红帽全球峰会概述、概念和部署注意事项
探索 Satellite 架构并规划 Satellite 部署
摘要
对红帽文档提供反馈
我们感谢您对我们文档的反馈。让我们了解如何改进它。
使用 Red Hat Jira 中的 Create Issue 表单提供您的反馈。JIRA 问题是在 Red Hat Satellite Jira 项目中创建的,您可以在其中跟踪其进度。
先决条件
- 确保您已注册了 红帽帐户。
流程
- 单击以下链接: 创建问题。如果 Jira 显示登录错误,则登录并在您重定向到表单后继续。
- 完成 Summary 和 Description 字段。在 Description 字段中,包含文档 URL、章节号以及问题的详细描述。不要修改表单中的任何其他字段。
- 点 Create。
部分 I. Satellite 概述和概念
Red Hat Satellite 是一个集中的工具,可用于对多个 Red Hat Enterprise Linux 部署进行调配、远程管理和监控。借助 Satellite,您可以在物理、虚拟和云环境中部署、配置和维护您的系统。
第 1 章 使用 Red Hat Satellite 进行内容和补丁管理
使用 Red Hat Satellite,您可以在所有生命周期阶段提供内容并应用补丁到主机。
1.1. Red Hat Satellite 中的内容流
Red Hat Satellite 中的内容流涉及从外部来源管理和分发内容到主机。
Satellite 中的内容 从外部内容源流到 Satellite 服务器。Capsule 服务器 将内容从 Satellite 服务器镜像到 主机。
- 外部内容源
- 您可以使用 Satellite 配置许多内容源。支持的内容源包括红帽客户门户网站、Git 存储库、Ansible 集合、Docker Hub、SCAP 存储库或您机构的内部数据存储。
- Satellite 服务器
- 在 Satellite 服务器上,您要计划和管理内容生命周期。
- Capsule 服务器
- 通过创建 Capsule 服务器,您可以根据您的需求在各种位置建立内容源。例如,您可以为具有独立网络的数据中心的每个地理位置或多个内容源建立内容源。
- 主机
- 通过将主机系统分配给胶囊服务器或直接分配给您的 Satellite 服务器,您可以确保主机接收它们提供的内容。主机可以是物理或虚拟的主机。
其他资源
- 详情请查看 第 4 章 Satellite 主要组件。
- 有关内容交付网络(CDN)的信息,请参阅管理内容中的管理红帽订阅。
1.2. Red Hat Satellite 中的内容视图
内容视图是主机可访问的内容子集。通过创建内容视图,您可以定义特定环境或胶囊服务器所使用的软件版本。
每个内容视图在每个环境中创建一组存储库。您的 Satellite 服务器存储并管理这些存储库。例如,您可以使用以下方法创建内容视图:
- 生产环境的较早软件包版本的内容视图,以及用于 开发环境 的较新软件包版本的另一个内容视图。
- 具有操作系统所需的软件包存储库的内容视图,以及应用所需软件包存储库的另一个内容视图。
- 复合内容视图,用于用于管理内容视图的模块化方法。例如,您可以使用一个内容视图来管理操作系统,以及另一个内容视图来管理应用程序。通过创建组合这两个内容视图的复合内容视图,您可以创建一个新存储库来合并各个内容视图的存储库。但是,内容视图的存储库仍然存在,您也可以单独管理它们。
默认机构视图
Default Organization View 是与 Satellite 同步的所有内容的一个应用程序控制的内容视图。您可以将主机注册到 Satellite 上的 Library 环境,以便在不配置内容视图和生命周期环境的情况下使用 Default Organization View。
在环境间提升内容视图
当您将内容视图从一个环境提升到应用程序生命周期中的下一个环境时,Satellite 会更新存储库并发布软件包。
例 1.1. 将软件包从 Development 提升到 测试
用于测试和生产的存储库包含 my-software-1.0-0.noarch.rpm 软件包:
| 开发 | 测试 | Production | |
|---|---|---|---|
| 内容视图的版本 | 版本 2 | 版本 1 | 版本 1 |
| 内容视图的内容 | my-software-1.1-0.noarch.rpm | my-software-1.0-0.noarch.rpm | my-software-1.0-0.noarch.rpm |
如果您将 Version 2 的内容视图从 Development 提升到 Testing ,则测试更新的存储库,使其包含 my-software-1.1-0.noarch.rpm 软件包:
| 开发 | 测试 | Production | |
|---|---|---|---|
| 内容视图的版本 | 版本 2 | 版本 2 | 版本 1 |
| 内容视图的内容 | my-software-1.1-0.noarch.rpm | my-software-1.1-0.noarch.rpm | my-software-1.0-0.noarch.rpm |
这样可确保主机被指定到特定的环境,但在该环境使用新版本的内容视图时接收更新。
1.3. Red Hat Satellite 中的内容类型
使用 Red Hat Satellite,您可以导入和管理许多内容类型。
例如,Satellite 支持以下内容类型:
- RPM 软件包
- 从与您的红帽订阅相关的软件仓库中导入 RPM 软件包。Satellite 服务器从 Red Hat Content Delivery Network 下载 RPM 软件包,并将其存储在本地。您可以在内容视图中使用这些存储库及其 RPM 软件包。
- Kickstart 树
- 导入 Kickstart 树以调配主机。新的系统通过网络访问这些 Kickstart 树,以用作其安装的基本内容。Red Hat Satellite 包含预定义的 Kickstart 模板。您还可以创建自己的 Kickstart 模板。
- ISO 和 KVM 镜像
- 下载并管理用于安装和配置的媒体。例如,Satellite 下载、存储和管理特定 Red Hat Enterprise Linux 和非 Red Hat 操作系统的 ISO 镜像和客户机镜像。
- 自定义文件类型
- 管理您需要的任何类型的自定义内容,如 SSL 证书、ISO 镜像和 OVAL 文件。
1.4. 其他资源
- 有关如何使用 Satellite 管理内容的详情,请参考 管理内容。
第 2 章 使用 Red Hat Satellite 进行订阅管理
使用 Red Hat Satellite,您可以跟踪软件订阅的使用,并根据您的需要分配订阅。
2.1. Red Hat Satellite 中的简单内容访问(SCA)
Satellite 中的简单内容访问(SCA)简化了软件权利的管理。使用 SCA,您可以在 Satellite 中添加有效的订阅到订阅分配或清单,并在 Satellite 中刷新。因此,在启用了 SCA 时,您不需要单独向主机附加订阅。
简单内容访问(SCA)替换了之前基于权利的订阅管理方法。新机构默认为启用 SCA。基于权利的订阅管理已弃用。如需更多信息,请参阅发行注记。
2.2. 其他资源
- 有关如何使用 Satellite 管理订阅的更多信息,请参阅管理内容。
第 3 章 使用 Red Hat Satellite 置备管理
借助 Red Hat Satellite,您可以从统一接口通过许多调配方法在各种计算资源上调配主机。
3.1. 在 Red Hat Satellite 中置备方法
通过 Red Hat Satellite,您可以使用以下方法置备主机。
- 裸机主机
Satellite 通过使用 PXE 引导和 MAC 地址标识来调配裸机主机。在使用 Satellite 置备裸机主机时,您可以执行以下操作:
- 创建主机条目并指定要置备的物理主机的 MAC 地址。
- 引导空白主机以使用 Satellite 发现服务,它会创建一个可调配的主机池。
- 云供应商
Satellite 连接到私有和公共云提供商,以调配云环境中存储的镜像的主机实例。使用 Satellite 从云置备时,您可以执行以下操作:
- 选择要使用的硬件配置文件。
- 使用其 API 从特定提供程序置备云实例。
- 虚拟化基础架构
Satellite 连接到虚拟化基础结构服务,如 Red Hat Virtualization 和 VMware。使用 Satellite 置备虚拟机时,您可以执行以下操作:
- 从虚拟机镜像模板调配虚拟机。
- 使用您用来置备裸机主机的同一基于 PXE 的引导方法。
3.2. 其他资源
- 有关如何使用 Satellite 置备主机的详情,请参考 置备主机。
第 4 章 Satellite 主要组件
典型的 Satellite 部署由以下组件组成:一个 Satellite 服务器、胶囊服务器、从 Satellite 服务器镜像内容和配置的主机,以及从 Satellite 服务器和 Capsule 服务器接收内容和配置的主机。
4.1. Satellite 服务器概述
