红帽网络订阅管理
有效资产管理需要一个处理软件清单的机制 — 软件清单包括产品类型以及安装该软件的系统数两个部分。Red Hat Network 的 subscription service 组件提供该机制,并可给出上自整个系统的全局订阅分配,下到为单一系统分配的具体订阅等公开信息。
本指南可让您对使用 RHN 订阅管理工具管理订阅和系统有一个初步了解。有关常用的 Red Hat Subscription Manager 本地工具以及订阅概念的详情请参考《Red Hat Enterprise Linux 部署指南》。
1. “管理订阅”的含义是什么
很多软件公司根据其销售的许可证提供访问。在 Red Hat,根据 GNU 公共许可证 v2,您已经可以使用我们的软件,并允许对源代码进行常规访问。您可以通过订阅使用我们的产品,我们根据订阅提供这些产品的服务(比如内容发布、更新、知识库以及支持等级)。我们是根据服务器提供订阅,并允许该服务器接受支持服务。
Red Hat Network 订阅管理在您可以使用的产品订阅和分配那些订阅的 IT 设施元件之间建立了联系。RHN 订阅管理是客户门户网站中大型订阅管理组件的一部分,它可提供管理那些与订阅有关的系统的方法。
图 1. RHN 订阅管理和客户门户网站
作为 IT 管理员必须了解他可以使用什么产品;这些产品订阅被分配在哪里;以及需要管理的系统是哪些。因此,Red Hat 通过 Red Hat Network 订阅管理提供订阅服务,这样就可以通过 Red Hat Subscription Manager 进行本地(独立系统)或者全局(该环境中的所有服务器)管理。订阅管理的最终目的是让管理员了解在其设施中产品的分配。理由如下:
- 首先,确定您系统中的所有产品都是有效且活跃的订阅,这样管理员就可以根据所有管理要求(比如 PCI-DSS 或者 SAS-70)和内部托管要求保持合规性。
- 其次,帮助获得您设施中软件产品的正确数目和类型。过度订阅某个系统或者购买超过您的环境实际使用的订阅都会造成浪费。跟踪使用的和可用的订阅,并管理过期订阅和续订订阅都会更有效地降低您的 IT 预算。
- 最后,订阅管理可让您更容易了解您系统需要访问的产品,并确定为其分配正确的订阅。
RHN 订阅管理提供一个机构范围内跟踪软件产品和跨机构部署订阅的方法,比如所管理的系统是什么;订阅的有效合同日期;以及在哪里分配了订阅。RHN 订阅管理可帮助您了解设施内的订阅和产品 — 它不限制安装或者提供主动的强制安装。
注意
订阅和授权是两个紧密关联的术语。这两个词指的都是可在某个系统中使用的软件产品(及其所有相关服务),但侧重点有所不同。订阅是指在 Red Hat 购买了什么。订阅规定的是产品、支持的构架、内容发布机制、支持等级以及数量。当为某个系统分配订阅后,该系统就有权使用那个订阅,或者说它就有了授权。授权总是本地的,与为其分配的系统关联。授权就是分配的订阅。
1.1. 订阅过程
订阅管理是在您 IT 环境中的系统与您可通过 Red Hat 使用的软件产品间进行识别并创建联系的方法。
订阅管理是定义该公司拥有的订阅、其本地机器以及在那些机器中安装的产品之间的关系:
- 机构购买产品的订阅后,就可以访问 Red Hat 的内容发布网络、勘误和补丁、升级以及支持。订阅可规定数量,即使用那个订阅,可允许您访问该产品及其所支持服务的系统数。
- 为订阅服务在清单中添加或者注册服务器。就是说 subscription service 可管理服务器并为其分配订阅。
- 订阅是被分配或者分派给系统,因此该系统就被授予那个产品的支持服务和内容。另一种说法就是在授权中订阅某个系统。
RHN 订阅管理可让管理员在清单中添加和删除用户(管理的系统),并为用户分配订阅。本地 Red Hat Subscription Manager 工具可在 Red Hat Enterprise Linux 系统中用来管理具体系统,方法是将其注册为用户,并分配或者删除订阅。(因为 GUI 和
subscription-manager 仅限于本地机器,因此不能用它们管理清单中的其他用户。)
注意
这本指南论述了如何使用 RHN 订阅管理从全局角度管理订阅和系统。本地系统使用的工具请参考《Red Hat Enterprise Linux 部署指南》,该指南还包括大量与订阅有关的内容。
1.2. 托管的系统和销售商
为本地系统分配订阅并传递内容的最简单方法是直接连接到 Red Hat 托管的网络。
但对大环境、要求高度安全性的环境以及很多其他情况来说,托管方案不够灵活。客户需要本地分配订阅和发布软件内容的方法。
如果是那样的话,可将一组订阅分配给销售商。那个销售商与 Red Hat 的基础设施连接以获取它可管理的订阅和产品清单。然后该销售商可直接管理所有系统及其本地网站的客户。这可能可降低带宽而提升性能,同时它允许本地且灵活地控制订阅管理,极大方便了管理员的工作。
1.3. Red Hat Network 和 RHN Classic
订阅管理的某些步骤可能有点儿耳熟,原因是 — 可能在红帽网络的前一个版本中为那些系统分配了订阅。在 RHN Classic 中,访问订阅是基于对频道或者内容发布流的访问。新的 Red Hat Network 是根据系统的可用和安装的产品管理订阅。这样就将订阅和系统作为独立实体对待,而不是根据频道定义的块。
Red Hat Network 可明确给出在系统中安装了什么产品(使用本地 Red Hat Subscription Manager 工具时)以及系统有哪些订阅可用。这可帮助 IT 管理员维护软件清单,并使用在传统基于频道的系统管理方式下无法实现的方法规划其设施。
注意
