12.3. Configurazione del Red Hat Satellite Capsule Server

Prerequisiti

Prima di poter continuare sarà necessario soddisfare le seguenti condizioni:

  • Installazione di Red Hat Satellite Server.
  • Impostare i permessi di SELinux sul sistema designato come Satellite Capsule Server su enforcing.
Utilizzare le seguenti procedure per configurare un Satellite Capsule Server per un suo utilizzo con Red Hat Satellite Server. Ciò include i seguenti tipi di Satellite Capsule Servers:
  • Satellite Capsule Server con Smart Proxy
  • Satellite Capsule Server usato come Content Node
  • Satellite Capsule Server usato come Content Node con Smart Proxy
Per configurare un Satellite Capsule Server:
  1. Sul Satellite Server:
    1. Generare un certificato di Satellite Capsule Server:
      capsule-certs-generate --capsule-fqdn capsule_FQDN --certs-tar ~/capsule.example.com-certs.tar
      
      Dove:
      • capsule_FQDN è il fully qualified domain name di Satellite Capsule Server. (OBBLIGATORIO)
      • certs-tar è il nome del file tar da generare che contiene il certificato usato dall'installer di Satellite Capsule.
      L'esecuzione di capsule-certs-generate genererà il seguente messaggio:
          To finish the installation, follow these steps:
        1. Ensure that the capsule-installer is available on the system.
           The capsule-installer comes from the katello-installer package and
           should be acquired through the means that are appropriate to your deployment.
        2. Copy ~/capsule.example.com-certs.tar to the capsule system capsule.example.com
        3. Run the following commands on the capsule (possibly with the customized
           parameters, see capsule-installer --help and
           documentation for more info on setting up additional services):
        rpm -Uvh http://master.com/pub/katello-ca-consumer-latest.noarch.rpm
        subscription-manager register --org "Default Organization"
        capsule-installer --parent-fqdn          "sat6.example.com"\
                          --register-in-foreman  "true"\
                          --foreman-oauth-key    "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf
                          --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\
                          --pulp-oauth-secret    "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\
                          --certs-tar            "~/capsule.example.com-certs.tar"\
                          --puppet               "true"\
                          --puppetca             "true"\
                          --pulp                 "true"
      
    2. Copiare il tarball generato, capsule.example.com-certs.tar, dal Satellite Server sul sistema host del Satellite Capsule.
  2. Sul Satellite Capsule Server:
    1. Registrare Satellite Capsule Server sul Satellite Server:
      # rpm -Uvh http://sat6host.example.redhat.com/pub/katello-ca-consumer-latest.noarch.rpm
      # subscription-manager register --org "Default Organization" --env [environment]/[content_view_name]
      

      Nota

      Assegnare Satellite Capsule Server ad una organizzazione. A tal proposito Satellite Capsule Server avrà bisogno di un ambiente per la sincronizzazione del contenuto dal Satellite Server. Solo le organizzazioni dispongono di ambienti.
      L'assegnazione di una posizione è facoltativa, ma consigliata, per indicare la vicinanza agli host gestiti dal Satellite Capsule Server.
    2. In base al tipo di Satellite Capsule Server desiderato, selezionare una delle seguenti opzioni:
      1. Opzione 1: Satellite Capsule Server con Smart Proxy: Ciò installerà un Satellite Capsule Server con funzioni Smart Proxy (DHCP, DNS, Puppet). Eseguire i seguenti comandi come utente root sul Satellite Capsule Server:
          
        # capsule-installer --parent-fqdn          "satellite.example.com"\
                            --register-in-foreman  "true"\
                            --foreman-oauth-key    "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf
                            --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\
                            --pulp-oauth-secret    "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\
                            --certs-tar            "/root/capsule.example.com-certs.tar"\
                            --puppet               "true"\
                            --puppetca             "true"\
                            --pulp                 "true"
                            --tftp                 "true"
                            --dhcp                 "true"\
                            --dhcp-interface       "virbr1
                           --dns                  "true"\
                           --dns-forwarders       "8.8.8.8"\
                           --dns-forwarders       "8.8.4.4"\
                           --dns-interface        "virbr1"\
                           --dns-zone             "example.com"
        
        
      2. Opzione 2: Satellite Capsule Server come Content Node: Ciò installerà un Satellite Capsule Server con tutte le funzioni. Eseguire i seguenti comandi come utente root sul Satellite Capsule Server:
        # capsule-installer --parent-fqdn          "sat6.example.com"\
                            --register-in-foreman  "true"\
                            --foreman-oauth-key    "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf
                            --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\
                            --pulp-oauth-secret    "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\
                            --certs-tar            "/root/capsule.example.com-certs.tar"\
                            --puppet               "true"\
                            --puppetca             "true"\
                            --pulp                 "true"
                            --tftp                 "true"
                            --dhcp                 "true"\
                            --dhcp-interface       "virbr1
                           --dns                  "true"\
                           --dns-forwarders       "8.8.8.8"\
                           --dns-forwarders       "8.8.4.4"\
                           --dns-interface        "virbr1"\
                           --dns-zone             "example.com"
        
        
  3. Eseguire i seguenti comandi per la configurazione del firewall e limitare l'uso di elasticsearch per gli utenti di foreman, katello e root, e rendere queste regole persistenti durante i processi di riavvio:
    • Per Red Hat Enterprise Linux 6:
      iptables -A OUTPUT -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner foreman -j ACCEPT \
      && iptables -A OUTPUT -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner katello -j ACCEPT \
      && iptables -A OUTPUT -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner root -j ACCEPT \
      && iptables -A OUTPUT -o lo -p tcp -m tcp --dport 9200 -j DROP
      iptables-save > /etc/sysconfig/iptables
      
    • Per Red Hat Enterprise Linux 7:
      firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner foreman -j ACCEPT \
      && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner foreman -j ACCEPT \
      && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner katello -j ACCEPT \
      && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner katello -j ACCEPT \
      && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner root -j ACCEPT \
      && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p tcp -m tcp --dport 9200 -m owner --uid-owner root -j ACCEPT \
      && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -o lo -p tcp -m tcp --dport 9200 -j DROP \
      && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 1 -o lo -p tcp -m tcp --dport 9200 -j DROP
      

Nota

Se la configurazione avrà successo, eseguire questo comando come utente root sul Satellite Capsule Server:
# echo $?
Questo comando dovrebbe ritornare un valore "0" per indicare l'esecuzione corretta. In caso contrario controllare /var/log/kafo per eseguire un debug. /var/log/kafo è il file di log per l'output generato dai comandi capsule-certs-generate e capsule-installer.
Satellite Capsule Server dovrebbe apparire anche nell'interfaccia utente di Satellite Server in InfrastrutturaCapsule.
Risultato:

Satellite Capsule Server è ora configurato e registrato con Satellite Server.

22921%2C+User+Guide-6.008-10-2014+13%3A34%3A52Red+Hat+Satellite+6Docs+User+GuideSegnala un bug