7장. FDO를 사용하여 엣지 장치용 RHEL 자동 프로비저닝 및 온보딩

Edge Simplified Installer 이미지를 위한 RHEL을 빌드하고 RHEL for Edge 이미지에 프로비저닝할 수 있습니다. FIDO Device Onboarding (FDO) 프로세스는 에지 장치를 자동으로 프로비저닝 및 온보딩하고 네트워크에 연결된 다른 장치 및 시스템과 데이터를 교환합니다.

중요

Red Hat은 FDO 프로세스를 기술 프리뷰 기능으로 제공하며 보안 네트워크에서 실행해야 합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다. 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 Red Hat 고객 포털의 기술 프리뷰 기능 지원 범위를 참조하십시오.

7.1. FIDO Device Onboarding (FDO) 프로세스

FIDO Device Onboarding (FDO)은 다음과 같은 프로세스입니다.

  • 장치를 프로비저닝하고 온보딩합니다.
  • 이 장치에 대한 자격 증명을 자동으로 구성합니다. FDO 프로세스는 새 장치를 설치하여 트리거하는 자동 온보딩 메커니즘입니다.
  • 이 장치가 네트워크에서 안전하게 연결 및 상호 작용할 수 있도록 합니다.

FIDO Device Onboarding (FDO)을 사용하면 IoT 아키텍처에 새 장치를 추가하여 보안 장치를 수행할 수 있습니다. 여기에는 신뢰할 수 있고 실행 중인 나머지 시스템과 통합해야 하는 지정된 장치 구성이 포함됩니다. FDO 프로세스는 새 장치를 설치하여 트리거하는 자동 온보딩 메커니즘입니다.

FDO 프로토콜은 다음 작업을 수행합니다.

  • 규모에 따라 장치를 안전하게 온보딩하는 데 필요한 자동화와 함께 신뢰 및 소유권 체인을 해결합니다.
  • 실제 사용을 위해 제조 단계 및 늦은 장치 바인딩에서 장치 초기화를 수행합니다. 즉, 장치를 관리 시스템에 실제 바인딩하는 것은 장치에 수동 구성없이 장치의 첫 번째 부팅시 수행됩니다.
  • 엣지 위치에 특수한 사람이 필요하지 않은 자동화된 보안 장치 온보딩, 즉 제로 터치 설치 및 온보딩을 지원합니다. 장치가 온보딩되면 관리 플랫폼에서 연결할 수 있으며 패치, 업데이트 및 롤백을 적용할 수 있습니다.

FDO를 사용하면 다음과 같은 이점을 누릴 수 있습니다.

  • FDO는 장치를 관리 플랫폼에 등록하는 안전하고 간단한 방법입니다. Kickstart 구성을 이미지에 포함하는 대신 FDO는 장치를 먼저 ISO 이미지로 직접 부팅하는 동안 장치 자격 증명을 적용합니다.
  • FDO는 지연 바인딩을 장치에 전달하여 중요한 데이터를 보안 FDO 채널을 통해 공유할 수 있도록 합니다.
  • FDO는 구성 및 기타 시크릿을 시스템에 등록하고 전달하기 전에 시스템 ID와 소유권을 식별합니다. 이를 통해 비기술적 사용자가 시스템의 전원을 켜도록 할 수 있습니다.

Edge Simplified Installer 이미지를 빌드하고 자동으로 온보드용 RHEL을 빌드하려면 기존 OSTree 커밋을 제공합니다. 결과 간소화된 이미지에는 OSTree 커밋이 배포된 원시 이미지가 포함되어 있습니다. 간소화된 설치 프로그램 ISO 이미지를 부팅한 후 하드 디스크 또는 가상 머신의 부팅 이미지로 사용할 수 있는 RHEL for Edge 시스템을 프로비저닝합니다.

RHEL for Edge Simplified Installer 이미지는 장치에 대한 무인 설치에 최적화되어 네트워크 기반 배포 및 비 네트워크 기반 배포를 모두 지원합니다. 그러나 네트워크 기반 배포의 경우 UEFI HTTP 부팅만 지원합니다.

FDO 프로토콜은 다음 서버를 기반으로 합니다.