Satellite 服务器是您计划和管理内容生命周期的 Satellite 部署的核心组件。
典型的 Satellite 部署包括一个 Satellite 服务器,您可在其中执行以下操作:
- 内容生命周期管理
- 配置 Capsule 服务器
- 配置主机
- 主机置备
- 补丁管理
- 订阅管理
Satellite 服务器将内容分发、主机置备和通信委派给胶囊服务器。Satellite 服务器本身也包含胶囊。
Satellite 服务器还包含精细的身份验证系统。您可以授予 Satellite 用户权限来精确访问他们负责的基础架构的部分内容。
其他资源
- 有关管理权限的更多信息,请参阅管理 Red Hat Satellite 中的管理用户和角色 。
4.2. Red Hat Satellite 中的机构和位置
在 Satellite 服务器上,您可以定义 多个机构 和位置 ,以帮助组织内容、主机和配置。
- 机构
组织通常代表不同的业务单元、部门或团队,如 财务、营销 或 Web 开发。
通过创建机构,您可以创建逻辑容器来根据具体要求单独隔离和管理其配置。
- 位置
位置通常代表物理位置,如国家或城市。
通过创建位置,您可以定义主机所在的地理位置。例如,这在具有多个数据中心的环境中很有用。
4.3. 胶囊概述
使用胶囊服务器,您可以扩展 Satellite 部署的访问和可扩展性。Capsule 服务器在 Red Hat Satellite 部署中提供以下功能:
- 从 Satellite 服务器镜像内容,以在各种地理位置或逻辑位置建立内容源。通过将主机注册到胶囊服务器,您可以将此主机配置为从其位置中的 Capsule 接收内容和配置,而不是从中央 Satellite 服务器接收内容和配置。
- 运行本地化服务以发现、调配、控制和配置主机。
通过使用内容视图,您可以指定胶囊服务器对主机可用的内容的确切子集。如需更多信息,请参阅 第 1 章 使用 Red Hat Satellite 进行内容和补丁管理。
4.4. Satellite 中的主机概述
主机是 Red Hat Satellite 管理的任何 Linux 客户端。主机可以是物理或虚拟的主机。
您可以在 Red Hat Satellite 支持的任何平台上部署虚拟主机,如 Amazon EC2、Google Compute Engine、KVM、libvirt、Microsoft Azure、OpenStack、Red Hat Virtualization、Rackspace Cloud Services 或 VMware vSphere。
通过 Satellite,您可以大规模管理主机,包括监控、配置、远程执行、配置管理、软件管理和订阅管理。
4.5. Satellite 服务器的主要开源组件列表
Satellite 包括几个相互集成的开源项目,如下所示:
- Foreman
- Foreman 是物理和虚拟系统的生命周期管理应用。它有助于管理整个生命周期中的主机,包括调配和配置到编配和监控。
- Katello
- Katello 是 Foreman 的一个插件,它使用额外的功能来扩展 Foreman 功能,用于内容、订阅和存储库管理。Katello 使 Satellite 能够订阅红帽存储库并下载内容。
- Candlepin
- Candlepin 是订阅管理的服务。
- Pulp
- Pulp 是存储库和内容管理的服务。
4.6. 胶囊功能
Capsule 服务器提供本地主机管理服务,可以从 Satellite 服务器镜像内容。
要从 Satellite 服务器镜像内容,Capsule 提供以下功能:
- 仓库同步
- Capsule 服务器从 Satellite 服务器拉取所选生命周期环境的内容,并使此内容可供其管理的主机使用。
- 内容交付
- 配置为使用胶囊服务器从该胶囊下载内容的主机,而不是从卫星服务器下载内容。
- 主机操作交付
- 胶囊服务器对主机执行调度操作。
- Red Hat Subscription Management (RHSM)代理
- 主机注册到其关联的胶囊服务器,而不是注册到中央卫星服务器或红帽客户门户。
您可以使用 Capsule 为基础架构和主机管理运行以下服务:
- DHCP
- 胶囊可以管理 DHCP 服务器,包括与现有解决方案集成,如 ISC DHCP 服务器、Active Directory 和 Libvirt 实例。
- DNS
- 胶囊可以管理 DNS 服务器,包括与现有解决方案集成,如 ISC BIND 和 Active Directory。
- TFTP
- Capsule 可以和任何基于 UNIX 的 TFTP 服务器集成。
- realm
- 胶囊可以管理 Kerberos 域或域,以便主机可以在调配期间自动加入它们。Capsule 可以与现有基础架构集成,包括身份管理和 Active Directory。
- Puppet 服务器
- 胶囊可以通过运行 Puppet 服务器来充当配置管理服务器。
- Puppet 证书颁发机构
- 胶囊可以与 Puppet 证书颁发机构(CA)集成,为主机提供证书。
- Baseboard Management Controller (BMC)
- Capsule 可以使用智能平台管理接口(IPMI)或 Redfish 标准为主机提供电源管理。
- 置备模板代理
- Capsule 可以向主机提供自定义模板。
- OpenSCAP
- Capsule 可以在主机上执行安全合规性扫描。
- 远程执行(REX)
- Capsule 可以在主机上运行远程作业执行。
您可以通过仅在该胶囊上启用所选功能,为特定有限目的配置胶囊服务器。通用配置包括以下内容:
- 基础架构胶囊:DNS + DHCP + TFTP
- 与这些服务的胶囊为主机提供基础架构服务,并具有调配新主机所需的所有服务。
- 内容胶囊: Pulp
- 此服务的 Capsules 提供从 Satellite Server 到主机的内容。
- Configuration Capsules: Pulp + Puppet + PuppetCA
- 带这些服务的胶囊为主机提供内容并运行配置服务。
- 带有 DNS + DHCP + TFTP + Pulp + Puppet + Puppet + PuppetCA 的 Capsules
- 这些服务的胶囊提供了一整套胶囊。通过使用所有这些功能配置胶囊,您可以通过为主机提供单点连接来隔离分配给该胶囊的主机。
4.7. Capsule 网络
Satellite 服务器和注册到胶囊服务器的主机之间的通信通过该胶囊服务器进行路由。胶囊式服务器也向主机提供卫星服务。
Capsule 服务器管理的许多服务都使用专用网络端口。但是,胶囊服务器确保从主机到 Satellite 服务器的所有通信都使用单一源 IP 地址,从而简化防火墙管理。
带有连接到胶囊的主机的 Satellite 拓扑
在此拓扑中,胶囊为所有主机网络通信提供单一端点,以便在远程网络段中,只能打开到胶囊本身的防火墙端口。
图 4.1. 主机连接到胶囊时如何交互
带有直接连接到 Satellite 服务器的主机的 Satellite 拓扑
在此拓扑中,主机连接到 Satellite 服务器,而不是 Capsule。这也适用于 Capsules 本身,因为胶囊服务器是 Satellite 服务器的主机。
图 4.2. 当主机直接连接到 Satellite 服务器时,Satellite 组件如何交互
其他资源
您可以找到配置基于主机的防火墙的完整说明,以便在以下文档中打开所需端口:
4.8. 其他资源
- 如需了解有关 Capsule 服务器要求、安装和可扩展性注意事项的详细信息,请参阅安装 Capsule 服务器。
- 如需了解有关在胶囊服务器之间分发负载的详细信息,请参阅使用负载均衡器配置 Capsules。
第 5 章 Red Hat Satellite 管理的工具
您可以使用多个工具来管理 Red Hat Satellite。
5.1. Satellite Web UI 概述
您可以使用 Satellite Web UI 从浏览器管理和监控 Satellite 基础架构。例如,您可以在 Satellite Web UI 中使用以下导航功能:
| 导航功能 | 描述 |
|---|---|
| 机构 下拉菜单 | 选择您要管理的机构。 |
| 位置 下拉菜单 | 选择您要管理的位置。 |
| Monitor | 提供摘要仪表板和报告。 |
| 内容 | 提供内容管理工具.这包括内容视图、激活码和生命周期环境。 |
| 主机 | 提供主机清单和调配配置工具。 |
| 配置 | 提供常规配置工具和数据,包括主机组和 Ansible 内容。 |
| 基础架构 | 提供配置卫星如何与环境交互的工具。 |
|
| 提供事件通知,让管理员了解重要的环境更改。 |
| 管理 | 为用户、基于角色的访问控制(RBAC)和常规设置等设置提供高级配置。 |
5.2. Hammer CLI 概述
您可以使用 Hammer 通过 CLI 命令配置和管理 Satellite 服务器。
使用 Hammer 有以下优点:
- 基于 Hammer 命令创建用于基本任务自动化的 shell 脚本。
- 将 Hammer 输出重定向到其他工具.
