红帽网络订阅管理
1. “管理订阅”的含义是什么
图 1. RHN 订阅管理和客户门户网站
- 首先,确定您系统中的所有产品都是有效且活跃的订阅,这样管理员就可以根据所有管理要求(比如 PCI-DSS 或者 SAS-70)和内部托管要求保持合规性。
- 其次,帮助获得您设施中软件产品的正确数目和类型。过度订阅某个系统或者购买超过您的环境实际使用的订阅都会造成浪费。跟踪使用的和可用的订阅,并管理过期订阅和续订订阅都会更有效地降低您的 IT 预算。
- 最后,订阅管理可让您更容易了解您系统需要访问的产品,并确定为其分配正确的订阅。
注意
1.1. 订阅过程
- 机构购买产品的订阅后,就可以访问 Red Hat 的内容发布网络、勘误和补丁、升级以及支持。订阅可规定数量,即使用那个订阅,可允许您访问该产品及其所支持服务的系统数。
- 为订阅服务在清单中添加或者注册服务器。就是说 subscription service 可管理服务器并为其分配订阅。
- 订阅是被分配或者分派给系统,因此该系统就被授予那个产品的支持服务和内容。另一种说法就是在授权中订阅某个系统。
subscription-manager
仅限于本地机器,因此不能用它们管理清单中的其他用户。)
注意
1.2. 托管的系统和销售商
1.3. Red Hat Network 和 RHN Classic
注意
1.4. RHN 订阅管理和访问控制
图 2. 订阅管理权限
1.5. 与订阅相关的术语快速参考
表 1. 与订阅相关的术语快速参考
术语 | 定义 |
---|---|
可用 | 含有一定未分配(或者消耗)的数量并可被分配给系统的订阅。 |
Red Hat Network Subscription Management | 托管的订阅服务使用 X.509 证书识别系统、识别安装的产品、分配授权和管理认证。这个版本的红帽网络使用新的授权服务和内容发布网络。在这个系统中,是根据产品而不是频道访问管理授权(使用发给的证书验证)。 |
CDN | 内容发布网络。 |
频道 | 软件产品、相关产品组或者产品版本的软件包集合。只有在 RHN Classic 中才使用根据频道定义订阅。 |
兼容 | 与该系统构架匹配的可用和活跃订阅。 |
消耗(动词) | 为某个系统分配订阅。 |
用户 | 实体 — 物理机或者虚拟机 — 它位于订阅服务清单,并可为其分配订阅。 |
内容 | 软件下载和更新。 |
内容发布网络(CDN) | Red Hat 托管,用来发布软件、更新和软件包的内容程序库和技术。 |
销售商 | 在二级内部应用程序(比如 Subscription Asset Manager)中定义的机构,可分配大量订阅,并可将那些订阅发送到 Red Hat Network 以外的客户端。 |
授权 | 分配给某个系统后的订阅(就是说已经消耗的订阅)。 |
授权证书 | X.509 证书,包含某个系统的订阅列表,其中包括有关产品、数量、内容程序库、角色以及不同命名空间的信息。 |
身份识别证书 | 系统注册有订阅服务后,会为其发送一个 X.509 证书。这个证书是用于在订阅服务中认证和识别系统。 |
清单 | 在订阅服务中注册的用户列表以及某个机构所购买的所有订阅(当前、过期和未来订阅)的列表。 |
许可证 | 规定如何使用软件的法律声明。红帽产品是符合 GPLv2 的授权。订阅决定通过红帽内容流可更新并提供支持的实例(数量)或者产品,但不限制对这些软件产品的安装和使用。 |
产品 | 独立软件产品,比如 Red Hat Enterprise Linux,或者目录服务器。 |
产品证书 | 当在某个系统中实际安装了订阅的产品后,会生成并安装一个 X.509 证书。这个证书包含安装产品的具体系统的有关信息(比如硬件和构架)和产品名称、版本以及命名空间。这样可在订阅服务和 CDN 中识别那个具体产品安装。 |
数量 | 可用订阅数量。当在系统中应用订阅时,您可以在同一订阅中应用多个数量以满足您的系统。 |
注册(动词) | 在订阅服务清单中添加系统(物理或者虚拟系统) |
RHN 传统订阅 | 传统 RHN 系统。这个系统还可使用几年,但会逐渐被弃用。 |
状态 | 系统中安装的所有产品都有完全的活跃订阅。 |
