搜索

Satellite 概述、概念和部署注意事项

download PDF
Red Hat Satellite 6.11

规划 Satellite 部署

Red Hat Satellite Documentation Team

摘要

本文档解释了 Red Hat Satellite 的架构概念,并为您的部署规划提供建议。

向红帽文档提供反馈

我们感谢您对文档提供反馈信息。请让我们了解如何改进文档。

您可以通过在 Bugzilla 中记录一个 ticket 来提交反馈:

  1. 导航到 Bugzilla 网站。
  2. Component 字段中,使用 Documentation
  3. Description 字段中,输入您要改进的建议。包括文档相关部分的链接。
  4. Submit Bug

部分 I. Satellite 架构

第 1 章 Red Hat Satellite 简介

Red Hat Satellite 是一个系统管理解决方案,可让您在物理、虚拟和云环境中部署、配置和维护系统。Satellite 通过单一集中工具提供对多个 Red Hat Enterprise Linux 部署的调配、远程管理和监控。Satellite 服务器同步红帽客户门户网站和其他来源的内容,并提供精细的生命周期管理、用户和组基于角色的访问控制、集成订阅管理以及高级 GUI、CLI 或 API 访问的功能。

Capsule 服务器从 Satellite 服务器镜像内容,以便于不同地理位置的内容联邦。主机系统可以从其位置的 Capsule 服务器中提取内容和配置,而不是从中央 Satellite 服务器中提取内容和配置。Capsule 服务器还提供本地化服务,如 Puppet 服务器、DHCP、DNS 或 TFTP。随着受管系统的数量增加,Capsule 服务器可帮助您扩展 Satellite 环境。

胶囊式服务器降低了中央服务器上的负载,增加冗余性并减少带宽使用量。更多信息请参阅 第 2 章 Capsule 服务器概述

1.1. 系统架构

下图显示了 Red Hat Satellite 的高级架构。

图 1.1. Red Hat Satellite 系统架构

Red Hat Satellite 系统架构

此架构中内容流有四个阶段:

外部内容源
Satellite 服务器 可以消耗各种来源的不同类型的内容。红帽客户门户网站是软件包、勘误和容器镜像的主要来源。此外,您可以使用其他支持的内容源(Git 存储库、Docker Hub、Puppet 旧、SCAP 存储库)以及组织的内部数据存储。
Satellite Server

Satellite 服务器允许您通过 GUI、CLI 或 API 规划和管理内容生命周期以及 Capsule 服务器和主机的配置。

Satellite 服务器使用组织作为主要划分单元来组织生命周期管理。组织隔离具有特定要求和管理任务的主机组的内容。例如,OS 构建团队可以使用与 Web 开发团队不同的组织。

Satellite 服务器还包含精细的身份验证系统,为 Satellite 操作器提供精确访问基础架构部分的权限。

胶囊式服务器

Capsule 服务器从 Satellite 服务器镜像内容,以在不同地理位置建立内容源。这可让主机系统从其位置的 Capsule 服务器中提取内容和配置,而不是从中央 Satellite 服务器中提取内容和配置。因此,推荐的 Capsule 服务器数量由使用 Satellite 的组织操作的区域数量提供。

使用内容视图,您可以指定 Capsule 服务器可供主机使用的内容子集。请参阅 图 1.2 “Red Hat Satellite 的内容生命周期” 查看使用内容视图的生命周期管理。

受管主机和 Satellite 服务器之间的通信通过 Capsule 服务器路由,该服务器也可以代表主机管理多个服务。许多服务都使用专用的网络端口,但 Capsule 服务器确保单个源 IP 地址用于从主机到 Satellite 服务器的所有通信,从而简化防火墙管理。有关 Capsule 服务器的详情,请参考 第 2 章 Capsule 服务器概述

受管主机
主机是来自 Capsule 服务器的内容接收者。主机可以是物理或虚拟主机。Satellite 服务器可以直接托管主机。运行 Capsule 服务器的基本系统也是 Satellite 服务器的受管主机。

下图提供了从 Satellite Server 到 Capsule 的内容更接近的内容分布。

图 1.2. Red Hat Satellite 的内容生命周期

Red Hat Satellite 的内容生命周期

默认情况下,每个组织都有一个来自外部来源的内容库。内容视图是通过智能过滤创建的库中的内容子集。您可以将内容视图发布并提升到生命周期阶段(通常是 Dev、QA 和 Production)。在创建 Capsule 服务器时,您可以选择哪些执行环境将复制到该 Capsule 中,并可供受管主机使用。

内容视图可以合并以创建 Composite 内容视图。对于操作系统所需的软件包存储库,以及应用程序所需的软件包存储库来说,具有单独的内容视图会很有用。其中一个优点是,在一个存储库中对软件包的任何更新都只需要重新发布相关的内容视图。然后,您可以使用 Composite Content Views 组合公布的内容视图,以简化管理。

哪个内容视图应提升到哪些 Capsule 服务器取决于 Capsule 的预期功能。任何 Capsule 服务器都可以运行 DNS、DHCP 和 TFTP 作为可补充的基础架构服务,例如,内容或配置服务。

您可以使用库中的同步内容创建内容视图的新版本来更新 Capsule 服务器。然后,新的内容视图版本会通过生命周期环境提升。您还可以创建内容视图的原位升级。这意味着,在其当前生命周期阶段中创建内容视图的次要版本,而无需将其从库提升。例如,如果您需要将安全勘误表应用到生产环境中使用的内容视图,您可以在不提升到其他生命周期的情况下直接更新内容视图。有关内容管理的更多信息,请参阅管理内容

1.2. 系统组件

Red Hat Satellite 包括几个开源项目,它们集成、验证、交付和支持作为 Satellite。此信息在红帽客户门户上维护并定期更新;请参阅 Satellite 6 组件版本

Red Hat Satellite 由以下开源项目组成:

foreman
Foreman 是一个开源应用程序,用于置备和生命周期管理物理和虚拟系统。Foreman 使用各种方法自动配置这些系统,包括 kickstart 和 Puppet 模块。Foreman 还提供用于报告、审核和故障排除的历史数据。
Katello
Katello 是用于订阅和存储库管理的 Foreman 插件。它提供订阅红帽软件仓库并下载内容的方法。您可以创建和管理此内容的不同版本,并在应用程序生命周期的用户定义的阶段将它们应用到特定的系统。
Candlepin
Candlepin 是 Katello 中的一个服务,用于处理订阅管理。
Pulp
Pulp 是 Katello 中的一个服务,用于处理存储库和内容管理。Pulp 通过不重复 RPM 软件包来确保有效的存储空间,即使在不同机构中由内容视图请求。
hammer
hammer 是一个 CLI 工具,提供与大多数 Satellite Web UI 功能对应的命令行和 shell。
REST API
Red Hat Satellite 包括一个 RESTful API 服务,允许系统管理员和开发人员编写使用 Red Hat Satellite 接口的自定义脚本和第三方应用程序。

Red Hat Satellite 及其组件中使用的术语非常广泛。有关常用术语的说明,请参阅 附录 B, 术语表

1.3. 支持的用法

每个 Red Hat Satellite 订阅都包括一个受支持的 Red Hat Enterprise Linux Server 实例。此实例应只保留用于运行 Red Hat Satellite 的目的。不支持使用 Satellite 中包含的操作系统来运行其他守护进程、应用程序或服务。

对 Red Hat Satellite 组件的支持如下所述。

SELinux 必须是 enforcing 模式或 permissive 模式,不支持禁用 SELinux 的安装。

puppet

Red Hat Satellite 包括受支持的 Puppet 软件包。安装程序允许用户安装并配置 Puppet 服务器作为 Capsule 服务器的一部分。红帽还支持在 Satellite 服务器或 Satellite Capsule 服务器上的 Puppet 服务器上运行的 Puppet 模块。有关支持什么 Puppet 版本的详情,请查看 Red Hat 知识库文章 Satellite 6 组件版本

