概述、概念和部署注意事项
探索 Satellite 架构并规划 Satellite 部署
摘要
对红帽文档提供反馈
我们感谢您对我们文档的反馈。让我们了解如何改进它。
使用 Red Hat JIRA 中的 Create Issue 表单提供您的反馈。JIRA 问题在 Red Hat Satellite Jira 项目中创建,您可以在其中跟踪其进度。
先决条件
- 确保您已注册了 红帽帐户。
流程
- 单击以下链接: 创建问题。如果 Jira 显示登录错误,则登录并在您重定向到表单后继续。
- 完成 Summary 和 Description 字段。在 Description 字段中,包含文档 URL、章节号以及问题的详细描述。不要修改表单中的任何其他字段。
- 点 Create。
部分 I. Satellite 概述和概念
Red Hat Satellite 是一个集中工具,可用于配置、远程管理和监控多个 Red Hat Enterprise Linux 部署。借助 Satellite,您可以在物理、虚拟和云环境中部署、配置和维护您的系统。
第 1 章 使用 Red Hat Satellite 进行内容和补丁管理
使用 Red Hat Satellite,您可以在所有生命周期阶段上提供内容并应用补丁到主机系统。
1.1. Red Hat Satellite 中的内容流
Red Hat Satellite 中的内容流涉及从外部来源管理和分发内容到主机。
Satellite 中的内容 从外部内容源流到 Satellite 服务器。胶囊服务器 将内容从卫星服务器镜像到 主机。
- 外部内容源
- 您可以使用 Satellite 配置许多内容源。支持的内容源包括红帽客户门户网站、Git 存储库、Ansible 集合、Docker Hub、SCAP 存储库或您的机构的内部数据存储。
- Satellite 服务器
- 在管理门户中,您将计划和管理内容生命周期。
- 胶囊服务器
- 通过创建胶囊服务器,您可以根据您的需求在各种位置建立内容源。例如,您可以为每个地理位置建立内容源,或为具有独立网络的数据中心的多个内容源建立。
- 主机
- 通过将主机系统分配给胶囊服务器,或直接分配给您的 Satellite 服务器,您可以确保主机接收它们提供的内容。主机可以是物理或虚拟的。
其他资源
- 详情请查看 第 4 章 Satellite 主组件。
- 有关内容交付网络(CDN)的信息,请参阅管理内容中的管理红帽订阅。
1.2. Red Hat Satellite 中的内容视图
内容视图是主机可访问的内容的一个独立策展子集。通过创建内容视图,您可以定义特定环境或胶囊服务器使用的软件版本。
每个内容视图在每个环境中创建一组存储库。您的 Satellite 服务器存储并管理这些存储库。例如,您可以使用以下方法创建内容视图:
- 生产环境的旧软件包版本的内容视图,以及 开发环境 的较新软件包版本的另一个内容视图。
- 具有操作系统所需软件包存储库的内容视图,以及包含应用所需软件包存储库的另一个内容视图。
- 用于模块化方法管理内容视图的复合内容视图。例如,您可以使用一个内容视图来管理操作系统,以及使用另一个内容视图来管理应用。通过创建一个组合了这两个内容视图的复合内容视图,您可以创建一个从每个内容视图合并存储库的新存储库。但是,内容视图的存储库仍然存在,您也可以单独管理它们。
默认机构视图
Default Organization View 是与 Satellite 同步的所有内容的应用程序控制的内容视图。您可以将主机注册到 Satellite 上的 Library 环境,以便在不配置内容视图和生命周期环境的情况下使用 Default Organization View。
在环境间提升内容视图
当您将内容视图从一个环境提升到应用程序生命周期中的下一个环境时,Satellite 会更新存储库并发布软件包。
例 1.1. 将软件包从 Development 提升到 测试
用于测试和生产的存储库包含 my-software-1.0-0.noarch.rpm
软件包:
开发 | 测试 | Production | |
---|---|---|---|
内容视图的版本 | 版本 2 | 版本 1 | 版本 1 |
内容视图的内容 | my-software-1.1-0.noarch.rpm | my-software-1.0-0.noarch.rpm | my-software-1.0-0.noarch.rpm |
如果您将 Version 2 的内容视图从 Development 提升到 Testing ,则测试更新的存储库,使其包含 my-software-1.1-0.noarch.rpm
软件包:
开发 | 测试 | Production | |
---|---|---|---|
内容视图的版本 | 版本 2 | 版本 2 | 版本 1 |
内容视图的内容 | my-software-1.1-0.noarch.rpm | my-software-1.1-0.noarch.rpm | my-software-1.0-0.noarch.rpm |
这样可确保主机被指定为特定的环境,但当环境使用新版本的内容视图时接收更新。
其他资源
- 如需更多信息,请参阅管理内容中的管理 内容视图 。
1.3. Red Hat Satellite 中的内容类型
使用 Red Hat Satellite,您可以导入和管理许多内容类型。
例如,Satellite 支持以下内容类型:
- RPM 软件包
- 从与您的红帽订阅相关的软件仓库导入 RPM 软件包。Satellite 服务器从 Red Hat Content Delivery Network 下载 RPM 软件包,并将其存储在本地。您可以在内容视图中使用这些存储库及其 RPM 软件包。
- Kickstart 树
- 导入 Kickstart 树以调配主机。新系统通过网络访问这些 Kickstart 树,以用作其安装的基本内容。Red Hat Satellite 包含预定义的 Kickstart 模板。您还可以创建自己的 Kickstart 模板。
- ISO 和 KVM 镜像
- 下载并管理用于安装和配置的介质。例如,Satellite 下载、存储和管理特定 Red Hat Enterprise Linux 和非红帽操作系统的 ISO 镜像以及客户机镜像。
- 自定义文件类型
- 为您需要的任何类型文件(如 SSL 证书、ISO 镜像和 OVAL 文件)管理自定义内容。
1.4. 其他资源
- 有关如何使用 Satellite 管理内容的详情,请参考 管理内容。
第 2 章 使用 Red Hat Satellite 进行订阅管理
通过 Red Hat Satellite,您可以跟踪软件订阅的使用,并根据您的需要分配订阅。
2.1. Red Hat Satellite 中的简单内容访问(SCA)
Satellite 中的简单内容访问(SCA)简化了软件权利的管理。使用 SCA,您可以在 Satellite 中添加有效的订阅到订阅分配或清单中刷新。因此,在启用了 SCA 时,您不需要单独将订阅附加到主机。
简单内容访问(SCA)替换了以前的基于权利的订阅管理方法。新机构默认启用了 SCA。基于权利的订阅管理已弃用。如需更多信息,请参阅发行注记。
其他资源
- 有关 SCA 的详情,请参阅 简单内容访问 - 常见问题解答。
- 有关启用和使用 SCA 的详情,请参阅 简单内容访问。
2.2. 其他资源
- 有关如何使用 Satellite 管理订阅的更多信息,请参阅管理内容。
第 3 章 使用 Red Hat Satellite 进行配置管理
使用 Red Hat Satellite,您可以使用统一界面的许多置备方法在各种计算资源上配置主机。
3.1. 在 Red Hat Satellite 中置备方法
使用 Red Hat Satellite,您可以使用多种方法置备主机。
- 裸机置备
Satellite 通过使用 PXE 引导和 MAC 地址标识主要置备裸机主机。使用 Satellite 置备裸机主机时,您可以执行以下操作:
- 创建主机条目并指定要置备的物理主机的 MAC 地址。
- 引导空白主机以使用 Satellite 发现服务,该服务会创建一个已准备好调配的主机池。
- 云供应商
Satellite 连接到私有和公共云提供商,以调配与云环境存储的映像中的主机实例。使用 Satellite 从云置备时,您可以执行以下操作:
- 选择要使用的硬件配置文件或类别。
- 使用其 API 从特定提供程序置备云实例。
- 虚拟化基础架构
Satellite 连接到虚拟化基础架构服务,如 Red Hat Virtualization 和 VMware。使用 Satellite 置备虚拟机时,您可以执行以下操作:
- 从虚拟映像模板调配虚拟机。
- 使用与裸机提供程序相同的基于 PXE 的引导方法。
3.2. 其他资源
- 有关如何使用 Satellite 置备主机的详情,请参考 置备主机。
第 4 章 Satellite 主组件
典型的 Satellite 部署由以下组件组成: Satellite 服务器、从 Satellite 服务器镜像内容的胶囊服务器,以及从 Satellite 服务器和 Capsule 服务器接收内容和配置的主机。
4.1. Satellite 服务器概述
Satellite 服务器是您计划和管理内容生命周期的 Satellite 部署的核心组件。