订阅 | 订阅规定可使用的产品、支持级别、可安装产品的服务器数量(或者服务器号)、可使用产品的构架、可提供产品的内容程序库以及其它与产品有关的信息。 |
订阅管理器 | 可用来查看并分配订阅以及管理清单中系统的一组工具。这里有两个订阅管理器工具:
|
订阅号 | 当从 OEM 或者零售商处购买产品(包括 Red Hat Enterprise Linux)时,他们会为用户提供一个号码或者代码以便维护其产品。这个订阅号可用来为某台机器激活购买的订阅,其中包括创建 Red Hat 登录,并总是包括在订阅服务中创建对应的订阅。 |
订阅服务 | 通过创建系统清单与独立系统互动的后端授权管理服务器。它还保留订阅清单,其中包括合同、数量和过期日期。当注册新系统、添加或者分配订阅以及安装产品时,授权服务会管理这些更改,并向系统发布相应的 X.509 证书以标记这个更改。授权服务还为产品定义角色,比如硬件/构架限制,以帮助分配订阅。 |
系统 | 在订阅服务清单中注册的服务器或者其它机器(物理或者虚拟)的用户类型, |
X.509 证书 | 具体的证书标准,可用来决定在 SSL 通讯以及公用密钥构架中使用的证书格式。这可用来在 RHN 传统系统使用的 Satellite 证书中描述新订阅服务使用的证书。 |
2. RHN 订阅管理演示
- 查看某个机构所有正在使用的订阅
- 查看清单内的所有用户
图 3. RHN 订阅管理菜单
注意
图 4. RHN 订阅管理概述页面
图 5. Breadcrumbs
3. 查看订阅
3.1. 订阅使用
- 所有活跃和已消耗的订阅(总数)
- Red Hat Network 中的用户可以使用的所有订阅
- Red Hat Network 中与具体用户架构、插槽、安装的产品或者其他特征匹配的订阅
图 6. 所有订阅服务的订阅总数
注意
3.2. 管理已过期和要过期的订阅
图 7. 订阅概述
- 点击「活跃订阅」进入「活跃」标签。
- 点击「订阅在未来 120 天内过期」 进入「可续订」标签。
- 点击「最近过期的订阅」进入「最近过期的订阅」标签。
图 8. 最近过期的订阅标签
图 9. (过期的)产品续订信息
3.3. 激活订阅
- 在「订阅 > 概述」页面中,点击右上角「概述」区域的「激活订阅」链接。
- 在「订阅激活」页面中输入 16 位数的订阅号。
- 继续完成激活向导。
3.4. 解决过度订阅问题
警告
图 10. 在订阅服务中过度订阅
图 11. 物理用户列表
注意
4. 管理用户
4.1. 注册新用户
- 打开客户门户网站中的「订阅」标签,并选择「订阅管理」区域中的标签「概述」标签一项。
- 在「使用」标签区域中,点击「注册新用户」链接创建新清单条目。
- 为新用户类型输入所需信息。系统需要有关架构和硬件方面的信息以便确定那个系统可使用什么订阅。
- 创建该系统后,请为其分配适当的订阅。
- 打开 已应用订阅 标签。
- 点击 添加订阅 链接。
- 点击所有要分配的订阅的复选框,然后点击 添加所选 按钮。
- 点击 下载所有证书 按钮。这样会为每个产品将其所有授权证书导出为一个
.zip
文件。将该文件保存到可移动介质中,比如闪存盘。 - 您还可以选择点击 下载身份识别证书 按钮。这样可为注册用户保存身份证书,且用户可使用该证书连接到订阅服务。如果用户将永远离线,那么就没有这个必要。但如果用户有可能使用网络,那么这个操作就很有必要。
- 将介质设备中的授权证书复制给该用户。
- 如果将所有证书都下载成一个归档文件,那么在可下载的
certificates.zip
文件中就有多个归档。解压缩该目录,直到出现该授权证书的 PEM 文件为止。 - 导入授权证书。您可以使用订阅管理 GUI 中的 导入证书 按钮,或者
import
命令完成此操作。例如:# subscription-manager import --certificate=/tmp/export/entitlement_certificates/596576341785244687.pem --certificate=/tmp/export/entitlement_certificates/3195996649750311162.pem Successfully imported certificate 596576341785244687.pem Successfully imported certificate 3195996649750311162.pem