红帽支持许多不同的脚本和其他框架,包括 Puppet 模块。对这些框架的支持基于红帽知识库文章,红帽如何支持脚本框架

Pulp
Pulp 使用仅支持通过 Satellite Web UI、CLI 和 API。不支持直接修改或与 Pulp 的本地 API 或数据库交互,因为这可能会给 Red Hat Satellite 数据库造成不必要的损坏。
foreman

Foreman 可使用插件进行扩展,但仅支持使用 Red Hat Satellite 打包的插件。红帽不支持 Red Hat Satellite Optional 软件仓库中的插件。

Red Hat Satellite 还包括用于置备和配置 Red Hat Enterprise Linux 以外的操作系统的组件、配置和功能。虽然这些功能包含在 Red Hat Enterprise Linux 中,但红帽支持它们对 Red Hat Enterprise Linux 的使用。

Candlepin
使用 Candlepin 唯一支持的方法是通过 Satellite Web UI、CLI 和 API。红帽不支持与 Candlepin (本地 API 或数据库)直接交互,因为这可能导致 Red Hat Satellite 数据库造成不必要的损坏。
嵌入式 Tomcat Application Server
使用嵌入式 Tomcat 应用服务器唯一支持的方法是通过 Satellite Web UI、API 和数据库。红帽不支持直接与嵌入式 Tomcat 应用服务器的本地 API 或数据库交互。
注意

只有 Red Hat Satellite 的上下文中才支持使用所有 Red Hat Satellite 组件。任何组件的第三方使用都超出受支持的使用。

1.4. 支持的客户端架构

1.4.1. 内容管理

支持的 Red Hat Enterprise Linux 和硬件架构组合,用于使用 Satellite 注册和管理主机。这包括 Satellite 客户端 6 存储库。

表 1.1. 内容管理支持
平台构架

Red Hat Enterprise Linux 9

x86_64, ppc64le, s390x, aarch64

Red Hat Enterprise Linux 8

x86_64, ppc64le, s390x

Red Hat Enterprise Linux 7

x86_64, ppc64 (BE), ppc64le, aarch64, s390x

Red Hat Enterprise Linux 6

x86_64, i386, s390x, ppc64 (BE)

1.4.2. 主机置备

支持 Red Hat Enterprise Linux 和硬件架构使用 Satellite 进行主机置备的主版本。

表 1.2. 主机置备支持
平台构架

Red Hat Enterprise Linux 9

x86_64

Red Hat Enterprise Linux 8

x86_64

Red Hat Enterprise Linux 7

x86_64

Red Hat Enterprise Linux 6

x86_64, i386

1.4.3. 配置管理

使用 Satellite 进行配置管理的 Red Hat Enterprise Linux 和硬件架构支持的组合。

表 1.3. Puppet 代理支持
平台构架

Red Hat Enterprise Linux 9

x86_64

Red Hat Enterprise Linux 8

x86_64, aarch64

Red Hat Enterprise Linux 7

x86_64

Red Hat Enterprise Linux 6

x86_64, i386

第 2 章 Capsule 服务器概述

Capsule 服务器 提供内容联邦 并运行 本地化服务 来发现、配置、控制和配置主机。您可以使用 Capsules 将 Satellite 部署扩展到各种地理位置。本节包含可以在 Capsule 上启用的功能及其简单分类。

有关 Capsule 要求、安装过程和可扩展性注意事项的更多信息,请参阅安装 Capsule 服务器

2.1. Capsule 功能

Capsule 服务器提供了两组功能。您可以使用 Capsule 运行主机管理所需的服务。您还可以将 Capsule 配置为从 Satellite 服务器镜像内容。

基础架构和主机管理服务:

  • DHCP - Capsule 可以管理 DHCP 服务器,包括与现有解决方案(如 ISC DHCP 服务器、Active Directory 和 Libvirt 实例)集成。
  • DNS - Capsule 可以管理 DNS 服务器,包括与现有解决方案(如 ISC BIND 和 Active Directory)集成。
  • TFTP - Capsule 可以与任何基于 UNIX 的 TFTP 服务器集成。
  • Realm - Capsule 可以管理 Kerberos 领域或域,以便主机可以在调配期间自动加入它们。Capsule 可以与现有基础架构集成,包括红帽身份管理和 Active Directory。
  • Puppet 服务器 - Capsule 可以通过运行 Puppet 服务器来充当配置管理服务器。
  • Puppet 证书颁发机构 - Capsule 可以与 Puppet 的 CA 集成,以便为主机提供证书。
  • Baseboard Management Controller (BMC) - Capsule 可以使用 IPMI 或 Redfish 为主机提供电源管理。
  • 置备模板代理 - Capsule 可以为主机提供置备模板。
  • OpenSCAP - Capsule 可以在主机上执行安全合规性扫描。

与内容相关的功能:

  • 存储库同步 - 从 Satellite 服务器(更精确地从所选生命周期阶段)的内容拉取到 Capsule 服务器以进行内容交付(由 Pulp 启用)。
  • 内容交付 - 配置为使用临时服务器从该 Capsule 下载内容的主机,而不是从中央 Satellite 服务器(由 Pulp 启用)。
  • 主机操作交付 - Capsule 服务器对主机执行调度操作。
  • Red Hat Subscription Management (RHSM)代理 - 主机注册到关联的 Capsule 服务器,而不是注册到中央 Satellite 服务器或红帽客户门户网站(由 Candlepin 提供)。

2.2. 胶囊类型

并非所有 Capsule 功能都必须一次性启用。您可以为特定有限目的配置 Capsule 服务器。一些常见配置包括:

  • 基础架构 Capsule [DNS + DHCP + TFTP] - 为主机提供基础架构服务。启用调配模板代理后,基础架构 Capsule 具有置备新主机所需的所有服务。
  • content Capsules [Pulp] - 提供从 Satellite 服务器同步到主机的内容。
  • 配置 Capsule [Pulp + Puppet + PuppetCA] - 提供内容并为主机运行配置服务。
  • All-in-one Capsules [DNS + DHCP + Pulp + Puppet + PuppetCA] - 提供一组完整的 Capsule 功能。All-in-one Capsules 通过为受管主机提供单一连接点来启用主机隔离。

2.3. Capsule 网络

Capsule 隔离的目标是为所有主机的网络通信提供一个单一端点,以便在远程网络段中,您只需要为 Capsule 本身打开防火墙端口。下图显示了 Satellite 组件如何与连接到隔离胶囊的主机交互。

图 2.1. 带有隔离胶囊的 Satellite 拓扑

带有隔离主机的 Red Hat Satellite 拓扑

下图显示了当主机直接连接到 Satellite 服务器时,Satellite 组件如何进行交互。请注意,由于外部 Capsule 的基本系统是 Satellite 的客户端,因此即使您没有直接连接的主机,此图也会相关。

图 2.2. 带有内部 Capsule 的 Satellite 拓扑

带有直接主机的 Red Hat Satellite 拓扑

连接的网络环境中安装 Satellite 服务器 中的 端口和防火墙要求,在断开连接的网络环境中安装 Satellite 服务器 中的 端口和防火墙要求,包括配置基于主机的防火墙以打开所需端口的完整说明。https://access.redhat.com/documentation/zh-cn/red_hat_satellite/6.11/html-single/installing_satellite_server_in_a_connected_network_environment/index#satellite-ports-and-firewalls-requirements_satellite https://access.redhat.com/documentation/zh-cn/red_hat_satellite/6.11/html-single/installing_capsule_server/index#capsule-ports-and-firewalls-requirements_capsule

