红帽订阅管理工作流简介
为您的环境查找和使用最佳订阅管理工作流
摘要
第 1 章 了解您使用红帽产品订阅的工作流
在通过红帽订阅管理注册系统前,您需要有效的订阅和可用权利。订阅可以通过红帽存储购买 , 或者直接联系销售。
- 系统注册到订阅服务的清单中。这意味着订阅服务可以管理服务器并为其附加订阅
- 订阅附加到系统
- 只要订阅处于活跃状态,系统会从内容交付网络下载软件包和更新
订阅服务中的每个元素都必须唯一标识。这允许在系统、产品和订阅之间建立真实关系。订阅服务在本地系统中生成并安装这些证书:
- 系统的身份证书。系统用来定期向订阅服务进行身份验证来检查更新。这是注册系统时创建。
- 在系统中安装的每个产品的产品证书。红帽的每个产品都有一个标识证书(但这对系统并不是唯一的)。这作为安装该产品的一部分在系统中安装。
- 附加到系统的每个订阅的订阅证书。这包括清单中有关订阅的信息。当订阅附加到系统时,这会在系统中安装。
附加订阅并不实际执行任何安装或更新。软件包本身仍然使用常规系统工具(如 yum)进行维护。安装某个产品并不表示已将适当的订阅附加到该系统。系统不需要有效的证书来安装产品。
订阅管理提供更好的信息,并为管理员提供更好地控制其基础架构。
1.1. Red Hat Subscription Management 简介
Red Hat Subscription Management 跟踪您机构购买的红帽产品以及安装该产品的系统。订阅管理(Subscription Management)在产品订阅之间建立了可用的关系,以及您分配了这些订阅的业务元素。
第 2 章 用于红帽订阅管理的工具和应用程序
所有 Red Hat Enterprise Linux 订阅都自动包括用于管理订阅配置的一些工具:
- Red Hat Subscription Manager 客户端工具来管理本地系统
- 客户门户网站中的红帽订阅管理,通过客户门户网站在全局范围内管理系统和订阅应用程序机构
- Red Hat Satellite 作为可能无法定期检查的系统的内部解决方案
管理员可以创建满足其组织业务和基础架构需求的工作流的离散性。
2.1. Red Hat Subscription Manager
注册和订阅都通过 UI 和 CLI 工具(称为 Red Hat Subscription Manager)在本地系统中管理。Subscription Manager 跟踪并显示本地系统可以使用哪些订阅以及本地系统已使用的订阅。Subscription Manager 充当订阅服务的共识,以同步可用的产品数量或订阅过期和续订等变化。
由于系统更改的性质,Red Hat Subscription Manager 工具始终以"root"方式运行。但是,Red Hat Subscription Manager 作为订阅服务的用户帐户连接到订阅服务。
Subscription Manager 处理系统的注册和订阅。Subscription Manager 是配置内容和更新的一部分,但系统可以随时通过 Red Hat Subscription Manager UI 或 CLI 注册。您可以通过 Red Hat Subscription Manager 工具查看并应用新的订阅、新的产品和更新。
Red Hat Subscription Manager 在其集合中有两个工具:基于 UI 的客户端,可为高级用户管理本地机器和 CLI 客户端(可用于处理其他应用程序或脚本管理任务,如 kickstart 机器)。
这些工具允许管理员直接执行与管理订阅相关的三个主要任务: 将机器、分配(附加)订阅注册到系统,并更新身份验证所需的证书。某些次要操作(如更新系统事实)可帮助显示和跟踪哪些订阅可用。
2.1.1. 启动 Red Hat Subscription Manager
- 在 Red Hat Enterprise Linux 7 中,Subscription Manager 可以从顶级管理栏中的 System Tools > Administration 菜单访问。
- 在 Red Hat Enterprise Linux 8 中,Subscription Manager 从顶级导航栏中的 Activities > Show All Programs 菜单访问。
第 3 章 管理订阅工作流
有不同类型的系统,以及组织系统的不同方法。订阅服务器和内容供应商的底层概念足够灵活,以适应特殊类型的系统和不同的基础架构设置。
3.1. 规划要使用的正确工作流
订阅和内容服务在 tandem 中工作。系统中的本地 Red Hat Subscription Manager 客户端必须识别订阅服务和内容交付网络。它们既可以被托管服务,包括本地管理的服务或混合服务。
