红帽全球峰会第 3 章 添加源和目标
要准备发现以运行扫描,您必须添加您要扫描为一个或多个源的 IT 基础架构的一部分。您还必须添加身份验证信息,如用户名和密码或 SSH 密钥,这是将这些源作为一个或多个凭证访问所需的。由于配置要求不同,您可以根据您要扫描的源类型添加源和凭证。
了解更多
作为添加包含 IT 基础架构不同部分的源和凭证的一部分,您可能需要完成许多任务。
添加网络源和凭证来扫描资产,如您的网络中的物理虚拟机、虚拟机或容器。如需更多信息,请参阅以下信息:
添加 satellite 源和凭证,以扫描您的 Red Hat Satellite Server 部署以查找它管理的资产。如需更多信息,请参阅以下信息:
添加 vcenter 源和凭证,以扫描您的 vCenter 服务器部署以查找它管理的资产。如需更多信息,请参阅以下信息:
添加 OpenShift 源和凭证以扫描 Red Hat OpenShift Container Platform 集群的部署。如需更多信息,请参阅以下信息:
3.1. 添加网络源和凭证
要在网络中的一个或多个物理机器、虚拟机或容器上运行扫描,您必须添加一个源来标识要扫描的每个资产。然后,您必须添加包含身份验证数据的凭证来访问每个资产。
了解更多
添加一个或多个网络源和凭证,以提供扫描网络中资产所需的信息。如需更多信息,请参阅以下信息:
要了解更多有关源和凭证以及如何使用它们的信息,请查看以下信息:
要了解更多有关发现如何使用您的网络上的资产进行身份验证的信息,请查看以下信息。这些信息包括关于以升级权限运行命令的指导,这是在网络凭证配置过程中可能需要进行的选择:
3.1.1. 添加网络源
您可以从初始 Welcome 页面或 Sources 视图添加源。
流程
点击该选项根据您的位置添加新凭证:
- 在 Welcome 页面中,单击 Add Source。
- 在 Sources 视图中,点 Add。
此时会打开 Add Source 向导。
- 在 Type 页面中,选择 Network Range 作为源类型,然后点 Next。
在 Credentials 页面中,输入以下信息。
- 在 Name 字段中输入描述性名称。
在 Search Address 字段中,输入用逗号分开的一个或多个网络标识符。您可以输入主机名、IP 地址和 IP 范围。
-
输入主机名作为 DNS 主机名,例如
server1.example.com。 -
在 CIDR 或 Ansible 表示法中输入 IP 范围,例如,对于 CIDR 表示法,使用
192.168.1.[1:254]作为 Ansible 表示法。
-
输入主机名作为 DNS 主机名,例如
- 可选:在 Port 字段中,如果您不希望扫描在默认端口 22 上运行,请输入不同的端口。
- 在 Credentials 列表中,选择访问此源网络资源所需的凭证。如果所需的凭证不存在,点 Add a credential 图标打开 Add Credential 向导。
- 如果您的网络资源需要 Ansible 连接方法是 Python SSH 实现 Paramiko,而不是默认的 OpenSSH 实现,请选择 使用 Paramiko 而不是 OpenSSH 复选框的连接。
- 点 Save 保存源,然后点 Close 关闭 Add Source 向导。
3.1.2. 添加网络凭证
您可以在创建源的过程中从 Credentials 视图或 Add Source 向导添加凭证。您可能需要添加多个凭证来对包含在单个源中的所有资产进行身份验证。
先决条件
如果要将 SSH 密钥身份验证类型用于网络凭证,则需要将要使用的每个 SSH 私钥复制到在发现服务器安装过程中映射到
/sshkeys的目录中。此目录的默认路径为/var/discovery/server/volumes/sshkeys。有关
/sshkeys目录中可用的 SSH 密钥的更多信息,或者请求向该目录添加密钥,请联系管理您的发现服务器的管理员。
流程
点击该选项根据您的位置添加新凭证:
-
在 Credentials 视图中,点
。 - 在 Add Source 向导中,点 Credentials 字段的 Add a credential 图标。
此时会打开 Add Credential 向导。
-
在 Credentials 视图中,点
- 在 Credential Name 字段中输入描述性名称。
- 在 Authentication Type 字段中,选择您要使用的验证类型。您可以选择 Username 和 Password 或 SSH Key。
根据身份验证类型,在适当的字段中输入身份验证数据。
- 对于用户名和密码身份验证,请为用户输入用户名和密码。此用户必须具有对您的网络或要扫描的网络子集的 root 级别访问权限。或者,此用户必须能够使用所选 become 方法获取 root 级别访问权限。
-
对于 SSH 密钥身份验证,请输入一个用户名和到发现服务器容器本地的 SSH 密钥的路径。例如,如果密钥文件位于服务器上的
/var/discovery/server/volumes/sshkeys默认路径中,请在 SSH Key File 字段中输入该路径。输入密码短语是可选的。
- 输入 become 方法以提升权限。需要权限提升才能在网络扫描期间运行一些命令。为 become 方法输入用户名和密码是可选的。
- 点 Save 保存凭证并关闭 Add Credential 向导。
3.1.3. 关于源和凭证
要运行扫描,您必须为两个基本结构配置数据:源和凭证。扫描期间要检查的源类型决定了源和目标配置所需的数据类型。
源 包含单个资产或一组在扫描过程中检查的多个资产。您可以配置四种源:
- 网络源
