第 7 章 使用 FDO 自动置备和注册 RHEL for Edge 设备
您可以构建 RHEL for Edge Simplified Installer 镜像,并将其置备为 RHEL for Edge 镜像。FIDO 设备加入(FDO)进程会自动置备和加入边缘设备,并与网络上连接的其他设备和系统交换数据。
红帽提供了 FDO
流程作为技术预览功能,应在安全网络上运行。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。如需有关 技术预览功能支持范围 的信息,请参阅红帽客户门户网站中的技术预览功能支持范围。
7.1. FIDO 设备加入(FDO)进程
FIDO 设备加入(FDO)是这样的过程:
- 置备并加入设备。
- 自动配置此设备的凭证。FDO 进程是一个自动载入机制,由新设备的安装触发。
- 允许此设备在网络上安全连接和交互。
借助 FIDO 设备加入(FDO),您可以通过向 IoT 架构添加新设备来实现安全的设备加入。这包括需要信任的指定的设备配置,并与正在运行的系统的其余部分集成。FDO 进程是一个自动载入机制,由新设备的安装触发。
FDO 协议执行以下任务:
- 解决信任和所有权链,以及大规模安全加入设备所需的自动化。
- 在制造阶段执行设备初始化,并在以后为实际用途执行设备绑定。这意味着,首先将设备绑定到管理系统的实际绑定会在设备第一次引导时进行。
- 支持自动安全设备加入,即在边缘位置不需要任何专业人员的零接触安装和加入。设备载入后,管理平台可以连接到它,并应用补丁、更新和回滚。
有了 FDO,您可以从以下方面获益:
- FDO 是向管理平台注册设备的一种安全、简单的方法。不是将 Kickstart 配置嵌入到镜像中,FDO 在设备首次引导到 ISO 镜像期间应用设备凭据。
- FDO 解决了之后绑定到设备的问题,使任何敏感数据可以通过安全的 FDO 通道共享。
- FDO 在注册并将配置和其他 secret 传递给系统之前,以加密方式识别系统身份和所有权。这使得非技术用户可以打开系统电源。
要构建 RHEL for Edge 简化的安装程序镜像并自动加入它,请提供现有的 OSTree 提交。生成的简化镜像包含部署了 OSTree 提交的原始镜像。引导简化安装程序 ISO 镜像后,它会提供您可在硬盘上使用的 RHEL for Edge 系统,也可以用作虚拟机中的引导镜像。
RHEL for Edge Simplified Installer 镜像针对设备的无人值守安装进行了优化,并支持基于网络的部署和非基于网络的部署。但是,对于基于网络的部署,它只支持 UEFI HTTP 引导。
FDO 协议基于以下服务器:
- 制造服务器
- 生成设备凭据。
- 创建一个所有权凭证,用于在之后的过程中设置设备的所有权。
- 将设备绑定到特定的管理平台。
- 所有者管理系统
- 从制造服务器接收所有权凭证,并成为相关设备的所有者。
- 在之后的过程中,它会在设备身份验证后,在设备和所有者加入服务器之间创建一个安全通道。
- 使用安全频道来发送所需信息,如将自动化载入到设备的文件和脚本。
- service-info API 服务器
- 根据客户端上可用的 Service-info API 服务器的配置和模块,它会执行在目标客户端设备上加入的最后步骤,如复制 SSH 密钥和文件、执行命令、创建用户、加密磁盘等
- Rendezvous 服务器
- 从所有者管理系统获取所有权凭证,并创建设备 UUID 到所有者服务器 IP 的映射。然后,Rendezvous 服务器使用目标平台匹配设备 UUID ,并告知设备有关这个设备必须使用的所有者加入服务器端点。
- 第一次引导过程中,Rendezvous 服务器将是设备的联系点,它会将设备定向到所有者,以便设备和所有者可以建立一个安全通道。
- 设备客户端
这安装在设备上。设备客户端执行以下操作:
- 将要执行载入自动化的多个服务器启动查询。
- 使用 TCP/IP 协议与服务器进行通信。
下图代表 FIDO 设备加入工作流:
图 7.1. 在非网络环境中部署 RHEL for Edge
在 设备初始化 中,设备联系制造服务器以获取 FDO 凭证,一组要安装到带有 Rendezvous 服务器端点(URL)的操作系统上的证书和密钥。它还会获得所有权凭证,这是在需要更改所有者分配时单独维护的。
- 设备联系制造服务器
- 制造服务器为设备生成一个所有权凭证和设备凭证。
- 所有权凭证传给所有者加入服务器。
在 现场加入 时,设备会从其设备凭证获取 Rendezvous 服务器端点(URL),并联系 Rendezvous 服务器端点以开始加入过程,这将其重定向到所有者管理系统,后者是由所有者加入服务器和 Service Info API 服务器组成的。
- 所有者加入服务器将所有权凭据传给 Rendezvous 服务器,这将创建一个所有权凭证到所有者的映射。
- 设备客户端读取设备凭据。
- 设备客户端连接到网络。
- 连接到网络后,设备客户端会联系 Rendezvous 服务器。
- Rendezvous 服务器向设备客户端发送所有者端点 URL,并注册设备。
- 设备客户端连接到 Rendezvous 服务器共享的所有者加入服务器。
- 设备通过使用设备密钥签署一个声明来证明它是正确的设备。
- 所有者加入服务器通过使用所有者凭证的最后密钥签署一个声明来证明自己是正确的。
- 所有者加入服务器将设备的信息传给 Service Info API 服务器。
- Service info API 服务器发送设备的配置。
- 设备已加入。