第 3 章安装 RHUI 所需的技术配置

完成红帽认证云和服务提供商(CCSP)认证的初始阶段：

虚拟化、镜像创建和实例调配技术、工具和流程。
推荐的测量和报告红帽软件消耗的过程。
提出要向红帽软件通知勘误更新的过程。
提出包含红帽软件可供客户使用的镜像的过程，包括镜像生命周期管理和停用过时的镜像。

如需更多信息，请参阅红帽认证云和服务提供商认证知识库的产品文档。

自签名证书通常用于 RHUI 部署。但是，如果您希望使用由第三方证书颁发机构签名的 SSL 证书，您必须确保它们由客户端获取并由红帽审核。

注意

您可以使用红帽顾问协助开发自签名证书。这不会影响客户用户的用户体验。

确保客户端将提供系统、虚拟机或租户实例，以安装所有红帽更新设备(RHUA)、外部负载均衡器和内容交付服务器(CDS)。

确定您有 Red Hat Enterprise Linux(RHEL)8 的最新版本，作为 ISO 或订阅。

请确定您有一个带有以下配置的 RHUA 节点：

使用 最小安装的 RHEL 8 最新版本
启用 SELinux
x86_64 处理器，其内核相当于 Intel Xeon 2 GHz 的 4 核或大于 4 个内核
注意
如果您希望提供多个主要 RHEL 版本提供超过 100 个库，则必须将内核数增加到 8。
8 GB 内存
注意
如果您希望提供多个主要 RHEL 版本提供超过 100 个软件仓库，则需要将最小内存增加到 16 GB。
操作系统的 20 GB 磁盘
专用于 PostgreSQL 并挂载到 /var/lib/pgsql 的 100 GB 磁盘。
注意
如果要提供多个主 RHEL 版本，则必须将磁盘容量增加到至少 300 GB。

确保有一个具有以下配置的 HAProxy 节点：

使用 最小安装的 RHEL 8 最新版本
启用 SELinux
x86_64 处理器，其内核等同于 Intel Xeon 2 GHz 的 2 个内核
注意
如果您希望提供多个主要 RHEL 版本提供超过 100 个库，则必须将内核数增加到 4。
4 GB 内存
注意
如果您希望提供多个主要 RHEL 版本提供超过 100 个库，则需要将最小内存增加到 8 GB。
操作系统的 20 GB 磁盘

请确定您至少有两个带有以下推荐配置的 CDS 节点（物理或虚拟）：

使用 最小安装的 RHEL 8 最新版本
启用 SELinux
x86_64 处理器，其内核相当于 Intel Xeon 2GHz 的 4 核或大于 4 个内核
注意
如果您希望提供多个主要 RHEL 版本提供超过 100 个库，则必须将内核数增加到 8。
8 GB 内存
有 50 GB 磁盘，默认 Nginx 日志轮转

确保在 RHEL 客户机模板中执行镜像认证：

操作系统的最小 10 GB 磁盘
iptables 已启用
启用 SELinux
如果启用了密码验证，则必须使用最强的哈希值
启用了默认日志

确保正确配置客户端的网络，如下所示：

必须为所有 RHUAs、CDS 和外部负载均衡器（若有）分配 IP 地址。
已为所有 IP 地址创建 DNS 记录（正向和反向）或 /etc/hosts 条目。例如： rhua.example.com、cds1.example.com、cds2.example.com 和 rhui-lb.example.com。
警告
确保正确设置 RHUA 的主机名。如果未设置主机名，并且其值报告为 localhost.localdomain 或 localhost，您将无法继续。
如果您的服务器有多个网络接口卡(NIC)，RHUA 的完全限定域名(FQDN)必须解析到用于在 RHUA 和 CDS 之间通信的 NIC 的 IP。
RHUI 使用 DNS 访问 CDN。在大多数情况下，您的实例应预先配置为与作为云基础架构一部分托管的正确 DNS 服务器进行通信。如果您运行自己的 DNS 服务器或更新客户端 DNS 配置，您很可能会看到与 yum Could 没有联系任何 CDS 负载均衡器的 错误。在这些情况下，请检查您的 DNS 服务器是否为请求转发到云的 DNS 服务器，或者您的 DNS 客户端被配置为回退到云 DNS 服务器以进行名称解析。
当 rhui-installer 运行时，当 rhui-installer 在运行时，使用多个 HAProxy 节点需要一个循环 DNS 条目，用作 --cds-lb-hostname 参数的值，该指南中解析为所有 HAProxy 节点的 IP 地址。如何配置 DNS Round Robin 展示了配置循环 DNS 的方法。在 RHUI 上下文中，这些将是 HAProxy 节点的 IP 地址，它们在调用 rhui-installer 时被映射到指定为 --cds-lb-hostname 的主机名。如需更多信息，请参阅 HAProxy 配置。

确保所有必需的网络端口都已打开，并且网络访问权限仅限于您计划使用的节点。

Expand

表 3.1. 端口及其用法列表
连接	端口	使用
RHUA 到 CD	22/TCP	SSH 配置和访问
RHUA 到 HAProxy 服务器	22/TCP	SSH 配置和访问
HAProxy 的客户端	443/TCP	访问内容
HAProxy 到 CDS	443/TCP	负载平衡
为 CDS 和 RHUA 打开 NFS 端口	2049/TCP	File system
cdS 到 RHUA	443/TCP	检索尚未符号链接的内容

此外，您（以及可能是其他 RHUI 管理员）需要 SSH 访问所有节点，并能够成为 root 用户。请务必相应地限制此访问，以保护节点免受攻击和滥用。

不要为整个世界打开内部服务，如 Pulp API。使其侦听本地接口或创建适当的防火墙规则。

确保正确配置了 RHUA 和 Red Hat CDN 之间的网络代理设置。

确保通过 yum.conf 正确配置 CDS 和客户端之间的网络代理设置。

如果使用多个 HAProxy 节点，请确保使用 round-robin DNS 条目。

不要将 file-creation mask （也称为 umask ）设置为默认值以外的模式，即 0022。不支持使用更严格的模式，RHUI 无法正常工作。

确保 sudo 配置为不需要用户从 RHUA 设置 CDS 和 HAProxy 节点，以以交互方式输入密码。如需更多信息，请参阅 sudoers (5) 手册页中的 NOPASSWD 标签的描述。

如果第三方安全服务在客户端虚拟机和负载均衡器之间运行，则必须将其配置为允许通信中使用的流量和 SSL 证书。如果启用了 SSL 检查，后者特别有用。此配置超出了 RHUI 范围。

如果环境中 RHUA 的传出流量受到限制，请至少允许以下主机名和端口才能使 RHUA 正常工作：

Expand

表 3.2. 红帽主机名及其端口和使用列表
主机名	端口	使用
cdn.redhat.com	443/TCP	仓库同步
subscription.rhsm.redhat.com	443/TCP	授权证书续订

如果使用代理服务器，请允许它们。

注意

请记住，cdn.redhat.com 实际上由名为 Akamai 的第三方公司处理，它使用 cdn.redhat.com 作为其自己的主机名的别名。这些主机名有很多 IP 地址，您的 RHUA 或代理服务器可能需要根据其地理位置和 Akamai 的负载平衡需求访问一个或多个 IP 地址。有关详细信息，请参阅红帽的公共 CIDR 列表( cdn.redhat.com 的 IP 地址)。

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 3 章 安装 RHUI 所需的技术配置

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 3 章安装 RHUI 所需的技术配置