-
将--
debug选项与 Hammer 一起使用,在应用脚本中的 API 调用前测试对 API 调用的响应。例如:hammer --debug 组织列表。
要发出 Hammer 命令,用户必须有权访问您的 Satellite 服务器。
为确保用户友好且直观的体验,Satellite Web UI 在开发新功能时会具有优先权。因此,Satellite Web UI 中提供的一些功能可能还不适用于 Hammer。
在后台,每个 Hammer 命令首先建立到 API 的绑定,然后发送请求。这在按顺序执行大量 Hammer 命令时可能会有性能影响。相反,使用 API 命令的脚本直接与 Satellite API 通信,它们只建立一次绑定。
其他资源
5.3. Satellite API 概述
您可以使用 Satellite 服务器提供的 Representational State Transfer (REST) API 编写通过 HTTP 访问 Satellite API 的自定义脚本和外部应用程序。使用 REST API 与企业 IT 系统和第三方应用程序集成,执行自动维护或错误检查任务,并使用脚本自动执行重复性任务。
使用 REST API 有以下优点:
- 配置支持 HTTP 协议的任何编程语言、框架或系统以使用 API。
- 创建需要最少了解 Satellite 基础架构的客户端应用,因为用户在运行时发现许多详细信息。
- 采用基于资源的 REST 模型来直观地管理虚拟化平台。
基于 API 命令的脚本直接与卫星 API 通信,这使得它们比基于 Hammer 命令或 Ansible Playbook 的脚本快,具体取决于 redhat.satellite 中的模块。
API 命令因 Satellite 版本而异。当您准备升级 Satellite 服务器时,更新包含 Satellite API 命令的所有脚本。
其他资源
- 有关使用 Satellite API 的详情,请参阅使用 Satellite REST API。
5.4. Red Hat Satellite 中的远程执行
通过远程执行,您可以使用 shell 脚本或 Ansible 角色和 playbook 从 Capsules 在主机上运行作业。
将远程执行用于 Satellite 中的以下优点:
- 同时在多个主机上运行作业。
- 使用命令中的变量对运行的作业进行更精细的控制。
- 使用主机事实和参数来填充变量值。
- 在运行该命令时为模板指定自定义值。
远程执行的通信通过胶囊服务器进行,这意味着卫星服务器不需要直接访问目标主机,并且可以扩展来管理许多主机。
要使用远程执行,您必须定义一个作业模板。作业模板是您要应用到远程主机的命令。您可以多次执行作业模板。
Satellite 使用 ERB 语法作业模板。如需更多信息, 请参阅管理主机中的模板编写参考。
默认情况下,Satellite 包含多个用于 shell 脚本和 Ansible 的作业模板。
其他资源
- 请参阅使用 Ansible 集成管理配置中的配置和设置远程作业。
5.5. 使用 Ansible 管理 Satellite
Satellite Ansible Collections 是一组与 Satellite API 交互的 Ansible 模块。您可以使用 Satellite Ansible 集合来管理和自动化 Satellite 的很多方面。
其他资源
- 有关使用 Ansible 配置主机的更多信息,请参阅使用 Ansible 集成管理配置。
- 有关使用 Ansible 自动化 Satellite 的更多信息,请参阅管理 Red Hat Satellite 中的 使用 Ansible 管理 Satellite。
5.6. Kickstart 工作流
您可以通过创建一个包含安装所需的所有信息的 Kickstart 文件来自动化 Satellite 服务器或 Capsule 服务器的安装过程。
运行 Red Hat Satellite Kickstart 脚本时,该脚本执行以下操作:
- 它指定 Satellite 服务器或 Capsule 服务器的安装位置。
- 它安装预定义的软件包。
- 它安装 Subscription Manager。
- 它使用激活码将主机订阅到 Red Hat Satellite。
-
它安装 Puppet,并配置
puppet.conf文件来指示 Red Hat Satellite 或 Capsule 实例。 - 它可让 Puppet 运行和请求证书。
- 它运行用户定义的代码片段。
其他资源
有关 Kickstart 的更多信息,请参阅 自动安装 RHEL 9 中的自动安装工作流。
第 6 章 支持的 Satellite 组件的使用和版本
Satellite 支持以下用例、架构和版本。
6.1. 支持的 Satellite 组件的使用
只有在 Red Hat Satellite 的上下文中才支持使用所有 Red Hat Satellite 组件,如下所述。
- Red Hat Enterprise Linux Server
每个 Red Hat Satellite 订阅都包括一个受支持的 Red Hat Enterprise Linux Server 实例。仅针对运行 Red Hat Satellite 的目的保留此实例。
不支持:使用 Satellite 中包含的操作系统来运行环境中的其他守护进程、应用程序或服务。
- SELinux
确保 SELinux 处于 enforcing 模式或 permissive 模式。
不支持:使用禁用 SELinux 的安装。
- Foreman
您可以使用 Red Hat Satellite 打包的插件来扩展 Foreman。有关支持的 Foreman 插件的信息,请参阅红帽知识库中的 Satellite 6 组件版本。
不支持:使用 Red Hat Satellite Optional 存储库中的插件扩展 Foreman。
Red Hat Satellite 还包括用于置备和配置 Red Hat Enterprise Linux 以外的操作系统的组件、配置和功能。虽然包括了这些功能,但红帽只支持它们用于 Red Hat Enterprise Linux。
- Pulp
仅使用卫星 Web UI、CLI 和 API 与 Pulp 交互。
不支持:直接修改或与 Pulp 本地 API 或数据库交互。这可能导致 Red Hat Satellite 数据库不可靠损坏。
- Candlepin
仅使用 Satellite Web UI、CLI 和 API 与 Candlepin 交互。
不支持:直接与 Candlepin 交互、其本地 API 或数据库。这可能导致 Red Hat Satellite 数据库不可靠损坏。
- 嵌入式 Tomcat 应用服务器
仅使用 Satellite Web UI、API 和 database 与嵌入式 Tomcat 应用程序服务器交互。
不支持:直接与嵌入式 Tomcat 应用程序服务器交互本地 API 或数据库。
- puppet
- 运行 Satellite 安装程序时,您可以安装并配置 Puppet 服务器作为 Capsule 服务器的一部分。红帽还支持在您的 Satellite 服务器或任何胶囊服务器上运行 Puppet 服务器上的 Puppet 模块。
其他资源
- 红帽支持许多不同的脚本和其他框架。请参阅红帽知识库中的 红帽支持脚本框架。
6.2. 支持的内容管理客户端架构
您可以使用以下 Red Hat Enterprise Linux 和硬件架构的主要版本组合来使用 Satellite 注册和管理主机。Red Hat Satellite Client 6 软件仓库也可用于这些组合。
| 平台 | 构架 |
|---|---|
| Red Hat Enterprise Linux 9 | x86_64, ppc64le, s390x, aarch64 |
| Red Hat Enterprise Linux 8 | x86_64, ppc64le, s390x |
| Red Hat Enterprise Linux 7 | x86_64, ppc64 (BE), ppc64le, aarch64, s390x |
6.3. 支持的主机置备客户端架构
您可以使用以下 Red Hat Enterprise Linux 和硬件架构的主版本组合来使用 Satellite 进行主机置备。
| 平台 | 构架 |
|---|---|
| Red Hat Enterprise Linux 9 | x86_64 |
| Red Hat Enterprise Linux 8 | x86_64 |
| Red Hat Enterprise Linux 7 | x86_64 |
6.4. 支持的用于配置管理的客户端架构
您可以使用以下 Red Hat Enterprise Linux 和硬件架构的主要版本组合来使用 Satellite 进行配置管理。
| 平台 | 构架 |
|---|---|
| Red Hat Enterprise Linux 9 | x86_64 |
| Red Hat Enterprise Linux 8 | x86_64, aarch64 |
| Red Hat Enterprise Linux 7 | x86_64 |
6.5. 其他资源
部分 II. Satellite 部署计划
第 7 章 常见部署场景
本节简要概述了 Red Hat Satellite 的常见部署场景。请注意,以下布局的多种变体和组合是可能的。
7.1. 单个位置
集成的 Capsule 是在安装过程中在 Satellite 服务器中默认创建的虚拟胶囊服务器。这意味着,Satellite 服务器可用于在一个地理位置为 Satellite 部署调配直接连接的主机,因此只需要一台物理服务器。隔离胶囊的基础系统可以直接由 Satellite 服务器管理,但不建议使用此布局来管理远程位置中的其他主机。
7.2. 带有隔离子网的单个位置
您的基础架构可能需要多个隔离子网,即使 Red Hat Satellite 部署在一个地理位置。这可通过使用 DHCP 和 DNS 服务部署多个胶囊服务器来实现,但推荐的方法是使用单个胶囊创建隔离子网。然后,此胶囊用于管理这些隔离的网络中的主机和计算资源,以确保它们只能访问胶囊以进行调配、配置、勘误表和常规管理。有关配置子网的更多信息,请参阅管理主机。
7.3. 多个位置
建议每个地理位置至少创建一个胶囊服务器。这种方法可以节省带宽,因为主机从本地胶囊服务器获取内容。从远程存储库同步内容仅由胶囊执行,而不是由位置中的每个主机执行。另外,这种布局使置备基础架构更加可靠且更易于配置。