- 如果您下载了身份识别证书,请直接将
cert.pem
文件复制到/etc/pki/consumer
目录中。例如:cp /tmp/downloads/cert.pem /etc/pki/consumer
4.2. 用户列表:查看清单
图 12. 主菜单链接
图 13. 概述页面链接
图 14. 用户列表
注意
4.3. 用户详情:查看系统信息
图 15. 用户详情
图 16. 用户详情
注意
4.4. 为用户分配订阅
注意
- 所购买订阅的合同号,这对记录维护和追踪很重要。
- 那个订阅还可使用的数量。订阅是按照数量购买的,这个数字可告诉您所购买的总数还剩下多少可以使用。
- 订阅的开始和截止日期。这样可防止您分配那些只有几天就要过期或者还没有激活的订阅。
注意
- 打开 已应用订阅 标签。
- 点击 添加订阅 链接。
- 点击所有要分配的订阅旁的复选框。通常只列出与该系统兼容的订阅,即它们与系统可识别的硬件和架构匹配。要列出所有订阅,包括那些不与系统硬件兼容的订阅,请删除「只显示......」复选框。
- 点击「添加所选」按钮。
4.5. 检查状态
图 17. 订阅状态
- 绿色表示所有产品都已订阅。
- 黄色表示有些产品还没有订阅,但仍可更新。
- 红色表示更新已被禁用。
图 18. 未知订阅状态
4.6. 设定首选服务等级
- 特别支持
- 标准支持
- 无支持(自助式)
注意
[root#server ~]# subscription-manager subscribe --auto --servicelevel Premium为系统设定服务等级属性后,就可在门户网站中查看和编辑那个属性。
图 19. 服务等级属性
4.7. 查看 Y-Stream 发行本属性
yum update
就在版本间移动。
图 20. Y-Stream 发行本属性设置
4.8. 修复订阅
图 21. 切换修复功能
4.9. 查看并删除某个用户的订阅
5. 为订阅的系统管理勘误通知
注意
- 在客户门户网站的右上角展开登录用户详情。
- 点击「帐户设置」链接。
- 在设置主页面中点击「您的 Red Hat 帐户」框中的「帐户详情」链接。
- 在左侧「您的属性」菜单中点击「勘误通知」链接。
- 选择「勘误通知」选择框。默认是为用户禁用勘误通知,这样可防止他们接收不需要的邮件。选这个选择框可让您在发布会影响您的一个注册系统的勘误时收到通知。
- 点击 保存 按钮。
6. 管理销售商
6.1. 注册销售商
- 在「订阅 > 概述」页面中,点击「注册销售商」链接。
- 填写新销售商名称。
注意
这个名称应与内部应用程序中的该机构名称对应。 - 点击 注册 按钮。
6.2. 销售商列表和详情
图 22. 概述中的销售商
图 23. 查看销售商清单
- 机构名称,它可链接至详情页面。
- 分配给该机构的订阅总数(跨产品及合同)。
- 该机构的 UUID,与系统用户的 UUID 类似。
图 24. 销售商详情
6.3. 有关销售商的清单和订阅
重要
manifest.zip | |- consumer_export.zip | |- export/ | |- consumer_types/ | |- entitlements/ | |- entitlement_certificates/ | |- products/ | |- rules/ | |- consumer.json | |- meta.json
这些 JSON 文件包含有关用户的信息(UUID)以及清单本身的信息(版本及创建日期)。
consumer_types/
中包含 JSON 文件列表,每个销售商类型一个文件。该 JSON 文件代表为其分配的订阅类型。例如:对于 Subscription Asset Manager,sam.json
中的 manifest
值为 true。
{"id":"5","label":"sam","manifest":true}
entitlements/
中包含每一个为该销售商分配的订阅的 JSON 文件。每个文件的名称为 UUID.json
。