红帽知识库解决方案 Red Hat Satellite of Network Ports 列表中提供了端口列表。

第 3 章 机构、位置和生命周期阶段

Red Hat Satellite 采用了组织和位置管理的单一方法。系统管理员在单个 Satellite 服务器中定义多个机构和多个位置。例如,一个公司在三个国家(美国、美国、美国和西班牙语)可能有三个机构(Finance、巴西和销售)。在本例中,Satellite 服务器管理跨所有地理位置的所有组织,为管理系统创建 9 个不同的上下文。另外,用户可以定义特定的位置,并将它们嵌套以创建层次结构。例如,Satellite 管理员可能会将美国分成特定的城市,如 过程、Phoenix 或 Sanphone。

图 3.1. Red Hat Satellite 的拓扑示例

Red Hat Satellite 的拓扑示例

Satellite 服务器定义所有位置和组织。每个对应的 Satellite Capsule 服务器同步内容并处理不同位置中的系统配置。

主 Satellite 服务器保留管理功能,而内容和配置则在主 Satellite 服务器和分配给特定位置的 Satellite Capsule 服务器之间同步。

3.1. 机构

组织根据所有权、目的、内容、安全级别或其他部门将 Red Hat Satellite 资源分成逻辑组。您可以通过 Red Hat Satellite 创建和管理多个机构,然后将您的订阅划分并分配到每个机构。这提供了一种方式来管理一个管理系统下多个组织的内容。

3.2. 位置

位置根据地理位置将组织分成逻辑组。每个位置都由一个帐户创建和使用,但每个帐户都可以管理多个位置和机构。

3.3. 生命周期阶段

应用程序生命周期分为不同的 生命周期阶段,它们代表了应用程序生命周期的每个阶段。生命周期阶段链接成形成 环境路径。在需要时,您可以在环境路径中提升内容。例如,如果开发结束于应用程序的特定版本,您可以将此版本提升到测试环境,并在下一版本中开始开发。

图 3.2. 包含四个环境的环境路径

包含四个环境的环境路径

第 4 章 主机组概念

除了 Capsule 服务器的物理拓扑外,Red Hat Satellite 提供了几个逻辑单元来分组主机。作为这些组的成员的主机继承组配置。例如,定义置备环境的简单参数可以在以下级别上应用:

Global > Organization > Location > Domain > Host group > Host

Red Hat Satellite 中的主要逻辑组是:

  • Organizations - 主机的最高级别的逻辑组。机构提供更强大的内容和配置分离。每个机构都需要单独的 Red Hat Subscription 清单,并可被视为 Satellite 服务器的独立虚拟实例。如果适用较低级别的主机分组,请避免使用机构。
  • 位置 - 分组应该与物理位置匹配的主机。位置可用于映射网络基础架构,以防止主机放置或配置不正确。例如,您无法将子网、域或计算资源直接分配给 Capsule 服务器,仅分配给某个位置。
  • 主机组 - 主机 定义的主要载体,包括分配的 Puppet 类、内容视图或操作系统。建议您在主机组级别配置大多数设置,而不是直接定义主机。然后,配置新主机主要成为将其添加到正确的主机组。由于主机组可以嵌套,您可以创建一个最适合您的要求的结构(请参阅 第 4.1 节 “主机组结构”)。
  • 主机集合 - 注册了 Satellite 服务器的主机,用于订阅和内容管理,称为 内容主机。内容主机可以组织到主机组中,这样可执行批量操作,如软件包管理或勘误表安装。

位置和主机组可以嵌套,机构和主机组是扁平的。

4.1. 主机组结构

主机组可以嵌套来继承相互的参数,允许设计适合特定工作流的主机组层次结构。精心计划的主机组结构可帮助简化主机设置的维护。本节概述了组织主机组的三种方法。

图 4.1. 主机组稳定性示例

主机组稳定性示例

扁平结构

扁平结构的优点是有限的复杂性,因为避免继承。在具有几个主机类型的部署中,这种场景是最佳选项。但是,如果没有继承,在主机组之间存在高重复设置的风险。

基于生命周期阶段的结构

在这个层次结构中,为特定于生命周期阶段的参数保留第一个主机组级别。第二个级别包含与操作系统相关的定义,第三个级别包含特定于应用程序的设置。这种结构对于职责划分在生命周期阶段时很有用(例如: 开发QA产品生命周期阶段 的专用所有者)。

基于应用程序的结构

这种层次结构基于特定应用程序中的主机角色。例如,它启用为后端服务器和前端服务器组定义网络设置。主机的所选特征是隔离的,它支持以 Puppet 为中心的复杂配置管理。但是,内容视图只能分配给此层次结构底部的主机组。

基于位置的结构

在这个层次结构中,位置的分发与主机组结构一致。在位置(Capsule Server)拓扑决定许多其他属性的情况中,这种方法是最佳选项。另一方面,这种结构在位置之间分离共享参数,因此在具有大量应用程序的复杂环境中,每个配置更改所需的主机组更改会显著增加。

第 5 章 置备概念

Red Hat Satellite 的一个重要功能是无人值守调配主机。为了达到此目的,Red Hat Satellite 使用 DNS 和 DHCP 基础架构、PXE 引导、TFTP 和 Kickstart。使用本章了解这些概念的工作原则。

5.1. PXE 引导

预启动执行环境(PXE)提供了通过网络引导系统的功能。PXE 不使用本地硬盘或 CD-ROM 来提供有关网络的标准信息,以发现 TFTP 服务器,以及下载引导镜像。有关设置 PXE 服务器的更多信息,请参阅红帽知识库解决方案 如何设置/配置 PXE 服务器

5.1.1. PXE 序列

  1. 如果没有找到其他可引导镜像,主机将引导 PXE 镜像。
  2. 主机的 NIC 将广播请求发送到 DHCP 服务器。
  3. DHCP 服务器接收请求并发送有关网络的标准信息:IP 地址、子网掩码、网关、DNS、TFTP 服务器的位置和引导镜像。
  4. 主机从 TFTP 服务器获取引导装载程序 image/pxelinux.0 和配置文件 pxelinux.cfg/00:MA:CA:AD:D
  5. 主机配置指定内核镜像、initrd 和 Kickstart 的位置。
  6. 主机下载文件并安装镜像。

有关使用 Satellite 服务器使用 PXE 引导的示例,请参阅 置备 指南中的置备 工作流

5.1.2. PXE 引导要求

要使用 PXE 引导置备机器,请确保您满足以下要求:

网络要求

  • 可选:如果主机和 DHCP 服务器由路由器分开,请配置 DHCP 转发代理并指向 DHCP 服务器。

客户端要求

Satellite 要求

  • 确保 Satellite 服务器和 Capsule 配置了 DNS,并可解析调配的主机名。
  • 确保客户端可以访问 UDP 端口 67 和 68,使客户端能够通过引导选项接收 DHCP 服务。
  • 确保客户端可以访问 UDP 端口 69,以便客户端可以访问胶囊上的 TFTP 服务器。
  • 确保客户端可以访问 TCP 端口 80,以允许客户端从 Capsule 下载文件和 Kickstart 模板。
  • 确保主机调配接口子网设置了 DHCP 胶囊。
  • 确保主机置备接口子网设置了 TFTP Capsule。
  • 确保主机调配接口子网设置了 Templates Capsule。
  • 使用 Satellite 安装程序确保启用了具有正确子网的 DHCP。
  • 使用 Satellite 安装程序启用 TFTP。

5.2. HTTP 引导

您可以使用 HTTP 引导来使用 HTTP 通过网络引导系统。

5.2.1. 使用受管 DHCP 进行 HTTP 引导要求

要通过 HTTP 引导置备机器,请确保您满足以下要求:

客户端要求

要使 HTTP 引导正常工作,请确保您的环境具有以下客户端配置:

  • 所有基于网络的防火墙都配置为允许子网中的客户端访问胶囊。更多信息请参阅 图 2.1 “带有隔离胶囊的 Satellite 拓扑”
  • 您的客户端有权访问 DHCP 和 DNS 服务器。
  • 您的客户端有权访问 HTTP UEFI 引导胶囊。

