Red Hat Training

A Red Hat training course is available for Red Hat Satellite

12.3. Konfigurieren eines Red Hat Satellite Capsule Servers

Voraussetzungen

Die folgenden Voraussetzungen müssen erfüllt sein, bevor Sie mit dieser Aufgabe fortfahren können:

  • Installieren Sie den Red Hat Satellite Server.
  • Setzen Sie die SELinux-Richtlinie auf dem Satellite Capsule Server-System auf Enforcing.
Das folgende Verfahren konfiguriert einen Satellite Capsule Server zur Verwendung mit Ihrem Red Hat Satellite Server. Dies schließt die folgenden Arten von Satellite Capsule Servern ein:
  • Satellite Capsule Server mit Smart Proxy
  • Satellite Capsule Server als Inhaltsknoten
  • Satellite Capsule Server als Inhaltsknoten mit Smart Proxy
So konfigurieren Sie einen Satellite Capsule Server:
  1. Auf dem Satellite Server:
    1. Generieren Sie ein Zertifikat für den Satellite Capsule Server:
      capsule-certs-generate --capsule-fqdn capsule_FQDN --certs-tar ~/capsule.example.com-certs.tar
      
      Dabei gilt:
      • capsule_FQDN ist der vollqualifizierte Domainname des Satellite Capsule Servers (erforderlich).
      • certs-tar ist der Name der zu erstellenden tar-Datei, die das Zertifikat enthält, das vom Satellite Capsule-Installationsprogramm verwendet werden soll.
      Wenn Sie den Befehl capsule-certs-generate ausführen, wird die folgende Meldung ausgegeben:
          To finish the installation, follow these steps:
        1. Ensure that the capsule-installer is available on the system.
           The capsule-installer comes from the katello-installer package and
           should be acquired through the means that are appropriate to your deployment.
        2. Copy ~/capsule.example.com-certs.tar to the capsule system capsule.example.com
        3. Run the following commands on the capsule (possibly with the customized
           parameters, see capsule-installer --help and
           documentation for more info on setting up additional services):
        rpm -Uvh http://master.com/pub/katello-ca-consumer-latest.noarch.rpm
        subscription-manager register --org "Default Organization"
        capsule-installer --parent-fqdn          "sat6.example.com"\
                          --register-in-foreman  "true"\
                          --foreman-oauth-key    "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf
                          --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\
                          --pulp-oauth-secret    "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\
                          --certs-tar            "~/capsule.example.com-certs.tar"\
                          --puppet               "true"\
                          --puppetca             "true"\
                          --pulp                 "true"
      
    2. Kopieren Sie den generierten Tarball, capsule.example.com-certs.tar, vom Satellite Server zum Satellite Capsule Hostsystem.
  2. Führen Sie folgende Schritte auf dem Satellite Capsule Server aus:
    1. Registrieren Sie Ihren Satellite Capsule Server beim Satellite Server:
      # rpm -Uvh http://sat6host.example.redhat.com/pub/katello-ca-consumer-latest.noarch.rpm
      # subscription-manager register --org "Default Organization" --env [environment]/[content_view_name]
      

      Anmerkung

      Der Satellite Capsule Server muss einer Organisation zugewiesen sein, da der Satellite Capsule Server eine Umgebung erfordert, um Inhalte vom Satellite Server zu synchronisieren. Nur Organisationen haben Umgebungen.
      Das Zuweisen eines Standorts ist optional, wird jedoch empfohlen, um die räumliche Nähe zu den Hosts anzugeben, die der Satellite Capsule Server verwaltet.
    2. Wählen Sie eine der folgenden Optionen abhängig vom gewünschten Satellite Capsule Server-Typ:
      1. Option 1: Satellite Capsule Server mit Smart Proxy: Dies installiert einen Satellite Capsule Server mit Smart Proxy-Features (DHCP, DNS, Puppet). Führen Sie die folgenden Befehle als root-Benutzer auf dem Satellite Capsule Server aus:
          
        # capsule-installer --parent-fqdn          "satellite.example.com"\
                            --register-in-foreman  "true"\
                            --foreman-oauth-key    "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf
                            --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\
                            --pulp-oauth-secret    "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\
                            --certs-tar            "/root/capsule.example.com-certs.tar"\
                            --puppet               "true"\
                            --puppetca             "true"\
                            --pulp                 "true"
                            --tftp                 "true"
                            --dhcp                 "true"\
                            --dhcp-interface       "virbr1
                           --dns                  "true"\
                           --dns-forwarders       "8.8.8.8"\
                           --dns-forwarders       "8.8.4.4"\
                           --dns-interface        "virbr1"\
                           --dns-zone             "example.com"
        
        
      2. Option 2 - Satellite Capsule Server als Inhaltsknoten mit Smart Proxy: Dies installiert einen Satellite Capsule Server mit allen Features. Führen Sie die folgenden Befehle als root-Benutzer auf dem Satellite Capsule Server aus:
        # capsule-installer --parent-fqdn          "sat6.example.com"\
                            --register-in-foreman  "true"\
                            --foreman-oauth-key    "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf
                            --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\
                            --pulp-oauth-secret    "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\
                            --certs-tar            "/root/capsule.example.com-certs.tar"\
                            --puppet               "true"\
                            --puppetca             "true"\
                            --pulp                 "true"
                            --tftp                 "true"
                            --dhcp                 "true"\
                            --dhcp-interface       "virbr1
                           --dns                  "true"\
                           --dns-forwarders       "8.8.8.8"\
                           --dns-forwarders       "8.8.4.4"\
                           --dns-interface        "virbr1"\
                           --dns-zone             "example.com"
        
        
  3. Führen Sie die folgenden Befehle aus, um die Firewall zur Einschränkung von elasticsearch auf die foreman-, katello- und root-Benutzer zu konfigurieren und diese Regeln dauerhaft zu speichern:
    • Für Red Hat Enterprise Linux 6:
      iptables -A OUTPUT -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner foreman -j ACCEPT \
      && iptables -A OUTPUT -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner katello -j ACCEPT \
      && iptables -A OUTPUT -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner root -j ACCEPT \
      && iptables -A OUTPUT -o lo -p tcp -m tcp --dport 9200 -j DROP
      iptables-save > /etc/sysconfig/iptables
      
    • Für Red Hat Enterprise Linux 7:
      firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner foreman -j ACCEPT \
      && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner foreman -j ACCEPT \
      && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner katello -j ACCEPT \
      && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner katello -j ACCEPT \
      && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner root -j ACCEPT \
      && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner root -j ACCEPT \
      && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -o lo -p tcp -m tcp --dport 9200 -j DROP \
      && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 1 -o lo -p tcp -m tcp --dport 9200 -j DROP
      

Anmerkung

Falls die Konfiguration erfolgreich ist, führen Sie den folgenden Befehl als root-Benutzer auf dem Satellite Capsule Server aus:
# echo $?
Falls das Verfahren erfolgreich war, sollte dieser Befehl „0” ausgeben. Ist dies nicht der Fall, prüfen Sie /var/log/kafo, um die Problemursache zu suchen und zu bereinigen. /var/log/kafo ist die Protokolldatei für die Ausgabe, die von den Befehlen capsule-certs-generate und capsule-installer generiert wird.
Der Satellite Capsule Server sollte zudem in der Benutzeroberfläche des Satellite Servers unter InfrastrukturCapsules erscheinen.
Ergebnis:

Der Satellite Capsule Server wurde konfiguriert und beim Satellite Server registriert.

22921%2C+User+Guide-6.008-10-2014+13%3A34%3A52Red+Hat+Satellite+6Docs+User+GuideFehler melden