... {"id":"8a878dcd3520d43501353f6f98f911e9","productName":"Red Hat Enterprise Linux Server","productId":"69","updated":"2012-02-02T18:59:32.000+0000","created":"2012-02-02T18:59:32.000+0000"}],"endDate":"2012-10-13T03:59:59.000+0000","quantity":50,"productName":"Red Hat Enterprise Linux Server, Premium (4 sockets) (Up to 4 guests)","contractNumber":"2625891","accountNumber":"1506376","productId":"RH0153936","subscriptionId":"2267347","consumed":31,"exported":30,"sourceEntitlement":null,"activeSubscription":true,"restrictedToUsername":null,"productAttributes":[{"productId":"RH0153936","name":"support_type","value":"L1-L3","id":"8a878dcd3520d43501353f6f98f811de","updated":"2012-02-02T18:59:32.000+0000","created":"2012-02-02T18:59:32.000+0000"} ...
entitlement_certificates/
包含每个订阅的 64 位代码二进制授权证书 PEM 文件。
products/
中包含订阅中每个产品的 JSON 文件。它包含有关支持的版本的详细信息以及内容组件、相依性、库以及其他具体产品(不一定是具体订阅)的信息。
... {"name":"Red Hat Enterprise Linux Server","id":"69","attributes":[{"name":"type","value":"SVC"},{"name":"arch","value":"i386,ia64,x86_64"},{"name":"name","value":"Red Hat Enterprise Linux Server"}],"multiplier":1,"href":"/products/69","productContent":[{"content":{"name":"Red Hat Enterprise Linux 5 Server Beta (Source ISOs)","id":"861","type":"file","vendor":"Red Hat","modifiedProductIds":[],"contentUrl":"/content/beta/rhel/server/5/$releasever/$basearch/source/iso","label":"rhel-5-server-beta-source-isos","gpgUrl":"http://","metadataExpire":86400,"requiredTags":"rhel-5-server"},"enabled":false} ...
rules/
中包含一个 JavaScript 文件,它可设定该销售商用来与后端 Red Hat 订阅服务互动的功能。
6.4. 为销售商分配订阅
- 在「订阅 > 概述」页面中,点击「注册销售商」链接。
- 请点击「证书式订阅」栏中的数字打开该销售商清单。
- 在销售商清单中点击该机构名称。
- 打开 已应用订阅 标签。
- 点击 添加订阅 链接打开订阅选择窗口。可用订阅列表提供三个重要信息:
- 所购买订阅的合同号,这对记录维护和追踪很重要。
- 那个订阅还可使用的数量。订阅是按照数量购买的,这个数字可告诉您所购买的总数还剩下多少可以使用。
- 订阅的开始和截止日期。这样可防止您分配那些只有几天就要过期或者还没有激活的订阅。
- 选择要分配的订阅旁的复选框,并在「数量」栏中为该销售商设定总数。