- 一个或多个物理机器、虚拟机或容器。这些资产可以表示主机名、IP 地址、IP 范围或子网。
- vCenter 源
- 管理所有或 IT 基础架构一部分的 vCenter 服务器系统管理解决方案。
- Satellite 源
- 管理所有或部分 IT 基础架构的 Satellite 系统管理解决方案。
- Red Hat OpenShift source
- 管理所有或部分 Red Hat OpenShift Container Platform 节点和工作负载的 Red Hat OpenShift Container Platform 集群。
当您使用网络源时,您可以决定在单个源中应分组多少个个人资产。目前,您只能将多个资产添加到源中用于网络源。以下列表包含您要添加源时应考虑的一些因素:
- 资产是开发、测试还是生产环境的一部分,以及对计算能力和类似关注的考虑是否考虑这些资产。
- 无论您是由于内部业务实践(如频繁更改已安装软件)而经常扫描特定的实体还是一组实体。
凭证 包含有足够颁发机构的用户的用户名和密码或 SSH 密钥的数据,以便在该源中包含的资产的所有或部分运行扫描。与源一样,凭据配置为网络、vCenter、satellite 或 OpenShift 类型。通常,网络源可能需要多个网络凭证,因为预期有多个凭证才能访问广泛的 IP 范围内的所有资产。相反,vCenter 或 satellite 源通常使用单个 vCenter 或 satellite 凭证,以访问特定的系统管理解决方案服务器,OpenShift 源将使用单个凭证来访问单个集群。
您可以从 Sources 视图添加新源,您可以在 Credentials 视图中添加新凭证。您还可以在源创建过程中添加新或选择之前现有凭证。在源创建过程中,您直接将凭证与源关联。由于源和凭证必须具有匹配的类型,您在源创建过程中添加的任何凭证共享与源相同的类型。另外,如果您要在源创建过程中使用现有凭证,可用凭证列表仅包含同一类型的凭证。例如,在网络源创建过程中,只有网络凭证可用于选择。
3.1.4. 网络验证
发现服务器使用 Ansible 的 SSH 远程连接功能来检查网络扫描中的远程系统。添加网络凭证时,您可以使用用户名和密码或用户名和密码或 SSH 密钥文件对来配置 SSH 连接。如果通过 SSH 密钥身份验证访问远程系统,您也可以提供密码短语。
另外,在网络凭证配置过程中,您可以启用 become 方法。在扫描过程中使用 become 方法来提升特权。需要这些升级的特权才能运行命令并获取您要扫描的系统上的数据。有关在扫描过程中不需要提升权限 的命令的更多信息,请参阅扫描远程网络资产时使用的 命令。
3.1.4.1. 用于扫描远程网络资产的命令
运行网络扫描时,发现必须使用您提供的凭证,以便在网络中的远程系统上运行某些命令。其中一些命令必须以提升的特权运行。此访问权限通常使用 sudo 命令或类似命令获得。需要升级的特权,才能收集发现用来构建有关已安装产品的报告的事实类型。
尽管可以在没有提升权限的情况下对网络源运行扫描,但是该扫描的结果不完整。网络扫描的不完整结果将会影响所生成的扫描报告的质量。
以下信息列出了在网络扫描期间在远程主机上运行发现的命令。该信息包括可以在没有升级特权的情况下运行的基本命令,以及必须使用升级特权运行的命令,以便为报告收集最准确和完整的信息。
除了以下命令外,发现还取决于标准 shell 功能,如 bash shell 提供的功能。
3.1.4.1.1. 不需要提升权限的基本命令
以下命令不需要在扫描期间收集事实的权限:
- cat
- egrep
- 排序
- uname
- ctime
- grep
- rpm
- virsh
- date
- id
- test
- whereis
- echo
- sed
- tune2fs
- xargs
3.1.4.1.2. 需要提升权限的命令
以下命令需要升级的特权,以便在扫描期间收集事实。每个命令都包括相应的事实列表或事实类别,用于发现在扫描期间要查找的事实。如果该命令没有可用的升级权限,则这些事实不能包含在报告中。
chkconfig
- EAP
- Fuse on Thorntail
命令
- 请参阅 dmicode
- 请参阅 subscription-manager
dmidecode
- cpu_socket_count
- dmi_bios_vendor
- dmi_bios_version
- dmi_system_manufacturer
- dmi_processor_family
- dmi_system_uuid
- virt_type
查找
- BRMS
- EAP
- fuse
- Fuse on Thorntail
ifconfig
- IP 地址
- MAC 地址
java
- EAP info
locate
- BRMS
- EAP
- Fuse on Thorntail
ls
- date_machine_id
- EAP
- Fuse on Thorntail
- BRMS
- redhat_packages_certs
- subman_consumed
ps
- EAP
- Fuse on Thorntail
- virt 类型
subscription-manager
- subman_consumed
systemctl
- EAP
- Fuse on Thorntail
unzip
- EAP 检测
virt-what
- virt_what_type
yum
- date_yum_history
- yum_enabled_repolist
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}