所有订阅和内容数据都源自红帽。默认情况下,所有 Red Hat Enterprise Linux 系统都配置为指向红帽托管服务。如果管理员使用内部服务器进行订阅或内容管理,则内部服务器首先从红帽托管服务获取其信息,然后管理本地系统。红帽订阅清单了解内部订阅应用程序,然后不知道订阅应用程序管理的任何本地系统。
Red Hat Subscription Manager 配置指向两个服务器,即订阅服务器和内容服务器。这两个设置可以被修改(独立)以使用任何受支持的订阅服务器或内容服务器。
表 3.1. 根据源的订阅和内容服务
| 订阅服务 | 支持订阅服务 | 支持内容交付网络 | 推荐的环境类型 |
|---|---|---|---|
| 客户门户网站中的红帽订阅管理 | 是 | 是 | 不需要脚本订阅或内容更新 |
| Red Hat Satellite 6 | 是 | 是 | 使用包含包含托管服务、自定义内容和部署脚本以及订阅/内容管理的安全规则进行业务 |
用户帐户与激活码关联,用于重新设计激活码 - 但要使用哪个用户帐户取决于签发密钥的人员。如果一个密钥是由供应商创建的,那么他们也会定义一个要与密钥一起使用的用户帐户,如果红帽签发了密钥,红帽将会红帽。对于使用 Subscription Asset Manager 的本地 IT 部门创建的激活码,则会使用关联的 Subscription Asset Manager 用户帐户。
3.2. 了解客户门户网站中的自动附加订阅
Red Hat Enterprise Linux 系统的订阅管理有两个步骤:将系统注册到订阅服务,然后为该系统中安装的操作系统和产品应用订阅。默认情况下,当通过系统中的 Red Hat Subscription Manager 用户界面或 firstboot 将订阅附加到系统时,这两个步骤会同时执行。
Red Hat Subscription Manager 配置可以指向任何订阅服务器或内容服务器。默认情况下,它指向红帽的托管服务。
因此,使用默认配置,系统注册到客户门户网站订阅管理服务,并且与最佳可用订阅会自动附加到该系统。
3.2.1. 在客户门户网站中自动附加订阅的环境
托管的服务是为部署简单至关重要的 IT 环境而设计的。这适用于小型 Linux 基础架构或与小型 Linux 基础架构合作:
- 少于 20 个 Linux 服务器
- 系统维护的有限 IT 资源
- 不需要创建自定义订阅或内容工具
托管的服务可让您更轻松地管理少量机器:
- 易于实施,因为它使用默认的系统配置
- 没有额外的软件或硬件开销
- 以后可以根据机构配置迁移到内部订阅/内容服务
- 所有系统的同一订阅服务,即使系统位于不同的数据中心或地理位置
托管的服务有一些与整个网络性能相关的潜在问题。随着 IT 基础架构的增长,如果大量系统试图检索内容或接收更新,则可能会出现本地带宽或延迟问题。
即使小的 IT 环境在启动时使用红帽托管服务,也可以将其扩展为在以后使用内部订阅或内容服务。
3.2.2. 在客户门户网站中自动附加订阅
当自动附加与订阅匹配的订阅(Red Hat Subscription Manager UI 中的默认设置,或使用 subscription-manager 命令的 '-auto-attach'),注册过程只有一个步骤。
3.2.3. 在客户门户网站中自动附加订阅的选项和详情
大多数选项都是注册后可以设置的配置设置。
- 附加附加订阅,当系统在 firstboot 过程中自动附加时特别有用,当只为操作系统附加订阅时。
- 覆盖系统事实,供自动附加和修复流程用来决定系统架构和硬件用于查找兼容订阅。
- 设置服务级别首选项(也可以在注册过程中完成,以便在选择订阅时将其用作优先级之一)。
- 设置版本首选项,以便系统只针对该发行版本的软件更新,并忽略到后续操作系统版本的任何升级。
- 启用或禁用关联的 yum 存储库。
3.3. 了解客户门户网站中的手动注册和订阅
虽然系统注册和订阅可以在单一步骤(自动附加)中执行,但它们是单独的配置区域。这意味着可以单独执行这些步骤,这可以更好地控制系统的调配方式以及分配订阅的方式。
通过自动附加,任何最适合系统的架构和当前安装的产品都会被自动附加。这在某些实例中可能会有限制。例如,在 firstboot 期间注册只会附加操作系统订阅,因为还没有安装其他产品。或者,可能有一个还没有在系统中安装的产品,但很快,或为 32 位系统列出的软件包,此系统将在 64 位系统上运行。
在任何这些情况下,autoattach 进程无法检测所需的订阅,因为系统中没有设置信号哪些订阅会包括哪些订阅。
通过划分注册和订阅流程,管理员可以手动选择订阅并将其附加到系统。
3.3.1. 在客户门户网站中手动附加订阅的环境
注册,然后手动应用订阅,这需要系统使用红帽的托管服务。
