Documentation survey

注册 openEuler 客户端

本节包含有关注册运行 openEuler 操作系统的客户端的信息。

  • openEuler repository URLs are available from SUSE Customer Center.

  • Packages and metadata are provided by the OpenAtom Foundation, not by SUSE.

  • For supported products, see the support table and the release notes.

如果 openEuler 实例是在 AWS 中创建的,则其在 /etc/machine-id 中的 machine-id ID 始终相同。请务必在创建实例后重新生成 machine-id。有关详细信息,请参见 对注册克隆的客户端时出现的问题进行查错

1. 添加软件通道

将 openEuler 客户端注册到 SUSE Multi-Linux Manager 服务器之前,需要添加并同步所需的软件通道。

The architectures currently supported are: x86_64 and aarch64.

下面的小节中的说明通常默认使用 x86_64 体系结构。请根据情况将其替换为其他体系结构。

Table 1. openEuler Products - Web UI
OS Version Product Name

openEuler 24.03

openEuler 24.03-LTS-SP1 (Tech Preview)

过程:添加软件通道
  1. 在 SUSE Multi-Linux Manager Web UI 中,导航到管理  安装向导  产品

  2. 使用搜索栏找到适用于您的客户端操作系统和体系结构的产品,然后选中相应产品。这样会自动选中所有必需的通道。此外,建议的所有通道也将选中,并且包括建议项开关会打开。单击箭头以查看相关产品的完整列表,确保您需要的所有额外产品都已选中。

  3. 单击 添加产品 并等待产品完成同步。

或者,您也可以在命令提示符处添加通道。此过程所需的通道包括:

Table 2. openEuler Channels - CLI
OS Version Base Channel

openEuler 24.03

openeuler2403-sp1-pool-x86_64

过程:在命令提示符处添加软件通道
  1. 在 SUSE Multi-Linux Manager 容器主机的命令提示符处,以 root 身份命令添加相应的通道:

    mgrctl exec -ti -- mgr-sync add channel <channel_label_1>
    mgrctl exec -ti -- mgr-sync add channel <channel_label_2>
    mgrctl exec -ti -- mgr-sync add channel <channel_label_n>
  2. 系统会自动启动同步。如果您要手动同步通道,请使用以下命令:

    mgrctl exec -ti -- mgr-sync sync --with-children <channel_name>
  3. 确保同步已完成,然后再继续操作。

2. 检查同步状态

过程:通过命令提示符检查同步进度
  1. To list available logs before tailing, run the following command:

    mgrctl exec -ti -- ls /var/log/rhn/reposync/
  2. At the command prompt on the SUSE Multi-Linux Manager container host, as root, check the synchronization of a channel log file:

    mgrctl exec -ti -- tail -f /var/log/rhn/reposync/<channel-label>.log
  3. 每个子通道在同步过程中会生成自身的日志。您需要检查所有基础通道和子通道日志文件,以确保同步完成。

3. 创建激活密钥

需要创建与您的 openEuler 通道关联的激活密钥。

有关激活密钥的详细信息,请参见 激活密钥

5. 在客户端上信任 GPG 密钥

操作系统要么直接信任自己的 GPG 密钥,要么至少将它们与最小系统一起安装,但通过其他 GPG 密钥签名的第三方软件包需要手动处理。客户端可以在不信任 GPG 密钥的情况下成功引导,但除非密钥受信任,否则您将无法安装新的客户端工具软件包或更新软件包。

客户端现在使用为软件通道输入的 GPG 密钥信息来管理受信任密钥。如果将具有 GPG 密钥信息的软件通道指派给客户端,当通道刷新后或从此通道安装第一个软件包后,系统就会信任该密钥。

软件通道页面中的 GPG 密钥 URL 参数可以包含以空格分隔的多个密钥 URL。如果其为文件 URL,则必须在使用软件通道之前在客户端上部署 GPG 密钥文件。

基于 Red Hat 的客户端的客户端工具通道的 GPG 密钥会部署到客户端的 /etc/pki/rpm-gpg/ 中,并可通过文件 URL 引用。

对于 SUSE Liberty Linux 客户端的 GPG 密钥,情况也是如此。

仅当为客户端指派了软件通道时,系统才会导入并信任这些密钥。

由于基于 Debian 的系统仅会对元数据签名,因此不需要为各个通道指定确切的密钥。如果用户按 储存库元数据 中的“使用自己的 GPG 密钥”所述配置了自己的 GPG 密钥来对元数据签名,系统会自动部署并信任该密钥。

5.1. 用户定义的 GPG 密钥

用户可以定义要部署到客户端的自定义 GPG 密钥。

通过提供某些 pillar 数据并在 Salt 文件系统中提供 GPG 密钥文件,系统会自动将它们部署到客户端。

这些密钥会分别部署到 /etc/pki/rpm-gpg/(在基于 RPM 的操作系统上)和 /usr/share/keyrings/(在 Debian 系统上)中:

为您要将密钥部署到的客户端定义 pillar 键 custom_gpgkeys 并列出密钥文件名。

cat /srv/pillar/mypillar.sls
custom_gpgkeys:
  - my_first_gpg.key
  - my_second_gpgkey.gpg

此外,在 Salt 文件系统中创建名为 gpg 的目录,并将 custom_gpgkeys pillar 数据中所指定的 GPG 密钥文件存储在该目录下。

ls -la /srv/salt/gpg/
/srv/salt/gpg/my_first_gpg.key
/srv/salt/gpg/my_second_gpgkey.gpg

密钥将部署到客户端的 /etc/pki/rpm-gpg/my_first_gpg.key/etc/pki/rpm-gpg/my_second_gpgkey.gpg 中。

最后一步是将 URL 添加到软件通道的“GPG 密钥 URL”字段中。请导航到软件  管理  通道,然后选择要修改的通道。将值 file:///etc/pki/rpm-gpg/my_first_gpg.key 添加到 GPG 密钥 URL中。

5.2. 引导脚本中的 GPG 密钥

过程:在客户端上使用引导脚本信任 GPG 密钥
  1. 在 SUSE Multi-Linux Manager 服务器上的命令提示符处,检查 /srv/www/htdocs/pub/ 目录的内容。此目录包含所有可用的公共密钥。记下为您正在注册的客户端指派的通道适用的密钥。

  2. 打开相关的引导脚本,找到 ORG_GPG_KEY= 参数并添加所需的密钥。例如:

    uyuni-gpg-pubkey-0d20833e.key

    您无需删除任何以前存储的密钥。

信任 GPG 密钥对于客户端的安全非常重要。由管理员来决定需要哪些密钥,可以信任哪些密钥。如果不信任 GPG 密钥,便无法为客户端指派软件通道。

6. 注册客户端

openEuler 客户端的注册方式与所有其他客户端的注册方式相同。有关详细信息,请参见 客户端注册