Red Hat Network 是基于证书的,它会发给每个系统颁发一个 X.509 证书,并使用该证书在 subscription service 和 CDN 中进行识别(身份识别证书)。当该系统订阅新的授权时,证书式 Red Hat Network 会给出一个 X.509 授权证书,其中包含订阅信息。安装订阅的产品后,Red Hat Network 会给出一个 X.509 产品证书 来识别那个唯一的产品安装。
使用证书简化了为系统管理独立授权和产品的过程,进而让该过程更安全。
Red Hat Network 和 RHN Classic 互不兼容。一个系统只能使用一个订阅服务管理,不能二者兼有,但这些系统可“在一起工作”。如果在 Red Hat Network 中订阅了某个系统,那么在传统 RHN Classic 工具中注册该系统不会有出错信息,反之亦然。两个服务都可识别该系统的授权。
我们提供 RHN Classic 是为给您提供一个从旧的 Red Hat Enterprise Linux 系统(Red Hat Enterprise Linux 4.x、Red Hat Enterprise Linux 5.x 和 Satellite)迁移到 Red Hat Enterprise Linux 6 系统的迁移途径。
1.4. RHN 订阅管理和访问控制
RHN 订阅管理只有用户在 Red Hat 登录中有正确的用户权限时方可使用。否则将被限制访问 RHN 订阅管理。
用户帐户必须拥有「客户门户网站:管理订阅」权限。默认情况下会为所有用户授予该权限,但管理员可在「用户管理」区域更改这个设置。
图 2. 订阅管理权限
1.5. 与订阅相关的术语快速参考
表 1. 与订阅相关的术语快速参考
| 术语 | 定义 |
|---|---|
| 可用 | 含有一定未分配(或者消耗)的数量并可被分配给系统的订阅。 |
| Red Hat Network Subscription Management | 托管的订阅服务使用 X.509 证书识别系统、识别安装的产品、分配授权和管理认证。这个版本的红帽网络使用新的授权服务和内容发布网络。在这个系统中,是根据产品而不是频道访问管理授权(使用发给的证书验证)。 |
| CDN | 内容发布网络。 |
| 频道 | 软件产品、相关产品组或者产品版本的软件包集合。只有在 RHN Classic 中才使用根据频道定义订阅。 |
| 兼容 | 与该系统构架匹配的可用和活跃订阅。 |
| 消耗(动词) | 为某个系统分配订阅。 |
| 用户 | 实体 — 物理机或者虚拟机 — 它位于订阅服务清单,并可为其分配订阅。 |
| 内容 | 软件下载和更新。 |
| 内容发布网络(CDN) | Red Hat 托管,用来发布软件、更新和软件包的内容程序库和技术。 |
| 销售商 | 在二级内部应用程序(比如 Subscription Asset Manager)中定义的机构,可分配大量订阅,并可将那些订阅发送到 Red Hat Network 以外的客户端。 |
| 授权 | 分配给某个系统后的订阅(就是说已经消耗的订阅)。 |
| 授权证书 | X.509 证书,包含某个系统的订阅列表,其中包括有关产品、数量、内容程序库、角色以及不同命名空间的信息。 |
| 身份识别证书 | 系统注册有订阅服务后,会为其发送一个 X.509 证书。这个证书是用于在订阅服务中认证和识别系统。 |
| 清单 | 在订阅服务中注册的用户列表以及某个机构所购买的所有订阅(当前、过期和未来订阅)的列表。 |
| 许可证 | 规定如何使用软件的法律声明。红帽产品是符合 GPLv2 的授权。订阅决定通过红帽内容流可更新并提供支持的实例(数量)或者产品,但不限制对这些软件产品的安装和使用。 |
| 产品 | 独立软件产品,比如 Red Hat Enterprise Linux,或者目录服务器。 |
| 产品证书 | 当在某个系统中实际安装了订阅的产品后,会生成并安装一个 X.509 证书。这个证书包含安装产品的具体系统的有关信息(比如硬件和构架)和产品名称、版本以及命名空间。这样可在订阅服务和 CDN 中识别那个具体产品安装。 |
| 数量 | 可用订阅数量。当在系统中应用订阅时,您可以在同一订阅中应用多个数量以满足您的系统。 |
| 注册(动词) | 在订阅服务清单中添加系统(物理或者虚拟系统) |
| RHN 传统订阅 | 传统 RHN 系统。这个系统还可使用几年,但会逐渐被弃用。 |
| 状态 | 系统中安装的所有产品都有完全的活跃订阅。 |
| 订阅 | 订阅规定可使用的产品、支持级别、可安装产品的服务器数量(或者服务器号)、可使用产品的构架、可提供产品的内容程序库以及其它与产品有关的信息。 |
| 订阅管理器 | 可用来查看并分配订阅以及管理清单中系统的一组工具。这里有两个订阅管理器工具:
|
| 订阅号 | 当从 OEM 或者零售商处购买产品(包括 Red Hat Enterprise Linux)时,他们会为用户提供一个号码或者代码以便维护其产品。这个订阅号可用来为某台机器激活购买的订阅,其中包括创建 Red Hat 登录,并总是包括在订阅服务中创建对应的订阅。 |
| 订阅服务 | 通过创建系统清单与独立系统互动的后端授权管理服务器。它还保留订阅清单,其中包括合同、数量和过期日期。当注册新系统、添加或者分配订阅以及安装产品时,授权服务会管理这些更改,并向系统发布相应的 X.509 证书以标记这个更改。授权服务还为产品定义角色,比如硬件/构架限制,以帮助分配订阅。 |
| 系统 | 在订阅服务清单中注册的服务器或者其它机器(物理或者虚拟)的用户类型, |
| X.509 证书 | 具体的证书标准,可用来决定在 SSL 通讯以及公用密钥构架中使用的证书格式。这可用来在 RHN 传统系统使用的 Satellite 证书中描述新订阅服务使用的证书。 |