一些好处,特别是对于具有相对少 Linux 系统的小型公司或基础架构,要使用托管服务。与 autoattach 过程一样,使用托管服务可最小化管理开销,因为它使用默认的系统配置,且不需要 IT 员工的维护。
3.3.2. 在客户门户网站中手动附加订阅
流程
- 在您需要注册的系统中打开 Subscription Manager。
- 选择 Available Subscriptions 选项卡。
- 选择要附加到该系统的订阅。
要使用命令行界面注册系统,请使用您的客户门户网站凭证输入 'subscription-manager register' 命令。
3.3.3. 在客户门户网站中手动附加订阅的选项和详情
大多数选项都是注册后可以设置的配置设置。
- 设置服务级别首选项(也可以在注册过程中完成,以便在选择订阅时将其用作优先级之一)。
- 设置版本首选项,以便系统只针对该发行版本的软件更新,并忽略到后续操作系统版本的任何升级。
- 启用或禁用关联的 yum 存储库。
3.4. 了解使用 firstboot 进行注册
在 firstboot 过程中注册系统与使用 Red Hat Subscription Manager 注册系统相同,因此没有与其关联的特殊工作流。提到 firstboot 的主要原因是,bootboot 向导提供了几种不同的方法来为订阅和内容更新配置系统。系统始终有某种类型的订阅配置,从第一次配置时,了解这些选项可以更轻松地管理系统。
在 firstboot 过程中,订阅服务和附加的订阅在 Set Up Software Updates 屏幕中配置。有三个选择:
- Red Hat Subscription Management
- Red Hat Satellite
- 稍后注册
默认情况下,bootboot 将系统注册到客户门户网站订阅管理,并自动附加兼容的订阅。选择 Skip automatic subscription select… 复选框可禁用自动订阅,以便系统可以手动附加订阅。
设置内容服务器的 firstboot 选项与使用 Red Hat Subscription Manager 配置现有系统相同。
3.5. 了解使用 Kickstart 注册订阅
Kickstart 是置备系统的关键组件。订阅设置可作为安装后脚本包含在 kickstart 说明中。
Kickstart 设置可以遵循管理员要使用的任何工作流:注册托管服务,使用激活码注册 Subscription Asset Manager 实例、手动附加订阅。首先使用哪些订阅工作流,然后使用 subscription-manager 命令执行每个所需步骤。
3.5.1. 使用 Kickstart 附加订阅的环境
Kickstart 用于编写系统创建脚本,因此这用于可能定期创建和销毁实例的环境,如测试环境,或者在数据中心和私有云中使用。
3.5.2. 使用 Kickstart 附加订阅
要注册系统并附加订阅作为 Kickstart 的一部分,请运行 'subscription-manager' 命令作为安装后脚本"
subscription-manager register --username username --password password --auto-attach
在本例中,订阅配置是默认配置,这意味着系统使用 Red Hat Subscription Management (托管)系统注册。另外,这使用 '--auto-attach' 选项附加最适合的订阅。
3.5.3. 使用 kickstart 附加订阅的选项和详情
Kickstart 可以遵循任何受支持的配置,但必须首先使用额外的安装后脚本来设置环境。
- 使用 '--servicelevel' 选项设置服务级别首选项。
- 要手动附加订阅,请保留 '--auto-attach' 选项,并使用 attach 命令运行第二个脚本,或在以后添加订阅。
- 默认情况下,Red Hat Subscription Manager 使用客户门户网站托管的订阅和内容服务。要使用类似 Subscription Asset Manager 的内部服务,请首先运行 subscription-manager config 命令并重置 Red Hat Subscription Manager 配置,然后使用新配置注册系统。
- 要注册系统并使用激活码附加订阅,首先将 Red Hat Subscription Manager 配置为使用适当的订阅服务,然后使用激活码注册。
3.6. 了解为 hypervisor 和客户机附加订阅
Red Hat Enterprise Linux 具有一个可选的服务,可自动检测虚拟主机系统上的客户机,创建主机到客户机的映射,并将客户机注册为虚拟系统。这允许特定于虚拟系统的订阅可用于客户机以及从主机继承的订阅自动应用到客户机。可以应用虚拟数据中心(VDC)订阅支持的虚拟化平台:
- Red Hat Virtualization(RHV)
- Red Hat OpenStack Platform(RHOSP)
- Red Hat Enterprise Linux hypervisor
- VMware vSphere
- Microsoft Hyper-V
'virt-who' 守护进程目前不支持 Microsoft System Center 2012 R2 虚拟机管理器(SCVMM)。每个 Microsoft Hyper-V 主机都必须有一个 virt-who 配置文件,供 v 连接到。
3.6.1. 用于附加 hypervisor 和客户机订阅的环境
要有效地管理订阅 - 特别是在订阅之间继承的订阅或交互 - 必须在主机和客户机之间的关系的订阅服务中了解内部感知。这是一个主机/客户机映射,它是给定 hypervisor 的所有客户机标识符的列表。
在红帽订阅管理中,虚拟机监控程序作为特殊的消费者注册。管理程序本身作为常规物理系统进行管理,但 hypervisor 类型表示特定系统将有客户机映射到它,并且该订阅可以继承或与其他客户机不同。
使用主机/客户机映射将每个客户机与特定主机关联,订阅服务可以正确地将单个订阅附加到虚拟主机,然后将包含且可继承的订阅应用到其客户机(例如,为每个实例消耗两个单独的订阅)。
这种关联是通过为每个客户机提取通用唯一标识符并将其与其 hypervisor 关联来实现的。这些 UUID 是每个虚拟系统的系统事实的一部分。
虚拟机监控程序首先注册,然后在系统上扫描任何客户机,并将发现的 UUID 提交到订阅服务。这由虚拟机监控程序上的"virt-who"进程完成。
3.6.2. 注册虚拟机监控程序或客户机订阅
先决条件
'virt-who 进程必须在虚拟主机或环境中(VMware)的虚拟机监控程序上运行,以确保 'virt-who' 进程将客户机映射到物理主机,以便系统正确注册为虚拟系统。否则,虚拟实例将被视为虚拟实例。
流程
虚拟机虚拟机监控程序使用与其他系统相同的注册过程:
输入命令:
# sudo subscription-manager register
3.7. 了解离线系统的注册
断开连接的系统是唯一的用例,因为系统离线,可以关闭公司网络,或者完全缺少互联网访问。这意味着系统无法访问任何订阅或内容服务,因此系统的任何更改都必须是手动的。
3.7.1. 用于注册断开连接的系统的环境
断开连接的系统只是无法连接到互联网的系统,甚至可能,甚至可能。该系统的产品和订阅以及系统本身应该仍然包含在清单中。
这通常意味着业务规则无法连接到互联网的安全位置的服务器。它还可以包含备份系统,该系统可能保持离线状态,直到需要为止。
大多数订阅和内容操作通过网络执行。例如,"rhsmcertd"进程通过连接到给定的订阅服务每四个小时检查更新的订阅信息。如果系统无法连接到互联网,而不是几乎无法执行所有这些管理任务。
3.7.2. 将断开连接的系统注册到红帽
管理员可能希望为具有有限连接或对互联网访问不一致的系统附加和跟踪订阅。要注册离线或"air-gapped"系统,您需要在客户门户网站中使用红帽订阅管理手动创建系统配置文件。
这个配置集充当占位符,且不会连接到您的实际系统,直到它可以再次访问互联网。
流程
- 创建系统配置文件。在 Red Hat Subscription Management 中的 系统 页面中,单击 New 按钮。提供所需信息来完成新系统配置集的创建。
- 附加订阅。在新创建的系统配置集中,点 Subscriptions 选项卡,并附加您要用于该系统的任何订阅。
下载并导入授权证书。在系统配置文件的 Subscriptions 选项卡中,点 Download Certificates 下载附加订阅的权利证书。下载的文件将采用 zip 格式。提取内容,并在 /export/entitlement_certificates/ 文件夹中找到证书 xyz.pem。将它移到客户端系统的 /tmp 目录中。
# subscription-manager import --certificate=/tmp/Name_Of_Downloaded_Entitlement_Cert.pem
3.7.3. 注册断开连接的系统的选项和详情
虚拟化所有附加配置选项 - 系统级配置(如设置服务级别和基础架构级配置)都不适用于不同的订阅或内容服务 - 只要断开连接。大多数参数(如自动附加)配置通过网络自动发生的操作。
计划在系统上线时应使用什么配置。例如,如果其余基础架构正在使用 Satellite 6 而不是客户门户订阅管理服务,则联网系统可能也应该也注册到 Satellite 6 服务,而不是 Red Hat Subscription Management。对于安全规则,系统可能永远不会在线,因此配置可能始终不相关。备份系统可以随时上线,这会导致正确配置。