub、SCAP 存储库)以及您组织的内部数据存储。
- Satellite Server
Satellite 服务器允许您通过 GUI、CLI 或 API 来计划和管理内容生命周期以及胶囊式服务器和主机的配置。
Satellite 服务器将组织用作主体划分单元来组织生命周期管理。组织使用特定要求和管理任务为主机组隔离内容。例如,OS 构建团队可以使用不同于 Web 开发团队的组织。
Satellite 服务器还包含精细的身份验证系统,为卫星操作员提供相应的权限,以便精确访问基础架构的某些部分,它们依赖于其职责。
- 胶囊式服务器
胶囊式服务器从卫星服务器镜像内容,以在各种地理位置建立内容源。这使得主机系统能够从胶囊式服务器拉取内容和配置,而不是从中央卫星服务器中提取内容和配置。因此,推荐的胶囊服务器数量由使用 Satellite 的组织运行的地理区域数量提供。
使用内容视图,您可以指定胶囊式服务器可供主机使用的确切内容子集。有关使用内容视图,请参阅 图 1.2 “Red Hat Satellite 中的内容生命周期” 查看生命周期管理。
受管主机和卫星服务器之间的通信通过胶囊式服务器进行路由,也可代表主机管理多个服务。其中许多服务都使用专用的网络端口,但胶囊式服务器确保单一源 IP 地址用于从主机到卫星服务器的所有通信,从而简化了防火墙管理。有关胶囊服务器的更多信息,请参阅 第 2 章 胶囊式服务器概述。
- 受管主机
- 主机是来自胶囊服务器的内容的接收者。主机可以是物理或虚拟的。卫星服务器可以具有直接受管主机。运行胶囊式服务器的基础系统也是卫星服务器的托管主机。
下图显示了从卫星服务器到胶囊的内容分发。
图 1.2. Red Hat Satellite 中的内容生命周期
默认情况下,每个组织都有来自外部来源的内容库。内容视图是由智能过滤创建的库中的内容子集。您可以将内容视图发布并提升到生命周期环境(通常是 Dev、QA 和 Production)。在创建胶囊服务器时,您可以选择将哪些生命周期环境复制到该胶囊,并提供给受管主机。
内容视图可以合并,以创建 Composite 内容视图。对于操作系统所需软件包的存储库,具有单独的内容视图,并为应用程序所需的软件包存储库单独提供。个优点是,对一个存储库中的软件包的任何更新都只需要重新发布相关的内容视图。然后,您可以使用 Composite 内容视图组合公布的内容视图,以简化管理。
哪些内容视图应提升到哪些胶囊式服务器取决于胶囊的预期功能。任何胶囊式服务器都可以将 DNS、DHCP 和 TFTP 作为基础架构服务运行,例如通过内容或配置服务。
您可以使用从库中同步的内容来创建新版本的内容视图,从而更新胶囊式服务器。然后,新的内容视图版本会通过生命周期环境提升。您还可以创建内容视图的原位更新。这意味着,在其当前生命周期环境中创建内容视图的次要版本,而不将其从库中提升。例如,如果您需要将安全勘误应用到 Production 中使用的内容视图,您可以直接更新内容视图,而无需提升到其他生命周期。有关内容管理的更多信息,请参阅管理内容。
1.2. 系统组件
Red Hat Satellite 由多个开源项目组成,这些开源项目集成、验证、提供和支持为 Satellite。此信息在红帽客户门户上维护并定期更新;请参阅 Satellite 6 组件版本。
Red Hat Satellite 由以下开源项目组成:
- Foreman
- Foreman 是一个开源应用,用于物理和虚拟系统的调配和生命周期管理。Foreman 使用各种方法(包括 kickstart 和 Puppet 模块)自动配置这些系统。Foreman 还提供历史数据,用于报告、审核和故障排除。
- Katello
- Katello 是一个 Foreman 插件,用于订阅和存储库管理。它提供了一种方法来订阅红帽存储库和下载内容。您可以创建和管理此内容的不同版本,并将其应用到应用程序生命周期的用户定义的阶段的特定系统中。
- Candlepin
- Candlepin 是 Katello 中的一个服务,负责处理订阅管理。
- Pulp
- Pulp 是 Katello 中的一个服务,负责处理存储库和内容管理。Pulp 通过在不同的组织中通过重复 RPM 软件包来确保存储空间高效。
- Hammer
- hammer 是一个 CLI 工具,提供与大多数 Satellite Web UI 功能对应的命令行和 shell。
- REST API
- Red Hat Satellite 包括一个 RESTful API 服务,供系统管理员和开发人员使用 Red Hat Satellite 编写与 Red Hat Satellite 接口的自定义脚本和第三方应用程序。
Red Hat Satellite 及其组件中使用的术语非常广泛。有关常用术语的说明,请参阅 附录 B, 术语表。
1.3. 支持的用法
每个 Red Hat Satellite 订阅都包括一个受支持的 Red Hat Enterprise Linux 服务器实例。此实例应只保留给运行 Red Hat Satellite 的目的。不支持使用 Satellite 中包含的操作系统来运行环境中的其他守护进程、应用程序或服务。
对 Red Hat Satellite 组件的支持如下所述。
SELinux 必须处于 enforcing 模式或 permissive 模式,不支持使用禁用 SELinux 的安装。
- puppet
Red Hat Satellite 包括受支持的 Puppet 软件包。通过安装程序,用户可以安装和配置 Puppet 服务器作为胶囊服务器的一部分。红帽也支持在卫星服务器或卫星胶囊服务器上的 Puppet 服务器上运行的 Puppet 模块。有关支持 Puppet 的版本的信息,请参阅红帽知识库文章 Satellite 6 组件版本。
红帽支持许多不同的脚本和其他框架,包括 Puppet 模块。对这些框架的支持基于红帽知识库文章 Red Hat 支持脚本框架。
- Pulp
- Pulp 使用仅支持通过 Satellite Web UI、CLI 和 API。不支持直接修改或与 Pulp 的本地 API 或数据库交互,因为这可能导致 Red Hat Satellite 数据库无法解析损坏。
- Foreman
Foreman 可以使用插件进行扩展,但只支持与 Red Hat Satellite 打包的插件。红帽不支持 Red Hat Satellite Optional 存储库中的插件。
Red Hat Satellite 还包括组件、配置和功能,以置备和配置 Red Hat Enterprise Linux 以外的操作系统。虽然包括了这些功能并可以被使用,但红帽支持将其用于 Red Hat Enterprise Linux。
- Candlepin
- 使用 Candlepin 唯一支持的方法是通过 Satellite Web UI、CLI 和 API。红帽不支持与 Candlepin、其本地 API 或数据库直接交互,因为这可能导致 Red Hat Satellite 数据库无法解析损坏。
- 嵌入式 Tomcat 应用服务器
- 使用嵌入式 Tomcat 应用服务器唯一支持的方法是通过 Satellite Web UI、API 和数据库。红帽不支持与嵌入式 Tomcat 应用程序服务器的本地 API 或数据库直接交互。
仅在 Red Hat Satellite 上下文中支持使用所有 Red Hat Satellite 组件。任何组件的第三方使用都不属于支持的使用。
1.4. 支持的客户端架构
1.4.1. 内容管理
支持的 Red Hat Enterprise Linux 和硬件架构主版本的组合,以使用 Satellite 注册和管理主机。这包括 Satellite 客户端 6 存储库。
| 平台 | 构架 |
|---|---|
| Red Hat Enterprise Linux 9 | x86_64, ppc64le, s390x, aarch64 |