2. RHN 订阅管理演示
RHN 订阅管理客户端是一个全局工具,旨在机构范围内查看完整的订阅和系统情况。它会显示整个机构的所有用户。RHN 订阅管理可执行很多本地工具任务,比如注册用户、分配订阅以及查看系统详情和 UUID。它还可以管理订阅本身,比如查看合同信息并连接到客户门户网站的其它部分购买和更新订阅。
RHN 订阅管理可从两个不同方面查看订阅:
- 查看某个机构所有正在使用的订阅
- 查看清单内的所有用户
RHN 订阅管理会在您的构架(服务器)和您的订阅间建立一个联系;Red Hat Network 订阅管理是一个清单工具,可管理用户并分配现有订阅。作为客户门户网站的一部分,Red Hat Network 订阅管理还可直接连接到订阅购买,这样可让管理员为该机构购买并更新订阅。
图 3. RHN 订阅管理菜单
订阅管理概述页面中根据类型总结了清单中的用户总数。它还显示订阅管理所管理的系统数以及传统 RHN 订阅管理所管理的系统数。
注意
RHN 订阅管理工具可让您从全局角度查看机构的所有用户、所有类型,这对计划和有效分配订阅至关重要。但是它不能告诉您某个系统中具体安装了什么产品,以及是否为那些产品分配了订阅。要为安装的软件跟踪订阅,您必须使用本地 Red Hat Subscription Manager 工具。
图 4. RHN 订阅管理概述页面
在门户网站中有效地嵌入了订阅和系统条目 — 比如,打开订阅管理清单就可以打开单一系统详情,或者查看单一合同详情涉及的活跃订阅。在订阅管理页面中始终使用 Breadcrumbs,这样可轻松浏览不同功能区域。
图 5. Breadcrumbs
可以从两个角度管理订阅管理,即订阅和用户。从某种意义上说,这样会保留两个平行的清单,可通过 RHN 订阅管理分别对其进行访问。
RHN Classic 区域会给出系统计数,但没有其他信息(不需要进入 RHN Classic 门户网站)。
3. 查看订阅
3.1. 订阅使用
管理员需要了解所有订阅,无论订阅是否与该架构匹配,还需要了解清单列出的系统中安装的所有产品。客户门户网站提供三种查看订阅的方法,侧重点各有不同:
- 所有活跃和已消耗的订阅(总数)
- Red Hat Network 中的用户可以使用的所有订阅
- Red Hat Network 中与具体用户架构、插槽、安装的产品或者其他特征匹配的订阅
在「订阅概述」页面中,顶部「使用」区给出整个机构中每个活跃订阅的当前计数,以及每个使用的订阅的总数,无论它是否在 RHN Classic 或者 Red Hat Network 中使用。无论何时订阅服务器中的订阅计数变化时都会更新这些数字。(之后的 Red Hat Network 和 RHN Classic 部分会在那个具体订阅服务中注册的系统给出用量小结。)
将总数根据在哪个订阅服务中注册订阅以及系统类型(物理系统、虚拟系统或者发布程序)分割。
图 6. 所有订阅服务的订阅总数
注意
RHN Classic 在旧的系统中使用。Red Hat Enterprise Linux 5.7 和 6.1 以及之后的系统应使用 Red Hat Network 管理系统订阅。
一个订阅实际是访问 Red Hat 为其产品提供的所有服务的通道,比如更新、下载和支持。RHN 订阅管理中的很多视角是基于具体用户或者用户类型。这意味着可过滤该订阅信息以便匹配要查看的用户。这样更容易为那个系统分配正确的订阅。
3.2. 管理已过期和要过期的订阅
订阅概述页面最顶部给出三个简单明了的与订阅相关的数字:有多少是活跃的;有多少要在 120 天内过期;以及有多少是在过去 30 天中过期(并可以续订)的。
这些是整个帐户的订阅总数。它与分配了多少订阅、有多少用户以及订阅是使用 Red Hat Network、RHN 传统方式还是销售商注册都没有关系。
图 7. 订阅概述
点击任意数字打开那个订阅分类的订阅清单中的标签。
- 点击「活跃订阅」进入「活跃」标签。
- 点击「订阅在未来 120 天内过期」 进入「可续订」标签。
- 点击「最近过期的订阅」进入「最近过期的订阅」标签。
该标签列出订阅名称、合同号以及起始/终止日期以方便您跟踪和管理订阅。
图 8. 最近过期的订阅标签
点击「可续订」或者「最近过期的订阅」标签中的任意订阅名称即可打开那个合同的详情页面,并提供续订信息。如果该订阅是直接在 Red Hat 购买,那么就可以在那个页面中续订;如果订阅是在销售商处购买,则会为您提供联络和订单信息。
图 9. (过期的)产品续订信息
3.3. 激活订阅
您可以通过预先定义的订阅购买系统和软件包。您可在通过硬件供应商购买的机器中使用此功能,对于那些内部提供的机器和软件(它们使用销售商提供订阅)也适用。
与其为某个系统分配新的订阅,您可以恢复或者激活这些现有订阅。创建这些订阅时会生成一个 16 位数字的订阅号,您可以提交那个密钥恢复那些订阅。
- 在「订阅 > 概述」页面中,点击右上角「概述」区域的「激活订阅」链接。
- 在「订阅激活」页面中输入 16 位数的订阅号。
- 继续完成激活向导。
3.4. 解决过度订阅问题
Red Hat 不限制您分配订阅的方法 — 就是说您有可能分配超过您实际购买的订阅。
警告
过度订阅与运行没有订阅的系统是一样的。
不但有可能违反您的服务合同,这种情况还会与行业标准和规则冲突 — 比如 Sarbanes-Oxley、PCI-DSS 和 SAS-70 — 它们都要求 IT 基础架构中的所有软件都有适当的许可证。
如果您已过度订阅您的系统,那么「订阅概述」页面中的「使用」区就会显示一个亮黄条,并显示一个负数表示该机构超出了多少订阅。「总计」栏显示您最多可允许的订阅(不是实际消耗量)。
图 10. 在订阅服务中过度订阅
