7장. FDO를 사용하여 엣지 장치용 RHEL 자동 프로비저닝 및 온보딩
Edge Simplified Installer 이미지를 위한 RHEL을 빌드하고 RHEL for Edge 이미지에 프로비저닝할 수 있습니다. FIDO Device Onboarding (FDO) 프로세스는 에지 장치를 자동으로 프로비저닝 및 온보딩하고 네트워크에 연결된 다른 장치 및 시스템과 데이터를 교환합니다.
Red Hat은 FDO
프로세스를 기술 프리뷰 기능으로 제공하며 보안 네트워크에서 실행해야 합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다. 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 Red Hat 고객 포털의 기술 프리뷰 기능 지원 범위를 참조하십시오.
7.1. FIDO Device Onboarding (FDO) 프로세스
FIDO Device Onboarding (FDO)은 다음과 같은 프로세스입니다.
- 장치를 프로비저닝하고 온보딩합니다.
- 이 장치에 대한 자격 증명을 자동으로 구성합니다. FDO 프로세스는 새 장치를 설치하여 트리거하는 자동 온보딩 메커니즘입니다.
- 이 장치가 네트워크에서 안전하게 연결 및 상호 작용할 수 있도록 합니다.
FIDO Device Onboarding (FDO)을 사용하면 IoT 아키텍처에 새 장치를 추가하여 보안 장치를 수행할 수 있습니다. 여기에는 신뢰할 수 있고 실행 중인 나머지 시스템과 통합해야 하는 지정된 장치 구성이 포함됩니다. FDO 프로세스는 새 장치를 설치하여 트리거하는 자동 온보딩 메커니즘입니다.
FDO 프로토콜은 다음 작업을 수행합니다.
- 규모에 따라 장치를 안전하게 온보딩하는 데 필요한 자동화와 함께 신뢰 및 소유권 체인을 해결합니다.
- 실제 사용을 위해 제조 단계 및 늦은 장치 바인딩에서 장치 초기화를 수행합니다. 즉, 장치를 관리 시스템에 실제 바인딩하는 것은 장치에 수동 구성없이 장치의 첫 번째 부팅시 수행됩니다.
- 엣지 위치에 특수한 사람이 필요하지 않은 자동화된 보안 장치 온보딩, 즉 제로 터치 설치 및 온보딩을 지원합니다. 장치가 온보딩되면 관리 플랫폼에서 연결할 수 있으며 패치, 업데이트 및 롤백을 적용할 수 있습니다.
FDO를 사용하면 다음과 같은 이점을 누릴 수 있습니다.
- FDO는 장치를 관리 플랫폼에 등록하는 안전하고 간단한 방법입니다. Kickstart 구성을 이미지에 포함하는 대신 FDO는 장치를 먼저 ISO 이미지로 직접 부팅하는 동안 장치 자격 증명을 적용합니다.
- FDO는 지연 바인딩을 장치에 전달하여 중요한 데이터를 보안 FDO 채널을 통해 공유할 수 있도록 합니다.
- FDO는 구성 및 기타 시크릿을 시스템에 등록하고 전달하기 전에 시스템 ID와 소유권을 식별합니다. 이를 통해 비기술적 사용자가 시스템의 전원을 켜도록 할 수 있습니다.
Edge Simplified Installer 이미지를 빌드하고 자동으로 온보드용 RHEL을 빌드하려면 기존 OSTree 커밋을 제공합니다. 결과 간소화된 이미지에는 OSTree 커밋이 배포된 원시 이미지가 포함되어 있습니다. 간소화된 설치 프로그램 ISO 이미지를 부팅한 후 하드 디스크 또는 가상 머신의 부팅 이미지로 사용할 수 있는 RHEL for Edge 시스템을 프로비저닝합니다.
RHEL for Edge Simplified Installer 이미지는 장치에 대한 무인 설치에 최적화되어 네트워크 기반 배포 및 비 네트워크 기반 배포를 모두 지원합니다. 그러나 네트워크 기반 배포의 경우 UEFI HTTP 부팅만 지원합니다.
FDO 프로토콜은 다음 서버를 기반으로 합니다.
- 제조 서버
- 장치 자격 증명을 생성합니다.