注意
数量默认是那个合同可用订阅总数。请注意要为一个销售商分配多少订阅,以便为其他销售商和用户正确分配订阅。 - 点击左下角的 添加所选 按钮。
6.5. 下载清单
manifest.zip
归档保存到本地文件系统中,以便上传到 Subscription Asset Manager。
图 25. 下载销售商清单
6.6. 更新销售商清单并更改订阅
重要
- 为销售商更改订阅分配。不能直接更改为销售商分配的订阅数量。
- 要归还订阅,请删除旧的订阅分配,然后再分配新的、较少数量的订阅。
- 要增加订阅的数量,您可以删除旧的订阅组,并使用新的更大的总数添加新订阅组,或者只要重新选择该订阅并只添加额外数量即可。删除旧订阅组并添加有新数量的新订阅组对管理员来说更简单。例如:如果您的订阅组有 30 个订阅,且应将其增加到 35 个,您可以删除旧的订阅组,然后添加一个有 35 个订阅的新订阅组。这样您就可以有一个数量为 35 的订阅。或者您也可以只添加一个数量为 5 的新订阅。结果是您有两个独立的订阅条目,一个数量为 30,一个数量为 5。
- 下载更新的清单。
- 将更新的清单上传到在线应用程序中。
7. 查看并重新生成身份识别证书
图 26. 身份识别证书详情
-----BEGIN CERTIFICATE----- MIIDdzCCAuCgAwIBAgIIASDVoX2P1a8wDQYJKoZIhvcNAQEFBQAwSzEqMCgGA1UE AxMhY2FuZGxlcGluMS5kZXZsYWIucGh4MS5yZWRoYXQuY29tMQswCQYDVQQGEwJV UzEQMA4GA1UEBxMHUmFsZWlnaDAeFw0xMTAzMDkxNTAxMDVaFw0xMjAzMDkxNTAx MDVaMC8xLTArBgNVBAMMJDdmY2Y2NjYwLTdkZDYtNDdjZi04ZjJjLTQ0NmJiMWE1 YWQyZjCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAJA0wmfB9znYeZu2 lOCga8ERkKPHDZtBKJknT/L74U4+ZQb7wFfRhhqeAv38erEyH40o79iVZJAc0cnT pBdUYVN9ronv8vOFgdkqBdrjy4t7qq8ofI6dpj0U8fTaisU82WXBq1t41dn7OrJT vbRCa4ZCt3FMzTkthd1ZKniLgfvokeGr6gVnh4jEgoFuMPHxigXKPDBvn7R5mf0w vNM1m2/1OKMPI4u5ZLsN/XTyd4t3MSX25SFqobtkVABW7jVlRvyWuR7V6PxpzmTZ 7CjodUY+CVZrFIiL8s2pMkX38KCEXlUuH8DXymDxj4IAMSYC2SW7F7z2YQNTbAvK kcklWHECAwEAAaOB+zCB+DARBglghkgBhvhCAQEEBAMCBaAwCwYDVR0PBAQDAgSw MHsGA1UdIwR0MHKAFGiY1N2UtulxcMFy0j6gQGLTyo6CoU+kTTBLMSowKAYDVQQD EyFjYW5kbGVwaW4xLmRldmxhYi5waHgxLnJlZGhhdC5jb20xCzAJBgNVBAYTAlVT MRAwDgYDVQQHEwdSYWxlaWdoggkA1s54sVacN0EwHQYDVR0OBBYEFOP0p6JiVnQ2 SBmscyhvB1It2bjmMBMGA1UdJQQMMAoGCCsGAQUFBwMCMCUGA1UdEQQeMBykGjAY MRYwFAYDVQQDDA10ZXN0LXN5c3RlbS0xMA0GCSqGSIb3DQEBBQUAA4GBADOoBuca Jg244L6LLMw8ov32VK/kRCk9z8qcMA6y8+jL1yrfW//9Ig1BJiWKnrqln3eSNvf+ zouqNgaS4kvQeQf51lPVws++q3J9/q1i4WvJ4kDRN7HOtasf6KmSBpVM6dSDLrX3 nEZbvD0hT+2YVj/DJ7IXvQ9F3KXDkcwb4Lrh -----END CERTIFICATE-----