典型的 Satellite 部署包含一个 Satellite 服务器,您要执行以下操作:
- 内容生命周期管理
- 配置 Capsule 服务器
- 配置主机
- 主机置备
- 补丁管理
- 订阅管理
Satellite 服务器将内容分发、主机置备和通信委派给胶囊服务器。Satellite 服务器本身还包括一个胶囊。
Satellite 服务器还包含精细的身份验证系统。您可以授予 Satellite 用户权限来精确访问其负责的基础架构的部分。
其他资源
- 有关管理权限的更多信息,请参阅管理 Red Hat Satellite 中的管理用户和角色 。
4.2. Red Hat Satellite 中的机构和位置
在命令行中,您可以定义 多个机构 和位置,以帮助组织内容、主机和配置。
- 机构
组织通常代表不同的业务部门、部门或团队,如 财务、营销 或 Web 开发。
通过创建机构,您可以创建逻辑容器,根据其特定要求单独隔离和管理其配置。
- 位置
位置通常代表物理位置,如国家或城市。
通过创建位置,您可以定义主机所在的地理位置。例如,这在具有多个数据中心的环境中很有用。
4.3. Capsule 概述
借助胶囊服务器,您可以扩展 Satellite 部署的覆盖范围和可扩展性。胶囊服务器在 Red Hat Satellite 部署中提供以下功能:
- 从 Satellite 服务器镜像内容以在各种地理位置或逻辑位置建立内容源。通过将主机注册到胶囊服务器,您可以将此主机配置为从其位置中的胶囊接收内容和配置,而不是从中央 Satellite 服务器接收内容和配置。
- 运行本地化服务来发现、调配、控制和配置主机。
通过使用内容视图,您可以指定胶囊服务器可供主机使用的内容子集。如需更多信息,请参阅 第 1 章 使用 Red Hat Satellite 进行内容和补丁管理。
4.4. Satellite 中的主机概述
主机是 Red Hat Satellite 管理的任何 Linux 客户端。主机可以是物理或虚拟的。
您可以在 Red Hat Satellite 支持的任何平台上部署虚拟主机,如 Amazon EC2、Google Compute Engine、KVM、libvirt、Microsoft Azure、OpenStack、Red Hat Virtualization、Rackspace Cloud Services 或 VMware vSphere。
通过 Satellite,您可以大规模管理主机,包括监控、配置、远程执行、配置管理、软件管理和订阅管理。
4.5. Satellite 服务器的主要开源组件列表
Satellite 由多个开源项目组成,它们相互集成,如下所示:
- Foreman
- Foreman 是物理和虚拟系统的生命周期管理应用。它有助于管理整个生命周期中的主机,如置备和配置到编配和监控。
- Katello
- Katello 是 Foreman 的一个插件,它扩展了 Foreman 功能,具有内容、订阅和存储库管理的其他功能。Katello 使 Satellite 能够订阅红帽软件仓库并下载内容。
- Candlepin
- Candlepin 是订阅管理的服务。
- Pulp
- Pulp 是用于存储库和内容管理的服务。
4.6. 胶囊功能
胶囊服务器提供本地主机管理服务,并且可以从 Satellite 服务器镜像内容。
要从 Satellite 服务器镜像内容,Capsule 提供以下功能:
- 仓库同步
- 胶囊服务器从 Satellite 服务器拉取所选生命周期环境的内容,并将这些内容提供给其管理的主机。
- 内容交付
- 主机配置为使用胶囊服务器从该胶囊而不是从卫星服务器下载内容。
- 主机操作交付
- 胶囊服务器对主机执行计划的操作。
- Red Hat Subscription Management (RHSM)代理
- 主机注册到其关联的胶囊服务器,而不是中央 Satellite 服务器或红帽客户门户。
您可以使用 Capsule 为基础架构和主机管理运行以下服务:
- DHCP
- 胶囊可以管理 DHCP 服务器,包括与现有解决方案集成,如 ISC DHCP 服务器、Active Directory 和 Libvirt 实例。
- DNS
- 胶囊可以管理 DNS 服务器,包括与现有解决方案集成,如 ISC BIND 和 Active Directory。
- TFTP
- 胶囊可以与任何基于 UNIX 的 TFTP 服务器集成。
- realm
- 胶囊可以管理 Kerberos 域或域,以便主机可以在调配期间自动加入它们。胶囊可以与现有基础架构集成,包括红帽身份管理和 Active Directory。
- Puppet 服务器
- 胶囊可以通过运行 Puppet 服务器来充当配置管理服务器。
- Puppet 证书颁发机构
- 胶囊可以与 Puppet 证书颁发机构(CA)集成,以向主机提供证书。
- Baseboard Management Controller (BMC)
- 胶囊可以使用智能平台管理接口(IPMI)或 Redfish 标准为主机提供电源管理。
- 置备模板代理
- 胶囊可以向主机提供调配模板。
- OpenSCAP
- 胶囊可以在主机上执行安全合规性扫描。
- 远程执行(REX)
- Capsule 可以在主机上运行远程作业执行。
您可以通过仅在该胶囊上启用所选功能,为特定有限的目的配置胶囊服务器。常见配置包括:
- 基础架构胶囊:DNS + DHCP + TFTP
- 胶囊与这些服务为主机提供基础架构服务,并且具有调配新主机的所有必要服务。
- 内容胶囊:Pulp
- 具有此服务的胶囊提供从 Satellite 服务器同步到主机的内容。
- 配置胶囊: Pulp + Puppet + PuppetCA
- 带有这些服务的胶囊为主机提供内容并运行配置服务。
- 带有 DNS + DHCP + TFTP + Pulp + Puppet + PuppetCA 的 Capsules
- 胶囊与这些服务一起提供一组完整的胶囊功能。通过使用所有这些功能配置胶囊,您可以通过为主机提供单一连接点来隔离分配给该胶囊的主机。
4.7. 胶囊网络
注册到胶囊服务器的卫星服务器和主机之间的通信通过该胶囊服务器进行路由。胶囊服务器还为主机提供 Satellite 服务。
胶囊服务器管理的许多服务都使用专用网络端口。但是,胶囊服务器确保主机到 Satellite 服务器的所有通信都使用单一源 IP 地址,从而简化防火墙管理。
带有连接到胶囊的主机的 Satellite 拓扑
在这个拓扑中,Capsule 为所有主机网络通信提供了一个端点,以便在远程网络段中,只能打开到胶囊本身的防火墙端口。
图 4.1. 当主机连接到 Capsule 时,Satellite 组件如何进行交互
Satellite 拓扑与直接连接到 Satellite 服务器的主机
在此拓扑中,主机连接到 Satellite 服务器而不是 Capsule。这也适用于胶囊本身,因为胶囊服务器是 Satellite 服务器的主机。
图 4.2. 当主机直接连接到 Satellite 服务器时,Satellite 组件如何进行交互
其他资源
您可以在以下文档中找到配置基于主机的防火墙以打开所需端口的完整说明:
4.8. 其他资源
- 如需了解有关 Capsule 服务器要求、安装和可扩展性注意事项的详细信息,请参阅安装 Capsule 服务器。
- 如需了解有关在胶囊服务器之间分发负载的详细信息,请参阅使用负载均衡器配置 Capsules。
第 5 章 Red Hat Satellite 管理的工具
您可以使用多个工具来管理 Red Hat Satellite。
5.1. Satellite Web UI 概述
您可以使用 Satellite Web UI 从浏览器中管理和监控 Satellite 基础架构。例如,您可以在 Satellite Web UI 中使用以下导航功能:
导航功能 | 描述 |
---|---|
机构 下拉菜单 | 选择您要管理的组织。 |
位置 下拉菜单 | 选择您要管理的位置。 |
Monitor | 提供概述仪表板和报告。 |
内容 | 提供内容管理工具。这包括内容视图、激活码和生命周期环境。 |
主机 | 提供主机清单和调配配置工具。 |
配置 | 提供常规配置工具和数据,包括主机组和 Ansible 内容。 |
基础架构 | 提供用于配置 Satellite 如何与环境交互的工具。 |
| 提供事件通知,让管理员更好地了解重要环境更改。 |
管理 | 为设置提供高级配置,如用户、基于角色的访问控制(RBAC)和常规设置。 |
其他资源
- 有关使用 Satellite Web UI 的详细信息,请参阅管理 Red Hat Satellite。
5.2. Hammer CLI 概述
您可以使用 Hammer 通过 CLI 命令配置和管理您的 Satellite 服务器。
使用 Hammer 有以下优点:
- 基于 Hammer 命令创建用于基本任务自动化的 shell 脚本。
- 将 Hammer 的输出重定向到其他工具。
-
将
--debug
选项与 Hammer 一起使用,在应用脚本中的 API 调用前测试对 API 调用的响应。例如:hammer --debug 组织列表
。
要发出 Hammer 命令,用户必须有权访问您的 Satellite 服务器。
为确保用户友好且直观的体验,Satellite Web UI 在开发新功能时具有优先权。因此,Satellite Web UI 中提供的一些功能可能还不适用于 Hammer。