7.4. 断开连接的 Satellite
在需要主机与互联网断开连接的网络连接的高安全环境中,Red Hat Satellite 可以置备具有最新安全更新、勘误、软件包和其他内容的系统。在这种情况下,Satellite 服务器无法直接访问互联网,但其他基础架构组件的布局不会受到影响。有关从断开连接的网络安装 Satellite 服务器的详情,请参考 在断开连接的网络环境中安装 Satellite 服务器。有关升级断开连接的 Satellite 的详情,请参考 将 Red Hat Satellite 升级到 6.16 中的 升级断开连接的 Satellite 服务器。
将内容导入到断开连接的 Satellite 服务器有两个选项:
- 在此 设置中使用内容 ISO- 进行断开连接的 Satellite,您可以从红帽客户门户网站下载包含内容的 ISO 镜像,并将其提取到 Satellite 服务器或本地 Web 服务器。然后,Satellite 服务器上的内容会在本地同步。这允许 Satellite 服务器的完整网络隔离,但内容 ISO 镜像的发布频率约为 6 周,并不是所有产品内容都包括。要查看您的订阅中可用的内容 ISO 镜像的产品,请登录到红帽客户门户网站 https://access.redhat.com,进入 Downloads > Red Hat Satellite,然后点击 Content ISOs。有关如何将内容 ISO 导入到断开连接的 Satellite 的说明,请参阅 管理内容 中的 配置 Satellite 以使用本地 CDN 服务器 同步内容。请注意,之前托管在 redhat.com 上用于导入到 Satellite 服务器的内容 ISO 已被弃用,并将在下一个 Satellite 版本中删除。
- 在此 设置中使用 Inter-Satellite Synchronization- 断开连接的 Satellite,您将安装一个连接的 Satellite 服务器并从中导出内容,以使用一些存储设备填充断开连接的 Satellite。这允许在您选择的频率导出红帽提供的和自定义内容,但需要使用单独的订阅部署额外的服务器。有关如何在 Satellite 中配置 Satellite 同步的说明,请参阅管理内容中的在 Satellite 服务器间同步 内容。
以上将内容导入到断开连接的 Satellite 服务器的方法也可用于加快连接的 Satellite 的初始填充。
7.5. 带有外部服务的 Capsule
您可以将胶囊服务器(集成或独立)配置为使用外部 DNS、DHCP 或 TFTP 服务。如果您已有在环境中提供这些服务的服务器,您可以将其与 Satellite 部署集成。有关如何使用外部服务配置胶囊的详情,请参考 安装 胶囊式服务器 中的 配置具有外部服务的 胶囊服务器。
第 8 章 部署注意事项
本节概述了在规划 Red Hat Satellite 部署以及对更具体文档的建议和引用时需要考虑的一般主题。
8.1. Satellite 服务器配置
使用 Satellite 基础架构的第一步是在专用的 Red Hat Enterprise Linux 8 服务器上安装 Satellite 服务器实例。
有关在连接的网络中安装 Satellite 服务器的更多信息,请参阅 在连接的网络环境中安装 Satellite 服务器。
在大型 Satellite 部署中,您可以使用预定义的调优配置文件配置 Satellite 来提高性能。如需更多信息,请参阅在 连接的网络环境中安装 Satellite 服务器 中的 使用预定义的配置文件调优 Satellite 服务器。
有关在断开连接的网络中安装 Satellite 服务器的更多信息,请参阅 在断开连接的环境中安装 Satellite 服务器。
在大型 Satellite 部署中,您可以使用预定义的调优配置文件配置 Satellite 来提高性能。如需更多信息,请参阅 在断开连接的环境中安装 Satellite 服务器 中的 使用预定义的配置文件调优 Satellite 服务器。
在 Satellite 服务器中添加红帽订阅清单
Red Hat Subscription Manifest 是包含您的订阅信息的一组加密文件。Satellite 服务器使用此信息访问 CDN,并查找哪些存储库可用于关联的订阅。有关如何创建和导入红帽订阅清单的说明,请参阅 管理内容 中的 管理红帽订阅 。
Red Hat Satellite 需要一个清单,用于 Satellite 上配置的每个组织。如果您计划使用 Satellite 的机构功能在一个 Red Hat Network 帐户下管理基础架构的独立单元,则根据需要将订阅从一个帐户分配给每个机构的清单。
如果您计划拥有多个红帽网络帐户,或者想要管理属于 Red Hat Network 帐户持有者的另一个实体的系统,那么您和其他帐户拥有者可以根据需要为清单分配订阅。没有 Satellite 订阅的客户可以创建订阅资产管理器清单,如果它们还有其他有效的订阅,则可以与 Satellite 一起使用。然后,您可以使用一个 Satellite 服务器中的多个清单来管理多个机构。
如果必须管理系统,但无法访问 RPM 的订阅,则必须使用 Red Hat Enterprise Linux Satellite 附加组件。如需更多信息,请参阅 Satellite Add-On。
下图显示了希望其系统由同一 Satellite 安装管理的两个红帽网络帐户持有者。在这种情况下,Example Corporation 1 可将其 60 个订阅的任何子集(在本例中为 30 个)分配给清单。这可以作为不同的组织导入到 Satellite 中。这使得系统管理员能够完全独立于 Example Corporation 2 的组织(R&D、operations 和 Engineering)管理 Example Corporation 1 的系统。
图 8.1. 具有多个清单的 Satellite 服务器
创建红帽订阅清单时:
- 如果计划断开连接或自助注册了 Satellite 服务器,请将 Satellite 服务器的订阅添加到清单中。对于在基本系统上使用 Subscription Manager 工具订阅的已连接的 Satellite 服务器,这不需要这样做。
- 为您要创建的所有胶囊服务器添加订阅。
- 为您要使用 Satellite 管理的所有红帽产品添加订阅。
- 请注意,订阅到期后的日期,并在到期日期前计划其续订。
- 为每个机构创建一个清单。您可以使用多个清单,它们可以从不同的红帽订阅中。
Red Hat Satellite 允许在清单中使用未来日期的订阅。当将来的订阅被添加到清单中时,可以在现有订阅的过期日期前,对存储库进行不间断访问。
请注意,如果基础架构中的任何变化或添加更多订阅,则可以修改 Red Hat Subscription Manifest 并重新加载到 Satellite 服务器。不应删除清单。如果您从红帽客户门户网站或 Satellite Web UI 中删除清单,它将取消注册所有内容主机。
8.2. 带有外部数据库的 Satellite 服务器
安装 Satellite 时,satellite-installer 命令会在安装 Satellite 的同一服务器上创建数据库。根据您的要求,移到外部数据库可以为 Satellite 提供增加工作内存,这可以提高数据库操作请求的响应时间。移到外部数据库分发工作负载,并可以提高性能调优的容量。
如果您计划在以下情况下使用 Satellite 部署,请考虑使用外部数据库:
- 频繁的远程执行任务。这会在 PostgreSQL 中创建大量记录,并生成繁重的数据库工作负载。
- 来自频繁存储库同步或内容视图发布的高磁盘 I/O 工作负载。这会导致 Satellite 为每个作业在 PostgreSQL 中创建记录。
- 大量主机。
- 大量同步内容。
有关使用外部数据库的更多信息,请参阅在连接的网络环境中安装 Satellite 服务器中的将外部数据库与 Satellite 搭配使用。
8.3. 位置和拓扑
本节概述了帮助您指定 Satellite 部署场景的一般注意事项。第 7 章 常见部署场景 中列出了最常见的部署场景。定义的问题包括:
- 我需要多少个胶囊服务器? - 您的组织运行的地理位置数应转换为胶囊服务器的数量。通过为各个位置分配胶囊,您可以降低卫星服务器上的负载,增加冗余并降低带宽使用量。卫星服务器本身可以充当胶囊(默认包含集成胶囊)。这可以在单一位置部署中使用,并调配基础系统的胶囊服务器。不建议使用集成胶囊与远程位置中的主机通信,因为它可能会导致子优化网络利用率。
- Capsule 服务器将提供哪些服务? - 在建立胶囊数后,决定每个胶囊上将启用哪些服务。虽然内容和配置管理功能的完整堆栈可用,但一些基础架构服务(DNS、DHCP、TFTP)可以在 Satellite 管理员控制之外。在这种情况下,胶囊必须与这些外部服务集成(请参阅 第 7.5 节 “带有外部服务的 Capsule”)。
- 我的 Satellite 服务器是否需要从互联网断开连接? 断开连接的 Satellite 是常见的部署场景(请参阅 第 7.4 节 “断开连接的 Satellite”)。如果您需要在断开连接的 Satellite 上频繁更新红帽内容,请计划额外的 Satellite 实例以进行 Inter-Satellite 同步。
- 我需要哪些计算资源?除了 调配裸机主机外,您还可以使用 Satellite 支持的各种计算资源。要了解在不同计算资源上置备的信息,请参阅 置备主机。
8.4. 内容源
Red Hat Subscription Manifest (Red Hat Subscription Manifest)决定哪些红帽软件仓库可从您的 Satellite 服务器访问。启用红帽存储库后,会自动创建关联的 Satellite 产品。要从自定义源分发内容,您需要手动创建产品和存储库。默认情况下,红帽存储库使用 GPG 密钥签名,建议为自定义存储库创建 GPG 密钥。
仅包含 RPM 软件包的 yum 存储库支持 On requires 下载策略,这可以减少同步时间和存储空间。On demand 下载策略仅在主机请求时下载软件包来节省空间和时间。有关设置内容源的详细信息,请参阅 管理内容 中的 导入内容。
在大多数情况下,Satellite Server 中的自定义存储库填充了来自外部暂存服务器的内容。此类服务器依赖于 Satellite 基础架构,但建议使用这些服务器上的修订控制系统(如 Git)来更好地控制自定义内容。
8.5. 内容生命周期