网络要求

  • 可选:如果主机和 DHCP 服务器由路由器分开,请配置 DHCP 转发代理并指向 DHCP 服务器。

Satellite 要求

虽然 TFTP 协议不用于 HTTP UEFI 引导,但 Satellite 使用 TFTP Capsule API 来部署引导装载程序配置。

要使 HTTP 引导正常工作,请确保 Satellite 具有以下配置:

  • Satellite 服务器和 Capsule 都配置了 DNS,并可解析调配的主机名。
  • 客户端可以访问 UDP 端口 67 和 68,以便客户端能够发送和接收 DHCP 请求并提供。
  • 确保客户端打开 TCP 端口 8000,以便从 Capsule 下载引导装载程序和 Kickstart 模板。
  • 为客户端打开 TCP 端口 9090,以便客户端使用 HTTPS 协议从 Capsule 下载引导装载程序。
  • 用作主机的置备接口的子网具有 DHCP 胶囊、HTTP 引导胶囊、TFTP 胶囊和模板 Capsule
  • grub2-efi 软件包更新至最新版本。要将 grub2-efi 软件包更新至最新版本,并执行安装程序将 /boot 的最新引导装载程序复制到 /var/lib/tftpboot 目录中,请输入以下命令:

    # satellite-maintain packages update grub2-efi
    # satellite-installer

5.2.2. 使用非受管 DHCP 进行 HTTP 引导要求

要通过 HTTP 引导而无需受管 DHCP 置备机器,请确保您满足以下要求:

客户端要求

  • HTTP UEFI 引导 URL 必须设置为以下之一:

    • http://{smartproxy.example.com}:8000
    • https://{smartproxy.example.com}:9090
  • 确保您的客户端有权访问 DHCP 和 DNS 服务器。
  • 确保您的客户端有权访问 HTTP UEFI 引导胶囊。
  • 确保所有基于网络的防火墙都配置为允许子网中的客户端访问胶囊。更多信息请参阅 图 2.1 “带有隔离胶囊的 Satellite 拓扑”

网络要求

  • 可用于客户端的未受管 DHCP 服务器。
  • 可用于客户端的非受管 DNS 服务器。如果 DNS 不可用,请使用 IP 地址来配置客户端。

Satellite 要求

虽然 TFTP 协议不用于 HTTP UEFI 引导,但 Satellite 使用 TFTP Capsule API 来部署引导装载程序配置。

  • 确保 Satellite 服务器和 Capsule 配置了 DNS,并可解析调配的主机名。
  • 确保客户端可以访问 UDP 端口 67 和 68,以便客户端能够发送和接收 DHCP 请求并提供。
  • 确保客户端打开 TCP 端口 8000,以便从 Capsule 下载引导装载程序和 Kickstart 模板。
  • 确保为客户端打开 TCP 端口 9090,以便客户端通过 HTTPS 协议从 Capsule 下载引导装载程序。
  • 确保主机调配接口子网设置了 HTTP 引导 Capsule。
  • 确保主机置备接口子网设置了 TFTP Capsule。
  • 确保主机调配接口子网设置了 Templates Capsule。
  • grub2-efi 软件包更新至最新版本,并执行安装程序将 /boot 目录的最新引导装载程序复制到 /var/lib/tftpboot 目录中:

    # satellite-maintain packages update grub2-efi
    # satellite-installer

5.3. Kickstart

您可以通过创建一个包含安装所需的所有信息的 Kickstart 文件,使用 Kickstart 自动执行 Red Hat Satellite 或 Capsule 服务器的安装过程。有关 Kickstart 的详情,请参考 Red Hat Enterprise Linux 7 安装指南中的 Kickstart 安装。

5.3.1. 工作流

当您运行 Red Hat Satellite Kickstart 脚本时,会出现以下工作流:

  1. 它指定 Satellite 服务器或 Capsule 服务器的安装位置。
  2. 它安装预定义的软件包。
  3. 它安装 Subscription Manager。
  4. 它使用激活码向 Red Hat Satellite 订阅主机。
  5. 它安装 Puppet,并配置 puppet.conf 文件来指示 Red Hat Satellite 或 Capsule 实例。
  6. 它可让 Puppet 运行和请求证书。
  7. 它运行用户定义的片断。

第 6 章 内容交付网络结构

Red Hat Content Delivery Network (CDN)位于 cdn.redhat.com,是分布式的静态 webserver 系列,其中包括系统设计的内容和勘误。此内容可以通过使用 Subscription Manager 或 Satellite Web UI 注册的系统直接访问。CDN 的可访问子集是通过 使用红帽订阅管理 或 Satellite 服务器附加到系统的订阅来配置。

Red Hat Content Delivery 网络受 X.509 证书身份验证保护,以确保只有有效用户可以访问它。

CDN 的目录结构。

$ tree -d -L 11
└── content  1
    ├── beta  2
    │   └── rhel  3
    │       └── server  4
    │           └── 7 5
    │               └── x86_64  6
    │                   └── sat-tools  7
    └── dist
        └── rhel
            └── server
                └── 7
                ├── 7.2
                │   └── x86_64
                │       └── kickstart
                └── 7Server
                    └── x86_64
                        └── os

1
content 目录。
2
负责内容生命周期的目录。通用目录包括 beta (用于 Beta 代码)、dist (用于产品)和 eus (延长更新支持)目录。
3
负责产品名称的目录。通常 RHEL for Red Hat Enterprise Linux。
4
负责产品类型的目录。对于 Red Hat Enterprise Linux,这可能包括 服务器工作站和 计算节点 目录。
5
负责发行版本的目录,如 77.27Server
6
负责基本架构的目录,如 i386x86_64
7
负责存储库名称的目录,如 sat-toolskickstartrhscl。有些组件还有额外的子目录,它们可能会有所不同。

此目录结构也用于 Red Hat Subscription Manifest。

部分 II. Satellite 部署规划

第 7 章 部署注意事项

本节概述了规划 Red Hat Satellite 部署时需要考虑的常规主题,以及对更具体的文档的建议和参考。

7.1. Satellite 服务器配置

正常工作的 Satellite 基础架构的第一步是在专用的 Red Hat Enterprise Linux 7 服务器上安装一个 Satellite 服务器实例。

在 Satellite 服务器中添加红帽订阅清单

Red Hat Subscription Manifest 是一组包含您的订阅信息的加密文件。Satellite 服务器使用此信息访问 CDN,并查找哪些存储库可用于相关的订阅。有关如何创建和导入红帽订阅清单的说明,请参阅 内容管理指南中的管理红帽订阅

Red Hat Satellite 需要为 Satellite 上配置的每个组织有一个清单。如果您计划使用 Satellite 的机构功能在一个 Red Hat Network 帐户下管理基础架构的独立单元,请根据需要将订阅从一个帐户分配给每个机构清单。

如果您计划有一个以上的红帽网络帐户,或者您想要管理属于红帽网络帐户拥有者的另一个实体的系统,那么您可以根据需要将订阅分配给清单。没有 Satellite 订阅的客户可以创建订阅资产管理器清单,如果它们还有其他有效的订阅,则可以与 Satellite 一起使用。然后,您可以使用一个 Satellite 服务器中的多个清单来管理多个机构。

如果您必须管理系统,但无法访问 RPM 的订阅,则必须使用 Red Hat Enterprise Linux Satellite 附加组件。如需更多信息,请参阅 Satellite 附加组件

下图显示了两个红帽网络帐户拥有者,希望其系统由同一 Satellite 安装管理。在这种情况下,公司 1 可以为其分配 60 订阅的任何子集,在本例中为清单分配 30 个。这可以作为不同的机构导入到 Satellite 中。这使得系统管理员能够完全独立于示例公司 2 的组织(R&D、操作和工程团队)来使用 Satellite 管理示例系统。