在后台,每个 Hammer 命令首先建立与 API 的绑定,然后发送请求。在按顺序执行大量 Hammer 命令时,这可能会具有性能影响。相反,使用 API 命令的脚本直接与 Satellite API 通信,它们仅建立绑定一次。
其他资源
5.3. Satellite API 概述
您可以使用 Satellite 服务器提供的 Representational State Transfer (REST) API 编写通过 HTTP 访问 Satellite API 的自定义脚本和外部应用。使用 REST API 与企业 IT 系统和第三方应用程序集成,执行自动化维护或错误检查任务,并使用脚本自动执行重复性任务。
使用 REST API 有以下优点:
- 配置任何支持 HTTP 协议的编程语言、框架或系统以使用 API。
- 创建需要 Satellite 基础架构的最小知识的客户端应用,因为用户在运行时发现许多详细信息。
- 采用基于资源的 REST 模型,以直观地管理虚拟化平台。
基于 API 命令的脚本直接与 Satellite API 通信,这使其比基于 Hammer 命令的脚本更快,或依赖于 redhat.satellite 中的模块的 Ansible playbook。
API 命令因 Satellite 版本而异。当您准备升级 Satellite 服务器时,请更新包含 Satellite API 命令的所有脚本。
其他资源
- 有关使用 Satellite API 的详情,请参阅 API 指南。
5.4. 在 Red Hat Satellite 中远程执行
通过远程执行,您可以使用 shell 脚本或 Ansible 任务和 playbook 在胶囊中远程运行作业。
对 Satellite 中的以下优点使用远程执行:
- 同时在多个主机上运行作业。
- 使用命令中的变量来更加精细地控制您运行的作业。
- 使用主机事实和参数来填充变量值。
- 运行命令时为模板指定自定义值。
远程执行的通信通过胶囊服务器进行,这意味着 Satellite 服务器不需要直接访问目标主机,并可扩展来管理多个主机。
要使用远程执行,您必须定义一个作业模板。作业模板是您要应用到远程主机的命令。您可以多次执行作业模板。
Satellite 使用 ERB 语法作业模板。如需更多信息, 请参阅管理主机中的模板编写参考。
默认情况下,Satellite 包含多个用于 shell 脚本和 Ansible 的作业模板。如需更多信息,请参阅管理主机中的 设置作业模板 。
5.5. 使用 Ansible 集合管理 Satellite
Satellite Ansible Collections 是一组与 Satellite API 交互的 Ansible 模块。您可以使用 Satellite Ansible 集合管理和自动化 Satellite 的很多方面。
其他资源
5.6. Kickstart 工作流
您可以通过创建一个包含安装所需的所有信息的 Kickstart 文件来自动执行 Satellite 服务器或 Capsule 服务器的安装过程。
运行 Red Hat Satellite Kickstart 脚本时,该脚本执行以下操作:
- 它指定 Satellite 服务器或胶囊服务器的安装位置。
- 它安装预定义的软件包。
- 它安装 Subscription Manager。
- 它使用激活码将主机订阅到 Red Hat Satellite。
-
它安装 Puppet,并配置
puppet.conf
文件来指示 Red Hat Satellite 或 Capsule 实例。 - 它允许 Puppet 运行并请求证书。
- 它运行用户定义的代码片段。
其他资源
有关 Kickstart 的详情,请参考 执行高级 RHEL 8 安装 中的 使用 Kickstart 执行自动安装。
第 6 章 支持的 Satellite 组件使用和版本
Satellite 支持以下用例、架构和版本。
6.1. 支持的 Satellite 组件使用
仅在 Red Hat Satellite 上下文中支持所有 Red Hat Satellite 组件的使用,如下所述。
- Red Hat Enterprise Linux Server
每个 Red Hat Satellite 订阅都包括一个受支持的 Red Hat Enterprise Linux Server 实例。仅出于运行 Red Hat Satellite 的目的保留此实例。
不支持:使用 Satellite 中包含的操作系统来运行环境中的其他守护进程、应用程序或服务。
- SELinux
确保 SELinux 处于 enforcing 模式或 permissive 模式。
不支持:在禁用 SELinux 的情况下安装。
- Foreman
您可以使用 Red Hat Satellite 打包的插件来扩展 Foreman。有关支持的 Foreman 插件的信息,请参阅红帽知识库中的 Satellite 6 组件版本。
不支持:使用 Red Hat Satellite Optional 软件仓库中的插件扩展 Foreman。
Red Hat Satellite 还包括用于置备和配置 Red Hat Enterprise Linux 以外的操作系统的组件、配置和功能。虽然包括这些功能,但红帽只支持它们用于 Red Hat Enterprise Linux。
- Pulp
仅使用 Satellite Web UI、CLI 和 API 与 Pulp 交互。
不支持:直接修改或与 Pulp 本地 API 或数据库交互。这可能会对 Red Hat Satellite 数据库造成破坏。
- Candlepin
仅使用 Satellite Web UI、CLI 和 API 与 Candlepin 交互。
不支持:直接与 Candlepin、其本地 API 或数据库交互。这可能会对 Red Hat Satellite 数据库造成破坏。
- 嵌入式 Tomcat Application Server
仅使用 Satellite Web UI、API 和数据库与嵌入式 Tomcat 应用服务器交互。
不支持:直接与嵌入式 Tomcat 应用服务器本地 API 或数据库交互。
- puppet
- 运行 Satellite 安装程序时,您可以安装并配置 Puppet 服务器作为 Capsule 服务器的一部分。红帽也支持在卫星服务器或任何胶囊服务器上的 Puppet 服务器上运行的 Puppet 模块。
其他资源
- 红帽支持许多不同的脚本和其他框架。请参阅红帽知识库中的 红帽支持脚本框架。
6.2. 支持用于内容管理的客户端架构
您可以使用 Red Hat Enterprise Linux 和硬件架构的以下组合来注册和管理主机。Red Hat Satellite Client 6 软件仓库也可用于这些组合。
平台 | 构架 |
---|---|
Red Hat Enterprise Linux 9 | x86_64, ppc64le, s390x, aarch64 |
Red Hat Enterprise Linux 8 | x86_64, ppc64le, s390x |
Red Hat Enterprise Linux 7 | x86_64, ppc64 (BE), ppc64le, aarch64, s390x |
Red Hat Enterprise Linux 6 | x86_64, i386, s390x, ppc64 (BE) |
6.3. 主机置备支持的客户端架构
您可以使用以下组合的 Red Hat Enterprise Linux 和硬件架构(Red Hat Enterprise Linux)和硬件架构的组合进行主机置备。
平台 | 构架 |
---|---|
Red Hat Enterprise Linux 9 | x86_64 |
Red Hat Enterprise Linux 8 | x86_64 |
Red Hat Enterprise Linux 7 | x86_64 |
Red Hat Enterprise Linux 6 | x86_64, i386 |
6.4. 支持的配置管理客户端架构
您可以使用 Red Hat Enterprise Linux 的主版本和硬件架构(通过 Satellite 进行配置管理)的以下组合。
平台 | 构架 |
---|---|
Red Hat Enterprise Linux 9 | x86_64 |
Red Hat Enterprise Linux 8 | x86_64, aarch64 |
Red Hat Enterprise Linux 7 | x86_64 |
Red Hat Enterprise Linux 6 | x86_64, i386 |
6.5. 其他资源
部分 II. Satellite 部署计划
第 7 章 常见部署场景
本节概述了 Red Hat Satellite 的常见部署场景。请注意,以下布局的多种变体和组合是可能的。
7.1. 单个位置
集成胶囊 是虚拟胶囊服务器,在安装过程中在 Satellite 服务器中默认创建。这意味着 Satellite 服务器可用于在单个地理位置为 Satellite 部署调配直接连接的主机,因此只需要一台物理服务器。隔离胶囊的基本系统可以直接由 Satellite 服务器管理,但不建议使用此布局来管理远程位置上的其他主机。