Satellite 为内容生命周期的精确管理提供功能。生命周期环境 代表内容生命周期中的一个阶段,内容视图 是一组过滤的内容,并被视为已定义的内容子集。通过将内容视图与生命周期环境关联,您可以以定义的方式向主机提供内容。
有关内容管理流程的详细概述,请参阅 管理内容 中的 导入自定义内容。下面的部分提供了部署内容视图和生命周期环境的一般场景。
名为 Library 的默认生命周期环境从所有连接的源收集内容。不建议将主机直接与库关联,因为它会阻止任何测试内容,然后再对主机使用。相反,创建一个适合您的内容工作流的生命周期环境路径。以下情况很常见:
来自 Library 的单个生命周期环境 内容直接提升到生产环境阶段。这种方法限制了复杂性,但仍允许在将内容提供给主机之前在库内测试内容。
单一生命周期环境路径 - 操作系统和应用程序内容都通过相同的路径提升。该路径可由几个阶段组成(如 Development、QA、Production),其进行全面的测试,但需要额外的工作。
应用程序特定生命周期环境路径 - 每个应用程序都有一个单独的路径,允许单独的应用程序发行周期。您可以将特定的计算资源与应用程序生命周期阶段相关联,以便进行测试。另一方面,这种情况会增加维护复杂性。
以下内容视图场景很常见:
- 内容视图中的所有内容 - 包含大多数主机所需的所有内容的内容视图。减少内容视图数量是具有受限资源(时间、存储空间)或统一主机类型的部署中的优点。但是,这种场景限制了内容视图功能,如基于时间的快照或智能过滤。内容源的任何更改都会影响主机的比例。
- 主机特定的内容视图 - 每个主机类型的专用的内容视图。这种方法在带有少量主机类型(最多 30)的部署中很有用。但是,它可防止在主机类型间共享内容,并根据主机类型以外的条件进行分离(例如,在操作系统和应用程序之间)。随着关键更新,每个内容视图都必须更新,这会增加维护工作。
- 主机特定的复合内容视图 - 各个主机类型的内容视图 的专用组合。此方法支持分离特定于主机和共享的内容,例如,您可以为操作系统和应用程序内容具有专用的内容视图。通过使用复合,您可以单独管理操作系统和应用程序,并有不同的频率。
- 基于组件的内容视图 - 特定应用程序的专用内容视图。例如,数据库内容视图可以包含在多个复合内容视图中。这种方法可以实现更大的标准化,但它导致了更多内容视图。
最佳解决方案取决于您的主机环境的性质。避免创建大量内容视图,但请注意,内容视图的大小会影响相关操作的速度(发布、提升)。另外,还要确保为内容视图创建软件包子集时,也会包含所有依赖项。请注意,Kickstart 软件仓库不应添加到内容视图中,因为它们仅用于主机置备。
8.6. 内容部署
内容部署管理内容主机上的勘误表和软件包。Satellite 可以配置为通过 MQTT/HTTPS (基于拉取)或 SSH (基于推送)执行远程执行。当默认在 Satellite 服务器上启用了远程执行时,它在 Capsule 服务器和内容主机上被禁用。您必须手动启用它。
8.7. 置备
Satellite 提供了多个功能,可帮助您自动执行主机调配,包括自定义模板、通过 Puppet 进行配置管理,以及用于标准化主机角色调配的主机组。有关置备工作流的描述,请参阅 置备主机 中的 置备工作流 。同一指南包含调配各种计算资源的说明。
8.8. 基于角色的身份验证
将角色分配给用户,可以根据一组权限控制对 Satellite 组件的访问。您可以将基于角色的身份验证视为一种不会与它们交互的用户隐藏不必要的对象的方法。
有各种标准来区分组织内的不同角色。除了管理员角色外,以下类型还比较常见:
- 与 基础架构或基础架构部分相关的 角色(例如,红帽企业 Linux 所有者的角色与应用服务器和数据库服务器的所有者相比)。
- 与 软件生命周期的特定阶段相关的 角色(例如,角色划分到开发、测试和产品阶段),每个阶段都有一个或多个所有者。
- 与 特定任务相关的角色,如安全管理器或许可证管理器。
在定义自定义角色时,请考虑以下建议:
- 定义预期的任务和职责 - 定义 Satellite 基础架构的子集,可供角色访问,以及此子集上允许的操作。认为角色职责及其与其他角色有何不同。
- 每当可能的情况下,Satellite 提供了多个示例角色,它们可以单独使用或作为角色组合的一部分使用。复制和编辑现有角色是创建自定义角色的良好起点。
- 例如,所有受影响的实体 (例如,内容视图提升)会自动为特定生命周期环境和内容视图组合创建新的 Puppet 环境。因此,如果角色希望提升内容视图,它还需要相应的权限来创建和编辑 Puppet 环境。
- 请考虑感兴趣的领域 - 即使角色拥有有限的责任区域,也可能有一些兴趣。因此,您可以为角色授予影响其职责区域的 Satellite 基础架构部分的只读访问权限。这样,用户可以更早地访问潜在的更改信息。
- 通过 step - 测试自定义角色添加权限步骤,以确保它按预期工作。如果遇到问题,最好是从有限的权限集开始,并逐步添加权限步骤,并持续测试。
有关定义角色并将其分配给用户的说明,请参阅管理 Red Hat Satellite 中的管理用户和角色 。相同的指南包含有关配置外部身份验证源的信息。
8.9. 其他任务
本节提供了所选 Satellite 功能的简短概述,可用于自动化某些任务或扩展 Satellite 的核心使用:
- 发现裸机主机 - Satellite 发现插件可在置备网络上自动发现未知主机。这些新主机将自身注册到 Satellite 服务器和客户端上的 Puppet 代理上传 Facter 收集的系统事实,如串行 ID、网络接口、内存和磁盘信息。注册后,您可以初始化这些发现主机的置备。如需更多信息,请参阅 置备主机 中的 从发现主机创建 主机。
- 备份管理 备份和灾难恢复说明,请参阅 管理 Red Hat Satellite 中的 备份 Satellite 服务器和 Capsule 服务器。使用远程执行,您还可以在主机上配置重复备份任务。有关远程执行的更多信息 ,请参阅管理主机中的配置和设置 远程作业。
- 安全管理 - Satellite 支持以各种方式进行安全管理,包括更新和勘误表管理、进行系统验证、更新和安全合规报告以及基于精细的身份验证。查找有关管理主机 中的勘误表管理和 OpenSCAP 概念的更多信息。 https://docs.redhat.com/en/documentation/red_hat_satellite/6.16/html-single/managing_hosts/index#
- 事件管理 -卫星通过提供包括报告和电子邮件通知在内的所有系统的集中概述来支持事件管理流程。各个主机的详细信息可从 Satellite 服务器访问,包括最近更改的事件历史记录。Satellite 也与 Red Hat Insights 集成。
- 使用 Hammer 和 API- Satellite 编写脚本 提供了名为 Hammer 的命令行工具,它提供与大多数 Web UI 流程等效的 CLI。另外,您可以使用对 Satellite API 的访问,以所选编程语言编写自动化脚本。如需更多信息,请参阅使用 Hammer CLI 工具和 使用 Satellite REST API。
第 9 章 机构、位置和生命周期环境
红帽卫星采用整合方法进行组织与位置管理。系统管理员在单个 Satellite 服务器中定义多个组织和多个位置。例如,一个公司可能有三个机构(Finance、营销和销售),位于三个国家(美国、英国和日本)。在本例中,Satellite 服务器管理跨所有地理位置的所有组织,为管理系统创建 9 个不同的上下文。此外,用户可以定义特定的位置,并将它们嵌套来创建层次结构。例如,Satellite 管理员可以将美国划分成特定的城市,如 Boston、Phoenix 或 San US。
图 9.1. Red Hat Satellite 的拓扑示例
Satellite 服务器定义所有位置和组织。每个对应的 Satellite Capsule 服务器同步内容并处理不同位置的系统配置。
主 Satellite 服务器保留管理功能,而内容和配置则在主 Satellite 服务器和分配给特定位置的 Satellite Capsule 服务器之间同步。
9.1. 机构
组织根据所有权、目的、内容、安全级别或其他部门将红帽卫星资源划分为逻辑组。您可以通过 Red Hat Satellite 创建和管理多个机构,然后将您的订阅划分并分配给每个机构。这提供了一种管理一个管理系统下多个单独组织的内容的方法。
9.2. 位置
位置根据地理位置将组织划分为逻辑组。每个位置由单个帐户创建和使用,但每个帐户可以管理多个位置和组织。
9.3. 生命周期环境
应用程序生命周期被分为不同的生命周期环境,它们代表应用程序生命周期的每个阶段。生命周期环境链接为构成 环境路径。在需要时,您可以将内容提升到下一个生命周期环境的环境路径中。例如,如果开发结束于应用的特定版本,您可以将此版本提升到测试环境,并在下一版本上开始开发。
图 9.2. 包含四个环境的环境路径
第 10 章 主机分组概念
除了胶囊式服务器的物理拓扑外,红帽卫星还提供了几个逻辑单元来分组主机。属于这些组成员的主机将继承组配置。例如,定义置备环境的简单参数可在以下级别上应用:
Global > Organization > Location > Domain > Host group > Host
Global > Organization > Location > Domain > Host group > HostRed Hat Satellite 中的主要逻辑组是:
- Organizations - 主机的最高级别的逻辑组。组织提供强大的内容和配置分离。每个机构都需要单独的红帽订阅清单,并可被视为 Satellite 服务器的独立虚拟实例。如果支持较低级别的主机分组,请避免使用机构。
- 位置 - 一组应与物理位置匹配的主机。位置可用于映射网络基础架构,以防止不正确的主机放置或配置。例如,您无法将子网、域或计算资源直接分配给胶囊服务器,仅分配给位置。
- 主机组 - 主机 定义的主要载体,包括分配的 Puppet 类、内容视图或操作系统。建议您在主机组级别上配置大多数设置,而不是直接定义主机。然后,配置新主机将很大程度添加到正确的主机组中。由于主机组可以嵌套,您可以创建最适合您的要求的结构(请参阅 第 10.1 节 “主机组结构”)。
- 主机集合 - 注册到 Satellite 服务器的主机用于订阅,内容管理称为 内容主机。内容主机可以组织到主机集合,它允许执行软件包管理或勘误表安装等批量操作。
位置和主机组可以嵌套。机构和主机集合是扁平的。
10.1. 主机组结构
主机组可以嵌套到相互继承参数的事实,允许设计适合特定工作流的主机组层次结构。精心规划的主机组结构有助于简化主机设置的维护。本节概述了组织主机组的四种方法。
