Red Hat Training

A Red Hat training course is available for Red Hat Satellite

12.3. Configurer un serveur Red Hat Satellite Capsule

Conditions préalables

Vous devrez remplir les conditions suivantes avant de pouvoir continuer avec cette tâche :

  • Installez le serveur Red Hat Satellite.
  • Paramétrez sur enforcing les permissions SELinux du système désigné comme étant le serveur Satellite Capsule.
Les procédures suivantes permettent de configurer un serveur Satellite Capsule pour une utilisation en conjonction avec votre serveur Red Hat Satellite. Ceci inclut les types de serveurs Satellite Capsule suivants :
  • Serveurs Satellite Capsule avec Smart Proxy
  • Serveurs Satellite Capsule en tant que nœud de contenu (« Content Node »)
  • Serveurs Satellite Capsule en tant que nœud de contenu (« Content Node ») avec Smart Proxy
Pour configurer un serveur Satellite Capsule :
  1. Sur le serveur Satellite :
    1. Générer un certificat serveur Satellite Capsule :
      capsule-certs-generate --capsule-fqdn capsule_FQDN --certs-tar ~/capsule.example.com-certs.tar
      
      Où :
      • capsule_FQDN est le nom de domaine qualifié du serveur Satellite Capsule. (REQUIS)
      • certs-tar est le nom du fichier tar à générer qui contient le certificat devant être utilisé par l'installateur Satellite Capsule.
      L'exécution de capsule-certs-generate générera le message de sortie suivant :
          To finish the installation, follow these steps:
        1. Ensure that the capsule-installer is available on the system.
           The capsule-installer comes from the katello-installer package and
           should be acquired through the means that are appropriate to your deployment.
        2. Copy ~/capsule.example.com-certs.tar to the capsule system capsule.example.com
        3. Run the following commands on the capsule (possibly with the customized
           parameters, see capsule-installer --help and
           documentation for more info on setting up additional services):
        rpm -Uvh http://master.com/pub/katello-ca-consumer-latest.noarch.rpm
        subscription-manager register --org "Default Organization"
        capsule-installer --parent-fqdn          "sat6.example.com"\
                          --register-in-foreman  "true"\
                          --foreman-oauth-key    "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf
                          --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\
                          --pulp-oauth-secret    "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\
                          --certs-tar            "~/capsule.example.com-certs.tar"\
                          --puppet               "true"\
                          --puppetca             "true"\
                          --pulp                 "true"
      
    2. Veuillez copier le tarball généré, capsule.example.com-certs.tar, du serveur Satellite au système Satellite Capsule hôte.
  2. Sur le serveur Satellite Capsule Server :
    1. Enregistrez votre serveur Satellite Capsule sur le serveur Satellite :
      # rpm -Uvh http://sat6host.example.redhat.com/pub/katello-ca-consumer-latest.noarch.rpm
      # subscription-manager register --org "Default Organization" --env [environment]/[content_view_name]
      

      Note

      Le serveur Satellite Capsule doit être assigné à une organisation car il requiert un environnement pour synchroniser le contenu du serveur Satellite. Seules les organisations possèdent des environnements.
      Assigner un emplacement est optionnel, même si cela est recommandé afin d'indiquer la proximité aux hôtes que le serveur Satellite Capsule gère.
    2. En fonction du type de serveur Satellite Capsule souhaité, veuillez choisir l'une des options suivantes :
      1. Option 1 - Serveur Satellite Capsule avec Smart Proxy : Installe un serveur Satellite Capsule Server avec des fonctionnalités Smart Proxy (DHCP, DNS, Puppet). Veuillez exécuter les commandes suivantes en tant qu'utilisateur root sur le serveur Satellite Capsule :
          
        # capsule-installer --parent-fqdn          "satellite.example.com"\
                            --register-in-foreman  "true"\
                            --foreman-oauth-key    "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf
                            --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\
                            --pulp-oauth-secret    "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\
                            --certs-tar            "/root/capsule.example.com-certs.tar"\
                            --puppet               "true"\
                            --puppetca             "true"\
                            --pulp                 "true"
                            --tftp                 "true"
                            --dhcp                 "true"\
                            --dhcp-interface       "virbr1
                           --dns                  "true"\
                           --dns-forwarders       "8.8.8.8"\
                           --dns-forwarders       "8.8.4.4"\
                           --dns-interface        "virbr1"\
                           --dns-zone             "example.com"
        
        
      2. Option 2 - Serveur Satellite Capsule en tant que nœud de contenu avec Smart Proxy : Installe un serveur Satellite Capsule avec toutes les fonctionnalités. Veuillez exécuter les commandes suivantes en tant qu'utilisateur root sur le serveur Satellite Capsule :
        # capsule-installer --parent-fqdn          "sat6.example.com"\
                            --register-in-foreman  "true"\
                            --foreman-oauth-key    "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf
                            --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\
                            --pulp-oauth-secret    "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\
                            --certs-tar            "/root/capsule.example.com-certs.tar"\
                            --puppet               "true"\
                            --puppetca             "true"\
                            --pulp                 "true"
                            --tftp                 "true"
                            --dhcp                 "true"\
                            --dhcp-interface       "virbr1
                           --dns                  "true"\
                           --dns-forwarders       "8.8.8.8"\
                           --dns-forwarders       "8.8.4.4"\
                           --dns-interface        "virbr1"\
                           --dns-zone             "example.com"
        
        
  3. Exécutez les commandes suivantes afin de configurer le pare-feu pour limiter elasticsearch aux utilisateurs foreman, katello et root et maintenir ces règles lors des redémarrages :
    • Pour Red Hat Enterprise Linux 6 :
      iptables -A OUTPUT -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner foreman -j ACCEPT \
      && iptables -A OUTPUT -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner katello -j ACCEPT \
      && iptables -A OUTPUT -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner root -j ACCEPT \
      && iptables -A OUTPUT -o lo -p tcp -m tcp --dport 9200 -j DROP
      iptables-save > /etc/sysconfig/iptables
      
    • Pour Red Hat Enterprise Linux 7 :
      firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner foreman -j ACCEPT \
      && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner foreman -j ACCEPT \
      && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner katello -j ACCEPT \
      && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner katello -j ACCEPT \
      && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner root -j ACCEPT \
      && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner root -j ACCEPT \
      && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -o lo -p tcp -m tcp --dport 9200 -j DROP \
      && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 1 -o lo -p tcp -m tcp --dport 9200 -j DROP
      

Note

Si la configuration est réussie, veuillez exécuter cette commande en tant qu'utilisateur root sur le serveur Satellite Capsule :
# echo $?
Cette commande devrait retourner un « 0 » pour indiquer sa réussite. Si ce n'est pas le cas, veuillez vérifier /var/log/kafo pour déboguer la cause de l'échec. /var/log/kafo est le fichier de journalisation des sorties générées par les commandes capsule-certs-generate et capsule-installer.
Le serveur Satellite Capsule devrait aussi apparaître dans l'interface utilisateur du serveur Satellite, sous InfrastructureCapsules.
Résultat :

Le serveur Satellite Capsule est désormais configuré et enregistré avec le serveur Satellite.

22921%2C+User+Guide-6.008-10-2014+13%3A34%3A52Red+Hat+Satellite+6Docs+User+GuideSignaler un bogue