Menu Close
Settings Close

Language and Page Formatting Options

第 7 章 使用 FDO 自动置备和注册 RHEL for Edge 设备

您可以构建 RHEL for Edge Simplified Installer 镜像,并将其置备为 RHEL for Edge 镜像。FIDO 设备加入(FDO)流程自动调配和板载您的边缘设备,并与网络连接的其他设备和系统交换数据。

重要

红帽提供了 FDO 流程作为技术预览功能,应在安全网络上运行。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。如需有关 技术预览功能支持范围 的信息,请参阅红帽客户门户网站中的技术预览功能支持范围。

7.1. FDO 设备加入过程

设备加入是置备和加入物理设备的过程,自动为此设备配置凭证,并使其可以在网络上安全连接和安全地交互。FIDO 设备加入(FDO)是一种协议,可在制造阶段执行设备初始化,并将设备绑定用于实际用途。这意味着,首先将设备绑定到管理系统的实际绑定会在设备第一次引导时进行。

通过使用 FDO 过程,您可以对自动安全设备提供支持,即零触点安装和加入。设备加入后,您可以连接到该设备并应用补丁、更新、回滚等。FDO 身份验证是自动加入由安装新设备触发的过程。

要构建 RHEL for Edge 简化的安装程序镜像并自动加入它,请提供现有的 OSTree 提交。生成的简化镜像包含部署了 OSTree 提交的原始镜像。在引导 Simplified Installer ISO 镜像后,它会置备一个 RHEL for Edge 系统,您可以在一个硬盘中使用或者作为虚拟机的引导镜像。RHEL for Edge Simplified Installer 镜像针对以无人值守的方式在设备中安装进行了优化,并支持基于网络的部署和非基于网络的部署。但是,对于基于网络的部署,它只支持 UEFI HTTP 引导。

下图代表 FIDO 设备加入工作流:

图 7.1. 在非网络环境中部署 RHEL for Edge

FDO 设备加入
  1. 设备读取设备凭证
  2. 设备连接到网络
  3. 在早期,Owner 管理系统会通知制造商 renzvous 服务器有关 Owner 管理系统的位置
  4. 连接到网络后,设备会联系 Rendezvous Server
  5. Rendezvous 服务器向设备发送所有者 URL
  6. 设备连接到 Owner 管理系统,通过使用设备键签名语句来证明它是正确的设备
  7. Owner 管理系统使用所有者 voucher 的最后密钥签名语句来证明自己
  8. Owner 管理系统提供该设备的配置,例如在 ssh 密钥中设备存储
  9. 设备接收并验证所有权 voucher
  10. 然后,设备检索其设备凭证
  11. 之后,Owner 管理系统将设备报告为加入

    整个 FDO 进程已完成,不再在此设备中使用。