图 10.1. 主机组结构示例
扁平结构
扁平结构的优点是复杂性有限,因为避免继承。在具有几个主机类型的部署中,这种场景是最佳选择。但是,没有继承存在在主机组之间高重复设置的风险。
基于生命周期环境的结构
在此层次结构中,为特定于生命周期环境的参数保留第一个主机组级别。第二个级别包含与操作系统相关的定义,第三个级别包含特定于应用的设置。当职责划分在生命周期环境之间(例如,开发、QA 和 Production 生命周期阶段的专用所有者)时,这种结构很有用。
基于应用程序的结构
这种层次结构基于特定应用程序中的主机角色。例如,它为后端和前端服务器组定义网络设置。所选主机的特征是隔离的,它支持以 Puppet 为中心的复杂配置管理。但是,内容视图只能分配给此层次结构底部的主机组。
基于位置的结构
在此层次结构中,位置的分发与主机组结构一致。在位置(Capsule Server)拓扑决定许多其他属性的场景中,此方法是最佳选择。另一方面,这种结构复杂了跨位置共享参数,因此在有大量应用程序的复杂环境中,每个配置更改所需的主机组更改数量会显著增加。
第 11 章 置备概念
Red Hat Satellite 的一项重要功能是以无人值守的方式调配主机。为此,红帽卫星使用 DNS 和 DHCP 基础架构、PXE 启动、TFTP 和 Kickstart。使用本章了解这些概念的工作原则。
11.1. PXE 引导
预启动执行环境(PXE)提供了通过网络引导系统的功能。PXE 使用 DHCP 来提供有关网络的标准信息,而不是使用本地硬盘驱动器或 CD-ROM,来发现 TFTP 服务器并下载引导镜像。有关设置 PXE 服务器的更多信息,请参阅红帽知识库解决方案 如何设置/配置 PXE 服务器。
11.1.1. PXE 序列
- 如果没有找到其他可引导镜像,主机将引导 PXE 镜像。
- 主机的 NIC 将广播请求发送到 DHCP 服务器。
- DHCP 服务器接收请求并发送有关网络的标准信息:IP 地址、子网掩码、网关、DNS、TFTP 服务器和引导镜像的位置。
-
主机从 TFTP 服务器获取引导装载程序
镜像/pxelinux.0和配置文件pxelinux.cfg/00:MA:CA:AD:D。 -
主机配置指定内核镜像、
initrd和 Kickstart 的位置。 - 主机下载文件并安装镜像。
有关通过 Satellite 服务器使用 PXE 引导的示例,请参阅 置备主机 中的 置备 工作流。
11.1.2. PXE 引导要求
要使用 PXE 引导置备机器,请确保您满足以下要求:
网络要求
- 可选: 如果主机和 DHCP 服务器由路由器分隔,请配置 DHCP 转发代理并指向 DHCP 服务器。
客户端要求
- 确保所有基于网络的防火墙都配置为允许子网上的客户端访问胶囊。如需更多信息,请参阅 第 4.7 节 “Capsule 网络”。
- 确保您的客户端有权访问 DHCP 和 TFTP 服务器。
Satellite 要求
- 确保 Satellite 服务器和 Capsule 都配置了 DNS,并且能够解析调配的主机名。
- 确保 UDP 端口 67 和 68 可以被客户端访问,以使客户端能够接收带有引导选项的 DHCP。
- 确保 UDP 端口 69 可以被客户端访问,以便客户端能够访问胶囊上的 TFTP 服务器。
- 确保客户端可以访问 TCP 端口 80,以允许客户端从胶囊下载文件和 Kickstart 模板。
- 确保主机调配接口子网设置了 DHCP 胶囊。
- 确保主机调配接口子网设置了 TFTP Capsule。
- 确保主机调配接口子网设置了 Templates Capsule。
- 使用 Satellite 安装程序,确保启用了具有正确子网的 DHCP。
- 使用 Satellite 安装程序启用 TFTP。
11.2. HTTP 引导
您可以使用 HTTP 引导通过 HTTP 通过网络引导系统。
11.2.1. 使用受管 DHCP 的 HTTP 引导要求
要通过 HTTP 引导置备机器,请确保您满足以下要求:
客户端要求
要使 HTTP 引导正常工作,请确保您的环境有以下客户端配置:
- 所有基于网络的防火墙都配置为允许子网上的客户端访问胶囊。如需更多信息,请参阅 第 4.7 节 “Capsule 网络”。
- 您的客户端有权访问 DHCP 和 DNS 服务器。
- 您的客户端有权访问 HTTP UEFI 引导胶囊。
网络要求
- 可选: 如果主机和 DHCP 服务器由路由器分隔,请配置 DHCP 转发代理并指向 DHCP 服务器。
Satellite 要求
虽然 TFTP 协议不用于 HTTP UEFI 引导,但 Satellite 使用 TFTP Capsule API 来部署引导装载程序配置。
要使 HTTP 引导正常工作,请确保 Satellite 具有以下配置:
- Satellite 服务器和 Capsule 都配置了 DNS,并可解析调配的主机名。
- 客户端访问 UDP 端口 67 和 68,以便客户端能够发送和接收 DHCP 请求并提供。
- 确保打开了 TCP 端口 8000,以便客户端从胶囊下载引导装载程序和 Kickstart 模板。
- 为客户端打开 TCP 端口 9090,以使用 HTTPS 协议从胶囊下载启动加载器。
- 用作主机的调配接口的子网具有 DHCP 胶囊、HTTP 引导胶囊、TFTP 胶囊和模板胶囊
grub2-efi软件包更新至最新版本。要将grub2-efi软件包更新至最新版本并执行安装程序,将最新的引导装载程序从/boot复制到/var/lib/tftpboot目录中,请输入以下命令:satellite-maintain packages update grub2-efi satellite-installer
# satellite-maintain packages update grub2-efi # satellite-installerCopy to Clipboard Copied! Toggle word wrap Toggle overflow
11.2.2. 带有非受管 DHCP 的 HTTP 引导要求
要在没有受管 DHCP 的情况下通过 HTTP 引导置备机器,请确保满足以下要求:
客户端要求
HTTP UEFI 引导 URL 必须设置为以下之一:
-
http://capsule.example.com:8000 -
https://capsule.example.com:9090
-
- 确保您的客户端有权访问 DHCP 和 DNS 服务器。
- 确保您的客户端有权访问 HTTP UEFI 引导胶囊。
- 确保所有基于网络的防火墙都配置为允许子网上的客户端访问胶囊。如需更多信息,请参阅 第 4.7 节 “Capsule 网络”。
网络要求
- 可用于客户端的非托管 DHCP 服务器。
- 可用于客户端的非托管 DNS 服务器。如果 DNS 不可用,请使用 IP 地址来配置客户端。
Satellite 要求
虽然 TFTP 协议不用于 HTTP UEFI 引导,但 Satellite 使用 TFTP Capsule API 来部署引导装载程序配置。
- 确保 Satellite 服务器和 Capsule 都配置了 DNS,并且能够解析调配的主机名。
- 确保 UDP 端口 67 和 68 可以被客户端访问,以便客户端能够发送和接收 DHCP 请求并提供。
- 确保打开了 TCP 端口 8000,以便客户端从胶囊下载引导装载程序和 Kickstart 模板。
- 确保为客户端打开 TCP 端口 9090,以通过 HTTPS 从胶囊下载启动加载器。
- 确保主机调配接口子网设置了 HTTP 引导胶囊。
- 确保主机调配接口子网设置了 TFTP Capsule。
- 确保主机调配接口子网设置了 Templates Capsule。
将
grub2-efi软件包更新至最新版本并执行安装程序,将最新的引导装载程序从/boot目录复制到/var/lib/tftpboot目录中:satellite-maintain packages update grub2-efi satellite-installer
# satellite-maintain packages update grub2-efi # satellite-installerCopy to Clipboard Copied! Toggle word wrap Toggle overflow
附录 A. Satellite 提供和所需的技术用户
在安装 Satellite 期间,会创建系统帐户。它们用于管理集成到 Satellite 中的组件的文件和流程所有权。其中一些帐户有固定的 UID 和 GID,而其他帐户则改为在系统上使用下一个可用的 UID 和 GID。要控制分配给帐户的 UID 和 GID,您可以在安装 Satellite 前定义帐户。由于某些帐户具有硬编码的 UID 和 GID,因此无法使用 Satellite 安装过程中创建的所有帐户执行此操作。
下表列出了安装期间由 Satellite 创建的所有帐户。在安装 Satellite 前,您可以使用自定义 UID 和 GID 列预定义在 Flexible UID 和 GID 列中具有 Yes 的帐户。
不要更改系统帐户的主目录和 shell 目录,因为它们是 Satellite 正常工作的要求。
由于与 Satellite 创建的本地用户有潜在的冲突,您无法将外部身份提供程序用于 Satellite 基本操作系统的系统用户。
| 用户名 | UID | 组名称 | GID | 灵活的 UID 和 GID | Home | shell |
|---|---|---|---|---|---|---|
| Foreman | N/A | Foreman | N/A | 是 | /usr/share/foreman | /sbin/nologin |
| foreman-proxy | N/A | foreman-proxy | N/A | 是 | /usr/share/foreman-proxy | /sbin/nologin |
| Apache | 48 | Apache | 48 | 否 | /usr/share/httpd | /sbin/nologin |
| postgres | 26 | postgres | 26 | 否 | /var/lib/pgsql | /bin/bash |
| Pulp | N/A | Pulp | N/A | 否 | N/A | /sbin/nologin |
| puppet | 52 | puppet | 52 | 否 | /opt/puppetlabs/server/data/puppetserver | /sbin/nologin |