7.2. 带有隔离子网的单个位置
即使 Red Hat Satellite 在单一地理位置部署,您的基础架构可能需要多个隔离的子网。例如,这可通过部署具有 DHCP 和 DNS 服务的多个胶囊服务器来实现,但推荐的方法是使用单一胶囊创建分隔的子网。然后,此胶囊用于管理这些隔离网络中的主机和计算资源,以确保它们只能访问胶囊以进行调配、配置、勘误表和常规管理。有关配置子网的更多信息,请参阅管理主机。
7.3. 多个位置
建议为每个地理位置至少创建一个胶囊服务器。这种方法可以节省带宽,因为主机从本地胶囊服务器获取内容。从远程存储库同步内容仅由胶囊执行,而不是由位置中的每个主机进行。此外,这种布局使调配基础架构更加可靠且更易于配置。
7.4. 断开连接的 Satellite
在与互联网断开连接的封闭网络中需要主机运行高安全性的环境中,Red Hat Satellite 可以置备具有最新安全更新、勘误、软件包和其他内容的系统。在这种情况下,Satellite 服务器无法直接访问互联网,但其他基础架构组件的布局不受影响。有关从断开连接的网络安装 Satellite 服务器的详情,请参考 在断开连接的网络环境中安装 Satellite 服务器。有关升级断开连接的 Satellite 的详情,请参考 升级 连接的 Red Hat Satellite 到 6.15 中的 升级断开连接的 Satellite 服务器。
将内容导入到断开连接的 Satellite 服务器有两个选项:
- 使用内容 ISO 断开连接的 Satellite - 在此设置中,您可以使用红帽客户门户网站中的内容下载 ISO 镜像,并将它们提取到 Satellite 服务器或本地 Web 服务器。然后,Satellite 服务器上的内容会同步本地。这允许 Satellite 服务器的完整网络隔离,但内容 ISO 镜像的发布频率约为 6 周,并不是所有产品内容都包括。要查看您的订阅中可用的内容 ISO 镜像的产品,请登录红帽客户门户网站 https://access.redhat.com,进入 Downloads > Red Hat Satellite,然后点 Content ISOs。有关如何将内容 ISO 导入到断开连接的 Satellite 的说明,请参阅 管理内容 中的 配置 Satellite 以使用本地 CDN 服务器 同步内容。请注意,之前托管在 redhat.com 上用于导入到 Satellite 服务器的内容 ISO 已被弃用,并将在下一个 Satellite 版本中删除。
- 断开连接的 Satellite 与 Inter-Satellite Synchronization - 在此设置中,您要安装一个连接的 Satellite 服务器并从中导出内容,以使用一些存储设备填充断开连接的 Satellite。这允许以您选择的频率导出红帽提供的和自定义内容,但需要使用单独的订阅部署额外的服务器。有关如何在 Satellite 中配置 Satellite 同步的说明,请参阅管理内容中的在 Satellite 服务器间同步 内容。
以上将内容导入到断开连接的 Satellite 服务器的方法也可用于加快连接的 Satellite 的初始填充。
7.5. 带有外部服务的 Capsule
您可以配置胶囊服务器(集成或独立),以使用外部 DNS、DHCP 或 TFTP 服务。如果您已有在环境中提供这些服务的服务器,您可以将该服务与您的 Satellite 部署集成。有关如何使用外部服务配置胶囊的详情,请参考 安装 胶囊式服务器 中的 配置具有外部服务的 胶囊服务器。
第 8 章 部署注意事项
本节概述了规划 Red Hat Satellite 部署时需要考虑的一般主题,以及对更具体的文档的建议和参考。
8.1. Satellite 服务器配置
工作 Satellite 基础架构的第一步是在专用的 Red Hat Enterprise Linux 8 服务器上安装 Satellite 服务器实例。
有关在连接的网络中安装 Satellite 服务器的更多信息,请参阅 在连接的网络环境中安装 Satellite 服务器。
在大型 Satellite 部署中,您可以使用预定义的调优配置文件配置 Satellite 来提高性能。如需更多信息,请参阅在 连接的网络环境中安装 Satellite 服务器 中的 使用预定义的配置文件调优 Satellite 服务器。
有关在断开连接的网络中安装 Satellite 服务器的更多信息,请参阅 在断开连接的环境中安装 Satellite 服务器。
在大型 Satellite 部署中,您可以使用预定义的调优配置文件配置 Satellite 来提高性能。如需更多信息,请参阅 在断开连接的环境中安装 Satellite 服务器 中的 使用预定义的配置文件调优 Satellite 服务器。
在 Satellite 服务器中添加红帽订阅清单
Red Hat Subscription Manifest 是包含您的订阅信息的一组加密文件。Satellite 服务器使用此信息访问 CDN,并查找哪些存储库可用于关联的订阅。有关如何创建和导入红帽订阅清单的说明,请参阅 管理内容 中的 管理红帽订阅 。
Red Hat Satellite 需要 Satellite 上配置的每个机构有一个清单。如果您计划使用 Satellite 的机构功能在一个 Red Hat Network 帐户下管理基础架构的独立单元,则根据需要将订阅从一个帐户分配给每个机构清单。
如果您计划拥有多个红帽网络帐户,或者想要管理属于其他实体的系统,而这些实体也是红帽网络帐户持有者,那么您和其他帐户持有者可以根据需要将订阅分配到清单。没有 Satellite 订阅的客户可以创建订阅资产管理器清单,如果它们还有其他有效的订阅,则可以与 Satellite 一起使用。然后,您可以使用一个 Satellite 服务器中的多个清单来管理多个机构。
如果您必须管理系统,但无法访问 RPM 订阅,则必须使用 Red Hat Enterprise Linux Satellite 附加组件。如需更多信息,请参阅 Satellite 附加组件。
下图显示了两个红帽网络客户持有者,他们希望其系统由同一 Satellite 安装管理。在这种情况下,Example Corporation 1 可将 60 个订阅的任何子集(在这个示例中已分配 30 个订阅)分配给清单。这可以作为不同的组织导入到 Satellite 中。这使系统管理员能够使用 Satellite 完全独立于 Example Corporation 2 的组织(R&D、操作和工程)管理 Example Corporation 1 的系统。
图 8.1. 带有多个清单的 Satellite 服务器
在创建 Red Hat Subscription Manifest 时:
- 如果计划一个断开连接的或自我注册的 Satellite 服务器,请将 Satellite 服务器的订阅添加到清单中。对于在基本系统上使用 Subscription Manager 实用程序订阅的连接的 Satellite 服务器不需要这样做。
- 为您要创建的所有胶囊服务器添加订阅。
- 为您要使用 Satellite 管理的所有红帽产品添加订阅。
- 请注意订阅到期的时间,并在过期日期前计划续订的日期。
- 为每个机构创建一个清单。您可以使用多个清单,它们来自不同红帽订阅。
Red Hat Satellite 允许在清单中使用未来日期的订阅。这会在现有订阅的过期日期前添加到清单中时,对存储库进行不间断访问。
请注意,如果基础架构出现任何变化,或者添加更多订阅时,可以修改 Red Hat Subscription Manifest 并重新加载到 Satellite 服务器。不应删除清单。如果您从 红帽客户门户网站 或 Satellite Web UI 中删除清单,它将取消注册您的所有内容主机。
8.2. 带有外部数据库的 Satellite 服务器
安装 Satellite 时,satellite-installer
命令会在安装 Satellite 的同一服务器上创建数据库。根据您的要求,移动到外部数据库可为 Satellite 提供增加的工作内存,这可以提高数据库操作请求的响应时间。移动到外部数据库分发工作负载,并可增加容量来性能调优。
如果您计划在以下情况下使用 Satellite 部署,请考虑使用外部数据库:
- 频繁执行远程执行任务。这会在 PostgreSQL 中创建大量记录,并生成繁重的数据库工作负载。
- 频繁存储库同步或内容视图发布中的高磁盘 I/O 工作负载。这会导致 Satellite 在 PostgreSQL 中为每个作业创建一个记录。
- 大量主机。
- 大量同步内容。
有关使用外部数据库的更多信息,请参阅在连接的网络环境中安装 Satellite 服务器中的将外部数据库与 Satellite 搭配使用。
8.3. 位置和拓扑
本节概述了应帮助您指定 Satellite 部署场景的一般注意事项。最常见的部署场景列在 第 7 章 常见部署场景 中。定义问题是:
- 需要多少个胶囊服务器? - 组织运行的地理位置的数量应转换为胶囊服务器的数量。通过为每个位置分配 Capsule,您可以减少 Satellite 服务器上的负载,增加冗余,并减少带宽使用量。Satellite 服务器本身可以充当胶囊(默认情况下包含集成的胶囊)。这可以在单一位置部署中使用,并调配基础系统的胶囊服务器。不建议使用集成的 Capsule 与远程位置的主机通信,因为它可能会导致网络利用率不佳。