图 7.1. 具有多个清单的 Satellite 服务器

具有多个清单的 Satellite 服务器

在创建红帽订阅清单时:

  • 如果规划断开连接的或自我注册的 Satellite 服务器,请将 Satellite 服务器的订阅添加到清单中。对于使用基本系统上的 Subscription Manager 工具订阅的连接的 Satellite 服务器来说,这不是必要的。
  • 为您要创建的所有 Capsule 服务器添加订阅。
  • 为您要使用 Satellite 管理的所有红帽产品添加订阅。
  • 请注意订阅到期的日期,并在过期日期前计划续订。
  • 为每个机构创建一个清单。您可以使用多个清单,它们可以来自不同红帽订阅。

Red Hat Satellite 允许在清单中使用将来的订阅。当将来的订阅添加到现有订阅的过期日期前,这会启用对仓库的不间断的访问。

请注意,如果您的基础架构有任何变化,或者在添加更多订阅时修改并重新加载到 Satellite 服务器。清单不应被删除。如果您从红帽客户门户网站或 Satellite Web UI 中删除清单,它将取消注册您的所有内容主机。

7.2. 带有外部数据库的 Satellite 服务器

安装 Satellite 时,satellite-installer 命令将在安装 Satellite 的同一服务器上创建数据库。根据您的要求,迁移到外部数据库可为 Satellite 提供增加的工作内存,这可以提高数据库操作请求的响应时间。移到外部数据库分发工作负载,并可提高性能调优的容量。

如果您计划在以下情况下使用 Satellite 部署,请考虑使用外部数据库:

  • 频繁远程执行任务。这会在 PostgreSQL 中创建大量记录,并生成繁重的数据库工作负载。
  • 来自频繁存储库同步或内容视图发布中的高磁盘 I/O 工作负载。这会导致 Satellite 在 PostgreSQL 中为每个作业创建一个记录。
  • 大量主机。
  • 大量同步内容。

有关使用外部数据库的更多信息,请参阅 在 连接的网络环境中安装 Satellite 中的 将外部数据库与 Satellite 搭配使用

7.3. 位置和拓扑

本节概述了可帮助您指定 Satellite 部署场景的一般注意事项。最常见的部署场景列在 第 8 章 常见部署场景 中。定义问题有:

  • 我需要多少个 Capsule 服务器? - 您的组织运行的地理位置的数量应该转换为 Capsule 服务器的数量。通过为每个位置分配一个 Capsule,您可以降低 Satellite 服务器上的负载,增加冗余性并减少带宽使用量。Satellite 服务器本身可以作为 Capsule (默认包含集成的 Capsule)。这可以用于单一位置部署,并调配基础系统的 Capsule 服务器。不建议使用集成的 Capsule 与远程位置的主机通信,因为它可能会导致子优化网络利用率。
  • 哪些服务将由 Capsule 服务器提供? - 建立胶囊数后,决定在每个 Capsule 上启用哪些服务。尽管内容和配置管理功能的整个堆栈可用,但有些基础架构服务(DNS、DHCP、TFTP)可以在 Satellite 管理员控制之外。在这种情况下,Capsule 必须与那些外部服务集成(请参阅 第 8.5 节 “带有外部服务的 Capsule”)。
  • 我的 Satellite 服务器需要与互联网断开连接? - 连接的 Satellite 是常见部署场景(请参阅 第 8.4 节 “断开连接的 Satellite”)。如果您需要在断开连接的 Satellite 上频繁更新红帽内容,请规划额外的 Satellite 实例以进行 Satellite 同步。
  • 我的主机需要哪些计算资源? - 置备裸机主机中的部分,您可以使用 Satellite 支持的各种计算资源。要了解有关在不同计算资源上的置备的信息,请参阅 置备指南

7.4. 内容源

Red Hat Subscription Manifest 决定可从您的 Satellite 服务器访问哪些红帽软件仓库。启用红帽存储库后,会自动创建关联的 Satellite 产品。对于从自定义源分发内容,需要手动创建产品和存储库。默认情况下,红帽软件仓库使用 GPG 密钥签名,建议也为您的自定义存储库创建 GPG 密钥。自定义存储库的配置取决于它们保存的内容类型(RPM 软件包或 Docker 镜像)。

配置为 yum 软件仓库的软件仓库(仅包含 RPM 软件包)可以使用新的下载策略设置来在同步时间和存储空间上保存。此设置启用从 ImmediateOn demand 中选择。On require 设置仅在客户端请求时下载软件包来节省空间和时间。有关设置内容源的详细信息,请参阅内容 管理指南中的导入内容

Satellite 服务器中的自定义存储库大多数情形中填充来自外部暂存服务器的内容。此类服务器不在 Satellite 基础架构之外,但建议在这些服务器上使用修订控制系统(如 Git),以便更好地控制自定义内容。

7.5. 内容生命周期

Satellite 提供精确管理内容生命周期的功能。生命周期阶段 代表了内容生命周期中的一个阶段,内容视图是过滤的内容集合,并可被视为定义的内容子集。通过将内容视图与生命周期阶段关联,您可以以定义的方式为主机提供内容。请参阅 图 1.2 “Red Hat Satellite 的内容生命周期” 查看进程的视觉化。有关内容管理流程的详细概述,请参阅 内容 管理指南中的导入 自定义内容。下面的部分提供了部署内容视图和生命周期阶段的一般场景。

默认生命周期环境,称为 Library,从所有连接的源收集内容。不建议将主机直接与库关联,因为它会阻止对内容进行测试,然后再提供给主机。相反,创建一个适合您的内容工作流的生命周期阶段路径。以下情境是常见的:

  • 单一生命周期阶段 - 从库中的内容直接提升到生产环境阶段。这种方法限制复杂性,但仍允许测试库中的内容,然后再提供给主机。

    单一生命周期阶段
  • 单一生命周期阶段路径 - 操作系统和应用程序内容都通过相同的路径提升。该路径可由几个阶段组成(如 DevelopmentQAProduction),其进行全面的测试,但需要额外的工作。

    单一生命周期阶段路径
  • 应用程序特定生命周期阶段路径 - 每个应用程序都有单独的路径,允许单个应用程序发行周期。您可以将特定的计算资源与应用程序生命周期阶段关联,以便进行测试。另一方面,这种情况会增加维护复杂性。

    特定于应用程序的生命周期阶段路径

以下内容视图情境是常见的:

  • 所有一个内容视图 - 一个内容视图,其中包含您的大多数主机所需的所有内容。减少内容视图数量是部署具有受限资源(时间、存储空间)或统一主机类型的部署的优点。但是,这种情况限制了内容视图功能,如基于时间的快照或智能过滤。内容源的任何更改会影响主机的比例。
  • 主机特定的内容视图 - 每个主机类型的专用内容视图。这种方法在带有少量主机类型的部署中(最多 30)非常有用。但是,它可防止在主机类型间共享内容,并根据主机类型以外的标准(例如,操作系统和应用程序)进行分离。有了关键更新,必须更新每个内容视图,这会增加维护工作。
  • 主机特定复合内容视图 - 每种主机类型的内容视图 组合。这种方法支持隔离主机特定和共享内容,例如,您可以对操作系统和应用内容具有专用内容视图。通过使用复合,您可以单独管理操作系统和应用程序,并以不同的方式管理。
  • 基于组件的内容视图 - 特定应用程序的专用内容视图。例如,一个数据库内容视图可以包含在多个复合内容视图中。这种方法可以更好地整合,但会产生大量内容视图。

最佳解决方案取决于您的主机环境的性质。避免创建大量内容视图,但请记住,内容视图的大小会影响相关操作的速度(发布、提升)。另外,请确保为内容视图创建软件包子集时,也会包含所有依赖项。请注意,Kickstart 存储库不应添加到内容视图中,因为它们仅用于主机置备。