| Red Hat Enterprise Linux 8 | x86_64, ppc64le, s390x |
| Red Hat Enterprise Linux 7 | x86_64, ppc64 (BE), ppc64le, aarch64, s390x |
| Red Hat Enterprise Linux 6 | x86_64, i386, s390x, ppc64 (BE) |
1.4.2. 主机置备
支持使用 Satellite 进行主机置备的 Red Hat Enterprise Linux 和硬件架构的主要版本组合。
| 平台 | 构架 |
|---|---|
| Red Hat Enterprise Linux 9 | x86_64 |
| Red Hat Enterprise Linux 8 | x86_64 |
| Red Hat Enterprise Linux 7 | x86_64 |
| Red Hat Enterprise Linux 6 | x86_64, i386 |
1.4.3. 配置管理
Red Hat Enterprise Linux 和硬件架构的主要版本与使用 Satellite 进行配置管理支持的组合。
| 平台 | 构架 |
|---|---|
| Red Hat Enterprise Linux 9 | x86_64 |
| Red Hat Enterprise Linux 8 | x86_64, aarch64 |
| Red Hat Enterprise Linux 7 | x86_64 |
| Red Hat Enterprise Linux 6 | x86_64, i386 |
第 2 章 胶囊式服务器概述
胶囊服务器 提供内容联合 并运行 本地化服务 来发现、调配、控制和配置主机。您可以使用 Capsules 将 Satellite 部署扩展到各种地理位置。本节包含可在胶囊上启用的功能及其简单分类的概述。
有关 Capsule 要求、安装过程和可扩展性注意事项的更多信息,请参阅安装 Capsule 服务器。
2.1. 胶囊功能
胶囊服务器提供了两组功能。您可以使用 Capsule 运行主机管理所需的服务。您还可以将 Capsule 配置为从 Satellite 服务器镜像内容。
基础架构和主机管理服务:
- DHCP - 胶囊可以管理 DHCP 服务器,包括与现有解决方案(如 ISC DHCP 服务器、Active Directory 和 Libvirt 实例)集成。
- DNS - 胶囊可以管理 DNS 服务器,包括与现有解决方案(如 ISC BIND 和 Active Directory)集成。
- TFTP - 胶囊可以与任何基于 UNIX 的 TFTP 服务器集成。
- Realm - Capsule 可以管理 Kerberos 领域或域,以便主机可以在调配期间自动加入它们。胶囊可以与现有的基础架构集成,包括红帽身份管理和 Active Directory。
- Puppet 服务器 - 胶囊可以通过运行 Puppet 服务器来充当配置管理服务器。
- Puppet 证书颁发机构 - 胶囊可以与 Puppet 的 CA 集成,从而向主机提供证书。
- 基板管理控制器(BMC) - 胶囊可以为使用 IPMI 或 Redfish 的主机提供电源管理。
- 调配模板 代理 - 胶囊可为主机提供自定义模板。
- OpenSCAP - Capsule 可以在主机上执行安全合规性扫描。
- 远程执行(REX) - 胶囊可以在主机上运行远程作业执行。
与内容相关的功能:
- 存储库同步 - 来自卫星服务器的内容(更精确地从选定的生命周期环境)拉取到胶囊服务器以进行内容交付(由 Pulp 启用)。
- 内容交付 - 配置为使用胶囊的主机从该胶囊而不是中央卫星服务器(由 Pulp 启用)下载内容。
- 主机操作交付 - 胶囊式服务器对主机执行计划的操作.
- Red Hat Subscription Management (RHSM)代理 - 主机注册到关联的胶囊服务器,而不是中央 Satellite 服务器或红帽客户门户网站(由 Candlepin 提供)。
2.2. 胶囊类型
并非所有胶囊功能都必须一次性启用。您可以针对特定的有限目的配置胶囊服务器。一些常见配置包括:
- 基础架构胶囊 [DNS + DHCP + TFTP] - 为主机提供基础架构服务。启用置备模板代理后,基础架构胶囊具有调配新主机所需的所有服务。
- 内容胶囊 [Pulp] - 提供从卫星服务器同步到主机的内容。
- 配置胶囊 [Pulp + Puppet + PuppetCA] - 为主机提供内容并运行配置服务。
- all -in-one Capsules [DNS + DHCP + TFTP + Pulp + Puppet + PuppetCA] - 提供一整套胶囊功能。all-in-one Capsules 通过为受管主机提供单一连接来启用主机隔离。
2.3. 胶囊网络
胶囊隔离的目标是为所有主机的网络通信提供单一端点,以便在远程网络段中,您只需要打开到胶囊的防火墙端口。下图显示了卫星组件如何与连接隔离胶囊的主机交互。
图 2.1. 带有隔离胶囊的 Satellite 拓扑
下图显示了主机直接连接到卫星服务器时卫星组件如何交互。请注意,由于外部胶囊的基础系统是 Satellite 的客户端,因此即使您不打算直接连接的主机,此图也会相关。
图 2.2. 带有内部胶囊的 Satellite 拓扑
您可以找到配置基于主机的防火墙的完整说明,以便在以下文档中打开所需端口:
- 在连接的网络环境中安装 Satellite 服务器 中的 端口和防火墙要求
- 在断开连接的网络环境中安装 Satellite 服务器 中的 端口和 防火墙要求
- 安装 Capsule 服务器中的 端口和防火墙要求
第 3 章 机构、位置和生命周期环境
Red Hat Satellite 采用一个合并的机构和位置管理方法。系统管理员在单个卫星服务器中定义多个组织和多个位置。例如,公司可能在三个国家(美国、英国和日本)有三个组织(财务、营销和销售)。在本例中,Satellite 服务器管理跨所有地理位置的所有组织,为管理系统创建 9 个不同的上下文。此外,用户可以定义特定位置并嵌套它们来创建层次结构。例如,Satellite 管理员可以将美国划分为特定的城市,如 Boston、Phoenix 或 San Francisco。
图 3.1. Red Hat Satellite 的拓扑示例
卫星服务器定义所有位置和组织。每个对应的 distributed Capsule 服务器同步内容,并处理不同位置的系统配置。
主卫星服务器保留管理功能,而内容和配置在主卫星服务器和分配给特定位置的卫星服务器之间同步。
3.1. 机构
组织根据所有权、目的、内容、安全级别或其他部门将 Red Hat Satellite 资源划分为逻辑组。您可以通过红帽卫星创建和管理多个组织,然后将您的订阅划分并分配到每个单独的组织。这提供了一种管理一个管理系统下多个组织的内容的方法。
3.2. 位置
位置根据地理位置将组织划分为逻辑组。每个位置由单个帐户创建和使用,尽管每个帐户可以管理多个位置和组织。
3.3. 生命周期环境
应用程序生命周期分为 生命周期生命周期,这些环境 代表应用程序生命周期的每个阶段。产品生命周期环境链接至形成 环境路径。如果需要,您可以在下一个生命周期阶段提升内容。例如,如果开发结束于某个应用的特定版本,您可以将此版本提升到测试环境,并在下一版本上开始开发。
图 3.2. 包含 Four 环境的环境变量
第 4 章 主机组概念
除了胶囊式服务器的物理拓扑外,Red Hat Satellite 还提供了多个逻辑单元来分组主机。属于这些组成员的主机继承组配置。例如,定义置备环境的简单参数可在以下级别应用:
Global > Organization > Location > Domain > Host group > HostRed Hat Satellite 中的主逻辑组是:
