Uyuni Proxy 设置

SUSE Manager Proxy 需要额外进行配置。

1. 安装 uyuni_proxy 软件集

检查是否已正确安装 Proxy 软件集。在 openSUSE Leap 中安装 SUSE Manager Proxy 中介绍了此步骤。要校验安装是否成功,请在服务器上选择安装 pattern_uyuni_proxy 软件包。

安装完成后,salt-broker 服务会自动启动。此服务将 Salt 交互转发到 SUSE Manager 服务器。

代理链

可以在链中排列 Salt 代理。在这种情况下,上游代理名为 parent

确保 TCP 端口 45054506 已在代理上打开。代理必须能够在这些端口上访问 SUSE Manager 服务器或父代理。

2. 复制服务器证书和密钥

代理将与 SUSE Manager 服务器共享一些 SSL 信息。请从 SUSE Manager 服务器或父代理复制证书及其密钥。

在代理上,以 root 身份使用您的 SUSE Manager 服务器或父代理(名为 PARENT)输入以下命令:

mkdir -m 700 /root/ssl-build
cd /root/ssl-build
scp root@PARENT:/root/ssl-build/RHN-ORG-PRIVATE-SSL-KEY .
scp root@PARENT:/root/ssl-build/RHN-ORG-TRUSTED-SSL-CERT .
scp root@PARENT:/root/ssl-build/rhn-ca-openssl.cnf .

为使安全链保持不变,SUSE Manager Proxy 功能要求为 SSL 证书签名的 CA 与为 SUSE Manager Server 证书签名的 CA 相同。不支持对代理和服务器使用由不同 CA 签名的证书。

3. 运行 configure-proxy.sh

configure-proxy.sh 脚本将完成 SUSE Manager Proxy 的设置。

执行交互式 configure-proxy.sh 脚本。如果在不提供其他输入的情况下按 Enter,脚本将使用方括号 [] 中提供的默认值。下面是有关所请求设置的一些信息:

SUSE Manager 父项:SUSE Manager 父项可以是另一个代理或 SUSE Manager 服务器。

HTTP 代理

SUSE Manager Proxy 可以通过 HTTP 代理访问 Web。如果防火墙禁止直接访问 Web,则需要使用 HTTP 代理。

回溯电子邮件

要将问题报告到的电子邮件地址。

使用 SSL

出于安全原因,请按 Y

您要导入现有证书吗?

请按 N。这可以确保使用前面从 SUSE Manager 服务器复制的新证书。

组织

下一组问题与代理 SSL 证书的用法特征有关。组织可能是服务器上使用的同一组织,当然,如果您的代理不在主服务器所在的同一组织中,则两个组织是不同的。

组织单位

此处的默认值是代理的主机名。

城市

附加到代理证书的其他信息。

州/省

附加到代理证书的其他信息。

国家/地区代码

国家/地区代码字段中,输入安装 SUSE Manager 期间设置的国家/地区代码。例如,如果您的代理位于美国,而 SUSE Manager 位于德国,请为代理输入 DE

国家/地区代码必须是两个大写字母。有关国家/地区代码的完整列表,请参见 https://www.iso.org/obp/ui/#search
CNAME 别名(空格分隔)

如果可以通过不同的 DNS CNAME 别名访问您的代理,请使用此字段。否则可将其留空。

CA 口令

输入 SUSE Manager 服务器的证书使用的口令。

您要使用现有的 SSH 密钥来代理 SSH-Push Salt 受控端吗?

如果您要重复使用对服务器上的 SSH-Push Salt 客户端所用的 SSH 密钥,请使用此选项。

要创建并填充配置通道 rhn_proxy_config_1000010001 吗?