没有自动修复方法,且 Red Hat 不会假设或者规定应该更改哪些用户或者订阅。这完全取决于管理员。点击「总计」值会打开注册的物理用户列表,管理员可在此手动更改和取消用户订阅。
图 11. 物理用户列表
点击任意用户名打开其详情页面(如 第 4.3 节 “用户详情:查看系统信息” 所示)以便为其更改订阅。
注意
您必须有机构管理权限方可查看「过度消费」页面。即便如此,您也只能查看您要访问的系统 — 但不一定是该机构中的系统。
4. 管理用户
4.1. 注册新用户
在可为某个系统授权前,必须将其添加到 Red Hat Network subscription service 清单中。这个过程我们称之为注册。虽然注册一般在本地操作,并且是设置或者管理机器的一部分。但在您管理整个设施并需要更多全局考虑,或者当您需要管理连接到外部网络的系统时,通过 RHN 订阅管理注册和取消注册更为便利。
有些系统可能没有互联网连接,但管理员仍想为那个系统分配并跟踪该订阅。您可以通过手动注册该系统,而不是依赖订阅管理程序执行注册达到此目的。主要有两步:首先在订阅服务中创建一个条目,然后配置该系统。
- 打开客户门户网站中的「订阅」标签,并选择「订阅管理」区域中的标签「概述」标签一项。
- 在「使用」标签区域中,点击「注册新用户」链接创建新清单条目。
- 为新用户类型输入所需信息。系统需要有关架构和硬件方面的信息以便确定那个系统可使用什么订阅。
- 创建该系统后,请为其分配适当的订阅。
- 打开 标签。
- 点击 链接。
- 点击所有要分配的订阅的复选框,然后点击 添加所选 按钮。
- 点击 按钮。这样会为每个产品将其所有授权证书导出为一个
.zip文件。将该文件保存到可移动介质中,比如闪存盘。 - 您还可以选择点击 按钮。这样可为注册用户保存身份证书,且用户可使用该证书连接到订阅服务。如果用户将永远离线,那么就没有这个必要。但如果用户有可能使用网络,那么这个操作就很有必要。
- 将介质设备中的授权证书复制给该用户。
- 如果将所有证书都下载成一个归档文件,那么在可下载的
certificates.zip文件中就有多个归档。解压缩该目录,直到出现该授权证书的 PEM 文件为止。 - 导入授权证书。您可以使用订阅管理 GUI 中的 按钮,或者
import命令完成此操作。例如:# subscription-manager import --certificate=/tmp/export/entitlement_certificates/596576341785244687.pem --certificate=/tmp/export/entitlement_certificates/3195996649750311162.pem Successfully imported certificate 596576341785244687.pem Successfully imported certificate 3195996649750311162.pem
- 如果您下载了身份识别证书,请直接将
cert.pem文件复制到/etc/pki/consumer目录中。例如:cp /tmp/downloads/cert.pem /etc/pki/consumer
4.2. 用户列表:查看清单
在清单中会列出每一个使用 subscription service 在 Red Hat Network 中注册的系统。那个 Red Hat Network 用户清单可覆盖整个机构,并可在 RHN 订阅管理中查看。有几个方法可用来浏览用户列表。最简单的方法是在菜单中选择项。
图 12. 主菜单链接
另外,点击「证书式订阅」或者「传统订阅」栏中的物理系统或者虚拟系统数。
图 13. 概述页面链接
默认情况下会列出所有用户。您可以通过输入类型或者用户名称来设置过滤器,以减少显示的结果。
图 14. 用户列表
用户标签显示用户名(通常是完全限定域名或者系统名称)和用户类型。
点击用户名称会打开那个系统的详情页面,其中包括订阅列表和系统详情。这些内容在 第 4.3 节 “用户详情:查看系统信息” 中都有论述。
在用户列表页面可使用 subscription service 注册新用户,并可从清单中删除现有用户。
注意
您不能一次删除十个(10)以上用户。
4.3. 用户详情:查看系统信息
用户详情页面显示有关那个用户的详情。对于系统来说,这意味着当将该系统作为用户注册时所设定的操作系统、硬件和构架的基本信息。您可通过这些信息轻松了解并管理整体架构。
图 15. 用户详情
「系统详情」标签显示收集到的有关该用户的系统信息。这个信息可以是有关硬件、构架、系统设置和操作系统信息。信息类型取决于平台、是虚拟机还是物理机、操作系统版本以及系统设置。系统信息是用来决定可用于该系统的兼容订阅,即那个构架、硬件和操作系统版本的订阅。
图 16. 用户详情
注意
如果通过 RHN 订阅管理器在清单中手动添加用户,那么只会显示有限的系统信息设置,这要视注册该系统时具体输入的信息而定。
使用本地 Red Hat Subscription Manager 工具注册的系统会有详细的系统信息,这取决于本地 Red Hat Subscription Manager 系统服务执行的系统扫描的结果。
4.4. 为用户分配订阅
基本上,订阅是根据定义的支持等级赋予访问软件下载和更新的权利。可以使用软件的系统必须有一个可赋予(或者授权)那个访问的订阅。 标签可控制为某个系统分配什么订阅。
标签显示目前为某个系统分配了什么订阅。点击 链接会根据与该硬件兼容的订阅显示该系统的所有可用订阅。
注意