- Organizations - 主机的最高级别的逻辑组。组织提供强大的内容和配置分离。每个机构都需要单独的红帽订阅清单,并可以将其视为卫星服务器的独立虚拟实例。如果适用的较低级别主机分组,则避免使用组织。
- 位置 - 应该与物理位置匹配的一组主机。位置可用于映射网络基础架构,以防止不正确的主机放置或配置。例如,您无法将子网、域或计算资源直接分配给胶囊服务器,仅将子网、域或计算资源分配到一个位置。
- 主机组 - 主机 定义的主要载体,包括分配的 Puppet 类、内容视图或操作系统。建议您在主机组级别上配置大多数设置,而不是直接定义主机。然后,配置新主机就成为将其添加到正确的主机组的关键。当主机组可以嵌套时,您可以创建一个最适合您的要求的结构(请参阅 第 4.1 节 “主机组结构”)。
- 主机集合 - 注册到卫星服务器的主机用于订阅,内容管理称为 内容主机。内容主机可以组织到主机集合中,执行软件包管理或勘误表安装等批量操作。
位置和主机组可以嵌套。组织和主机集合是扁平的。
4.1. 主机组结构
主机组可以嵌套从彼此继承参数,从而能够设计适合特定工作流的主机组层次结构。精心规划的主机组结构有助于简化主机设置的维护。本节概述了整理主机组的四个方法。
图 4.1. 主机组 Structuring 示例
扁平结构
扁平结构的优点有限,因为无法继承。在有多个主机类型的部署中,这种场景是最佳选择。但是,没有继承性会有在主机组之间高重复设置的风险。
基于生命周期环境的结构
在这种层次结构中,第一个主机组级别保留给特定于生命周期环境的参数。第二个级别包含与操作系统相关的定义,第三个级别包含特定于应用的设置。当职责划分到生命周期环境之间(例如,开发、QA 和 Production 生命周期阶段的专用所有者)中时,这种结构很有用。
基于策略的结构
这种层次结构基于特定应用程序中的主机角色。例如,它为后端和前端服务器组定义网络设置。主机选定的特征是隔离的,它支持以 Puppet 为中心的复杂配置管理。但是,内容视图只能分配给此层次结构底部的主机组。
基于位置的结构
在这种层次结构中,位置的分发与主机组结构一致。在位置(Capsule Server)拓扑决定许多其他属性的情况下,此方法是最佳选项。另一方面,此结构将共享参数跨位置编译在一起,因此在有大量应用程序的复杂环境中,每个配置更改所需的主机组更改会显著增加。
第 5 章 置备概念
Red Hat Satellite 的一项重要功能是主机的无人值守调配。为此,Red Hat Satellite 使用 DNS 和 DHCP 基础架构、PXE 启动、TFTP 和 Kickstart。使用本章了解这些概念的工作原则。
5.1. PXE 引导
预启动执行环境(PXE)提供通过网络引导系统的功能。PXE 不使用本地硬盘驱动器或 CD-ROM,而是使用 DHCP 来为主机提供网络的标准信息,以发现 TFTP 服务器并下载引导镜像。有关设置 PXE 服务器的更多信息,请参阅红帽知识库解决方案 如何设置/配置 PXE 服务器。
5.1.1. PXE 序列
- 如果没有找到其他可引导镜像,主机将引导 PXE 镜像。
- 主机的 NIC 将广播请求发送到 DHCP 服务器。
- DHCP 服务器接收请求并发送有关网络的标准信息:IP 地址、子网掩码、网关、DNS、TFTP 服务器的位置和引导镜像。
-
主机从 TFTP 服务器获取引导装载程序
镜像/pxelinux.0和配置文件pxelinux.cfg/00:MA:CA:AD:D。 -
主机配置指定内核镜像、
initrd和 Kickstart 的位置。 - 主机下载文件并安装镜像。
有关通过 Satellite 服务器使用 PXE 引导的示例,请参阅 置备主机 中的 置备 工作流。
5.1.2. PXE 引导要求
要使用 PXE 引导置备机器,请确保您满足以下要求:
网络要求
- 可选:如果主机和 DHCP 服务器用路由器分开,请配置 DHCP 转发代理并指向 DHCP 服务器。
客户端要求
- 确保所有基于网络的防火墙都配置为允许子网上的客户端访问胶囊。更多信息请参阅 图 2.1 “带有隔离胶囊的 Satellite 拓扑”。
- 确保您的客户端有权访问 DHCP 和 TFTP 服务器。
Satellite 要求
- 确保卫星服务器和胶囊都配置了 DNS,并且能够解析调配的主机名。
- 确保客户端可以访问 UDP 端口 67 和 68,使客户端能够通过引导选项接收 DHCP 服务。
- 确保 UDP 端口 69 可被客户端访问,以便客户端能够访问胶囊上的 TFTP 服务器。
- 确保客户端可以访问 TCP 端口 80,以允许客户端从胶囊下载文件和 Kickstart 模板。
- 确保主机置备接口子网设置了 DHCP Capsule。
- 确保主机置备接口子网设置了 TFTP 胶囊。
- 确保主机置备接口子网设置了 Templates Capsule。
- 使用 Satellite 安装程序,确保启用了正确子网的 DHCP。
- 使用 Satellite 安装程序启用 TFTP。
5.2. HTTP 引导
您可以使用 HTTP 引导来使用 HTTP 通过网络引导系统。
5.2.1. 带有受管 DHCP 的 HTTP 引导要求
要通过 HTTP 引导置备机器,请确保满足以下要求:
客户端要求
要使 HTTP 引导正常工作,请确保您的环境有以下客户端配置:
- 所有基于网络的防火墙都配置为允许子网上的客户端访问胶囊。更多信息请参阅 图 2.1 “带有隔离胶囊的 Satellite 拓扑”。
- 您的客户端可以访问 DHCP 和 DNS 服务器。
- 您的客户端有权访问 HTTP UEFI 引导胶囊。
网络要求
- 可选:如果主机和 DHCP 服务器用路由器分开,请配置 DHCP 转发代理并指向 DHCP 服务器。
Satellite 要求
虽然 TFTP 协议不用于 HTTP UEFI 引导,但卫星使用 TFTP Capsule API 来部署引导装载程序配置。
要使 HTTP 引导正常工作,请确保 Satellite 具有以下配置:
- Satellite 服务器和 Capsule 都配置了 DNS,并且能够解析调配的主机名。
- 客户端可以访问 UDP 端口 67 和 68,以便客户端可以发送和接收 DHCP 请求并提供。
- 确保为客户端打开 TCP 端口 8000,以便从胶囊下载启动加载器和 Kickstart 模板。
- 打开 TCP 端口 9090,以便客户端使用 HTTPS 协议从胶囊下载启动加载器。
- 用作主机的调配接口的子网具有 DHCP 胶囊、HTTP 引导胶囊、TFTP 胶囊以及模板胶囊
grub2-efi软件包更新至最新版本。要将grub2-efi软件包更新至最新版本,并执行安装程序将最新的引导装载程序从/boot复制到/var/lib/tftpboot目录中,请输入以下命令:# satellite-maintain packages update grub2-efi # satellite-installer
5.2.2. 带有非受管 DHCP 的 HTTP 引导要求
要在没有受管 DHCP 的情况下通过 HTTP 引导置备机器,请确定您满足以下要求:
客户端要求
HTTP UEFI 引导 URL 必须设为以下之一:
-
http://capsule.example.com:8000 -
https://capsule.example.com:9090
-
- 确保您的客户端有权访问 DHCP 和 DNS 服务器。
- 确保您的客户端有权访问 HTTP UEFI 引导胶囊。
- 确保所有基于网络的防火墙都配置为允许子网上的客户端访问胶囊。更多信息请参阅 图 2.1 “带有隔离胶囊的 Satellite 拓扑”。
网络要求
- 可供客户端使用的非受管 DHCP 服务器。
- 可供客户端使用的非受管 DNS 服务器。如果 DNS 不可用,请使用 IP 地址来配置客户端。
Satellite 要求