| saslauth | N/A | saslauth | 76 | 否 | /run/saslauthd | /sbin/nologin |
| tomcat | 53 | tomcat | 53 | 否 | /usr/share/tomcat | /bin/nologin |
| unbound | N/A | unbound | N/A | 是 | /etc/unbound | /sbin/nologin |
附录 B. Satellite 中使用的术语表
Satellite 是物理主机、虚拟机和云实例的完整生命周期管理工具。主要功能包括自动化主机调配、配置管理以及内容管理,包括补丁和勘误表管理。您可以通过统一界面自动执行任务并快速调配主机。
这一按字母排序的术语表提供了与 Satellite 相关的技术术语的概述。
- 激活码
Subscription Manager 使用激活码将主机注册到 Satellite。它们定义内容视图和生命周期环境关联、内容覆盖、系统目的属性和其他要与新创建的主机关联的参数。
它们只与一个生命周期环境关联,且只有一个内容视图,但这可能是复合内容视图。您可以在多台机器上使用它们,它们的行为与配置信息而不是传统的软件许可证码一样。您还可以在单个主机中使用多个激活码。当您使用激活码注册主机时,会向主机提供 Satellite 的某些内容。提供的内容取决于激活密钥内容视图和生命周期环境中的内容、存在任何内容覆盖、任何存储库级限制,如操作系统或架构,以及发行版本等系统目的属性。
- Ansible
Ansible 是一个无代理开源自动化引擎。Ansible 使用 SSH 连接到主机。它使用 playbook 和角色来描述和捆绑任务。在 Satellite 中,您可以使用 Ansible 配置主机并执行 远程执行。
有关使用 Ansible 配置主机的更多信息,请参阅使用 Ansible 集成管理配置。有关使用 Ansible 自动化 Satellite 的更多信息,请参阅管理 Red Hat Satellite 中的 使用 Ansible 管理 Satellite。
- 回答文件
-
为安装场景定义设置的配置文件。回答文件以 YAML 格式定义,并存储在
/etc/foreman-installer/scenarios.d/目录中。要查看安装场景参数的默认值,请在 Satellite 服务器上使用satellite-installer --full-help命令。
- ARF 报告
- 资产报告格式(ARF)报告是分配了策略的主机上 OpenSCAP 合规性扫描的结果。总结了由 Red Hat Satellite 管理的主机的安全合规性。它们列出了合规标准,以及扫描的主机是否已通过或失败。
- audits
- 提供有关特定用户所做的更改的报告。可以在 Monitor > Audits 下的 Satellite Web UI 中查看审计。
- 基板管理控制器(BMC)
- 启用裸机主机的远程电源管理。在 Satellite 中,您可以创建一个 BMC 接口来管理所选主机。
- 引导磁盘
- 用于无 PXE 调配的 ISO 镜像。此 ISO 使主机能够连接到 Satellite 服务器,引导安装介质并安装操作系统。有几种引导磁盘:host image、full host image、generic image,以及 subnet image。
- Capsule 服务器
胶囊服务器可以提供 DHCP、DNS 和 TFTP 服务,并在单独的网络中充当 Ansible 控制节点或 Puppet 服务器。在客户端-服务器模型中,它们与 Satellite 服务器交互。Satellite 服务器始终与集成胶囊捆绑。
Satellite 部署中需要胶囊服务器来管理跨多个网络的 IT 基础架构,并适用于跨不同地理位置的 Satellite 部署。
- 目录
- 描述由 Puppet 管理的一个特定主机所需的系统状态的文档。它列出了需要管理的所有资源,以及这些资源之间的所有依赖项。目录由来自 Puppet 清单和 Puppet 代理的数据的 Puppet 服务器编译。
- Candlepin
- Katello 中的一个服务负责订阅管理。
- 合规策略
- 合规策略通过使用 Satellite 及其 OpenSCAP 插件将 SCAP 内容应用到主机。您可以使用 Satellite Web UI、Hammer CLI 或 API 创建合规策略。合规策略需要使用定制文件从 SCAP 内容(可选)设置特定的 XCCDF 配置集。您可以在 Satellite 上设置调度的任务,以检查您的主机是否符合 SCAP 内容。合规策略扫描完成后,主机会向 Satellite 发送 ARF 报告。
- Compute 配置集
- 指定计算资源上新虚拟机的默认属性。
- 计算资源
- 计算资源是您可以附加到 Satellite 的外部虚拟化或云基础架构。Satellite 可以调配、配置和管理附加计算资源内的主机。计算资源示例包括 VMware 或 libvirt 和云供应商,如 Microsoft Azure 或 Amazon EC2。
- 配置管理
- 配置管理描述了配置和维护主机的任务。在 Satellite 中,您可以使用 Ansible 和 Puppet 来通过 Satellite 配置和维护主机,作为单一基础架构的真实来源。
- 容器(Docker 容器)
- 包含应用程序所需的所有运行时依赖项的隔离应用程序沙盒。Satellite 支持在专用计算资源上进行容器置备。
- 容器镜像
- 容器配置的静态快照。Satellite 支持各种导入容器镜像的方法,并通过内容视图将镜像分发到主机。
- 内容
-
Satellite 分发到主机的所有术语。内容包括软件包,如
.rpm软件包、errata 或 Docker 镜像。内容同步到 Library 中,然后使用内容视图提升至生命周期环境,以便主机消耗它们。
- 内容交付网络(CDN)
- 用于将红帽内容提供给 Satellite 服务器的机制。
- 内容视图
- 内容视图的名称和版本的存储库集合。发布内容视图时,Satellite 会创建新的内容视图版本。此内容视图版本是内容视图中存储库当前状态的冻结快照。对底层存储库的任何后续更改都不会影响公布的内容视图版本。发布内容视图后,它可以通过生命周期环境路径提升,或使用增量升级进行修改。
- Composite 内容视图
- 复合内容视图包含内容视图,允许采用更加模块化的方法管理和版本内容。您可以选择在复合内容视图中使用哪个版本的内容视图。
- 发现的主机
- 通过 Discovery 插件在 provisioning 网络中检测到的裸机主机。
- 发现镜像
- 代表基于 Red Hat Enterprise Linux 的最小操作系统,它在主机上 PXE 引导以获取初始硬件信息,并在开始配置过程前与 Satellite 服务器进行通信。
- 发现插件
- 在 provisioning 网络中启用自动裸机发现未知主机。该插件包含三个组件:在 Satellite 服务器和 Capsule 服务器上运行的服务,以及主机上运行的 Discovery 镜像。
- 发现规则
- 组预定义的调配规则,将主机组分配到发现的主机并自动触发调配。
- Docker 标签
- 用于区分容器镜像的标记,通常由存储在镜像中的应用版本。在 Satellite Web UI 中,您可以通过 Content > Docker Tags 下的 tag 来过滤镜像。
- ERB
- 嵌入式 Ruby (ERB)是置备和作业模板中使用的模板语法。
- 勘误
- 更新了包含安全修复、错误修复和增强的软件包。对于主机,如果勘误表更新了主机上安装的软件包,则其是 可应用的,如果其在主机的内容视图(这意味着可以在主机上进行安装)中存在,则其是 可安装的。
- 外部节点分类器(ENC)
- 为服务器提供在配置主机时使用的额外数据的构造。当 Puppet 从外部来源而非其自身数据库获取有关节点的信息时,外部来源称为外部节点分类器。如果安装了 Puppet 插件,红帽卫星可以充当卫星部署中 Puppet 服务器的外部节点分类器。
- Facter
- 提供运行系统的信息(事实)的程序;例如,Facter 可以报告总内存、操作系统版本、架构等。Puppet 模块启用基于 Facter 收集的主机数据的特定配置。
- 事实
- 主机参数,如内存、操作系统版本或架构等。事实由 Facter 报告,并由 Puppet 使用。
- Foreman
- Foreman 是一款开源组件,用于调配和管理主机。Foreman 是 Red Hat Satellite 的核心上游组件。
- 完整主机镜像
- 用于特定主机的无 PXE 调配的引导磁盘。完整主机镜像包含关联的操作系统安装程序的嵌入式 Linux 内核和 init RAM 磁盘。
- 通用镜像
- 用于无 PXE 调配的引导磁盘,不绑定到特定主机。通用镜像将主机的 MAC 地址发送到 Satellite 服务器,它与主机条目匹配。
- hammer
- Hammer 是 Satellite 的命令行界面工具。您可以从命令行执行 Hammer 命令,或者在脚本中使用它。您可以使用 Hammer 自动执行某些周期性任务,作为 Satellite Ansible 集合或 Satellite API 的替代选择。
- Host
- 主机是注册到 Satellite 的物理、虚拟或云实例。
- 主机集合
- 用户定义的一个或多个主机组,用于批量操作,如勘误表安装。
- 主机组
- 主机组是构建包含共享参数的主机的模板,如子网或生命周期环境。它有助于通过对主机进行分组来统一 Ansible 和 Puppet 中的配置管理。您可以嵌套主机组来创建层次结构。如需更多信息,请参阅管理主机中的 使用 主机组 。
- 主机镜像
- 用于特定主机的无 PXE 调配的引导磁盘。主机镜像仅包含访问 Satellite 服务器上的安装介质所需的引导文件。
- 增量升级(内容视图中)
- 在生命周期环境中创建新的(次)内容视图版本。增量升级提供了一种方式,可以对已发布的内容视图进行原位修改。对于快速更新很有用,例如应用安全勘误时。
- 安装介质
安装介质是用于在置备过程中安装基础操作系统的安装组。Satellite 中的安装介质代表一个或多个操作系统的安装文件,这些系统必须可通过 URL 或 NFS 服务器位置通过网络访问。它通常是镜像或者 CD 或者 DVD 镜像。
每个操作系统都依赖于安装介质的一个路径,而安装介质路径可以同时服务不同的操作系统。您可以使用
$version、$major、$minor等操作系统参数来参数化 URL。
- 作业