还可根据与目前安装的产品兼容的订阅决定可用订阅。这个订阅查看只能在 Red Hat Subscription Manager 本地客户端中使用,因为 RHN 订阅管理无法了解目前在该系统中安装了什么产品。它只能根据 subscription service 清单知道有什么订阅。
可用订阅列表可提供三个重要产品信息(其名称除外):
- 所购买订阅的合同号,这对记录维护和追踪很重要。
- 那个订阅还可使用的数量。订阅是按照数量购买的,这个数字可告诉您所购买的总数还剩下多少可以使用。
- 订阅的开始和截止日期。这样可防止您分配那些只有几天就要过期或者还没有激活的订阅。
注意
使用「过滤器」选择框可帮助您缩短订阅列表,这对有很多订阅的机构很有帮助,可要求在结果页面中浏览。
- 打开 标签。
- 点击 链接。
- 点击所有要分配的订阅旁的复选框。通常只列出与该系统兼容的订阅,即它们与系统可识别的硬件和架构匹配。要列出所有订阅,包括那些不与系统硬件兼容的订阅,请删除「只显示......」复选框。
- 点击「添加所选」按钮。
4.5. 检查状态
门户网站为您提供保证系统更新其所有订阅的方法。在系统的详情页面中有一个「证书状态」小结,它可显示那个系统中安装的所有产品是否应用了正确的订阅。
图 17. 订阅状态
状态显示当前订阅的有效时间以及最后一次更新订阅证书的时间。
系统授权状态使用颜色代码:
- 绿色表示所有产品都已订阅。
- 黄色表示有些产品还没有订阅,但仍可更新。
- 红色表示更新已被禁用。
系统状态由本地系统根据其系统详情、安装的产品以及本地订阅证书自行决定。这个信息每 24 小时与订阅服务同步一次(默认设置)。客户门户网站不保存所安装产品的信息,它要依赖该系统自身的信息。如果某个系统离线,且无法发送其信息,则在客户门户网站中会显示为未知状态。
图 18. 未知订阅状态
4.6. 设定首选服务等级
订阅的一部分就是规定那个产品在给定系统中的服务等级。红帽服务等级在合同中都有规定,产品支持等级概述请参考 https://access.redhat.com/support/offerings/production/sla.html。
有三种基本支持等级:
- 特别支持
- 标准支持
- 无支持(自助式)
机构可使用多个级别的支持,即便对于同一产品也是如此,但显然一个 IT 环境中的每个系统不会要求有与其他系统相同的反应时间和支持。例如:产品系统通常使用特别支持,因为它是对业务非常重要的系统,而开发系统就可能没有支持,或者使用标准支持。
配置用户后,可为其分配首选服务等级。在为该系统自动订阅授权,且首选服务等级可用时,则会使用与那个属性匹配的订阅。(手动选择和分配订阅时不会评估或者强制使用服务等级属性。)
注意
注册订阅时,必须首先使用自动订阅在客户端本地设置服务等级属性,也可以在之后编辑配置时设置。例如:
[root#server ~]# subscription-manager subscribe --auto --servicelevel Premium为系统设定服务等级属性后,就可在门户网站中查看和编辑那个属性。
服务等级属性是在用户详情页面中进行设置的。
图 19. 服务等级属性
4.7. 查看 Y-Stream 发行本属性
很多 IT 环境必须经过认证方可达到某种安全等级或者其他标准等级。在那种情况下,很多升级必须经过精心计划和控制 — 因此管理员不能只是运行
yum update 就在版本间移动。
属性对话会设置一个首选次要发行本号或者 y-stream 发行本号以便订阅和内容服务使用。这样可限制系统访问与那个操作系统版本关联的内容库,从而自动使用库的最新或者最终版本。如果操作系统比较复杂,那么就只在那个次要发行本版本中更新安装的产品。
例如:如果首选操作系统版本为 6.3,那么 6.3 内容库就将成为该系统中所有安装和订阅的产品的首选内容库,即便可以使用其他库也是如此。
您只能使用本地 Red Hat Subscription Manager 工具设定发行本版本属性。但如果要为本地系统设定发行本属性,则门户网站中的用户就可以查看那个属性。
图 20. Y-Stream 发行本属性设置
4.8. 修复订阅
订阅服务可以监控分配给某个系统的订阅,并在它们快要过期时跟踪它们。在订阅要过期的 24 小时内,订阅管理器会自动为该系统重新订阅匹配的新授权以便订阅状态保持为绿色 — 它可以修复系统。
系统修复可防止系统在可使用任意活跃兼容订阅时有未授权产品。
在系统中默认启用修复可保证其维护它们的订阅状态。您可以通过切换系统详情页面中的 按钮禁用和重新启用修复。
图 21. 切换修复功能
4.9. 查看并删除某个用户的订阅
当为某个用户分配订阅时,会在「应用的订阅」标签中列出该订阅,同时包含其合同号和过期日期。
点击那个订阅的「查看」链接,打开有关该订阅的更多详情,其中包括该订阅提供的产品列表、其订单信息、那个订阅的可用授权数量和类型及其证书(可为用户重新生成该证书或者下载查看)。
点击「添加订阅」打开对话窗口(第 4.4 节 “为用户分配订阅”)为该系统分配一个新订阅。
可为用户删除订阅以便为另一个系统释放那个订阅量。要从系统中删除订阅,请点击标签中的「删除」链接。
5. 为订阅的系统管理勘误通知
订阅管理的一部分是跟踪软件更新和新版本。无论何时有更新可用时 — 可以是 bug 修复,也可以是新发行本 — 都会为管理员发送通知邮件。
通知只会发送给 1)注册的系统,且它们 2)有那个产品分配给它们的订阅。如果没有系统有为那个产品分配的订阅,即使该机构有它的订阅也不会发送通知。
勘误通知是在用户帐户中作为属性设置,而不是为每个独立系统设置。因此,当检查是否可能有勘误更新时,订阅管理会检查整个清单,而不是具体系统。
任何系统受到影响时都会发送勘误通知,但邮件中不会列出到底会影响哪些系统。
注意
