系统锁定
系统锁用于防止对客户端执行某些操作。例如,系统锁可防止更新或重启动客户端。此功能对于运行生产软件的客户端或想要阻止意外更改时很有用。您可以在准备好执行操作时禁用系统锁。
传统客户端和 Salt 客户端上实施系统锁的方式不同。
1. 传统客户端上的系统锁
当传统客户端被锁定后,便无法使用 Web UI 安排操作,并且在中,该客户端名称的旁边会显示一个挂锁图标。
-
在 SUSE Manager Web UI 中,导航到要锁定的客户端的
系统细节页面。 -
在
锁定状态下,单击 锁定此系统。 客户端便会保持锁定状态,直到您单击 解锁此系统。
在锁定的传统客户端上仍然可以完成某些操作,包括远程命令以及自动进行补丁更新。要停止自动进行的补丁更新,请导航到相应客户端的系统细节页面,然后在属性选项卡上取消选中自动更新补丁。
2. Salt 客户端上的系统锁
当 Salt 客户端被锁定或置于中断模式后,便无法安排操作,并会禁止 Salt 执行命令,而且系统细节页面上会显示一个黄色标题。在此模式下,虽然可以使用 Web UI 或 API 为锁定的客户端安排操作,但操作会失败。
|
锁定机制不适用于 Salt SSH 客户端。 |
-
在 SUSE Manager Web UI 中,导航到要锁定的客户端的
系统细节页面。 -
导航到
公式选项卡,选中系统锁公式,然后单击 保存。 -
导航到选项卡,选中
锁定系统,然后单击 保存。 在此页面上,您也可以在客户端处于锁定状态时启用特定的 Salt 模块。 -
进行更改后,您可能需要应用 highstate。 在此情况下,Web UI 中会显示一个标题通知您。客户端会保持锁定状态,直到您去除系统锁公式。
有关 Salt 中的中断模式的详细信息,请参见 https://docs.saltstack.com/en/latest/topics/blackout/index.html。
3. 软件包锁
可以在多个客户端上使用软件包锁定,但提供的功能集不同。您必须区分以下客户端上的功能集:
-
SUSE Linux Enterprise 和 openSUSE(基于 zypp)与 Red Hat Enterprise Linux 或 Debian 客户端,以及
-
传统客户端与 Salt 客户端。
3.1. 基于 Zypp 的系统上的软件包锁
软件包锁用于防止在未经授权的情况下安装或升级软件包。当软件包被锁定后,会显示一个挂锁图标,表示无法安装该软件包。任何尝试安装锁定软件包的操作均会在事件日志中报告为错误。
您无法安装、升级或去除锁定的软件包,无论是通过 SUSE Manager Web UI 还是使用软件包管理器在客户端计算机上直接执行均是如此。锁定的软件包还会间接锁定任何依赖的软件包。
|
基于 Zypper 的系统软件包管理器可在传统客户端和 Salt 客户端上进行软件包锁定。 |
-
在受管系统上导航到选项卡查看所有可用软件包的列表。
-
选择要锁定的软件包,然后单击 请求锁定。选择要激活软件包锁的日期和时间。默认情况下,软件包锁会尽快激活。请注意,软件包锁可能不会立即激活。
-
要去除软件包锁,请选择要解锁的软件包,然后单击 请求解锁。就像激活软件包锁一样选择日期和时间。
3.2. 类似 Red Hat Enterprise Linux 和 Debian 的系统上的软件包锁
|
一些类似 Red Hat Enterprise Linux 和 Debian 的系统可对 Salt 客户端进行软件包锁定。 |
在类似 Red Hat Enterprise Linux 和 Debian 的系统上,软件包锁仅用于防止在未经授权的情况下升级或去除软件包。当软件包被锁定后,会显示一个挂锁图标,表示无法更改该软件包。任何尝试更改锁定软件包的操作均会在事件日志中报告为错误。
您无法升级或去除锁定的软件包,无论是通过 SUSE Manager Web UI 还是使用软件包管理器在客户端计算机上直接执行均是如此。锁定的软件包还会间接锁定任何依赖的软件包。
-
在 Red Hat Enterprise Linux 7 系统上,以
root身份安装yum-plugin-versionlock软件包。在 Red Hat Enterprise Linux 8 系统上,以root身份安装python3-dnf-plugin-versionlock软件包。在 Debian 系统上,apt工具已包含锁定功能。 -
在受管系统上导航到选项卡查看所有可用软件包的列表。
-
选择要锁定的软件包,然后单击 请求锁定。选择要激活软件包锁的日期和时间。默认情况下,软件包锁会尽快激活。请注意,软件包锁可能不会立即激活。
-
要去除软件包锁,请选择要解锁的软件包,然后单击 请求解锁。就像激活软件包锁一样选择日期和时间。