Red Hat Training
A Red Hat training course is available for Red Hat Satellite
5.3. 配置 Red Hat Satellite Capsule Server
先決條件
繼續這項工作前,必須先滿足以下條件:
- 安裝 Red Hat Satellite Server
- 在作為 Satellite Capsule Server 的電腦上,將 SELinux 的存取權限設為「強制」(enforcing)。
以下步驟會配置 Satellite Capsule Server,以搭配 Red Hat Satellite Server 使用。這包括以下幾種 Satellite Capsule Server 的類型:
- Satellite Capsule Server 搭配 Smart Proxy
- Satellite Capsule Server 作為內容節點(Content Node)
- Satellite Capsule Server 作為內容節點,並搭配 Smart Proxy
要配置 Satellite Capsule Server:
- 在 Satellite Server 上:
- 產生 Satellite Capsule Server 的憑證:
capsule-certs-generate --capsule-fqdn capsule_FQDN --certs-tar ~/capsule.example.com-certs.tar
其中:capsule_FQDN
是 Satellite Capsule Server 的 FQDN。(必要選項)certs-tar
是要給 Satellite Capsule 安裝程式使用、包含了憑證的 tar 壓縮檔名稱。
執行capsule-certs-generate
會產生以下訊息:To finish the installation, follow these steps: 1. Ensure that the capsule-installer is available on the system. The capsule-installer comes from the katello-installer package and should be acquired through the means that are appropriate to your deployment. 2. Copy ~/capsule.example.com-certs.tar to the capsule system capsule.example.com 3. Run the following commands on the capsule (possibly with the customized parameters, see capsule-installer --help and documentation for more info on setting up additional services): rpm -Uvh http://master.com/pub/katello-ca-consumer-latest.noarch.rpm subscription-manager register --org "ACME_Corporation" capsule-installer --parent-fqdn "sat6.example.com"\ --register-in-foreman "true"\ --foreman-oauth-key "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "~/capsule.example.com-certs.tar"\ --puppet "true"\ --puppetca "true"\ --pulp "true"
- 從 Satellite Server 上複製所產生的 tarball 壓縮檔(即 capsule.example.com-certs.tar)至 Satellite Capsule 主機系統上。
- 在 Satellite Capsule Server 上:
- 註冊 Satellite Capsule Server 至 Satellite Server 上:
# rpm -Uvh http://sat6host.example.redhat.com/pub/katello-ca-consumer-latest.noarch.rpm # subscription-manager register --org "ACME_Corporation" --env [environment]/[content_view_name]
注意
您必須指定一個組織至 Satellite Capsule Server,因為 Satellite Capsule Server 需要一組環境好從 Satellite Server 同步內容。只有組織才有環境。指定位置是選用選項,但建議您使用,以指出 Satellite Capsule Server 所管理的主機之大略位置。 - 根據所需的 Satellite Capsule Server 類型,請擇一使用以下選項:
- 選項一:Satellite Capsule Server 與 Smart Proxy:這會安裝 Satellite Capsule Server 與 Smart Proxy 功能(DHCP、DNS、Puppet)。請在 Satellite Capsule Server 上,以
root
身份執行以下指令:# capsule-installer --parent-fqdn "satellite.example.com"\ --register-in-foreman "true"\ --foreman-oauth-key "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "/root/capsule.example.com-certs.tar"\ --puppet "true"\ --puppetca "true"\ --pulp "true" --tftp "true" --dhcp "true"\ --dhcp-interface "virbr1 --dns "true"\ --dns-forwarders "8.8.8.8"\ --dns-forwarders "8.8.4.4"\ --dns-interface "virbr1"\ --dns-zone "example.com"
- 選項二:Satellite Capsule Server 作為內容節點、搭配 Smart Proxy:這會安裝 Satellite Capsule Server 的所有功能。請在 Satellite Capsule Server 上,以
root
身份執行以下指令:# capsule-installer --parent-fqdn "sat6.example.com"\ --register-in-foreman "true"\ --foreman-oauth-key "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "/root/capsule.example.com-certs.tar"\ --puppet "true"\ --puppetca "true"\ --pulp "true" --tftp "true" --dhcp "true"\ --dhcp-interface "virbr1 --dns "true"\ --dns-forwarders "8.8.8.8"\ --dns-forwarders "8.8.4.4"\ --dns-interface "virbr1"\ --dns-zone "example.com"
注意
配置成功後,請在 Satellite Capsule Server 上以
root
身份執行:
# echo $?
若執行成功,上述指令會傳回「0」。如果執行不成功,請檢查
/var/log/kafo
找出造成錯誤的原因。/var/log/kafo
是 capsule-certs-generate
與 capsule-installer
指令產出的日誌檔。
同時,Satellite Capsule Server 應該會出現在 Satellite Server 的使用者介面中,位於「架構 → Capsule」之下。
結果:
Satellite Capsule Server 配置完成,並向 Satellite Server 註冊。
14370%2C+Installation+Guide-6.0-109-10-2014+14%3A18%3A29Red+Hat+Satellite+6Docs+Install+Guide14370%2C+Installation+Guide-6.0-109-10-2014+14%3A18%3A29Red+Hat+Satellite+6Docs+Install+Guide回報錯誤
5.3.1. 配置 Red Hat Satellite Capsule Server 使用 Custom Server Certificate
katello-installer
有預設的 CA,可用於伺服器的 SSL 憑證、以及子服務認證時使用的用戶端憑證。這些憑證可以用自訂的憑證來取代。
在兩種情況下,您可以配置 Satellite Capsule Server 使用自訂的 CA 憑證:
- 第一次執行
capsule-certs-generate
時 - 已執行
capsule-certs-generate
之後
過程 5.2. 第一次執行 capsule-certs-generate 時設定 Custom Server Certificate
- 在 Red Hat Satellite Server 上執行以下指令:
capsule-certs-generate --capsule-fqdn "$CAPSULE"\ --certs-tar "~/$CAPSULE-certs.tar"\ --server-cert ~/path/to/server.crt\ --server-cert-req ~/path/to/server.crt.req\ --server-key ~/path/to/server.key\ --server-ca-cert ~/cacert.crt
其中:capsule_FQDN
是 Satellite Capsule Server 的 FQDN。(必要選項)certs-tar
是要給 Satellite Capsule 安裝程式使用、包含了憑證的 tar 壓縮檔名稱。server-cert
是由您的 CA 所簽發(或自行簽發)之憑證的路徑server-cert-req
是憑證簽發需求檔的路徑,該檔案是用來建立憑證用的。server-key
是用來簽署憑證的私密金鑰server-ca-cert
~/path/to/cacert.crt
此系統上連至 CA 憑證的路徑。
- 從 Satellite Server 上複製所產生的 tarball 壓縮檔(即
capsule.example.com-certs.tar
)至 Satellite Capsule 主機系統上。 - 在 Satellite Capsule Server 上:
- 向 Satellite Server 註冊 Satellite Capsule Server:
# rpm -Uvh http://sat6host.example.redhat.com/pub/katello-ca-consumer-latest.noarch.rpm # subscription-manager register --org "ACME_Corporation" --env [environment]/[content_view_name]
注意
您必須指定一個組織至 Satellite Capsule Server,因為 Satellite Capsule Server 需要一組環境好從 Satellite Server 同步內容。只有組織才有環境。指定位置是選用選項,但建議您使用,以指出 Satellite Capsule Server 所管理的主機之大略位置。 - 根據所需的 Satellite Capsule Server 類型,請擇一使用以下選項:
- 選項一:Satellite Capsule Server 與 Smart Proxy:這會安裝 Satellite Capsule Server 與 Smart Proxy 功能(DHCP、DNS、Puppet)。請在 Satellite Capsule Server 上,以
root
身份執行以下指令:# capsule-installer --parent-fqdn "satellite.example.com"\ --register-in-foreman "true"\ --foreman-oauth-key "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "/root/capsule.example.com-certs.tar"\ --puppet "true"\ --puppetca "true"\ --pulp "true" --tftp "true" --dhcp "true"\ --dhcp-interface "virbr1 --dns "true"\ --dns-forwarders "8.8.8.8"\ --dns-forwarders "8.8.4.4"\ --dns-interface "virbr1"\ --dns-zone "example.com"
- 選項二:以 Satellite Capsule Server 作為內容節點:這會安裝含有內容管理功能的 Satellite Capsule Server 以及 Puppet Master。請在 Satellite Capsule Server 上,以
root
身份執行以下指令:# capsule-installer --parent-fqdn "sat6.example.com"\ --register-in-foreman "true"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "~/capsule.example.com-certs.tar"\ --puppet "false"\ --puppetca "false"\ --pulp "true"