- 나중에 프로세스의 소유권을 설정하는 데 사용되는 Ownership voucher를 만듭니다.
- 장치를 특정 관리 플랫폼에 바인딩합니다.
- 소유자 관리 시스템
- 제조 서버로부터 Ownership voucher를 수신하고 관련 장치의 소유자가 됩니다.
- 이 프로세스의 뒷부분에서 장치 인증 후 장치와 소유자 온보딩 서버 간에 보안 채널을 만듭니다.
- 보안 채널을 사용하여 온보딩 자동화에 필요한 파일 및 스크립트와 같은 필요한 정보를 장치로 보냅니다.
- service-info API 서버
- 클라이언트에서 사용 가능한 Service-info API 서버 구성 및 모듈을 기반으로 SSH 키 및 파일 복사, 명령 실행, 사용자 생성, 디스크 암호화 등과 같은 대상 클라이언트 장치에서 온보딩의 최종 단계를 수행합니다.
- rendezvous 서버
- 소유자 관리 시스템에서 Ownership voucher를 가져오고 장치 UUID를 소유자 서버 IP에 매핑합니다. 그런 다음 Rendezvous 서버는 대상 플랫폼과 장치 UUID와 일치하고 이 장치가 사용해야 하는 소유자 온보딩 서버 엔드포인트에 대해 장치에 알립니다.
- 첫 번째 부팅 과정에서 Rendezvous 서버는 장치의 연락처 지점이 되고 장치를 소유자로 지시하여 장치와 소유자가 보안 채널을 설정할 수 있도록 합니다.
- 장치 클라이언트
장치에 설치되어 있습니다. 장치 클라이언트는 다음 작업을 수행합니다.
- 온보딩 자동화가 실행될 여러 서버에 대한 쿼리를 시작합니다.
- TCP/IP 프로토콜을 사용하여 서버와 통신합니다.
다음 다이어그램은ECDHEDO 장치 온보딩 워크플로를 나타냅니다.
그림 7.1. 비 네트워크 환경에서 Edge용 RHEL 배포
장치 초기화 에서 장치는 제조 서버에 연결하여 FDO 자격 증명, 일련의 인증서 및 키 집합을 Rendezvous 서버 엔드포인트(URL)를 사용하여 운영 체제에 설치합니다. 또한 소유자 할당을 변경해야 하는 경우 별도로 유지되는 Ownership Voucher를 가져옵니다.
- 장치가 제조 서버에 연결되어 있습니다.
- 제조 서버는 Ownership vucher 및 장치에 대한 장치 자격 증명을 생성합니다.
- Ownership polkitucher는 소유자 온보딩 서버로 전송됩니다.
온사이트 온보딩 에서 장치는 장치 자격 증명 및 연락처 서버 끝점에서 Rendezvous 서버 끝점(URL)을 가져와서 온보딩 프로세스를 시작하여 소유자 관리 시스템으로 리디렉션합니다. 이 엔드포인트는 소유자 온보딩 서버 및 서비스 정보 API 서버로 구성됩니다.
- 소유자 온보딩 서버는 소유자인 Shucher를 Rendezvous 서버로 전송하여 소유자에 대한 소유권을 매핑합니다.
- 장치 클라이언트는 장치 자격 증명을 읽습니다.
- 장치 클라이언트가 네트워크에 연결됩니다.
- 네트워크에 연결한 후 장치 클라이언트는 Rendezvous 서버에 연결합니다.
- Rendezvous 서버는 소유자 엔드포인트 URL을 장치 클라이언트에 전송하고 장치를 등록합니다.
- 장치 클라이언트는 Rendezvous 서버에서 공유하는 소유자 온보딩 서버에 연결합니다.
- 장치는 장치 키를 사용하여 문에 서명하여 올바른 장치임을 증명합니다.
- 소유자 온보딩 서버는 소유자인ucher의 마지막 키로 문에 서명하여 정확함을 증명합니다.
- 소유자 온보딩 서버는 장치의 정보를 서비스 정보 API 서버로 전송합니다.
- Service info API 서버는 장치에 대한 구성을 전송합니다.
- 장치가 온보딩되어 있습니다.