虽然 TFTP 协议不用于 HTTP UEFI 引导,但卫星使用 TFTP Capsule API 来部署引导装载程序配置。
- 确保卫星服务器和胶囊都配置了 DNS,并且能够解析调配的主机名。
- 确保 UDP 端口 67 和 68 可以被客户端访问,以便客户端可以发送和接收 DHCP 请求并提供。
- 确保为客户端打开 TCP 端口 8000,以便从胶囊下载启动加载器和 Kickstart 模板。
- 确保为客户端打开 TCP 端口 9090,以通过 HTTPS 协议从胶囊下载引导装载程序。
- 确保主机调配接口子网设置了 HTTP 引导胶囊。
- 确保主机置备接口子网设置了 TFTP 胶囊。
- 确保主机置备接口子网设置了 Templates Capsule。
将
grub2-efi软件包更新至最新版本,并执行安装程序将最新的引导装载程序从/boot目录复制到/var/lib/tftpboot目录中:# satellite-maintain packages update grub2-efi # satellite-installer
5.3. Kickstart
您可以通过创建一个包含安装所需的所有信息的 Kickstart 文件,使用 Kickstart 来自动化 Red Hat Satellite 或 Capsule 服务器的安装过程。有关 Kickstart 的详情,请参考 执行高级 RHEL 8 安装 中的 使用 Kickstart 执行自动安装。
5.3.1. 工作流
运行 Red Hat Satellite Kickstart 脚本时,会出现以下工作流:
- 它指定卫星服务器或胶囊服务器的安装位置。
- 它安装预定义的软件包。
- 它安装 Subscription Manager。
- 它使用激活密钥将主机订阅到红帽卫星。
-
它安装 Puppet,并配置
puppet.conf文件以指明红帽卫星或胶囊实例。 - 它使 Puppet 能够运行和请求证书。
- 它运行用户定义的代码片段。
第 6 章 内容交付网络结构
位于 cdn.redhat.com 的 Red Hat Content Delivery Network (CDN)是一个地理分布的静态 webservers,其中包含系统设计的内容和勘误表。此内容可以通过使用 Subscription Manager 或 Satellite Web UI 注册的系统直接访问。CDN 的可访问子集是通过 使用红帽订阅管理 或 Satellite 服务器附加到系统的订阅进行配置。
红帽内容交付网络受 X.509 证书身份验证保护,以确保只有有效的用户才可以访问它。
CDN 的目录结构
$ tree -d -L 11
└── content
├── beta
│ └── rhel
│ └── server
│ └── 7
│ └── x86_64
│ └── sat-tools
└── dist
└── rhel
└── server
└── 7
├── 7.2
│ └── x86_64
│ └── kickstart
└── 7Server
└── x86_64
└── os- 1
content目录。- 2
- 负责内容生命周期的目录。通用目录包括
beta(用于 Beta 代码)、dist(用于生产环境)和eus(适用于延长更新支持)目录。 - 3
- 负责产品名称的目录。通常,适用于 Red Hat Enterprise Linux 的
rhel. - 4
- 负责产品类型的目录。对于 Red Hat Enterprise Linux,这可能包括
服务器、workstation和computenode目录。 - 5
- 负责发行版本的目录,如
7、7.2或7Server。 - 6
- 负责基本架构的目录,如
i386或x86_64。 - 7
- 负责存储库名称的目录,如
sat-tools、kickstart、rhscl。有些组件具有额外的子目录,可能有所不同。
Red Hat Subscription Manifest 还使用此目录结构。
部分 II. Satellite 部署规划
第 7 章 部署注意事项
本节概述了在规划 Red Hat Satellite 部署时要考虑的一般主题,以及对更具体文档的建议和参考。
7.1. Satellite 服务器配置
正常工作的 Satellite 基础架构的第一步是在专用的 Red Hat Enterprise Linux 8 服务器上安装 Satellite 服务器实例。
有关在连接的网络中安装 Satellite 服务器的更多信息,请参阅 在连接的网络环境中安装 Satellite 服务器。
在大型 Satellite 部署中,您可以通过使用预定义的调优配置文件配置 Satellite 来提高性能。如需更多信息,请参阅 在 连接的网络环境中安装 Satellite 服务器 中的 使用预定义的配置文件调优 Satellite 服务器。
有关在断开连接的网络中安装 Satellite 服务器的更多信息,请参阅 在断开连接的网络环境中安装 Satellite 服务器。
在大型 Satellite 部署中,您可以通过使用预定义的调优配置文件配置 Satellite 来提高性能。如需更多信息,请参阅 在断开连接的网络环境中安装 Satellite 服务器 中的 使用预定义的配置文件调优 Satellite 服务器。
将 Red Hat 订阅清单添加到 Satellite 服务器
Red Hat Subscription Manifest 是一组包含您的订阅信息的加密文件。Satellite 服务器使用此信息来访问 CDN,并查找可用于相关订阅的存储库。有关如何创建和导入红帽订阅清单的说明,请参阅 管理内容 中的 管理红帽订阅 。
Red Hat Satellite 需要一个清单,用于 Satellite 上配置的每个机构。如果您计划使用 Satellite 的机构功能管理一个红帽网络帐户下基础架构的单独单元,则根据需要将订阅从一个帐户分配给每个机构清单。
如果您计划有多个红帽网络帐户,或者您要管理属于红帽网络帐户拥有者的其他实体的系统,那么您和其他帐户持有者可以根据需要将订阅分配给清单。没有 Satellite 订阅的客户可以创建订阅资产管理器清单,如果它们还有其他有效的订阅,则可以与 Satellite 一起使用。然后,您可以使用一个 Satellite 服务器中的多个清单来管理多个组织。
如果您必须管理系统,但无法访问 RPM 的订阅,则必须使用 Red Hat Enterprise Linux Satellite 附加组件。如需更多信息,请参阅 Satellite 附加组件。
下图显示了两个红帽网络帐户拥有者,他们希望其系统通过同一 Satellite 安装进行管理。在这种情况下,Example Corporation 1 可以分配 60 个订阅的任何子集,在本示例中为清单分配 30 个订阅。这可以作为不同的组织导入到 Satellite 中。这使得系统管理员可以完全独立于 Example Corporation 2 (R&D、操作和工程)使用 Satellite 管理 Example Corporation 1 的系统。
图 7.1. 带有多个清单的 Satellite 服务器
在创建红帽订阅清单时:
- 如果计划断开连接或自我注册的 Satellite 服务器,请将卫星服务器的订阅添加到清单中。对于使用基本系统上的 Subscription Manager 实用程序订阅的已订阅的 Satellite Server,这不是必要的。
- 为您要创建的所有胶囊服务器添加订阅。
- 为您要使用 Satellite 管理的所有红帽产品添加订阅。
- 请注意,订阅到期过期并在到期日期前计划续订的日期。
- 为每个机构创建一个清单。您可以使用多个清单,它们可以与不同的红帽订阅不同。
Red Hat Satellite 允许在清单中使用未来日期的订阅。这可在现有订阅的到期日期前向清单中添加对存储库的不间断访问。