接受默认值 Y

SUSE Manager 用户名

使用 SUSE Manager 服务器上的相同用户名和口令。

如果缺少某些部分(例如 CA 密钥和公共证书),脚本将列显必须执行的以集成所需文件的命令。复制必需的文件后,请再次运行 configure-proxy.sh。如果在执行脚本期间收到 HTTP 错误,请再次运行脚本。

configure-proxy.sh 激活 SUSE Manager Proxy 所需的服务,例如 squidapache2salt-brokerjabberd

要检查代理系统及其客户端的状态,请在 Web UI 中单击代理系统的细节页(单击系统  代理,然后单击系统名称)。连接代理子选项卡会显示各种状态信息。

4. 启用 PXE 引导

4.1. 同步配置文件和系统信息

要通过代理启用 PXE 引导,必须在 SUSE Manager 代理和 SUSE Manager 服务器上安装并配置额外的软件。

  1. 在 SUSE Manager Proxy 上安装 susemanager-tftpsync-recv 软件包:

    zypper in susemanager-tftpsync-recv

  2. 在 SUSE Manager Proxy 上,运行 configure-tftpsync.sh 设置脚本并输入请求的信息:

    configure-tftpsync.sh

    需要提供 SUSE Manager 服务器和代理的主机名与 IP 地址。此外,需要输入代理上 tftpboot 目录的路径。

  3. 在 SUSE Manager 服务器上安装 susemanager-tftpsync

    zypper in susemanager-tftpsync

  4. 在 SUSE Manager 服务器上运行 configure-tftpsync.sh。 这会创建配置并将其上载到 SUSE Manager Proxy:

    configure-tftpsync.sh FQDN_of_Proxy

  5. 在 SUSE Manager 服务器上启动初始同步:

    cobbler sync

    也可以在 Cobbler 中发生了需要立即同步的更改后执行此操作。如果不执行此操作,Cobbler 同步将在需要时自动运行。有关 PXE 引导的详细信息,请参见 通过网络安装

4.2. 通过代理为 PXE 配置 DHCP

SUSE Manager 使用 Cobbler 进行客户端置备。PXE (tftp) 默认已安装并已激活。客户端必须能够使用 DHCP 在 SUSE Manager Proxy 上找到 PXE 引导。对于包含要置备的客户端的区域,请使用以下 DHCP 配置:

next-server: <IP_Address_of_Proxy>
filename: "pxelinux.0"

5. 更换 SUSE Manager 代理

代理不包含有关与它连接的客户端的任何信息。因此,随时可将一个代理替换为新代理。替换用的代理必须与其前任代理具有相同的名称和 IP 地址。

准备替换时,请关闭旧代理并使其保持已安装状态。为此系统创建重新激活密钥,然后使用重新激活密钥注册新代理。如果您不使用重新激活密钥,则需要针对新代理重新注册所有客户端。

仅当您不想要丢失计算机的历史记录时,才需要使用重新激活密钥。如果您不使用重新激活密钥,替换用的代理将成为具有新 ID 的“新”代理。
过程:替换代理并保持客户端的已注册状态

  1. 在启动实际迁移过程之前,请根据需要保存旧代理中的数据。 考虑将重要数据或手动创建的数据复制到新代理也可访问的中心位置。

  2. 关闭代理。

  3. 安装新的 SUSE Manager 代理。 有关安装说明,请参见 代理安装

  4. 在 SUSE Manager Web UI 中,选择新安装的 SUSE Manager 代理并将其从系统列表中删除。

  5. 在 Web UI 中,为旧代理系统创建重新激活密钥:在旧代理的“系统细节”选项卡上单击重新激活。 单击生成新密钥并记下新密钥,因为稍后需要用到。有关重新激活密钥的详细信息,请参见 重新激活密钥

  6. 可选:安装新代理后,可能还需要:

    • 将集中保存的数据复制到新代理系统

    • 安装任何其他所需软件

    • 设置 TFTP 同步(如果该代理用于自动安装)

在安装代理期间,客户端将无法访问 SUSE Manager 服务器。删除某个代理后,系统列表可能暂时不正确。以前已连接到该代理的所有客户端将显示为直接连接到服务器。在客户端上成功完成第一个操作(例如执行远程命令,或者安装软件包或补丁)后,此信息将自动更正。这种更正可能发生在几小时之后。