因为 Red Hat Network 订阅管理和 RHN Classic 有不同的清单,它们彼此有不同的勘误通知设置。即使已经在 RHN Classic 中启用了勘误通知,也仍需要在 Red Hat Network 勘误管理中启用勘误通知,否则就不会向 Red Hat Network 订阅管理清单中管理的系统发送通知。
为用户帐户启用勘误通知:
- 在客户门户网站的右上角展开登录用户详情。
- 点击「帐户设置」链接。
- 在设置主页面中点击「您的 Red Hat 帐户」框中的「帐户详情」链接。
- 在左侧「您的属性」菜单中点击「勘误通知」链接。
- 选择「勘误通知」选择框。默认是为用户禁用勘误通知,这样可防止他们接收不需要的邮件。选这个选择框可让您在发布会影响您的一个注册系统的勘误时收到通知。
- 点击 按钮。
6. 管理销售商
销售商是 Red Hat Network 中的一类特殊用户。Red Hat Network 注册销售商,并为其分配大量订阅。这样做可让 Red Hat Network 为销售商(通过其内部应用程序)赋予管理系统清单、订阅服务以及本地内容传递的职责。
要赋予一定级别的职责,Red Hat Network 必须将订阅从公司的全局 Red Hat 帐户转换为本地应用程序。该销售商条目就是 Red Hat Network 用来转换那些订阅的方法。
RHN 订阅管理中的销售商用户与内部应用程序中的机构条目直接对等。机构结构可以是平面的只有一个本地机构。或者它也可以是有同一应用程序管理多个租客,多个机构,但又彼此独立,如 Subscription Asset Manager 中的情况。内部应用程序中的多租客可允许分配多个独立组,并使用本地服务管理其自身订阅和用户。(内部应用程序中的机构结构对 Red Hat Network 是公开的。RHN 会分别与每个销售商合作。)
订阅会以组的形式分配给销售商条目,且那些订阅是该机构可使用的全部订阅和产品。销售商的清单中会列出订阅、产品以及数量。
您可以通过各种不同销售商管理本地机构和环境,比如 Subscription Asset Manager。有关配置和使用 Subscription Asset Manager 的详情请参考 其产品文档。
6.1. 注册销售商
与其他用户一样,销售商是使 subscription service 注册。RHN 订阅管理中的销售商条目与应用程序(比如 Subscription Asset Manager)中的机构条目对应。注册销售商与注册机构本身一样重要。
- 在「订阅 > 概述」页面中,点击「注册销售商」链接。
- 填写新销售商名称。
注意
这个名称应与内部应用程序中的该机构名称对应。 - 点击 按钮。
创建销售商后,为其分配订阅,并下载和安装清单以便该销售商开始为其客户端分配订阅。
6.2. 销售商列表和详情
在「订阅 > 概述」页面底部会根据类型列出销售商。如果是用户,则请点击「证书式订阅」栏中的号码打开为那个销售商类型配置的机构列表。
图 22. 概述中的销售商
「销售商」清单中有每个可用且配置的销售商类型,以及为那个类型列出的每个机构。
图 23. 查看销售商清单
该栏目有三个重要信息:
- 机构名称,它可链接至详情页面。
- 分配给该机构的订阅总数(跨产品及合同)。
- 该机构的 UUID,与系统用户的 UUID 类似。
机构详情页面与用户详情类似,里面有该机构的可用及应用订阅。
图 24. 销售商详情
6.3. 有关销售商的清单和订阅
如 第 6 节 “管理销售商” 中的简要介绍,Red Hat Network 中的销售商用户与内部应用程序(比如 Subscription Asset Manager)中定义的机构有直接联系。这个联系是 Red Hat Network 用来将订阅从 Red Hat 转换为内部应用程序以进行本地管理的方法。
这样可转换销售商清单中列出的一组订阅。这个清单是一个 ZIP 归档,您可在 Red Hat Network 的销售商条目中直接下载这个归档,然后上传至内部应用程序。
重要
该机构订阅的所有更改都是在 Red Hat Network 销售商条目的订阅分配中进行。此后会重新生成并下载清单,然后重新上传到该应用程序中。
清单本身是目录和 JSON 文件的集合,其中包括订阅、授权证书、产品以及该销售商规则列表信息。
manifest.zip
|
|- consumer_export.zip
|
|- export/
|
|- consumer_types/
|
|- entitlements/
|
|- entitlement_certificates/
|
|- products/
|
|- rules/
|
|- consumer.json
|
|- meta.jsonconsumer.json 和 meta.json
这些 JSON 文件包含有关用户的信息(UUID)以及清单本身的信息(版本及创建日期)。
consumer_types/
consumer_types/ 中包含 JSON 文件列表,每个销售商类型一个文件。该 JSON 文件代表为其分配的订阅类型。例如:对于 Subscription Asset Manager,sam.json 中的 manifest 值为 true。
{"id":"5","label":"sam","manifest":true}entitlements/
entitlements/ 中包含每一个为该销售商分配的订阅的 JSON 文件。每个文件的名称为 UUID.json。
该文件包含完整授权信息,其中包括合同号、池 ID、合同起始/终止日期、授权密钥和证书、所包含产品的产品 ID、数量以及其他所有与该订阅相关的信息。
例如:以下是订阅 JSON 文件中单一 Red Hat Enterprise Linux 产品的信息:
...