- 胶囊服务器将提供哪些服务? - 建立胶囊数后,决定在每个胶囊上启用哪些服务。虽然内容和配置管理功能的整个堆栈可用,但有些基础架构服务(DNS、DHCP、TFTP)可以在 Satellite 管理员控制之外。在这种情况下,胶囊必须与这些外部服务集成(请参阅 第 7.5 节 “带有外部服务的 Capsule”)。
- 需要从互联网断开我的 Satellite 服务器吗? - 断开连接的 Satellite 是一个常见的部署场景(请参阅 第 7.4 节 “断开连接的 Satellite”)。如果您需要在断开连接的 Satellite 上频繁更新红帽内容,请为 Inter-Satellite Synchronization 规划额外的 Satellite 实例。
- 除了调配裸机主机 外,我需要哪些计算资源? - 除了配置裸机主机外,您可以使用 Satellite 支持的各种计算资源。要了解在不同计算资源上置备的信息,请参阅 置备主机。
8.4. 内容源
Red Hat Subscription Manifest 决定可从 Satellite 服务器访问哪些红帽软件仓库。启用红帽存储库后,会自动创建关联的 Satellite 产品。要从自定义源分发内容,您需要手动创建产品和存储库。默认情况下,红帽软件仓库使用 GPG 密钥签名,建议为您的自定义存储库创建 GPG 密钥。
仅包含 RPM 软件包的 yum 软件仓库支持 按需 下载策略,这可减少同步时间和存储空间。On demand 下载策略只能通过在主机请求时下载软件包来节省空间和时间。有关设置内容源的详细信息,请参阅 管理内容 中的 导入内容。
大多数情况下,Satellite 服务器中的自定义存储库会填充来自外部暂存服务器的内容。但是,此类服务器位于 Satellite 基础架构之外,但建议在这些服务器上使用修订控制系统(如 Git)来更好地控制自定义内容。
8.5. 内容生命周期
Satellite 提供精确管理内容生命周期的功能。生命周期环境 代表内容生命周期中的一个阶段,内容视图 是过滤的内容集合,可被视为已定义的内容子集。通过将内容视图与生命周期环境关联,您可以以定义的方式向主机提供内容。
有关内容管理流程的详细概述,请参阅 管理内容 中的 导入自定义内容。下面的部分提供了部署内容视图和生命周期环境的一般场景。
名为 Library 的默认生命周期环境从所有连接的源收集内容。不建议将主机直接与 Library 关联,因为它会阻止在提供给主机前测试任何内容。相反,创建一个适合您的内容工作流的生命周期环境路径。以下情况很常见:
单个生命周期环境 - 来自库的内容直接提升到生产阶段。这种方法限制了复杂性,但仍然允许测试库中的内容,然后再将它提供给主机。
单个生命周期环境路径 - 操作系统和应用程序内容都通过同一路径提升。该路径可由几个阶段组成(如 Development、QA、Production),其进行全面的测试,但需要额外的工作。
特定于应用程序的生命周期环境路径 - 每个应用程序都有单独的路径,允许单独的应用程序发行周期。您可以将特定的计算资源与应用程序生命周期阶段相关联,以便进行测试。另一方面,这种情况会增加维护复杂性。
以下内容视图场景很常见:
- All in an content view - 包含大多数主机所需的所有内容的内容视图。减少内容视图数量是部署具有受限资源(时间、存储空间)或统一主机类型的部署的优点。但是,这种情况限制了内容视图功能,如基于时间的快照或智能过滤。内容源的任何更改都会影响主机的比例。
- 主机特定的内容视图 - 每种主机类型的专用内容视图。这个方法可用于带有少量主机类型的部署(最多 30 个)。但是,它可防止跨主机类型共享内容,并根据主机类型以外的条件分离(例如,在操作系统和应用程序之间)。随着关键的更新,每个内容视图都必须更新,从而增加维护工作。
- 主机特定的复合内容视图 - 每种主机类型的内容视图 专用组合。这种方法支持分隔特定于主机和共享内容,例如,您可以为操作系统和应用程序内容具有专用内容视图。通过使用复合,您可以单独管理操作系统和应用程序。
- 基于组件的内容视图 - 特定应用程序的专用内容视图。例如,数据库内容视图可以包含在多个复合内容视图中。这种方法可以实现更高的标准化,但会带来更多数量的内容视图。
最佳解决方案取决于您的主机环境的性质。避免创建大量内容视图,但请注意,内容视图的大小会影响相关操作的速度(发布、提升)。另外,请确保为内容视图创建软件包子集时,也会包括所有依赖项。请注意,kickstart 存储库不应添加到内容视图中,因为它们仅用于主机调配。
8.6. 内容部署
内容部署管理内容主机上的勘误表和软件包。Satellite 可以配置为通过 MQTT/HTTPS (基于拉取)或 SSH (基于推送)执行远程执行。虽然默认情况下,在 Satellite 服务器上启用了远程执行,但它在胶囊服务器和内容主机上被禁用。您必须手动启用它。
8.7. 置备
Satellite 提供了多个功能,可帮助您自动执行主机调配,包括调配模板、通过 Puppet 进行配置管理,以及用于标准化主机角色调配的主机组。有关置备工作流的描述,请参阅 置备主机 中的 置备工作流 。相同的指南包含调配各种计算资源的说明。
8.8. 基于角色的身份验证
为用户分配角色,可以根据一组权限控制对 Satellite 组件的访问。您可以将基于角色的身份验证视为阻止不应与它们交互的用户的不必要的对象。
有各种标准来区分组织内的不同角色。除了管理员角色外,以下类型也很常见:
- 与 应用程序或基础架构部分相关的 角色(例如,Red Hat Enterprise Linux 所有者作为操作系统与应用服务器及数据库服务器的所有者)的角色。
- 与软件生命周期特定阶段相关的 角色(例如,角色划分到开发、测试和生产阶段),其中每个阶段都有一个或多个所有者。
- 与 特定任务相关的角色,如安全管理器或许可证管理器。
在定义自定义角色时,请考虑以下建议:
- 定义预期的任务和职责 - 定义可供角色访问的 Satellite 基础架构的子集以及对这个子集允许的操作。考虑角色的职责及其与其他角色的不同方式。
- 尽可能使用预定义角色 - Satellite 提供了多个示例角色,它们可以单独使用或作为角色组合的一部分。复制和编辑现有角色是创建自定义角色的良好起点。
- 考虑所有受影响的实体 - 例如,内容视图提升会自动为特定生命周期环境和内容视图组合创建新的 Puppet 环境。因此,如果角色希望提升内容视图,它还需要创建和编辑 Puppet 环境的权限。
- 考虑感兴趣的领域 - 即使角色具有有限的责任区域,但可能更广泛关注领域。因此,您可以为角色授予影响其职责区域的部分的只读访问权限。这允许用户提前访问有关潜在更改的信息。
- 按步骤添加权限步骤 - 测试您的自定义角色,以确保它按预期工作。如果出现问题,最好是从有限的权限集开始,逐步添加权限步骤,并持续测试。
有关定义角色并将其分配给用户的说明,请参阅管理 Red Hat Satellite 中的管理用户和角色 。相同的指南包含有关配置外部身份验证源的信息。
8.9. 其他任务
本节提供了所选 Satellite 功能的简短概述,可用于自动化某些任务或扩展 Satellite 的核心使用:
- 发现裸机主机 - Satellite 发现插件允许在 provisioning 网络中自动发现未知主机。这些新主机将自身注册到 Satellite 服务器和客户端上的 Puppet 代理上传由 Facter 收集的系统事实,如串行 ID、网络接口、内存和磁盘信息。注册后,您可以初始化这些已发现主机的调配。如需更多信息,请参阅 置备主机 中的 从发现主机创建 主机。
- 备份管理 备份和灾难恢复说明,请参阅 管理 Red Hat Satellite 中的 备份 Satellite 服务器和 Capsule 服务器。使用远程执行,您还可以在主机上配置重复的备份任务。有关远程执行的更多信息 ,请参阅管理主机中的配置和设置 远程作业。
- 安全管理 - Satellite 支持多种安全管理,包括更新和勘误表管理、用于系统验证的 OpenSCAP 集成、更新和安全合规性报告以及细粒度角色的身份验证。查找有关管理主机 中的勘误表管理和 OpenSCAP 概念的更多信息。 https://docs.redhat.com/en/documentation/red_hat_satellite/6.15/html-single/managing_hosts/index#
- 事件管理 - Satellite 通过提供对所有系统的集中概述(包括报告和电子邮件通知)来支持事件管理流程。每个主机的详细信息可从 Satellite 服务器访问,包括最近更改的事件历史记录。Satellite 也与 Red Hat Insights 集成。
- 使用 Hammer 和 API 编写脚本 - Satellite 提供了一个名为 Hammer 的命令行工具,它提供与大多数 Web UI 流程等效的 CLI。此外,您可以使用对 Satellite API 的访问,以所选编程语言编写自动化脚本。如需更多信息,请参阅 Hammer CLI 指南和 API 指南。
第 9 章 机构、位置和生命周期环境