请注意,如果基础架构出现任何更改,或者添加更多订阅时,可以修改 Red Hat Subscription Manifest,并重新加载到 Satellite 服务器。清单不应被删除。如果您从红帽客户门户网站或 Satellite Web UI 中删除清单,它将取消注册您的所有内容主机。
7.2. 带有外部数据库的 Satellite 服务器
安装 Satellite 时,satellite-installer 命令会在您安装 Satellite 的同一服务器上创建数据库。根据您的要求,移至外部数据库可为 Satellite 提供增加工作内存,这可以提高数据库操作请求的响应时间。移动到外部数据库可分发工作负载,并可提高性能调优的容量。
如果您计划将 Satellite 部署用于以下情况,请考虑使用外部数据库:
- 频繁远程执行任务。这会在 PostgreSQL 中创建大量记录,并生成繁重的数据库工作负载。
- 频繁存储库同步或内容视图发布中的高磁盘 I/O 工作负载.这会导致卫星为每个作业在 PostgreSQL 中创建记录。
- 大量主机。
- 大量同步内容。
有关使用外部数据库的更多信息,请参阅 在 连接的网络环境中安装 Satellite 服务器中的将外部数据库与 Satellite 搭配使用。
7.3. 位置和拓扑
本节概述了可帮助您指定 Satellite 部署场景的一般注意事项。最常见的部署场景列在 第 8 章 常见部署场景 中。定义问题是:
- 我需要多少个名称服务器? - 组织运行的位置数量应转换为胶囊式服务器的数量。通过为各个位置分配胶囊,您可以降低卫星服务器上的负载,增加冗余性并降低带宽使用量。卫星服务器本身可以充当胶囊(默认包含集成胶囊)。这可以用于单一位置部署,并可调配胶囊的基本服务器的基础系统。不建议使用集成的胶囊与远程位置中的主机通信,因为它可能会导致网络利用率降低。
- 胶囊服务器将提供哪些服务? - 在建立胶囊数量后,决定将在每个胶囊上启用哪些服务。虽然内容和配置管理功能的整个堆栈可用,但某些基础架构服务(DNS、DHCP、TFTP)可以在 Satellite 管理员的控制之外。在这种情况下,胶囊必须与这些外部服务集成(请参阅 第 8.5 节 “带有外部服务的 Capsule”)。
- 我的 Satellite 服务器是否需要从互联网断开? - 断开连接的 Satellite 是常见的部署场景(请参阅 第 8.4 节 “断开连接的 Satellite”)。如果您需要在断开连接的 Satellite 上频繁更新红帽内容,请规划额外的 Satellite 实例进行卫星同步。
- 我对我的主机需要哪些计算资源? - 从调配裸机主机,您可以使用 Satellite 支持的各种计算资源。要了解在不同计算资源上置备的信息,请参阅 置备主机。
7.4. 内容源
Red Hat Subscription Manifest 决定可以从您的 Satellite 服务器访问哪些红帽存储库。启用红帽存储库后,会自动创建一个关联的 Satellite 产品。要从自定义源分发内容,您需要手动创建产品和存储库。默认情况下,红帽存储库使用 GPG 密钥签名,我们建议您为自定义存储库创建 GPG 密钥。自定义软件仓库的配置取决于它们保存的内容类型(RPM 软件包或 Docker 镜像)。
配置为 yum 存储库(仅包含 RPM 软件包)的存储库可以使用新的下载策略设置保存在同步时间和存储空间上。此设置启用从 Immediate 和 On needs 中选择。On demand 设置仅在客户端请求时下载软件包来节省空间和时间。有关设置内容源的详细信息,请参阅 管理内容 中的 导入内容。
大部分情况下,卫星服务器中的自定义存储库会填充来自外部暂存服务器的内容。这些服务器依赖于卫星基础架构,但建议在这些服务器上使用版本控制系统(如 Git)来更好地控制自定义内容。
7.5. 内容生命周期
卫星提供相应的功能来精确管理内容生命周期。生命周期环境 代表内容生命周期中的一个阶段,Content View 是过滤过的内容集合,可被视为定义的内容子集。通过将内容视图与生命周期环境关联,您可以以定义的方式为主机提供内容。有关进程的视觉化,请参阅 图 1.2 “Red Hat Satellite 中的内容生命周期”。有关内容管理流程的详细概述,请参阅 管理内容 中的 导入自定义内容。以下部分介绍了部署内容视图和生命周期环境的通用场景。
名为 Library 的默认生命周期环境从所有连接的源收集内容。建议不要直接将主机与库关联,因为它会阻止对内容进行任何测试,然后再将它们提供给主机。反之,创建一个适合您的内容工作流的生命周期环境路径。常见情况如下:
单一生命周期环境 - 从库中的内容直接提升到生产环境阶段。这种方法限制了复杂性,但仍然允许测试库中的内容,然后将其提供给主机。
单一生命周期环境路径 - 操作系统和应用程序内容都通过同一路径提升。该路径可由几个阶段组成(如 Development、QA、Production),其进行全面的测试,但需要额外的工作。
应用程序特定的生命周期环境路径 - 每个应用程序都有单独的路径,允许单个应用程序发行周期。您可以将特定的计算资源与应用程序生命周期阶段关联,以便于测试。另一方面,这种情况会增加维护复杂性。
以下内容视图场景是常见的:
- 内容视图 - 包含大多数主机所需的所有内容的内容视图。减少内容视图数量是在具有受限资源(时间、存储空间)或统一主机类型的部署中的优点。但是,这种情况限制了内容视图功能,如基于时间的快照或智能过滤。内容源的任何更改会影响主机的比例。
- 主机特定内容视图 - 每种主机类型的专用内容视图。这种方法对于有大量主机类型的部署中很有用(最多 30)。但是,它可防止在主机类型间共享内容,并根据主机类型以外的标准(例如在操作系统和应用程序间)进行分离。随着关键更新,必须更新每个内容视图,这会增加维护工作。
- 特定于主机的复合内容视图 - 各个主机类型的专用内容视图组合。这种方法支持隔离特定于主机和共享的内容,例如,您可以对操作系统和应用程序内容具有专用内容视图。通过使用复合,您可以单独和不同的频率管理您的操作系统和应用程序。
- 基于组件的内容视图 - 特定应用程序的专用内容视图。例如,数据库内容视图可以包含在多个复合内容视图中。这种方法可以实现更大的标准化,但会带来更多内容视图。
最佳解决方案取决于您的主机环境的性质。避免创建大量内容视图,但请记住,内容视图的大小会影响相关操作的速度(发布、提升)。另外,请确保在为内容视图创建软件包子集时,也会包含所有依赖项。请注意,kickstart 存储库不应添加到内容视图中,因为它们仅用于主机调配。
7.6. 内容部署
内容部署是管理内容主机上的勘误表和软件包。Satellite 上有两种内容部署方法。默认方法是 远程执行,第二个方法是已弃用的 Katello 代理。
远程执行 - 远程执行允许安装、更新或删除软件包、配置管理代理的 bootstrap 以及 Puppet 的触发器。您可以将 Satellite 配置为通过 SSH (基于 SSH)或 MQTT/HTTPS (基于 pull)执行远程执行。默认情况下,卫星服务器上启用了远程执行,但它在胶囊服务器和内容主机上被禁用。您必须手动启用它。
这是内容部署的首选方法。
Katello 代理 - Katello 代理安装和更新软件包。它使用 goferd 服务,该服务与卫星服务器通信。它会在成功安装
katello-agent软件包后在内容主机上自动启用并启动。请注意,Katello 代理已弃用,并将在以后的 Satellite 发行版本中删除。
7.7. 置备
卫星提供了多个功能,可帮助您自动执行主机调配,包括自定义模板、通过 Puppet 进行配置管理以及主机组,以实现主机角色的标准化调配。有关置备工作流的描述,请参阅 置备主机 中的 置备 工作流。相同的指南包含在各种计算资源上置备的说明。
7.8. 基于角色的身份验证
通过为用户分配角色,可以根据一组权限来控制对 Satellite 组件的访问。您可以认为基于角色的身份验证,作为隐藏不应与之交互的用户的不必要的对象的一种方式。