- 選項三:Satellite Capsule Server 作為內容節點、搭配 Smart Proxy:這會安裝 Satellite Capsule Server 的所有功能。請在 Satellite Capsule Server 上,以
root
身份執行以下指令:# capsule-installer --parent-fqdn "sat6.example.com"\ --register-in-foreman "true"\ --foreman-oauth-key "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "/root/capsule.example.com-certs.tar"\ --puppet "true"\ --puppetca "true"\ --pulp "true" --tftp "true" --dhcp "true"\ --dhcp-interface "virbr1 --dns "true"\ --dns-forwarders "8.8.8.8"\ --dns-forwarders "8.8.4.4"\ --dns-interface "virbr1"\ --dns-zone "example.com"
過程 5.3. 執行 capsule-certs-generate
之後,設定 Custom Server Certificate
在 Satellite Server 伺服器上使用自訂的伺服器憑證,這表示同樣的憑證也需要建置在 Satellite Capsule Server 上。每台 Satellite Capsule Server 都需要以下步驟:
- 根據自訂的伺服器憑證,產生新的憑證:
capsule-certs-generate --capsule-fqdn "satcapsule.example.com"\ --certs-tar "~/$CAPSULE-certs.tar"\ --server-cert ~/path/to/server.crt\ --server-cert-req ~/path/to/server.crt.req\ --server-key ~/path/to/server.key\ --server-ca-cert ~/cacert.crt\ --certs-update-server --certs-update-server-ca
- 從 Satellite Server 上複製所產生的 tarball 壓縮檔(即
capsule.example.com-certs.tar
)至 Satellite Capsule 主機系統上。 - 在 Satellite Capsule Server,再次執行
capsule-installer
指令以更新憑證。根據所需的 Satellite Capsule Server 類型,請擇一使用以下選項:- 選項一:Satellite Capsule Server 與 Smart Proxy:這會安裝 Satellite Capsule Server 與 Smart Proxy 功能(DHCP、DNS、Puppet)。請在 Satellite Capsule Server 上,以
root
身份執行以下指令:# capsule-installer --parent-fqdn "satellite.example.com"\ --register-in-foreman "true"\ --foreman-oauth-key "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "/root/capsule.example.com-certs.tar"\ --puppet "true"\ --puppetca "true"\ --pulp "true" --tftp "true" --dhcp "true"\ --dhcp-interface "virbr1 --dns "true"\ --dns-forwarders "8.8.8.8"\ --dns-forwarders "8.8.4.4"\ --dns-interface "virbr1"\ --dns-zone "example.com"
- 選項二:以 Satellite Capsule Server 作為內容節點:這會安裝含有內容管理功能的 Satellite Capsule Server 以及 Puppet Master。請在 Satellite Capsule Server 上,以
root
身份執行以下指令:# capsule-installer --parent-fqdn "sat6.example.com"\ --register-in-foreman "true"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "~/capsule.example.com-certs.tar"\ --puppet "false"\ --puppetca "false"\ --pulp "true"
- 選項三:Satellite Capsule Server 作為內容節點、搭配 Smart Proxy:這會安裝 Satellite Capsule Server 的所有功能。請在 Satellite Capsule Server 上,以
root
身份執行以下指令:# capsule-installer --parent-fqdn "sat6.example.com"\ --register-in-foreman "true"\ --foreman-oauth-key "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "/root/capsule.example.com-certs.tar"\ --puppet "true"\ --puppetca "true"\ --pulp "true" --tftp "true" --dhcp "true"\ --dhcp-interface "virbr1 --dns "true"\ --dns-forwarders "8.8.8.8"\ --dns-forwarders "8.8.4.4"\ --dns-interface "virbr1"\ --dns-zone "example.com"
重要
在 Red Hat Satellite Server 與 Red Hat Satellite Capsule Server 上使用一樣的自訂伺服器憑證,以確保兩台電腦間的信任關係無虞。
14370%2C+Installation+Guide-6.0-109-10-2014+14%3A18%3A29Red+Hat+Satellite+6Docs+Install+Guide回報錯誤