Red Hat Training

A Red Hat training course is available for RHEL 8

11.18. 使用 nbde_client RHEL 系统角色设置多个 Clevis 客户端

使用 nbde_client RHEL 系统角色,您可以在多个系统上准备并应用包含 Clevis 客户端设置的 Ansible playbook。

注意

nbde_client 系统角色只支持 Tang 绑定。这意味着您目前无法将其用于 TPM2 绑定。

先决条件

  • 对一个或多个 受管节点 的访问和权限,这些节点是您要使用 nbde_client 系统角色配置的系统。
  • 控制节点 的访问和权限,这是 Red Hat Ansible Core 配置其他系统的系统。
  • Ansible Core 软件包安装在控制机器上。
  • rhel-system-roles 软件包安装在您要运行 playbook 的系统中。

流程

  1. 准备包含 Clevis 客户端设置的 playbook。您可以从头开始,或使用 /usr/share/ansible/roles/rhel-system-roles.nbde_client/examples/ 目录中的一个 playbook 示例。

    # cp /usr/share/ansible/roles/rhel-system-roles.nbde_client/examples/high_availability.yml ./my-clevis-playbook.yml
  2. 在您选择的文本编辑器中编辑 playbook,例如:

    # vi my-clevis-playbook.yml
  3. 添加所需参数。以下 playbook 示例在两个 Tang 服务器中至少有一个可用时配置 Clevis 客户端来自动解锁两个 LUKS 加密卷:

    ---
    - hosts: all
    
      vars:
        nbde_client_bindings:
          - device: /dev/rhel/root
            encryption_key_src: /etc/luks/keyfile
            servers:
              - http://server1.example.com
              - http://server2.example.com
          - device: /dev/rhel/swap
            encryption_key_src: /etc/luks/keyfile
            servers:
              - http://server1.example.com
              - http://server2.example.com
    
      roles:
        - rhel-system-roles.nbde_client
  4. 应用完成的 playbook:

    # ansible-playbook -i host1,host2,host3 my-clevis-playbook.yml
重要

当前 nbde_client 系统角色只支持动态主机配置协议(DHCP)的场景。要将 NBDE 用于具有静态 IP 配置的客户端,请执行以下操作之一:

  • 将网络配置传给 dracut 命令,例如:

    # dracut -fv --regenerate-all --kernel-cmdline "ip=192.0.2.10::192.0.2.1:255.255.255.0::ens3:none"
  • 或者,在 /etc/dracut.conf.d/ 目录中使用静态网络信息创建一个 .conf 文件,例如:

    # cat /etc/dracut.conf.d/static_ip.conf
    kernel_cmdline="ip=192.0.2.10::192.0.2.1:255.255.255.0::ens3:none"

    然后,重新生成初始 RAM 磁盘镜像。

  • 您还可以在 playbook 中添加以下代码片段:

      tasks:
      - name: Configure a client with a static IP address during early boot
        ansible.builtin.command:
          cmd: grubby --update-kernel=ALL --args='GRUB_CMDLINE_LINUX_DEFAULT="ip={{ <ansible_default_ipv4.address> }}::{{ <ansible_default_ipv4.gateway> }}:{{ <ansible_default_ipv4.netmask> }}::{{ <ansible_default_ipv4.alias> }}:none"'

    在前面的代码片段中,将 <ansible_default_ipv4.*> 字符串替换为您的网络的 IP 地址,例如:ip={{ 192.0.2.10 }}::{{ 192.0.2.1 }}:{{ 255.255.255.0 }}::{{ ens3 }}:none

其它资源