제조 서버
  1. 장치 자격 증명을 생성합니다.
  2. 나중에 프로세스의 소유권을 설정하는 데 사용되는 Ownership voucher를 만듭니다.
  3. 장치를 특정 관리 플랫폼에 바인딩합니다.
소유자 관리 시스템
  1. 제조 서버로부터 Ownership voucher를 수신하고 관련 장치의 소유자가 됩니다.
  2. 이 프로세스의 뒷부분에서 장치 인증 후 장치와 소유자 온보딩 서버 간에 보안 채널을 만듭니다.
  3. 보안 채널을 사용하여 온보딩 자동화에 필요한 파일 및 스크립트와 같은 필요한 정보를 장치로 보냅니다.
service-info API 서버
클라이언트에서 사용 가능한 Service-info API 서버 구성 및 모듈을 기반으로 SSH 키 및 파일 복사, 명령 실행, 사용자 생성, 디스크 암호화 등과 같은 대상 클라이언트 장치에서 온보딩의 최종 단계를 수행합니다.
rendezvous 서버
  1. 소유자 관리 시스템에서 Ownership voucher를 가져오고 장치 UUID를 소유자 서버 IP에 매핑합니다. 그런 다음 Rendezvous 서버는 대상 플랫폼과 장치 UUID와 일치하고 이 장치가 사용해야 하는 소유자 온보딩 서버 엔드포인트에 대해 장치에 알립니다.
  2. 첫 번째 부팅 과정에서 Rendezvous 서버는 장치의 연락처 지점이 되고 장치를 소유자로 지시하여 장치와 소유자가 보안 채널을 설정할 수 있도록 합니다.
장치 클라이언트

장치에 설치되어 있습니다. 장치 클라이언트는 다음 작업을 수행합니다.

  1. 온보딩 자동화가 실행될 여러 서버에 대한 쿼리를 시작합니다.
  2. TCP/IP 프로토콜을 사용하여 서버와 통신합니다.

다음 다이어그램은ECDHEDO 장치 온보딩 워크플로를 나타냅니다.

그림 7.1. 비 네트워크 환경에서 Edge용 RHEL 배포

FDO 장치 온보딩

장치 초기화 에서 장치는 제조 서버에 연결하여 FDO 자격 증명, 일련의 인증서 및 키 집합을 Rendezvous 서버 엔드포인트(URL)를 사용하여 운영 체제에 설치합니다. 또한 소유자 할당을 변경해야 하는 경우 별도로 유지되는 Ownership Voucher를 가져옵니다.

  1. 장치가 제조 서버에 연결되어 있습니다.
  2. 제조 서버는 Ownership vucher 및 장치에 대한 장치 자격 증명을 생성합니다.
  3. Ownership polkitucher는 소유자 온보딩 서버로 전송됩니다.

온사이트 온보딩 에서 장치는 장치 자격 증명 및 연락처 서버 끝점에서 Rendezvous 서버 끝점(URL)을 가져와서 온보딩 프로세스를 시작하여 소유자 관리 시스템으로 리디렉션합니다. 이 엔드포인트는 소유자 온보딩 서버 및 서비스 정보 API 서버로 구성됩니다.

  1. 소유자 온보딩 서버는 소유자인 Shucher를 Rendezvous 서버로 전송하여 소유자에 대한 소유권을 매핑합니다.
  2. 장치 클라이언트는 장치 자격 증명을 읽습니다.
  3. 장치 클라이언트가 네트워크에 연결됩니다.
  4. 네트워크에 연결한 후 장치 클라이언트는 Rendezvous 서버에 연결합니다.
  5. Rendezvous 서버는 소유자 엔드포인트 URL을 장치 클라이언트에 전송하고 장치를 등록합니다.
  6. 장치 클라이언트는 Rendezvous 서버에서 공유하는 소유자 온보딩 서버에 연결합니다.
  7. 장치는 장치 키를 사용하여 문에 서명하여 올바른 장치임을 증명합니다.
  8. 소유자 온보딩 서버는 소유자인ucher의 마지막 키로 문에 서명하여 정확함을 증명합니다.
  9. 소유자 온보딩 서버는 장치의 정보를 서비스 정보 API 서버로 전송합니다.
  10. Service info API 서버는 장치에 대한 구성을 전송합니다.
  11. 장치가 온보딩되어 있습니다.