- 从 Satellite 服务器在主机上远程执行的命令。每个作业在作业模板中定义。
- Katello
- Katello 是一个开源插件,用于执行内容管理和订阅处理。它依赖于 Pulp 进行内容管理,后者从存储库获取软件并存储各种版本。它还取决于 Candlepin 用于主机注册和管理订阅清单。Katello 插件始终在 Satellite 上安装。
- lazy 同步
- 可以将存储库的默认下载策略从 Immediate 更改为 On Demand。On Demand 设置仅在主机请求时下载软件包来保存存储空间和同步时间。
- 位置
- 代表物理位置的默认设置集合。位置是主要用于在 Satellite 中分隔主机的标签。示例包括不同的城市或不同的数据中心。
- 程序库
- 用于 Satellite 服务器上所有同步存储库中的内容的容器。默认情况下,每个机构都会存在库作为每个生命周期环境路径的根源,以及每个内容视图的内容源。
- 生命周期环境
- 生命周期环境表示生命周期环境路径中的一个步骤。它定义主机可以使用特定版本的内容的阶段,如开发、测试和生产 。这样,可以 在生产环境中 开发和测试新版本软件,从而降低中断的风险。内容通过发布和提升内容视图在生命周期环境中移动。
- 生命周期环境路径
- 一组生命周期环境,用于提升内容视图。您可以通过典型的提升路径(例如,从开发到 测试 到生产 )提升内容视图。所有生命周期环境路径都源自 Library 环境,该环境默认始终存在。
- 清单(红帽订阅清单)
- 将订阅从红帽客户门户网站转让到 Red Hat Satellite 的机制。不要与 Puppet 清单 混淆。
- 迁移 Satellite
- 将现有的 Satellite 安装移至新实例的过程。
- OpenSCAP
- 根据安全内容自动化协议(SCAP)实施安全合规审计的项目。OpenSCAP 在 Satellite 中集成,为主机提供合规性审计。
- 机构(Organization)
- Satellite 中的隔离系统、内容和其他功能集合。机构(Organization)是用于在 Satellite 中组织主机分离的标签。示例包括不同的团队或事业单元。
- 参数
- 定义调配期间 Red Hat Satellite 组件的行为。根据参数范围,我们可以区分全局、域、主机组和主机参数。根据参数复杂性,我们可以区分简单参数(键值对)和智能参数(条件参数、验证、覆盖)。
- Parametrized 类(smart class 参数)
- 通过从 Puppet 服务器导入类来创建参数。
- 补丁和发布管理
- 补丁和发布管理描述了对基础架构的获取、管理和安装补丁和软件更新的过程。使用 Satellite,您可以控制主机可用的软件包版本并提供适用勘误表。
- 权限
- 定义与 Satellite 基础架构所选部分(资源类型)相关的操作。每个资源类型都与一组权限关联,例如 Architecture 资源类型具有以下权限: view_architectures、create_architectures、edit_architectures 和 destroy_architectures。您可以将权限分组到角色中,并将它们与用户或用户组相关联。
- 产品
- 产品由一个或多个 存储库 命名集合。当您上传红帽清单时,Satellite 会在产品内自动将红帽内容分组。
- 提升(内容视图)
- 将内容视图从一个生命周期环境移到另一个生命周期环境的操作。如需更多信息 ,请参阅管理内容中的提升内容视图 。
- 置备
- 主机调配是在主机上部署基础操作系统,并将主机注册到 Satellite。(可选)进程将继续提供内容和配置。此过程是理想自动的。置备的主机在 计算资源 或裸机上运行,永远不会在 Satellite 服务器或 Capsule 服务器上运行。
- 置备模板
- 自定义模板是自动化在主机上部署操作系统的模板。Satellite 包含 Red Hat Enterprise Linux 的自定义模板。
- 发布(内容视图)
- 使内容视图版本在生命周期环境中可用并由主机使用。
- Pulp
- Katello 中的一个服务负责存储库和内容管理。
- puppet
- Puppet 是一种配置管理工具,利用服务器客户端架构中声明式语言。有关使用 Puppet 配置主机的更多信息,请参阅使用 Puppet 集成管理配置。
- Puppet 代理
- 在主机上运行的服务,将配置更改应用到该主机。
- Puppet 环境
- 隔离的一组 Puppet 代理节点,可与特定的 Puppet 模块集合关联。
- Puppet 清单
引用 Puppet 脚本,它们是扩展为 .pp 的文件。文件包含用于定义一组必要资源(如软件包、服务、文件、用户和组等)的代码,将一组键值对用于其属性。
不要与清单 (红帽订阅清单) 混淆。
- Puppet 服务器
- 胶囊服务器组件,为主机提供 Puppet 目录,供 Puppet 代理执行。
- Puppet 模块
- 一个自包含的代码捆绑包(Puppet 清单)和数据(事实),可用于管理用户、文件和服务等资源。
- PXE
- PXE 代表 预引导执行环境,用于引导从网络而不是本地磁盘接收的操作系统。它需要兼容的网络接口卡(NIC),并依赖于 DHCP 和 TFTP。
- 重复逻辑
- 根据计划自动执行的作业。在 Satellite Web UI 中,您可以在 Monitor > Recurring logics 下查看这些作业。
- Registry
- 容器镜像存档。Satellite 支持从本地和外部 registry 导入镜像。Satellite 本身可以充当主机的镜像 registry。但是,主机无法将更改推送回 registry。
- 远程执行(REX)
- 远程执行是在注册的主机上使用 Satellite 在注册的主机上运行命令的过程。
- 软件仓库
- 存储库是 Satellite 中的一个源和最小内容单元。您可以将存储库与 URL 同步,或者手动将内容上传到 Satellite。Satellite 支持多种内容类型。如需更多信息,请参阅 管理内容 中的 Satellite 中的 内容类型。一个或多个仓库组成 产品。
- 资源类型
- 指的是 Satellite 基础架构的一部分,如主机、胶囊或架构。用于权限过滤。
- 角色
- 指定一组应用到一组资源的权限集合,如主机。可以将角色分配给用户和用户组。Satellite 提供了很多预定义角色。
- SCAP 内容
-
SCAP 代表安全内容自动化协议,引用包含要检查主机的配置和安全基准的
.xml文件。Satellite 在合规策略中使用 SCAP 内容。
- 子网镜像
- 用于通过胶囊服务器进行通信的无 PXE 调配的通用镜像类型。
- 订阅
- 从红帽接收内容和服务的权利。
- Subscription Manager
-
Subscription Manager 是一个客户端应用程序,用于将主机注册到 Satellite。
subscription-manager使用 激活码 在主机上消耗内容。
- 同步
- 同步描述了从外部存储库获取内容到 Satellite 服务器的过程。
- 同步计划
- 同步计划描述来自外部内容内容的调度同步。
- 定制文件
- 定制文件指定一组对现有 SCAP 内容进行的修改。它们将 SCAP 内容适应您的特定需求,而不更改原始的 SCAP 内容。
- 任务
- 在 Satellite 或 Capsule 服务器上执行的后台进程,如存储库同步或内容视图发布。您可以在 Monitor > Satellite Tasks > Tasks 下监控 Satellite Web UI 中的任务状态。
- 更新 Satellite
- 将 Satellite 服务器和 Capsule 服务器安装从一个补丁版本提升到下一个补丁版本的过程,如 Satellite 6.16.0 到 Satellite 6.16.1。
- 升级 Satellite
- 将 Satellite 服务器和 Capsule 服务器安装从一个次版本提升到下一个次版本的过程,如 Satellite 6.15 到 Satellite 6.16。
- 用户组
- 可分配给用户集合的角色集合。
- User
- 注册为使用 Red Hat Satellite 的任何人。通过外部资源(LDAP、身份管理或 Active Directory)或 Kerberos,可以通过内置逻辑进行身份验证和授权。
- 虚拟化
- 虚拟化描述了使用 VMware 或 libvirt 等虚拟机监控程序在单个硬件主机上运行带有各种应用程序的多个操作系统的过程。它促进了可扩展性和成本节约。您可以将虚拟化基础架构作为计算资源附加到 Satellite。
- virt-who
- 从 hypervisor 检索虚拟机 ID 的代理。与 Satellite 一起使用时,virt-who 向 Satellite 服务器报告这些 ID,以便它能够为虚拟机上调配的主机提供订阅。
- XCCDF 配置集
- 可扩展配置清单描述格式(XCCDF)配置集是 SCAP 内容的一个组件。XCCDF 是编写安全清单和基准测试的语言。XCCDF 文件包含主机列表的安全规则。
附录 C. CLI 帮助
Satellite 提供多种用户界面:Satellite Web UI、Hammer CLI、API 和 Ansible 集合 redhat.satellite。如果要在命令行中管理 Satellite,请见以下帮助输出:
- Satellite 服务
-
Satellite 服务器和胶囊服务器用于操作的一组服务。您可以使用
satellite-maintain工具来管理这些服务。要查看服务的完整列表,请在安装了 Satellite 或 Capsule 服务器的机器上输入satellite-maintain service list命令。如需更多信息,请在 Satellite 服务器或 Capsule 服务器上运行satellite-maintain --help。
- Satellite 插件
-
您可以通过安装插件来扩展 Satellite。如需更多信息,请在 Satellite 服务器或 Capsule 服务器上运行
satellite-installer --full-help。
- hammer CLI
-
您可以使用
hammer在命令行上管理 Satellite。有关使用 Hammer CLI 的更多信息,请参阅使用 Hammer CLI 工具 或在 Satellite 服务器或 Capsule 服务器上运行hammer --help。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}