有各种标准来区分组织内的不同角色。除了管理员角色外,以下类型也很常见:
- 与应用程序或基础架构部分 相关的角色 - 例如,作为操作系统而不是应用服务器所有者的角色。
- 与软件生命周期的特定阶段 相关的角色 - 例如,角色划分到开发、测试和产品阶段,每个阶段都具有一个或多个所有者。
- 与特定任务相关的角色 -如安全管理器或许可证管理器。
在定义自定义角色时,请考虑以下建议:
- 定义预期的任务和职责 - 定义卫星基础架构的子集,该角色可以访问,以及此子集中允许的操作。想想角色职责,以及如何与其他角色不同。
- 在可能的情况下,尽可能使用预定义的角色 - Satellite 提供了多个示例角色,它们可以单独或作为角色组合的一部分使用。复制并编辑现有角色是创建自定义角色的良好起点。
- 考虑所有受影响的实体 - 例如,内容视图提升会自动为特定生命周期环境和内容视图组合创建新的 Puppet 环境。因此,如果角色希望提升内容视图,它也需要相应的权限来创建和编辑 Puppet 环境。
- 考虑感兴趣的领域 - 即使角色具有有限的责任,但可能会更广的关注领域。因此,您可以授予该角色对影响其职责的卫星基础架构部分的只读访问权限。这允许用户更早地访问潜在的更改信息。
- 通过步骤添加权限步骤 - 测试您的自定义角色,以确保它按预期工作。如果出现一组有限的权限,则最好使用一组有限,逐步添加权限步骤,并持续测试。
有关定义角色并将其分配给用户的说明,请参阅管理 Red Hat Satellite 中的管理用户和角色 。相同的指南包含有关配置外部身份验证源的信息。
7.9. 其他任务
本节概述了所选 Satellite 功能的简短概述,可用于自动化某些任务或扩展 Satellite 的核心使用:
- 发现裸机主机 - 卫星发现插件可自动发现 provisioning 网络上未知主机的裸机发现。这些新主机将自身注册到卫星服务器,并在客户端上上传由 Facter 收集的系统事实,如串行 ID、网络接口、内存和磁盘信息。注册后,您可以初始化这些发现的主机的调配。如需更多信息,请参阅 置备主机 中的 从发现主机创建 主机。
- 备份管理 备份和灾难恢复说明,请参阅 管理 Red Hat Satellite 中的 备份 Satellite 服务器和 Capsule 服务器。使用远程执行,您还可以在受管主机上配置重复备份任务。有关远程执行的更多信息 ,请参阅管理主机中的配置和设置 远程作业。
- 安全管理 - 卫星通过各种方式支持安全管理,包括更新和勘误表管理、用于系统验证的 OpenSCAP 集成、更新和安全合规报告,以及精细的身份验证。查找管理主机 中的勘误表管理和 OpenSCAP 概念的更多信息。 https://docs.redhat.com/en/documentation/red_hat_satellite/6.13/html-single/managing_hosts/index#
- 事件管理 - 卫星通过提供包括报告和电子邮件通知在内的所有系统的集中概述,从而支持事件管理流程。各个主机的详细信息可从卫星服务器访问,包括最近更改的事件历史记录。Satellite 也与 Red Hat Insights 集成。
- 使用 Hammer 和 API 编写脚本 - Satellite 提供了一个称为 Hammer 的命令行工具,它提供了一个与大多数 Web UI 流程等效的 CLI。此外,您可以使用对 Satellite API 的访问来利用选定的编程语言编写自动化脚本。如需更多信息,请参阅 Hammer CLI 指南和 API 指南。
第 8 章 常见部署场景
本节简要介绍 Red Hat Satellite 的常见部署场景。请注意,以下布局的多种变体和组合是可能的。
8.1. 单个位置
集成胶囊 是在安装过程中默认在卫星服务器中创建的虚拟胶囊式服务器。这意味着卫星服务器可用于在单一地理位置为卫星部署调配直接连接的主机,因此只需要一台物理服务器。隔离胶囊的基础系统可以直接由卫星服务器管理,但不建议使用此布局来管理远程位置中的其他主机。
8.2. 带有聚合子网的单个位置
即使将 Red Hat Satellite 部署到单一地理位置,您的基础架构可能需要多个隔离的子网。例如,这可以通过使用 DHCP 和 DNS 服务部署多个胶囊服务器来实现,但建议使用单一胶囊来创建隔离的子网。然后,此胶囊用于管理这些隔离的网络中的主机和计算资源,以确保它们只能访问调配、配置、勘误表和常规管理的胶囊。有关配置子网的更多信息,请参阅管理主机。
8.3. 多个位置
建议每个地理位置至少创建一个胶囊服务器。这种做法可节省带宽,因为主机从本地胶囊服务器获取内容。与远程存储库同步的内容仅由胶囊执行,而不是由位置中的每个主机完成。此外,这种布局使调配基础架构更加可靠且更易于配置。有关这个方法图,请参阅 图 1.1 “Red Hat Satellite System Architecture”。
8.4. 断开连接的 Satellite
在与互联网断开连接的封闭网络中需要主机正常工作的高安全环境中,红帽卫星可以使用最新的安全更新、勘误表、软件包和其他内容配置系统。在这种情况下,卫星服务器无法直接访问互联网,但其他基础架构组件的布局不受影响。有关从断开连接的网络安装 Satellite 服务器的详情,请参考 在断开连接的网络环境中安装 Satellite 服务器。有关升级断开连接的 Satellite 的详情,请参考 升级和更新 Red Hat Satellite 中的 升级断开连接的 Satellite 服务器。
将内容导入到非联网 Satellite 服务器有两个选项:
- 使用内容 ISO 连接 Satellite - 在此设置中,您可以使用红帽客户门户网站中的内容下载 ISO 镜像,并将它们提取到 Satellite 服务器或本地 Web 服务器。然后,卫星服务器中的内容会在本地同步。这允许 Satellite 服务器的完整网络隔离,但内容 ISO 镜像的发布频率约为 6 周,并不是所有产品内容都包括。要查看您的订阅中的产品可用内容 ISO 镜像,请登录到红帽客户门户网站 https://access.redhat.com,进入 Downloads > Red Hat Satellite,然后点击 Content ISOs。有关如何将内容 ISO 导入到断开连接的 Satellite 的说明,请参阅 管理内容 中的 配置 Satellite 以使用本地 CDN 服务器 同步内容。请注意,之前托管在 redhat.com 中的内容 ISO 以导入到卫星服务器已被弃用,并将在下一个 Satellite 版本中删除。
- 与卫星服务器间同步的断开连接的 Satellite - 在此设置中,您要安装连接的 Satellite 服务器并从中导出内容,以使用一些存储设备填充断开连接的 Satellite。这允许按照您选择的频率导出红帽提供的和自定义内容,但需要使用单独的订阅部署额外的服务器。有关如何在 Satellite 中配置 Satellite 同步的说明,请参阅管理内容中的在 Satellite 服务器间同步 内容。
以上将内容导入到非联网卫星服务器的方法也可用于加快连接的 Satellite 的初始填充。
8.5. 带有外部服务的 Capsule
您可以配置胶囊服务器(集成或独立),以使用外部 DNS、DHCP 或 TFTP 服务。如果您已在您的环境中提供这些服务的服务器,您可以将其与 Satellite 部署集成。有关如何使用外部服务配置胶囊的详情,请参考 安装 胶囊式服务器 中的 配置具有外部服务的 胶囊服务器。
附录 A. Satellite 提供的技术用户以及 Satellite 需要的技术
在 Satellite 安装过程中,会创建系统帐户。它们用于管理集成到卫星中组件的文件和进程所有权。其中一些帐户具有固定的 UID 和 GID,而其他帐户则改为在系统上使用下一个可用的 UID 和 GID。要控制分配给帐户的 UID 和 GID,您可以在安装 Satellite 前定义帐户。由于某些帐户有硬编码的 UID 和 GID,因此无法使用 Satellite 安装期间创建的所有帐户执行此操作。