7.6. 内容部署

内容部署是管理内容主机上的勘误表和软件包。Satellite 上内容部署有两种方法:默认为 远程执行,第二个是已弃用的 katello 代理

  • 远程执行 - 通过 SSH 传输远程执行允许安装、更新或删除软件包、配置管理代理的引导和 Puppet 运行触发器。这是内容部署的首选方法。

    虽然 Satellite 服务器默认启用远程执行,但在 Capsule 服务器和内容主机上默认禁用,必须手动启用。

  • Katello 代理 - 使用 goferd 服务,该服务与 Satellite 服务器通信,并且主要任务安装和更新软件包。在成功安装 katello-agent 软件包后,它会在内容主机上自动启动。

    请注意,Katello 代理已弃用,并将在以后的 Satellite 版本中删除。

7.7. 置备

Satellite 提供多个功能,可帮助您自动执行主机调配,包括置备模板、使用 Puppet 进行配置管理和主机组,用于标准化调配主机角色。有关置备工作流的描述, 请参阅置备指南中的置备 工作流。相同的指南包含对各种计算资源置备的说明。

7.8. 基于角色的身份验证

通过为用户分配角色,可以根据一组权限控制对 Satellite 组件的访问。您可以将基于角色的身份验证视为隐藏不应与它们交互的用户不必要的对象的方法。

有各种标准来区分组织内的不同角色。除了管理员角色外,还需要以下类型:

  • 与应用程序或基础架构部分相关的角色 - 例如,Red Hat Enterprise Linux 所有者的角色与应用服务器和数据库服务器的所有者相比。
  • 与软件生命周期的特定阶段 相关的角色 - 例如,角色划分到开发、测试和生产阶段,每个阶段都有一个或多个所有者。
  • 与特定任务相关的角色 -如安全管理器或许可证管理器。

在定义自定义角色时,请考虑以下建议:

  • 定义预期的任务和职责 - 定义 Satellite 基础架构的子集,它们可以被角色访问,以及此子集上允许的操作。请考虑角色的职责以及如何与其他角色不同。
  • 尽可能使用预定义的角色 - Satellite 提供了多个示例角色,可单独使用或作为角色组合的一部分。复制和编辑现有角色是创建自定义角色的良好起点。
  • 考虑所有受影响的实体 - 例如,内容视图提升会自动为特定生命周期阶段和内容视图组合创建新的 Puppet 环境。因此,如果某个角色需要提升内容视图,它还需要创建和编辑 Puppet 环境的权限。
  • 考虑感兴趣的方面 - 即使某个角色具有有限的责任,但可能有一些值得关注的区域。因此,您可以为角色授予影响其职责区域的 Satellite 基础架构部分的只读访问权限。这样,用户可以更早地访问潜在的将来更改的信息。
  • 通过 step 添加权限步骤 - 测试您的自定义角色,以确保它按预期工作。如果出现问题,最好以有限的权限集开始,逐步添加权限步骤,并持续测试。

有关定义角色并将其分配给用户的说明,请参阅 管理 Red Hat Satellite 指南中的管理用户和角色。相同的指南包含有关配置外部身份验证源的信息。

7.9. 其他任务

本节概述了所选 Satellite 功能,可用于自动化某些任务或扩展 Satellite 的核心使用:

  • 导入现有主机 - 如果您已有尚未由 Satellite 管理的主机,您可以将这些主机导入到 Satellite 服务器。这个过程通常是从 Red Hat Satellite 5 转换的步骤。红帽知识库解决方案从 Red Hat Satellite 5 过渡到 Red Hat Satellite 6 提供了转换流程的高级概述。
  • 发现裸机主机 - Satellite Discovery 插件允许在 provisioning 网络上自动发现未知主机的裸机。这些新主机将自身注册到 Satellite 服务器和客户端上的 Puppet 代理,上传由事实者收集的系统事实,如串行 ID、网络接口、内存和磁盘信息。注册后,您可以初始化这些发现主机的置备。如需更多信息,请参阅置备 指南中的 从发现的主机创建 主机。
  • 备份管理 - 备份和恢复说明,请参阅 管理 Red Hat Satellite 中的 备份 Satellite 服务器和 Capsule 服务器。使用远程执行,您还可以在受管主机上配置重复的备份任务。有关远程执行的更多信息,请参阅 管理主机 中的 配置和设置远程作业
  • 安全管理 - Satellite 支持以各种方式进行安全管理,包括更新和勘误表管理、系统验证的 OpenSCAP 集成、更新和安全合规性报告,以及基于精细的身份验证。查找有关 管理主机 中的勘误表管理和 OpenSCAP 概念的更多信息。 https://access.redhat.com/documentation/zh-cn/red_hat_satellite/6.11/html-single/managing_hosts/index#
  • 事件管理 - Satellite 支持事件管理流程,方法是对所有系统进行集中概述,包括报告和电子邮件通知。每个主机的详细信息可从 Satellite 服务器访问,包括最近更改的事件历史记录。Satellite 也 与红帽 Insights 集成。
  • 使用hammer 和 API 编写脚本 - Satellite 提供了一个命令行工具,它提供了一个与大多数 Web UI 流程等效的 CLI。此外,您可以使用 Satellite API 访问来使用所选编程语言编写自动化脚本。如需更多信息,请参阅 hammer CLI 指南和 API 指南

第 8 章 常见部署场景

本节概述了 Red Hat Satellite 的常见部署场景。请注意,以下布局的多种变体和组合是可能的。

8.1. 单个位置

集成的 Capsule 是在安装过程中在 Satellite 服务器中默认创建的虚拟 Capsule 服务器。这意味着 Satellite 服务器可用于在单个地理位置为 Satellite 部署置备直接连接的主机,因此只需要一个物理服务器。隔离胶囊的基本系统可以直接由 Satellite 服务器管理,但不建议使用此布局来管理远程位置的其他主机。

8.2. 带有聚合子网的单个位置

即使 Red Hat Satellite 部署到单一地理位置,您的基础架构可能还需要多个隔离的子网。例如,这可以通过部署带有 DHCP 和 DNS 服务的多个 Capsule 服务器来实现,但推荐的方法是使用单一 Capsule 创建隔离的子网。然后,此 Capsule 用于管理这些隔离网络中的主机和计算资源,以确保它们只能访问 Capsule 以进行调配、配置、勘误表和常规管理。有关配置子网的更多信息,请参阅管理主机

8.3. 多个位置

建议每个地理位置至少创建一个 Capsule 服务器。这种方法可节省带宽,因为主机从本地 Capsule 服务器获取内容。从远程存储库同步内容仅由 Capsule 进行,而不是由位置中的每个主机执行。此外,这种布局使调配基础架构更加可靠且更容易配置。有关这种方法的介绍,请参阅 图 1.1 “Red Hat Satellite 系统架构”

8.4. 断开连接的 Satellite

在与互联网断开连接的网络中需要主机正常工作的高安全环境中,Red Hat Satellite 可以使用最新的安全更新、勘误、软件包和其他内容来置备系统。在这种情况下,Satellite 服务器无法直接访问互联网,但其他基础架构组件的布局不会受到影响。有关从断开连接的网络安装 Satellite 服务器的详情,请参考 在断开连接的网络环境中安装 Satellite 服务器。有关升级断开连接的 Satellite 的详情,请参考 升级和更新 Red Hat Satellite 中的 升级断开的 Satellite 服务器

将内容导入到断开连接的 Satellite 服务器有两个选项:

  • disconnected Satellite with Content ISO - 在这个设置中,您可以从红帽客户门户网站下载带有内容的 ISO 镜像,并将它们提取到 Satellite 服务器或本地 Web 服务器。然后,Satellite 服务器上的内容将在本地同步。这允许 Satellite 服务器的完整网络隔离,但内容 ISO 镜像的发布频率约为 6 周,并不是所有产品内容都包括。要查看您的订阅中的产品以获取可用的内容 ISO 镜像,请登录到红帽客户门户网站( https://access.redhat.com ),进入 Downloads > Red Hat Satellite,然后点击 Content ISOs。有关如何将内容 ISO 导入到断开连接的 Satellite 的说明,请参阅 内容管理指南中的使用本地 CDN 服务器配置 Satellite同步内容。请注意,之前托管在 redhat.com 的内容 ISO 导入到 Satellite 服务器已被弃用,并将在下一个 Satellite 版本中删除。
  • 断开连接的 Satellite 与 Satellite 同步 - 在这个设置中,您要安装连接的 Satellite 服务器并从其中导出内容,以使用一些存储设备填充断开连接的 Satellite。这允许以您选择的频率导出红帽提供的和自定义内容,但需要使用单独的订阅部署额外的服务器。有关如何在 Satellite 中配置 Satellite 同步的说明,请参阅 管理内容 中的 在 Satellite 服务器间同步 内容

上述将内容导入到断开连接的 Satellite 服务器的方法也可用于加快连接 Satellite 的初始填充。

8.5. 带有外部服务的 Capsule

您可以将 Capsule 服务器(集成或独立)配置为使用外部 DNS、DHCP 或 TFTP 服务。如果您已在您的环境中提供这些服务的服务器,您可以将其与 Satellite 部署集成。有关如何使用外部服务配置 Capsule 的详情,请参考 安装 Capsule 服务器 中的 配置具有外部服务的 Capsule 服务器

附录 A. Satellite 提供和要求的技术用户

在安装 Satellite 的过程中,会创建系统帐户。它们用于管理集成到 Satellite 中的组件的文件和进程所有权。其中一些帐户具有固定的 UID 和 GID,而其他帐户则改为在系统上使用下一个可用的 UID 和 GID。要控制分配给帐户的 UID 和 GID,您可以在安装 Satellite 前定义帐户。由于某些帐户具有硬编码 UID 和 GID,因此无法对在 Satellite 安装期间创建的所有帐户执行此操作。

下表列出了在安装过程中 Satellite 创建的所有帐户。在安装 Satellite 前,您可以预定义在 Flexible UID 和 GID 列中具有 Yes 的帐户。

不要更改系统帐户的主目录和 shell 目录,因为它们需要 Satellite 正常工作。

由于可能与 Satellite 创建的本地用户冲突,您无法对 Satellite 基础操作系统的系统用户使用外部身份提供程序。

表 A.1. Satellite 提供和要求的技术用户
用户名UID组名称GID灵活的 UID 和 GIDHomeshell

foreman

N/A

foreman

N/A

/usr/share/foreman

/sbin/nologin

foreman-proxy

N/A

foreman-proxy

N/A

/usr/share/foreman-proxy

/sbin/nologin

puppet

N/A

puppet

N/A

/opt/puppetlabs/server/data/puppetserver

/sbin/nologin

qdrouterd

N/A

qdrouterd

N/A

N/A

/sbin/nologin

qpidd

N/A

qpidd

N/A

/var/lib/qpidd

/sbin/nologin

unbound

N/A

unbound

N/A

/etc/unbound

/sbin/nologin

postgres

26

postgres

26

/var/lib/pgsql

/bin/bash

Apache

48

Apache

48

/usr/share/httpd

/sbin/nologin

tomcat

53

tomcat

53

/usr/share/tomcat

/bin/nologin

saslauth

N/A

saslauth

76

N/A

/sbin/nologin

附录 B. 术语表

该术语表记录了与 Red Hat Satellite 相关的各种术语。

激活码
用于主机注册和订阅附加的令牌。激活码定义与新创建的主机关联的订阅、产品、内容视图和其他参数。
回答文件
为安装场景定义设置的配置文件。回答文件以 YAML 格式定义,并存储在 /etc/foreman-installer/scenarios.d/ 目录中。
ARF 报告
OpenSCAP 审计的结果。总结了由 Red Hat Satellite 管理的主机的安全合规性。
audits
提供有关特定用户所做的更改的报告。审计可以在 Satellite Web UI 中的 Monitor > Audits 中查看。
Baseboard Management Controller (BMC)
启用裸机主机的远程电源管理。在 Satellite 中,您可以创建一个 BMC 接口来管理所选主机。
Boot Disk
用于无 PXE 配置的 ISO 镜像。此 ISO 允许主机连接到 Satellite 服务器、引导安装介质并安装操作系统。有几种引导磁盘:host imagefull host imagegeneric image,以及 subnet image
Capsule (Capsule Server)
额外的服务器,可在 Red Hat Satellite 部署中使用,以方便内容联邦和分发(作为 Pulp 镜像),并运行其他本地化服务(127.0.0.1 服务器、DHCPDNSTFTP 等)。Capsule 可用于跨不同地理位置的 Satellite 部署。在上游 Foreman 术语中,Capsule 称为 Smart Proxy。
目录
描述由 Puppet 管理的某一特定主机所需的系统状态的文档。它列出了需要管理的所有资源,以及这些资源之间的所有依赖项。目录由来自 Puppet 清单和来自 Puppet 代理的数据的 Puppet 服务器编译。
Candlepin
Katello 中的一个服务负责订阅管理。
合规策略
指的是在 Satellite 服务器上执行的调度任务,用于检查指定主机是否符合 SCAP 内容。
Compute 配置集
为计算资源上的新虚拟机指定默认属性。
计算资源
Red Hat Satellite 用来部署主机和系统的虚拟或云基础架构。示例包括 Red Hat Virtualization、Red Hat OpenStack Platform、EC2 和 VMWare。
容器(Docker 容器)
一个隔离的应用程序沙盒,其中包含应用程序所需的所有运行时依赖项。Satellite 支持专用计算资源上的容器调配。
容器镜像
容器配置的静态快照。Satellite 支持各种导入容器镜像的方法,以及通过内容视图将镜像分发到主机。
内容
Satellite 分发到主机的一般术语。包括软件包(RPM 文件)或 Docker 镜像。内容被同步到库中,然后使用内容视图提升到生命周期阶段,以便主机可以消耗它们。
内容交付网络 (CDN)
用于向 Satellite 服务器提供红帽内容的机制。
内容主机
管理与内容和订阅相关的任务的主机部分。
内容视图
通过智能过滤创建的库内容子集。发布内容视图后,可以通过生命周期阶段路径来提升,或使用增量升级进行修改。
发现的主机
通过 Discovery 插件在 provisioning 网络中检测到的裸机主机。
发现镜像
指的是基于 Red Hat Enterprise Linux 的最小操作系统,它在主机上 PXE 启动,以获取初始硬件信息,并在开始调配过程前与 Satellite 服务器通信。
发现插件
在 provisioning 网络中启用未知主机的自动裸机发现。该插件包含三个组件:在 Satellite 服务器和 Capsule 服务器上运行的服务,以及主机上运行的 Discovery 镜像。
发现规则
一组预定义的置备规则,该规则将主机组分配给发现的主机,并自动触发置备。
Docker 标签
用于区分容器镜像的标记,通常是镜像中存储的应用程序版本。在 Satellite Web UI 中,您可以通过在 Content > Docker Tags 下标签来过滤镜像。
ERB
嵌入式 Ruby (ERB)是置备和作业模板中使用的模板语法。
勘误
更新了包含安全修复、程序错误修正和增强的 RPM 软件包。对于主机,如果勘误表更新了主机上安装的软件包,则其是 可应用的,如果其在主机的内容视图(这意味着可以在主机上进行安装)中存在,则其是 可安装的
外部节点分类器