Red Hat Satellite 采取整合的机构和位置管理方法。系统管理员在单一卫星服务器中定义多个机构和多个位置。例如,公司在三个国家(美国、英国和日本)之间可能有三个机构(财务、营销和销售)。在本例中,Satellite 服务器管理跨所有地理位置的所有组织,为管理系统创建 9 个不同的上下文。此外,用户可以定义特定位置,并将它们嵌套以创建层次结构。例如,Satellite 管理员可以将美国分成特定的城市,如 Boston、Phoenix 或 San Air。
图 9.1. Red Hat Satellite 的拓扑示例
Satellite 服务器定义所有位置和组织。每个对应的 Satellite Capsule 服务器同步内容,并处理不同位置的系统配置。
主 Satellite 服务器保留管理功能,而内容和配置在主 Satellite 服务器和分配给特定位置的胶囊服务器之间同步。
9.1. 机构
组织根据所有权、目的、内容、安全级别或其他部门将 Red Hat Satellite 资源划分为逻辑组。您可以通过 Red Hat Satellite 创建和管理多个机构,然后将您的订阅划分并分配到每个机构。这提供了在一个管理系统下管理多个组织的内容的方法。
9.2. 位置
位置根据地理位置将组织划分为逻辑组。各个位置由单个帐户创建和使用,但每个帐户可以管理多个位置和组织。
9.3. 生命周期环境
应用程序生命周期被分为生命周期环境,它们代表应用程序生命周期的每个阶段。生命周期环境链接到组成 环境路径。在需要时,您可以提升内容以及环境路径到下一个生命周期环境。例如,如果应用程序的特定版本的开发结束,您可以将此版本提升到测试环境,并在下一版本开始开发。
图 9.2. 包含四个环境的环境路径
第 10 章 主机分组概念
除了胶囊服务器的物理拓扑外,Red Hat Satellite 还提供了多个逻辑单元来对主机进行分组。属于这些组成员的主机继承组配置。例如,定义置备环境的简单参数可在以下级别应用:
Global > Organization > Location > Domain > Host group > Host
Red Hat Satellite 中的主要逻辑组是:
- Organizations - 主机的最高级别的逻辑组。组织提供了强大的内容和配置分离。每个机构都需要单独的红帽订阅清单,并可被视为 Satellite 服务器的单独虚拟实例。如果应用较低级别的主机分组,请避免使用机构。
- locations - 应该与物理位置匹配的一组主机。位置可用于映射网络基础架构,以防止主机放置或配置不正确。例如,您无法直接将子网、域或计算资源分配到胶囊服务器,仅分配给位置。
- 主机组 - 主机 定义的主要载体,包括已分配的 Puppet 类、内容视图或操作系统。建议您在主机组级别配置大多数设置,而不是直接定义主机。然后,配置新主机会成为将其添加到正确的主机组中的问题。因为主机组可以嵌套,您可以创建一个最适合您的要求的结构(请参阅 第 10.1 节 “主机组结构”)。
- 主机集合 - 为订阅和内容管理注册的主机称为 内容主机。内容主机可以组织到主机集合中,可以执行批量操作,如软件包管理或勘误表安装。
位置和主机组可以嵌套。机构和主机集合是扁平。
10.1. 主机组结构
主机组可以嵌套,以相互继承参数,允许设计适合特定工作流的主机组层次结构。计划良好的主机组结构有助于简化主机设置的维护。本节概述了组织主机组的四个方法。
图 10.1. 主机组结构示例
扁平结构
扁平结构的优点有限,因为避免继承。在有大量主机类型的部署中,这种场景是最佳选择。但是,如果没有继承,则主机组之间设置存在高重复的风险。
基于生命周期环境的结构
在这个层次结构中,第一个主机组级别是为特定于生命周期环境的参数保留。第二个级别包含与操作系统相关的定义,第三级别包含特定于应用程序的设置。如果职责划分在生命周期环境(例如,开发、QA 和 Production 生命周期阶段的专用所有者)时,此类结构很有用。
基于应用程序的结构
这种层次结构基于特定应用程序中的主机角色。例如,它允许为后端和前端服务器组定义网络设置。所选主机的特征是隔离的,它支持以 Puppet 为中心的复杂配置进行管理。但是,内容视图只能分配给此层次结构底部的主机组。
基于位置的结构
在这种层次结构中,位置分布与主机组结构一致。在位置(Capsule Server)拓扑决定许多其他属性的情况下,此方法是最佳选择。另一方面,此结构跨位置共享参数,因此在具有大量应用的复杂环境中,每个配置更改所需的主机组更改数量会显著增加。
第 11 章 置备概念
Red Hat Satellite 的一个重要功能是主机无人值守调配。为了实现此目的,Red Hat Satellite 使用 DNS 和 DHCP 基础架构、PXE 启动、TFTP 和 Kickstart。使用本章了解这些概念的工作原则。
11.1. PXE 引导
预启动执行环境(PXE)提供通过网络引导系统的功能。PXE 不使用本地硬盘驱动器或 CD-ROM,而是使用 DHCP 来提供有关网络的标准信息、发现 TFTP 服务器并下载引导镜像。有关设置 PXE 服务器的更多信息,请参阅红帽知识库解决方案 如何设置/配置 PXE 服务器。
11.1.1. PXE 序列
- 如果没有找到其他可引导镜像,则主机引导 PXE 镜像。
- 主机的 NIC 将广播请求发送到 DHCP 服务器。
- DHCP 服务器接收请求并发送有关网络的标准信息:IP 地址、子网掩码、网关、DNS、TFTP 服务器的位置和引导镜像。
-
主机从 TFTP 服务器获取引导装载程序
镜像/pxelinux.0
和配置文件pxelinux.cfg/00:MA:CA:AD:D
。 -
主机配置指定内核镜像
initrd
和 Kickstart 的位置。 - 主机下载文件并安装镜像。
有关通过 Satellite 服务器使用 PXE 引导的示例,请参阅 置备主机 中的 置备 工作流。
11.1.2. PXE 启动要求
要使用 PXE 引导置备机器,请确保您满足以下要求:
网络要求
- 可选:如果主机和 DHCP 服务器由路由器分隔,请配置 DHCP 转发代理并指向 DHCP 服务器。
客户端要求
- 确保所有基于网络的防火墙都配置为允许子网上的客户端访问胶囊。如需更多信息,请参阅 第 4.7 节 “胶囊网络”。
- 确保您的客户端有权访问 DHCP 和 TFTP 服务器。
Satellite 要求
- 确保 Satellite 服务器和 Capsule 都配置了 DNS,并可解析调配的主机名。
- 确保客户端可以访问 UDP 端口 67 和 68,使客户端能够接收通过引导选项提供的 DHCP。
- 确保 UDP 端口 69 可被客户端访问,以便客户端能够访问胶囊上的 TFTP 服务器。
- 确保客户端可以访问 TCP 端口 80,以允许客户端从胶囊下载文件和 Kickstart 模板。
- 确保主机调配接口子网设置了 DHCP Capsule。
- 确保主机调配接口子网设置了 TFTP 胶囊。
- 确保主机调配接口子网设置了 Templates Capsule。
- 使用 Satellite 安装程序,确保启用了具有正确子网的 DHCP。
- 使用 Satellite 安装程序启用 TFTP。
11.2. HTTP 引导
您可以使用 HTTP 引导通过 HTTP 通过网络引导系统。
11.2.1. 使用受管 DHCP 的 HTTP 启动要求
要通过 HTTP 引导置备机器,请确保您满足以下要求:
客户端要求
要使 HTTP 引导正常工作,请确保您的环境有以下客户端配置:
- 所有基于网络的防火墙都配置为允许子网上的客户端访问胶囊。如需更多信息,请参阅 第 4.7 节 “胶囊网络”。
- 您的客户端有权访问 DHCP 和 DNS 服务器。
- 您的客户端有权访问 HTTP UEFI 引导胶囊。
网络要求
- 可选:如果主机和 DHCP 服务器由路由器分隔,请配置 DHCP 转发代理并指向 DHCP 服务器。
Satellite 要求
虽然 TFTP 协议不适用于 HTTP UEFI 引导,但 Satellite 使用 TFTP 胶囊 API 来部署引导装载程序配置。
要使 HTTP 引导正常工作,请确保 Satellite 有以下配置:
- Satellite 服务器和 Capsule 都配置 DNS,并可解析调配的主机名。
- 客户端可以访问 UDP 端口 67 和 68,以便客户端可以发送和接收 DHCP 请求并提供。
- 确保为客户端打开 TCP 端口 8000,以从胶囊下载启动加载器和 Kickstart 模板。
- 为客户端打开 TCP 端口 9090,以使用 HTTPS 协议从胶囊下载启动加载器。
- 作为主机的调配接口功能的子网具有 DHCP 胶囊、HTTP 引导胶囊、TFTP 胶囊和模板胶囊
grub2-efi
软件包更新至最新版本。要将grub2-efi
软件包更新至最新版本,并执行安装程序将/boot
中最新的引导装载程序复制到/var/lib/tftpboot
目录中,请输入以下命令:# satellite-maintain packages update grub2-efi # satellite-installer
11.2.2. 使用非受管 DHCP 的 HTTP 引导要求
要在没有受管 DHCP 的情况下通过 HTTP 引导置备机器,请确保满足以下要求:
客户端要求
HTTP UEFI 引导 URL 必须设置为以下之一:
-
http://capsule.example.com:8000
-
https://capsule.example.com:9090
-
- 确保您的客户端有权访问 DHCP 和 DNS 服务器。