下表列出了 Satellite 在安装过程中创建的所有帐户。在安装 Satellite 前,您可以使用自定义 UID 和 GID 预定义 Flexible UID 和 GID 列中具有 Yes 的帐户。
不要更改系统帐户的主目录和 shell 目录,因为它们是 Satellite 正常工作的要求。
由于与 Satellite 所创建的本地用户潜在的冲突,您无法将外部身份提供程序用于 Satellite 基础操作系统的系统用户。
| 用户名 | UID | 组名称 | GID | 灵活的 UID 和 GID | Home | shell |
|---|---|---|---|---|---|---|
| Foreman | N/A | Foreman | N/A | 是 | /usr/share/foreman | /sbin/nologin |
| foreman-proxy | N/A | foreman-proxy | N/A | 是 | /usr/share/foreman-proxy | /sbin/nologin |
| Apache | 48 | Apache | 48 | 否 | /usr/share/httpd | /sbin/nologin |
| postgres | 26 | postgres | 26 | 否 | /var/lib/pgsql | /bin/bash |
| Pulp | N/A | Pulp | N/A | 否 | N/A | /sbin/nologin |
| puppet | 52 | puppet | 52 | 否 | /opt/puppetlabs/server/data/puppetserver | /sbin/nologin |
| qdrouterd | N/A | qdrouterd | N/A | 是 | /var/lib/qdrouterd | /sbin/nologin |
| qpidd | N/A | qpidd | N/A | 是 | /var/lib/qpidd | /sbin/nologin |
| saslauth | N/A | saslauth | 76 | 否 | /run/saslauthd | /sbin/nologin |
| tomcat | 53 | tomcat | 53 | 否 | /usr/share/tomcat | /bin/nologin |
| unbound | N/A | unbound | N/A | 是 | /etc/unbound | /sbin/nologin |
附录 B. 术语表
此术语表记录了与 Red Hat Satellite 相关的各种术语。
- 激活码
- 用于主机注册和订阅附加的令牌。激活密钥定义要与新创建的主机关联的订阅、产品、内容视图和其他参数。
- 回答文件
- 定义安装场景设置的配置文件。回答文件以 YAML 格式定义,并存储在 /etc/foreman-installer/scenarios.d/ 目录中。
- ARF 报告
- OpenSCAP 审计的结果。总结了由 Red Hat Satellite 管理的主机的安全合规性。
- audits
- 提供有关特定用户所做更改的报告。审计可以在 Satellite Web UI 中的 Monitor > Audits 中查看。
- 基板管理控制器(BMC)
- 启用裸机主机的远程电源管理。在 Satellite 中,您可以创建一个 BMC 接口来管理所选主机。
- Boot Disk
- 用于无 PXE 调配的 ISO 镜像。此 ISO 使主机能够连接到 Satellite 服务器,引导安装介质并安装操作系统。有几种引导磁盘:host image、full host image、generic image,以及 subnet image。
- Capsule (Capsule Server)
- 可在 Red Hat Satellite 部署中使用的其他服务器来促进内容联合和分发(实际上是 Pulp 镜像),并运行其他本地化服务(Puppet 服务器、DHCP、DNS、TFTP 等)。胶囊可用于在不同地理位置部署卫星。在上游 Foreman 术语中,胶囊称为智能代理。
- 目录
- 文档,用于描述由 Puppet 管理的一个特定主机的所需系统状态。它列出了需要管理的所有资源,以及这些资源之间的所有依赖项。目录由 Puppet 清单和 Puppet 代理中的数据编译。
- Candlepin
- Katello 中的一个服务负责订阅管理。
- 合规策略
- 指的是在卫星服务器上执行的计划任务,用于检查指定主机是否符合 SCAP 内容。
- 计算配置文件
- 指定计算资源中新虚拟机的默认属性。
- 计算资源
- 红帽卫星用于部署主机和系统的虚拟或云基础架构。示例包括 Red Hat Virtualization、Red Hat OpenStack Platform、EC2 和 VMWare。
- 容器(Docker 容器)
- 包含应用程序所需的所有运行时依赖项的隔离应用程序沙盒。卫星支持在专用的计算资源上调配容器。
- 容器镜像
- 容器配置的静态快照。卫星支持通过内容视图导入容器镜像并将镜像分发到主机的方法。
- 内容
- Satellite 分发到主机的一般术语。包括软件包(RPM 文件)或 Docker 镜像。内容同步到库中,然后使用内容视图提升到生命周期环境,以便主机可以使用它们。
- 内容交付网络 (CDN)
- 用于向卫星服务器提供红帽内容的机制。
- 内容主机
- 主机的一部分,用于管理与内容和订阅相关的任务。
- 内容视图
- 由智能过滤创建的库内容子集。发布内容视图后,可以通过生命周期环境路径升级,或使用增量升级进行修改。
- 发现的主机
- 通过 Discovery 插件在 provisioning 网络中检测到裸机主机。
- 发现镜像
- 指的是基于 Red Hat Enterprise Linux 的最小操作系统,这些操作系统在主机上启动 PXE,以获取初始硬件信息,并在开始置备过程前与卫星服务器通信。
- 发现插件
- 启用对 provisioning 网络上未知主机的自动裸机发现。该插件包含三个组件:在卫星服务器和胶囊服务器上运行的服务,以及主机上运行的发现镜像。
- 发现规则
- 组预定义的调配规则,将主机组分配到发现的主机,并触发调配。
- Docker 标签
- 用于区分容器镜像的标记,通常由镜像中存储的应用版本。在 Satellite Web UI 中,您可以通过在 Content > Docker Tags 下标签来过滤镜像。
- ERB
- 嵌入式 Ruby (ERB)是置备和作业模板中使用的模板语法。
- 勘误
- 更新了包含安全修复、错误修复和增强的 RPM 软件包。对于主机,如果勘误表更新了主机上安装的软件包,则其是 可应用的,如果其在主机的内容视图(这意味着可以在主机上进行安装)中存在,则其是 可安装的。
- 外部节点分类器
构造,为服务器提供在配置主机时要使用的额外数据。红帽卫星充当卫星部署中 Puppet 服务器的外部节点分类器。
请注意,外部节点分类器将在下一个 Satellite 版本中删除。
- Facter
- 提供运行它的系统信息(facts)的程序;例如,Facter 可以报告总内存、操作系统版本、架构等等。Puppet 模块根据 Facter 收集的主机数据启用特定的配置。
- 事实
- 主机参数,如内存、操作系统版本或架构。事实由 Facter 报告,供 Puppet 使用。
- Foreman
- 组件主要负责调配和内容生命周期管理。Foreman 是 Red Hat Satellite 的主要上游的对应部分。
- Satellite 服务
-
该服务器和胶囊式服务器用于操作的一组服务。您可以使用