{"id":"8a878dcd3520d43501353f6f98f911e9","productName":"Red Hat Enterprise Linux Server","productId":"69","updated":"2012-02-02T18:59:32.000+0000","created":"2012-02-02T18:59:32.000+0000"}],"endDate":"2012-10-13T03:59:59.000+0000","quantity":50,"productName":"Red Hat Enterprise Linux Server, Premium (4 sockets) (Up to 4 guests)","contractNumber":"2625891","accountNumber":"1506376","productId":"RH0153936","subscriptionId":"2267347","consumed":31,"exported":30,"sourceEntitlement":null,"activeSubscription":true,"restrictedToUsername":null,"productAttributes":[{"productId":"RH0153936","name":"support_type","value":"L1-L3","id":"8a878dcd3520d43501353f6f98f811de","updated":"2012-02-02T18:59:32.000+0000","created":"2012-02-02T18:59:32.000+0000"}
...entitlement_certificates/
entitlement_certificates/ 包含每个订阅的 64 位代码二进制授权证书 PEM 文件。
products/
products/ 中包含订阅中每个产品的 JSON 文件。它包含有关支持的版本的详细信息以及内容组件、相依性、库以及其他具体产品(不一定是具体订阅)的信息。
例如:以下是 JSON 文件中基本 Red Hat Enterprise Linux 产品一个版本的部分内容:
...
{"name":"Red Hat Enterprise Linux Server","id":"69","attributes":[{"name":"type","value":"SVC"},{"name":"arch","value":"i386,ia64,x86_64"},{"name":"name","value":"Red Hat Enterprise Linux Server"}],"multiplier":1,"href":"/products/69","productContent":[{"content":{"name":"Red Hat Enterprise Linux 5 Server Beta (Source ISOs)","id":"861","type":"file","vendor":"Red Hat","modifiedProductIds":[],"contentUrl":"/content/beta/rhel/server/5/$releasever/$basearch/source/iso","label":"rhel-5-server-beta-source-isos","gpgUrl":"http://","metadataExpire":86400,"requiredTags":"rhel-5-server"},"enabled":false}
...rules/
rules/ 中包含一个 JavaScript 文件,它可设定该销售商用来与后端 Red Hat 订阅服务互动的功能。
6.4. 为销售商分配订阅
订阅可授权访问软件下载和更新。为一个销售商分配订阅可设定该机构可本地分配的订阅类类型数。(这与系统用户正相反,系统用户是为其自身应用该订阅,并在本地安装产品。)
标签显示目前为该销售商分配了什么订阅。点击 链接根据帐户订阅总数,显示所有可在该销售商中使用的订阅。
要为销售商分配订阅:
- 在「订阅 > 概述」页面中,点击「注册销售商」链接。
- 请点击「证书式订阅」栏中的数字打开该销售商清单。
- 在销售商清单中点击该机构名称。
- 打开 标签。
- 点击 链接打开订阅选择窗口。
可用订阅列表提供三个重要信息:- 所购买订阅的合同号,这对记录维护和追踪很重要。
- 那个订阅还可使用的数量。订阅是按照数量购买的,这个数字可告诉您所购买的总数还剩下多少可以使用。
- 订阅的开始和截止日期。这样可防止您分配那些只有几天就要过期或者还没有激活的订阅。
- 选择要分配的订阅旁的复选框,并在「数量」栏中为该销售商设定总数。
注意
数量默认是那个合同可用订阅总数。请注意要为一个销售商分配多少订阅,以便为其他销售商和用户正确分配订阅。 - 点击左下角的 按钮。
6.5. 下载清单
为销售商分配订阅后,就会在一个清单中显示订阅和产品的完整列表,其中包括产品证书和授权证书。该清单是该销售商用来处理本地订阅服务所需内容的主列表。
您可在该销售商详情页面中下载该清单,只要点击 按钮即可。这样就可将
manifest.zip 归档保存到本地文件系统中,以便上传到 Subscription Asset Manager。
图 25. 下载销售商清单
6.6. 更新销售商清单并更改订阅
RHN 订阅管理中的销售商直接与在应用程序(比如 Subscription Asset Manager)中指定的机构关联。该销售商用户定义某个具体机构可在本地管理的订阅、产品和数量。