- 确保您的客户端有权访问 HTTP UEFI 引导胶囊。
- 确保所有基于网络的防火墙都配置为允许子网上的客户端访问胶囊。如需更多信息,请参阅 第 4.7 节 “胶囊网络”。
网络要求
- 可供客户端使用的非受管 DHCP 服务器。
- 可供客户端使用的非受管 DNS 服务器。如果 DNS 不可用,请使用 IP 地址来配置客户端。
Satellite 要求
虽然 TFTP 协议不适用于 HTTP UEFI 引导,但 Satellite 使用 TFTP 胶囊 API 来部署引导装载程序配置。
- 确保 Satellite 服务器和 Capsule 都配置了 DNS,并可解析调配的主机名。
- 确保 UDP 端口 67 和 68 可以被客户端访问,以便客户端可以发送和接收 DHCP 请求并提供。
- 确保为客户端打开 TCP 端口 8000,以便从胶囊下载引导装载程序和 Kickstart 模板。
- 确保打开了 TCP 端口 9090,以便客户端通过 HTTPS 从胶囊下载启动加载器。
- 确保主机调配接口子网设置了 HTTP 引导胶囊。
- 确保主机调配接口子网设置了 TFTP 胶囊。
- 确保主机调配接口子网设置了 Templates Capsule。
将
grub2-efi
软件包更新至最新版本,并执行安装程序,将/boot
目录中的最新引导装载程序复制到/var/lib/tftpboot
目录中:# satellite-maintain packages update grub2-efi # satellite-installer
附录 A. Satellite 提供和所需的技术用户
在 Satellite 安装过程中,会创建系统帐户。它们用于管理集成到 Satellite 中的组件的文件和流程所有权。其中一些帐户具有固定的 UID 和 GID,而其他帐户则改为使用系统上的下一个可用 UID 和 GID。要控制分配给帐户的 UID 和 GID,您可以在安装 Satellite 前定义帐户。由于某些帐户具有硬编码的 UID 和 GID,因此无法使用 Satellite 安装过程中创建的所有帐户执行此操作。
下表列出了 Satellite 在安装过程中创建的所有帐户。在安装 Satellite 前,您可以预定义在 Flexible UID 和 GID 列中具有 Yes 的帐户,并带有自定义 UID 和 GID。
不要更改系统帐户的主目录和 shell 目录,因为它们需要 Satellite 才能正常工作。
由于 Satellite 创建的本地用户潜在的冲突,您无法将外部身份提供程序用于 Satellite 基础操作系统的系统用户。
用户名 | UID | 组名称 | GID | 灵活的 UID 和 GID | Home | shell |
---|---|---|---|---|---|---|
Foreman | N/A | Foreman | N/A | 是 | /usr/share/foreman | /sbin/nologin |
foreman-proxy | N/A | foreman-proxy | N/A | 是 | /usr/share/foreman-proxy | /sbin/nologin |
Apache | 48 | Apache | 48 | 否 | /usr/share/httpd | /sbin/nologin |
postgres | 26 | postgres | 26 | 否 | /var/lib/pgsql | /bin/bash |
Pulp | N/A | Pulp | N/A | 否 | N/A | /sbin/nologin |
puppet | 52 | puppet | 52 | 否 | /opt/puppetlabs/server/data/puppetserver | /sbin/nologin |
saslauth | N/A | saslauth | 76 | 否 | /run/saslauthd | /sbin/nologin |
tomcat | 53 | tomcat | 53 | 否 | /usr/share/tomcat | /bin/nologin |
unbound | N/A | unbound | N/A | 是 | /etc/unbound | /sbin/nologin |
附录 B. Satellite 中使用的术语表
- 激活码
- 用于主机注册和订阅附加的令牌。激活密钥定义订阅、产品、内容视图和其他要与新创建的主机关联的参数。
- 应答文件
-
定义安装场景设置的配置文件。回答文件以 YAML 格式定义,并存储在
/etc/foreman-installer/scenarios.d/
目录中。
- ARF 报告
- OpenSCAP 审计的结果。总结了由 Red Hat Satellite 管理的主机的安全合规性。
- audits
- 提供关于特定用户所做的更改的报告。可以在 Satellite web UI 中的 Monitor > Audits 下查看审计。
- 基板管理控制器(BMC)
- 启用裸机主机的远程电源管理。在 Satellite 中,您可以创建一个 BMC 接口来管理所选主机。
- 引导磁盘
- 用于无 PXE 调配的 ISO 镜像。此 ISO 可让主机连接到 Satellite 服务器,引导安装介质并安装操作系统。有几种引导磁盘:host image、full host image、generic image,以及 subnet image。
- Capsule
- 可以在 Red Hat Satellite 部署中使用的附加服务器来促进内容联合和分发(act as Pulp 镜像),并运行其他本地化服务(Puppet 服务器、DHCP、DNS、TFTP 等)。胶囊可用于跨不同地理位置部署的 Satellite。在上游 Foreman 术语中,胶囊被称为 Smart Proxy。
- 目录
- 描述由 Puppet 管理的一个特定主机所需的系统状态的文档。它列出了需要管理的所有资源,以及这些资源之间的所有依赖项。目录由来自 Puppet 清单和 Puppet 代理的数据的 Puppet 服务器编译。
- Candlepin
- Katello 中的一个服务负责订阅管理。
- 合规策略
- 指的是在 Satellite 服务器上执行的调度任务,检查指定主机是否符合 SCAP 内容。
- Compute 配置集
- 指定计算资源上新虚拟机的默认属性。
- 计算资源
- Red Hat Satellite 用于部署主机和系统的虚拟或云基础架构。示例包括 Red Hat Virtualization、Red Hat OpenStack Platform、EC2 和 VMWare。
- 容器(Docker 容器)
- 隔离应用程序沙盒,其中包含应用程序所需的所有运行时依赖项。Satellite 支持在专用计算资源上进行容器调配。
- 容器镜像
- 容器配置的静态快照。Satellite 支持各种导入容器镜像的方法,并通过内容视图将镜像分发到主机。
- 内容
- 将 Satellite 分发到主机的所有内容的一般术语。包括软件包(RPM 文件)或 Docker 镜像。内容同步到库中,然后使用内容视图提升到生命周期环境,以便主机消耗它们。
- 内容交付网络(CDN)
- 用于向 Satellite 服务器提供红帽内容的机制。
- 内容主机
- 管理与内容和订阅相关的任务的主机部分。
- 内容视图
- 由智能过滤创建的库内容的子集。内容视图发布后,可以通过生命周期环境路径提升,或使用增量升级进行修改。
- 发现的主机
- 通过 Discovery 插件在 provisioning 网络中检测到裸机主机。
- 发现镜像
- 请参考基于 Red Hat Enterprise Linux 的最小操作系统,这些操作系统在主机上启动 PXE,以获取初始硬件信息并在开始调配过程前与 Satellite 服务器进行通信。
- Discovery 插件
- 在 provisioning 网络中启用自动裸机发现未知主机。该插件包含三个组件组成:在 Satellite 服务器和 Capsule 服务器上运行的服务,以及主机上运行的 Discovery 镜像。
- 发现规则
- 组预定义的调配规则,将主机组分配给发现的主机并自动触发调配。
- Docker 标签
- 用于区分容器镜像的标记,通常由镜像中存储的应用版本。在 Satellite Web UI 中,您可以根据 Content > Docker Tags 下的标签过滤镜像。
- ERB
- 嵌入式 Ruby (ERB)是置备和作业模板中使用的模板语法。
- 勘误
- 更新了包含安全修复、错误修复和增强的 RPM 软件包。对于主机,如果勘误表更新了主机上安装的软件包,则其是 可应用的,如果其在主机的内容视图(这意味着可以在主机上进行安装)中存在,则其是 可安装的。
- 外部节点分类器
为服务器提供附加数据的构造,以便在配置主机时使用。红帽卫星充当卫星部署中 Puppet 服务器的外部节点分类器。
外部节点分类器将在以后的 Satellite 版本中删除。
- Facter
- 提供关于它运行系统的信息(事实)的程序;例如,Facter 可以报告总内存、操作系统版本、架构等。Puppet 模块根据 Facter 收集的主机数据启用特定的配置。
- 事实
- 主机参数,如内存、操作系统版本或架构。事实由 Facter 报告,供 Puppet 使用。
- Foreman