satellite-maintain工具来管理这些服务。要查看服务的完整列表,请在安装 Satellite 或 Capsule Server 的机器上输入satellite-maintain service list命令。
- Foreman Hook
发生编配事件时自动触发的可执行文件,例如当主机创建或置备主机完成时。
请注意,Foreman Hook 功能已弃用,并将在下一个 Satellite 版本中删除。
- 完整主机镜像
- 用于特定主机 PXE 的引导磁盘。完整主机镜像包含相关操作系统安装程序的嵌入式 Linux 内核和 init RAM 磁盘。
- 通用镜像
- 无 PXE 调配的引导磁盘,不与特定主机绑定。通用镜像将主机的 MAC 地址发送到卫星服务器,该服务器与主机条目匹配。
- Hammer
- 用于管理 Red Hat Satellite 的命令行工具。您可以从命令行执行 Hammer 命令,或者在脚本中使用它们。Hammer 还提供交互式 shell。
- 主机
- 代表 Red Hat Satellite 所管理的任何系统(物理或虚拟)。
- 主机集合
- 用户定义的一个或多个主机组,用于批量操作,如勘误表安装。
- 主机组
- 用于构建主机的模板。主机组持有由主机组成员继承的共享参数,如子网或生命周期环境。主机组可以嵌套,以创建层次结构。
- 主机镜像
- 用于特定主机 PXE 的引导磁盘。主机镜像仅包含访问卫星服务器上安装介质所需的引导文件。
- 增量升级(内容视图)
- 在生命周期环境中创建新(次)内容视图版本的操作。增量升级提供了一种方式,对已发布的内容视图进行原位修改。对于快速更新很有用,例如应用安全勘误时。
- 作业(job)
- 从卫星服务器在主机上远程执行的命令。每个作业在作业模板中定义。
- 任务模板
- 定义作业的属性。
- Katello
- 负责订阅和存储库管理的 Foreman 插件。
- lazy Sync
-
可以将
yum存储库的默认下载策略 Immediate 更改为 On Demand。On Demand 设置仅在客户端请求时下载软件包来节省存储空间和同步时间。
- 位置
- 代表物理位置的默认设置集合。
- 程序库
- 用于卫星服务器上所有同步存储库中的内容容器。默认情况下,每个机构都会存在库,作为每个生命周期环境路径的 root,以及每个内容视图的内容源。
- 生命周期阶段
- 用于内容主机使用的内容视图版本的容器。产品生命周期环境代表生命周期阶段的一个步骤。内容通过发布和提升内容视图来在生命周期环境移动。
- 生命周期阶段
- 内容视图提升的一系列生命周期环境。您可以通过典型的提升路径提升内容视图,例如,从开发到测试到生产。
- 清单(红帽订阅清单)
- 将订阅从红帽客户门户传输到红帽卫星的机制。不要与 Puppet 清单混淆。
- OpenSCAP
- 根据安全内容自动化协议(SCAP)实施安全合规审核的项目。OpenSCAP 集成到卫星中,为受管主机提供合规审计。
- 机构(Organization)
- 在卫星部署中隔离的系统、内容和其他功能集合。
- 参数
- 定义置备过程中 Red Hat Satellite 组件的行为。根据参数范围,我们区分全局、域、主机组和主机参数。根据参数复杂性,我们区分简单参数(键值对)和智能参数(条件参数、验证、覆盖)。
- Parametrized Class (Smart Class Parameter)
- 从 Puppet 服务器导入类来创建的参数。
- 权限
- 定义与 Satellite 基础架构所选部分(资源类型)相关的操作。每个资源类型都与一组权限关联,例如 Architecture 资源类型具有以下权限: view_architectures、create_architectures、edit_architectures 和 destroy_architectures。您可以将权限分组到角色中,并将它们与用户或用户组关联。
- 产品
- 内容存储库集合。产品可以由红帽 CDN 提供,或者由 Satellite 管理员创建来分组自定义存储库。
- 提升(内容视图)
- 将内容视图从一个生命周期环境移到另一个生命周期环境的操作。
- 置备模板
- 定义主机调配设置。自定义模板可以与主机组、生命周期环境或操作系统关联。
- 发布(内容视图)
- 使内容视图版本在生命周期环境中可用并可供主机使用。
- Pulp
- Katello 中的服务负责存储库和内容管理。
- Pulp 镜像
- 镜像内容的胶囊式服务器组件。
- puppet
- Satellite 的配置管理组件。
- Puppet 代理
- 在将配置更改应用到该主机的主机上运行的服务。
- Puppet 环境
- 一组隔离的 Puppet 代理节点,可以与一组特定的 Puppet 模块关联。
- Puppet 清单
指的是 Puppet 脚本,它们是 .pp 扩展名的文件。文件含有一组必要资源(如软件包、服务、文件、用户和组等)的代码,使用一组键值对用于其属性。
不要与清单 (红帽订阅清单) 混淆。
- Puppet 服务器
- 向主机提供 Puppet 清单的胶囊式服务器组件,供 Puppet 代理执行。
- Puppet 模块
- 可用来管理用户、文件和服务等资源的自包含代码(Puppet 清单)和数据(facts)。
- 重复日志
- 根据计划自动执行的作业。在 Satellite Web UI 中,您可以在 Monitor > Recurring logics 下查看这些作业。
- Registry
- 容器镜像存档。Satellite 支持从本地和远程注册表导入镜像。Satellite 本身可以作为主机的镜像 registry。但是,主机无法将更改推送回 registry。
- 软件仓库
- 为内容集合提供存储。
- 资源类型
- 指的是 Satellite 基础架构的一部分,如 host、Capsule 或 architecture。用于权限过滤。
- 角色
- 指定应用于一组资源(如主机)的权限集合。角色可以分配给用户和用户组。Satellite 提供了很多预定义角色。
- SCAP 内容
- 包含针对哪些主机检查的配置和安全基准的文件。用于合规策略。
- 场景
-
一组用于 Satellite CLI 安装程序的预定义设置。场景定义安装类型,例如安装 Capsule 服务器执行
satellite-installer --scenarioCapsule。每个场景都有自己的应答文件来存储场景设置。
- 智能代理
- 可与外部服务(如 DNS 或 DHCP )集成的胶囊式服务器组件。在上游 Foreman 术语中,智能代理是胶囊的同义词。
- 标准操作环境(SOE)
- 在其上部署应用程序的操作系统的受控版本。
- 子网镜像
- 用于无 PXE 调配的通用镜像,它们通过胶囊服务器进行通信。
- 订阅
- 从红帽接收内容和服务的权利。
- 同步
- 指的是从外部资源镜像到 Red Hat Satellite Library。
- 同步计划
- 提供计划执行内容同步。
- 任务
- 在 Satellite 或 Capsule 服务器上执行的后台进程,如存储库同步或内容视图发布。您可以在 Monitor > Tasks 下的 Satellite Web UI 中监控任务状态。
- 趋势
- 跟踪 Satellite 基础架构特定部分的更改的方法。在 Monitor > Trends 下配置 Satellite Web UI 中的 趋势。
- 用户组
- 可分配给用户集合的角色集合。
- 用户
- 注册到使用 Red Hat Satellite 的任何人都。通过内置逻辑、外部资源(LDAP、身份管理或 Active Directory)或通过 Kerberos 进行身份验证和授权。
- virt-who
- 从虚拟机监控程序检索虚拟机的 ID 的代理。与 Satellite 一起使用时,virt-who 会向卫星服务器报告这些 ID,使其可以为虚拟机上调配的主机提供订阅。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}