第7章 FDO を使用した Edge デバイスの RHEL の自動プロビジョニングとオンボーディング
RHEL for Edge Simplified Installer イメージをビルドし、それを RHEL for Edge イメージにプロビジョニングできます。FIDO デバイスオンボーディング (FDO) プロセスは、Edge デバイスを自動的にプロビジョニングしてオンボーディングし、ネットワークに接続されている他のデバイスやシステムとデータを交換します。
Red Hat は、テクノロジープレビュー機能として FDO プロセスを提供し、安全なネットワークで実行する必要があります。テクノロジープレビュー機能は Red Hat の実稼働環境でのサービスレベルアグリーメント (SLA) ではサポートされていないため、Red Hat では実稼働環境での使用を推奨していません。これらの機能は、近々発表予定の製品機能をリリースに先駆けてご提供することにより、お客様は機能性をテストし、開発プロセス中にフィードバックをお寄せいただくことができます。テクノロジープレビュー機能のサポート範囲については、Red Hat カスタマーポータルの「テクノロジープレビュー機能のサポート範囲」を参照してください。
7.1. FDO デバイスのオンボーディングプロセス
デバイスのオンボーディングは、物理デバイスをプロビジョニングおよびオンボーディングし、このデバイスの認証情報を自動的に設定し、ネットワーク上で安全に接続および対話できるようにするプロセスです。FIDO デバイスオンボーディング (FDO) は、製造段階でデバイスの初期化を実行し、実際に使用するためにデバイスのバインドを遅らせるプロトコルです。これは、デバイスの管理システムへの実際のバインドは、デバイスの手動設定を必要とせずに、デバイスの最初の起動時に行われることを意味します。
FDO プロセスを使用することにより、自動化された安全なデバイスのオンボーディング、つまりゼロタッチインストールとオンボーディングをサポートできます。デバイスがオンボーディングされた後、デバイスに接続して、パッチ、更新、ロールバックなどを適用できます。FDO 認証は、新しいデバイスのインストールによってトリガーされる自動オンボーディングプロセスです。
RHEL for Edge の Simplified Installer イメージをビルドして自動的にオンボードするには、既存の OSTree コミットを提供します。作成されるイメージには、OSTree コミットがデプロイされた生のイメージが含まれます。Simplified インストーラーの ISO イメージを起動すると、ハードドライブまたは仮想マシンのブートイメージとして使用できる RHEL for Edge システムがプロビジョニングされます。RHEL for Edge Simplified Installer イメージは、デバイスへの無人インストール用に最適化されており、ネットワークベースのデプロイメントと非ネットワークベースのデプロイメントの両方をサポートします。ただし、ネットワークベースのデプロイメントでは、UEFI HTTP ブートのみをサポートします。
次の図は、FIDO デバイスのオンボーディングワークフローを表しています。
図7.1 非ネットワーク環境でのRHEL for Edgeのデプロイ
- デバイスはデバイス認証情報を読み込みます。
- デバイスがネットワークに接続します。
- 早い段階で、所有者管理システムは、所有者管理システムの場所についてメーカーのランデブーサーバーに通知します。
- ネットワークに接続した後、デバイスはランデブーサーバーに接続します。
- ランデブーサーバーは所有者の URL をデバイスに送信します。
- デバイスは所有者管理システムに接続し、デバイスキーを使用してステートメントに署名することにより、デバイスが正しいデバイスであることを証明します。
- 所有者管理システムは、所有者バウチャーの最後のキーを使用してステートメントに署名することにより、それ自体を証明します。
- 所有者管理システムは、デバイスの設定を提供します。これは、デバイスがたとえば ssh キーに保存します。
- デバイスは、所有権バウチャーを受け取り、確認します。
- 次に、デバイスはデバイスの認証情報を取得します。
その後、所有者管理システムはデバイスをオンボードとして報告します。
FDO プロセス全体が完了し、このデバイスでは使用されなくなりました。