机构通过清单接受此信息。如果机构需要更改其订阅 — 更改数量、添加产品或者添加订阅 — 可通过在 RHN 订阅管理中编辑该订阅完成。
重要
不要尝试使用在 RHN 订阅管理中创建新销售商的方法更新本地机构。请在 RHN 订阅管理中更改分配给现有销售商的订阅,然后让该机构使用更新的清单。
- 为销售商更改订阅分配。不能直接更改为销售商分配的订阅数量。
- 要归还订阅,请删除旧的订阅分配,然后再分配新的、较少数量的订阅。
- 要增加订阅的数量,您可以删除旧的订阅组,并使用新的更大的总数添加新订阅组,或者只要重新选择该订阅并只添加额外数量即可。删除旧订阅组并添加有新数量的新订阅组对管理员来说更简单。例如:如果您的订阅组有 30 个订阅,且应将其增加到 35 个,您可以删除旧的订阅组,然后添加一个有 35 个订阅的新订阅组。这样您就可以有一个数量为 35 的订阅。或者您也可以只添加一个数量为 5 的新订阅。结果是您有两个独立的订阅条目,一个数量为 30,一个数量为 5。
- 下载更新的清单。
- 将更新的清单上传到在线应用程序中。
7. 查看并重新生成身份识别证书
RHN 订阅管理是基于证书的。使用标准 SSL 证书为订阅服务认证系统和销售商(身份识别证书),识别在系统中安装的产品(产品证书),以及定义可用授权列表(授权证书)。
当系统或者销售商首次在订阅服务中注册时,会为其分配一个身份识别证书。使用这个身份识别证书在订阅服务中通过安全连接(证书式或者客户端 SSL 认证)认证(身份识别,然后连接)系统。这包含该系统的唯一 UID,或者清单中的销售商(证书中的 CN),证书序列号以及该身份识别证书的创建和过期日期(在注册系统是生成该证书)。
身份识别证书区包含所有与身份识别相关的信息(序列号以及创建/过期日期)。在该证书中使用该用户或者销售商的 UUID 识别条他们。
图 26. 身份识别证书详情
有时会丢失系统的身份识别证书,可能是因为已将其删除或者损坏,或者因为系统有所变化。这个身份识别证书可直接通过 RHN 订阅管理下载,它是一个 64 位代码 PEM 文件,与系统最初生成的那个文件相似。
-----BEGIN CERTIFICATE----- MIIDdzCCAuCgAwIBAgIIASDVoX2P1a8wDQYJKoZIhvcNAQEFBQAwSzEqMCgGA1UE AxMhY2FuZGxlcGluMS5kZXZsYWIucGh4MS5yZWRoYXQuY29tMQswCQYDVQQGEwJV UzEQMA4GA1UEBxMHUmFsZWlnaDAeFw0xMTAzMDkxNTAxMDVaFw0xMjAzMDkxNTAx MDVaMC8xLTArBgNVBAMMJDdmY2Y2NjYwLTdkZDYtNDdjZi04ZjJjLTQ0NmJiMWE1 YWQyZjCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAJA0wmfB9znYeZu2 lOCga8ERkKPHDZtBKJknT/L74U4+ZQb7wFfRhhqeAv38erEyH40o79iVZJAc0cnT pBdUYVN9ronv8vOFgdkqBdrjy4t7qq8ofI6dpj0U8fTaisU82WXBq1t41dn7OrJT vbRCa4ZCt3FMzTkthd1ZKniLgfvokeGr6gVnh4jEgoFuMPHxigXKPDBvn7R5mf0w vNM1m2/1OKMPI4u5ZLsN/XTyd4t3MSX25SFqobtkVABW7jVlRvyWuR7V6PxpzmTZ 7CjodUY+CVZrFIiL8s2pMkX38KCEXlUuH8DXymDxj4IAMSYC2SW7F7z2YQNTbAvK kcklWHECAwEAAaOB+zCB+DARBglghkgBhvhCAQEEBAMCBaAwCwYDVR0PBAQDAgSw MHsGA1UdIwR0MHKAFGiY1N2UtulxcMFy0j6gQGLTyo6CoU+kTTBLMSowKAYDVQQD EyFjYW5kbGVwaW4xLmRldmxhYi5waHgxLnJlZGhhdC5jb20xCzAJBgNVBAYTAlVT MRAwDgYDVQQHEwdSYWxlaWdoggkA1s54sVacN0EwHQYDVR0OBBYEFOP0p6JiVnQ2 SBmscyhvB1It2bjmMBMGA1UdJQQMMAoGCCsGAQUFBwMCMCUGA1UdEQQeMBykGjAY MRYwFAYDVQQDDA10ZXN0LXN5c3RlbS0xMA0GCSqGSIb3DQEBBQUAA4GBADOoBuca Jg244L6LLMw8ov32VK/kRCk9z8qcMA6y8+jL1yrfW//9Ig1BJiWKnrqln3eSNvf+ zouqNgaS4kvQeQf51lPVws++q3J9/q1i4WvJ4kDRN7HOtasf6KmSBpVM6dSDLrX3 nEZbvD0hT+2YVj/DJ7IXvQ9F3KXDkcwb4Lrh -----END CERTIFICATE-----
另外,还可吊销原始身份识别证书,并在其位置创建一个新的身份识别证书,我们称之为重新创建该证书。重新创建的证书拥有与原始证书相同的 UUID(因此会在清单及其所有订阅中保留其位置),但序列号和新的创建/过期日期会有所不同。
法律通告
Copyright © 2010 Red Hat, Inc.
This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