为配置主机时使用的服务器提供额外的数据的结构。Red Hat Satellite 充当 Satellite 部署中 Puppet 服务器的外部节点分类符。

请注意,外部节点分类器将在下一个 Satellite 版本中删除。

Facter
提供运行它的系统信息(事实)的程序;例如,facter 可以报告总内存、操作系统版本、架构等。Puppet 模块根据事实程序收集的主机数据启用特定的配置。
事实
主机参数,如内存、操作系统版本或架构。事实由 Facter 报告,并由 Puppet 使用。
foreman
组件主要负责置备和内容生命周期管理。Foreman 是 Red Hat Satellite 的主要上游对应部分。
Satellite 服务
Satellite 服务器和 Capsule 服务器用于操作的一组服务。您可以使用 satellite-maintain 工具来管理这些服务。要查看服务的完整列表,请在安装了 Satellite 或 Capsule 服务器的机器上输入 satellite-maintain service list 命令。
Foreman Hook

发生编配事件时自动触发的可执行文件,如创建主机或置备主机完成后。

请注意,Foreman Hook 功能已弃用,并将在下一个 Satellite 版本中删除。

完整主机镜像
用于置备特定主机的无 PXE 的引导磁盘。完整主机镜像包含关联的操作系统安装程序的嵌入式 Linux 内核和 init RAM 磁盘。
通用镜像
没有与特定主机关联的无 PXE 置备的引导磁盘。通用镜像将主机的 MAC 地址发送到 Satellite 服务器,该服务器与主机条目匹配。
hammer
用于管理 Red Hat Satellite 的命令行工具。您可以从命令行执行hammer 命令,或者在脚本中使用它们。hammer 还提供交互式 shell。
主机
代表 Red Hat Satellite 管理的任何系统,可以是物理或虚拟系统。
主机集合
用户定义的一个或多个主机组,用于批量操作,如勘误安装。
主机组
用于构建主机的模板。主机组保存由主机组成员继承的共享参数,如子网或执行环境。主机组可以嵌套来创建层次结构。
主机镜像
用于置备特定主机的无 PXE 的引导磁盘。主机镜像仅包含访问 Satellite 服务器上安装介质所需的引导文件。
增量升级(内容视图)
在生命周期阶段中创建新的(次)内容视图版本。增量升级提供了一种方法,可以原位修改已发布的内容视图。对于快速更新(例如应用安全勘误时)非常有用。
作业
从 Satellite 服务器在主机上执行的命令。每个任务都在作业模板中定义。
任务模板
定义作业的属性。
Katello
Foreman 插件负责订阅和存储库管理。
lazy 同步
可以将 yum 存储库的默认下载策略 Immediate 更改为 On DemandOn Demand 设置仅在客户端请求请求时下载软件包来保存存储空间和同步时间。
位置
代表物理位置的默认设置集合。
程序库
用于 Satellite 服务器上所有同步存储库的内容的容器。默认情况下,每个机构作为每个生命周期阶段路径的根以及每个内容视图的内容源都默认存在库。
生命周期阶段
用于内容视图版本的容器。生命周期阶段代表生命周期阶段路径中的一个步骤。内容通过发布和提升内容视图来在生命周期环境移动。
生命周期阶段路径
提升内容视图的一系列生命周期阶段。您可以通过典型的提升路径提升内容视图;例如,从开发到测试到生产。
清单(红帽订阅清单)
将订阅从红帽客户门户传输到 Red Hat Satellite 的机制。不要与 Puppet 清单混淆
OpenSCAP
根据安全内容自动化协议(SCAP)实施安全合规审核的项目。OpenSCAP 集成到 Satellite 中,以便为受管主机提供合规审计。
机构(Organization)
Satellite 部署中的系统、内容和其他功能集合。
参数
定义在调配期间 Red Hat Satellite 组件的行为。根据参数范围,我们区分全局、域、主机组和主机参数。根据参数复杂性,我们区分简单参数(键值对)和智能参数(有条件参数、验证、覆盖)。
Parametrized Class (Smart Class Parameter)
通过从 Puppet 服务器导入类创建的参数。
权限
定义与 Satellite 基础架构所选部分(资源类型)相关的操作。每个资源类型都与一组权限关联,例如 Architecture 资源类型具有以下权限: view_architecturescreate_architecturesedit_architecturesdestroy_architectures。您可以将权限分组到角色中,并将它们与用户或用户组关联。
产品
内容存储库的集合。产品可以由红帽 CDN 提供,或者由 Satellite 管理员创建以对自定义存储库进行分组。
提升(内容视图)
将内容视图从一个生命周期阶段移到另一个生命周期的动作。
置备模板
定义主机置备设置。置备模板可以与主机组、执行环境或操作系统关联。
发布(内容视图)
在生命周期阶段中提供内容视图版本并可供主机使用的操作。
Pulp
Katello 中的服务负责存储库和内容管理。
Pulp 镜像
镜像内容的 Capsule 服务器组件。
puppet
Satellite 的配置管理组件。
Puppet 代理
在将配置更改应用到该主机的主机上运行的服务。
Puppet 环境
一组可以与特定 Puppet 模块关联的独立 Puppet 代理节点。
Puppet 清单

指的是 Puppet 脚本,它们是具有 .pp 扩展名的文件。该文件包含一组所需资源的代码,如软件包、服务、文件、用户和组等,对其属性使用一组键值对。

不要与清单 (红帽订阅清单) 混淆。

puppet Server
为主机提供 Puppet 清单的 Capsule 服务器组件,供 Puppet 代理执行。
Puppet 模块
您可以用来管理用户、文件和服务等资源的数据(facts)和数据(事实),一个自包含的代码捆绑包。
重复日志
根据计划自动执行的作业。在 Satellite Web UI 中,您可以在 Monitor > Recurring logics 下查看这些作业。
Registry
容器镜像存档。Satellite 支持从本地和外部 registry 导入镜像。Satellite 本身可以充当主机的镜像 registry。但是,主机无法将更改推送回 registry。
软件仓库
为内容集合提供存储。
资源类型
指的是 Satellite 基础架构的一部分,如主机、公司或架构。用于权限过滤。
角色
指定应用到一组资源(如主机)的权限集合。角色可以分配给用户和用户组。Satellite 提供了很多预定义的角色。
SCAP 内容
包含检查主机的配置和安全基准的文件。用于合规策略。
场景
Satellite CLI 安装程序的一组预定义的设置。场景定义了安装类型,例如安装 Capsule 服务器执行 satellite-installer --scenario 站。每个场景都有自己的回答文件来存储场景设置。
智能卡
可与外部服务(如 DNSDHCP )集成的 Capsule 服务器组件。在上游 Foreman 术语中,智能代理是 Capsule 的一个合成器。
智能变量
由 Puppet 模块中的类使用的配置值。
标准输出(DSL)
在其上部署应用程序的操作系统的受控版本。
子网镜像
用于通过 Capsule 服务器通信的无 PXE 配置的通用镜像。
订阅
从红帽接收内容和服务的权利。
同步
引用将外部资源的内容镜像到 Red Hat Satellite 库。
同步计划
提供已调度内容同步的执行。
任务
在 Satellite 或 Capsule 服务器上执行的后台进程,如存储库同步或内容视图发布。您可以在 Monitor > Tasks 下的 Satellite Web UI 中监控任务状态。
趋势
跟踪 Satellite 基础架构特定部分的更改的方法。在 Monitor > Trends 下配置 Satellite Web UI 中的 趋势
用户组
可分配给一组用户的角色集合。
User
注册到使用 Red Hat Satellite 的任何人。通过内置的逻辑(LDAP、身份管理或 Active Directory)或通过 Kerberos 进行身份验证和授权。
virt-who
从 hypervisor 检索虚拟机 ID 的代理。与 Satellite 一起使用时,virt-who 会向 Satellite 服务器报告这些 ID,以便它为虚拟机上调配的主机提供订阅。

法律通告

Copyright © 2023 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.