- 组件主要负责置备和内容生命周期管理。Foreman 是 Red Hat Satellite 的主要上游对应部分。
- Foreman hook
发生编配事件时自动触发的可执行文件,如创建主机或主机置备完成后自动触发。
Foreman hook 功能已弃用,并将在以后的 Satellite 版本中删除。
- 完整主机镜像
- 用于无 PXE 调配特定主机的引导磁盘。完整主机镜像包含相关操作系统安装程序的嵌入式 Linux 内核和 init RAM 磁盘。
- 通用镜像
- 用于无 PXE 调配的引导磁盘,不绑定到特定主机。通用镜像将主机的 MAC 地址发送到 Satellite 服务器,该服务器与主机条目匹配。
- hammer
- 用于管理 Red Hat Satellite 的命令行工具。您可以从命令行执行 Hammer 命令,或者在脚本中使用它们。Hammer 还提供交互式 shell。
- 主机
- 是指 Red Hat Satellite 管理的任何系统,可以是物理或虚拟系统。
- 主机集合
- 由一个或多个主机定义的用户,用于批量操作,如勘误表安装。
- 主机组
- 用于构建主机的模板。主机组存放共享参数,如子网或生命周期环境,由主机组成员继承。主机组可以嵌套,以创建层次结构。
- 主机镜像
- 用于无 PXE 调配特定主机的引导磁盘。主机镜像仅包含访问 Satellite 服务器上的安装介质所需的引导文件。
- 增量升级(内容视图的)
- 在生命周期环境中创建新(次)内容视图版本的操作。增量升级提供了一种方式来对已发布的内容视图进行原位升级。对于快速更新很有用,例如应用安全勘误。
- 作业
- 从 Satellite 服务器在主机上远程执行的命令。每个作业都在作业模板中定义。
- Katello
- Foreman 插件,负责订阅和存储库管理。
- lazy 同步
- 将存储库的默认下载策略从 Immediate 更改为 On Demand。On Demand 设置仅在主机请求时下载软件包,从而节省存储空间和同步时间。
- 位置
- 代表物理位置的默认设置集合。
- 程序库
- 用于 Satellite 服务器上所有同步存储库的内容的容器。默认情况下,每个机构都作为每个生命周期环境路径的根和每个内容视图的内容源都存在库。
- 生命周期环境
- 用于内容视图版本的容器,供内容主机使用。Lifecycle Environment 代表生命周期环境路径中的一个步骤。通过发布和提升内容视图,内容在生命周期环境间移动。
- 生命周期环境路径
- 内容视图要提升的一系列生命周期环境。您可以通过典型的提升路径提升内容视图;例如,从开发到测试到生产。
- 清单(红帽订阅清单)
- 将订阅从红帽客户门户网站传输到 Red Hat Satellite 的机制。不要与 Puppet 清单 混淆。
- 迁移 Satellite
- 将现有 Satellite 安装移到新实例的过程。
- OpenSCAP
- 根据安全内容自动化协议(SCAP)实施安全合规审计的项目。OpenSCAP 集成在 Satellite 中,为主机提供合规性审计。
- 机构(Organization)
- Satellite 部署中的隔离系统、内容和其他功能集合。
- 参数
- 定义在置备过程中 Red Hat Satellite 组件的行为。根据参数范围,我们区分全局、域、主机组和主机参数。根据参数复杂性,我们区分简单参数(键值对)和智能参数(有条件参数、验证、覆盖)。
- Parametrized class (smart class parameter)
- 从 Puppet 服务器导入类来创建的参数。
- 权限
- 定义与 Satellite 基础架构所选部分(资源类型)相关的操作。每种资源类型都与一组权限关联,例如 Architecture 资源类型具有以下权限: view_architectures、create_architectures、edit_architectures 和 destroy_architectures。您可以将权限分组到角色中,并将它们与用户或用户组关联。
- 产品
- 内容存储库的集合。产品可以由红帽 CDN 提供,也可以由 Satellite 管理员创建以对自定义存储库进行分组。
- promote (内容视图)
- 将内容视图从一个生命周期环境移到另一个生命周期环境的操作。如需更多信息 ,请参阅管理内容中的提升内容视图 。
- 置备模板
- 定义主机调配设置。置备模板可以与主机组、生命周期环境或操作系统关联。
- 发布(内容视图)
- 在生命周期环境中提供内容视图版本并可供主机使用。
- Pulp
- Katello 中的服务负责存储库和内容管理。
- Pulp 镜像
- 镜像内容的 Capsule 服务器组件。
- puppet
- Satellite 的配置管理组件。
- Puppet 代理
- 在主机上运行的服务将配置更改应用到该主机。
- Puppet 环境
- 与一组特定的 Puppet 模块关联的一组隔离的 Puppet 代理节点。
- Puppet 清单
指的是 Puppet 脚本,它们是具有 .pp 扩展名的文件。文件包含用来定义一组必要资源的代码,如软件包、服务、文件、用户和组等,对其属性使用一组键值对。
不要与清单 (红帽订阅清单) 混淆。
- Puppet 服务器
- 为主机提供 Puppet 清单的胶囊服务器组件,供 Puppet 代理执行。
- Puppet 模块
- 此自包含代码捆绑包(Puppet Manifests)和数据(facts),可用于管理用户、文件和服务等资源。
- 重复逻辑
- 根据计划自动执行的作业。在 Satellite web UI 中,您可以在 Monitor > Recurring logics 下查看这些作业。
- Registry
- 容器镜像存档。Satellite 支持从本地和外部 registry 导入镜像。Satellite 本身可以充当主机的镜像 registry。但是,主机无法将更改推送回 registry。
- 软件仓库
- 为一组内容提供存储。
- 资源类型
- 指的是 Satellite 基础架构的一部分,如主机、胶囊或架构。用于权限过滤。
- 角色
- 指定应用到一组资源的权限集合,如主机。角色可以分配给用户和用户组。Satellite 提供了很多预定义角色。
- SCAP 内容
- 包含检查主机的配置和安全基准的文件。在合规策略中使用。
- 子网镜像
- 用于通过胶囊服务器通信的无 PXE 调配的通用镜像类型。
- 订阅
- 从红帽接收内容和服务的权利。
- 同步
- 是指将来自外部资源的内容镜像(mirror)到 Red Hat Satellite Library 中。
- 迁移计划
- 提供内容同步的计划执行。
- 任务
- 在 Satellite 或 Capsule 服务器上执行的后台进程,如存储库同步或内容视图发布。您可以在 Satellite web UI 中的 Monitor > Satellite Tasks > Tasks 下监控 任务状态。
- 更新 Satellite
- 将 Satellite 服务器和 Capsule 服务器安装的过程从 z-stream 版本安装到下一个版本,如 Satellite 6.15.0 到 Satellite 6.15.1。
- 升级 Satellite
- 将 Satellite 服务器和 Capsule 服务器安装从 y-stream 版本到下一个版本(如 Satellite 6.14 到 Satellite 6.15)的过程。
- 用户组
- 可分配给一组用户的角色集合。
- User
- 注册使用 Red Hat Satellite 的人员。通过内置的逻辑、外部资源(LDAP、身份管理或 Active Directory)或者使用 Kerberos 实现身份验证和授权。
- virt-who
- 用于从 hypervisor 检索虚拟机 ID 的代理。与 Satellite 一起使用时,virt-who 会向 Satellite 服务器报告这些 ID,以便它可以为虚拟机上调配的主机提供订阅。
附录 C. CLI 帮助信息
Satellite 提供多个用户界面:Satellite Web UI、Hammer CLI、API 和 Ansible 集合 redhat.satellite。如果要在命令行上管理 Satellite,请查看以下帮助输出:
- Satellite 服务
-
Satellite 服务器和胶囊服务器用于操作的一组服务。您可以使用
satellite-maintain
工具来管理这些服务。要查看服务的完整列表,请在安装了 Satellite 或 Capsule 服务器的计算机上输入satellite-maintain service list
命令。如需更多信息,请在 Satellite 服务器或 Capsule 服务器上运行satellite-maintain --help
。
- Satellite 插件
-
您可以通过安装插件来扩展 Satellite。如需更多信息,请在 Satellite 服务器或 Capsule 服务器上运行
satellite-installer --full-help
。
- hammer CLI
-
您可以使用
hammer
在命令行中管理 Satellite。有关使用 Hammer CLI 的更多信息,请参阅 Hammer CLI 指南 或在 Satellite 服务器或 Capsule 服务器上运行hammer --help
。