Spacewalk para Navidad

Hola Habr!

Poco antes de Navidad, se decidió estudiar Spacewalk en el departamento de TI: este es el sistema Red Hat, un análogo gratuito de Satellite, para la gestión de configuración centralizada, actualizaciones del sistema y soporte conveniente para todo el parque de servidores.

Debido al hecho de que la documentación disponible en el sitio web oficial es bastante escasa para comentarios adicionales de varios tipos de solución de problemas, la tarea consistía en estudiar el producto para su introducción gradual primero a los servidores de prueba, y luego a los productos.

La idea principal de introducir Spacewalk no era solo la centralización y la simplificación del control, sino también para que nadie jugara actualizaciones en los servidores del nuevo proyecto con bolígrafos juguetones, ya que los precedentes ya ocurrieron.

Después de dos semanas de trabajo, todo el conocimiento que recibí se ingresó en el análogo interno de Confluence, y un día libre me llevó a escribir un artículo sobre Habr.

Antes de comenzar, me gustaría resaltar brevemente lo que fue y no fue afectado, para no calificar para el manual completo para trabajar con Spacewalk:

+ Instalación y configuración del servidor / cliente
+ Configuración del sistema en GUI
+ Solucione problemas de paquetes de instalación / actualización, trabaje con configuraciones
+ Errata (recopilación de información sobre actualizaciones críticas, vulnerabilidades, etc.)

- Proxy (la necesidad desapareció, después de abandonar HA)
- zapatero / kickstart
- OpenSCAP

Requisitos del sistema

Debido al hecho de que toda la infraestructura se ejecuta en VMWare, el trabajo se realizó en una VM que ejecuta CentOS 7. Los requisitos de sistema recomendados por el desarrollador son:

• 4 GB de RAM
• 6GB de espacio libre para / var / satélite /
• 12GB para DB

Yo usé:

• 6 GB de RAM
• 4 CPU (s)
• HDD de 40 GB

También te aconsejo que deshabilites SELinux y, si no lo estás usando, firewalld. O agregue el servicio http a las excepciones.

Nota: al final del artículo habrá playbooks para Ansible, tanto para las partes del cliente como del servidor, así como scripts de bash. Con su ayuda, será posible implementar toda la infraestructura en un par de minutos.

Instalación

La instalación en sí se describe tanto en la documentación oficial como en varios sitios, sin embargo, por la integridad del artículo, permítanme mencionar este punto aquí.

Spacewalk funciona con dos DBMS: PostgreSQL y Oracle RDBMS. Tengo experiencia con el primero, y lo usaré ahora.

Hay dos opciones de instalación: ambas a través del instalador automático de Spacewalk, que se instalará y configurará a sí mismo y a la base de datos, sin embargo, en el mismo servidor, e instalación manual, donde puede colocar la base de datos y la aplicación en diferentes servidores. Consideraré ambas opciones, comenzaré con una instalación separada.

PostgreSQL

yum install -y postgresql-server 

También es necesario conectar módulos PL / Tcl para PG:

 yum install -y postgresql-pltcl postgresql-setup initdb systemctl start postgresql 

Cree una base de datos, un usuario y conecte el módulo:

 su - postgres -c 'PGPASSWORD=verystrong; createdb spcwlkdb ; createlang plpgsql spcwlkdb ; createlang pltclu spcwlkdb ; yes $PGPASSWORD | createuser -P -sDR spcwlkuser' 

Para evitar problemas de conexión, vale la pena cambiar /var/lib/pgsql/data/pg_hba.conf , agregando las líneas ANTES de la línea:

 local spcwlkdb spcwlkuser md5 host spcwlkdb spcwlkuser 127.0.0.1/8 md5 local spcwlkdb postgres ident 

Reiniciar todo:

 systemctl restart postgresql 

Si tiene la intención de instalar la aplicación y la base de datos en diferentes servidores, asegúrese de que el paquete postgresql-contrib esté instalado en el servidor de la base de datos.

Caminata espacial

Conectamos repositorios:

 rpm -Uvh https://copr-be.cloud.fedoraproject.org/results/@spacewalkproject/spacewalk-2.8/epel-7-x86_64/00736372-spacewalk-repo/spacewalk-repo-2.8-11.el7.centos.noarch.rpm 

También conecte epel:

 rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm 

Java:

 (cd /etc/yum.repos.d && curl -O https://copr.fedorainfracloud.org/coprs/g/spacewalkproject/java-packages/repo/epel-7/group_spacewalkproject-java-packages-epel-7.repo) 

Ahora directamente el instalador para Spacewalk-postgres:

 yum -y install spacewalk-setup-postgresql 

Conéctese a nuestra base de datos:

 spacewalk-setup-postgresql create --db spcwlkdb --user spcwlkuser --password verystrong 

En el caso de que esté utilizando un método de base de datos / aplicación por separado, deberá agregar el indicador --standalone y especificar la dirección IP del servidor de la base de datos; no olvide abrir el puerto 5432.

Nota: Aconsejo ajustar la base de datos de acuerdo con su hardware para una operación más productiva de todo el sistema.

Ahora instale Spacewalk y ejecute la instalación:

 yum -y install spacewalk-postgresql spacewalk-setup --external-postgresql 

A continuación, se formularán varias preguntas, tanto sobre el certificado SSL como sobre la base de datos. Puede ingresar todos los valores manualmente, o puede usar el marcador --answer-file y especificar la ruta al archivo con respuestas para automatizar la instalación en el futuro:

 admin-email = root@localhost ssl-set-cnames = spcwlkserver ssl-set-org = Unicorn ssl-set-org-unit = EOH ssl-set-city = Prague ssl-set-state = HMP ssl-set-country = CZ ssl-password = verystrong ssl-set-email = root@localhost ssl-config-sslvhost = Y db-backend=postgresql db-name=spcwlkdb db-user=spcwlkuser db-password=verystrong db-host=localhost db-port=5432 enable-tftp=Y 

Para controlar la aplicación directamente, debe usar:

 /usr/sbin/spacewalk-service [stop|start|restart] 

Para mostrar todos los servicios de terceros que contribuyen a la aplicación:

 spacewalk-service status 

Opción dos, instalación automática

Después de conectar los repositorios, configure y ejecute:

 yum -y install spacewalk-setup-postgresql yum -y install spacewalk-postgresql spacewalk-setup 

Nuevamente, se harán preguntas sobre la base de datos y SSL, utilizamos la clave --answer-file y la ruta al archivo con las respuestas.

Canales base e hijos, repos

Para administrar las estaciones del cliente, Spacewalk utiliza un sistema de los llamados canales, que pueden ser main (child) o child (child), un repositorio que necesita está conectado a cada canal, así como una clave, con la cual el cliente está emparejado servidor

Como resultado, los repositorios se sincronizan con canales que, a su vez, están conectados con clientes, y Spacewalk funciona de manera general. La errata, que puede estar vinculada a los canales, también vale la pena mencionar, lo que simplifica la actualización y el control del paquete.

Todos los clientes se pueden agrupar de acuerdo con varios criterios, tanto con los mismos canales como con diferentes canales o repositorios. Es posible trabajar con una gran cantidad de clientes a la vez, lo que ayuda a realizar actualizaciones en más de 100 servidores.

Una lista de todos los paquetes instalados está disponible, y después de la sincronización de los repositorios y posible instalación. Algunos puntos son intuitivos y no tiene sentido considerar cada elemento línea por línea.

Todas las acciones en Spacewalk tienen lugar en un horario (Schedule), casi cualquier acción se puede configurar para el momento que sea más conveniente para usted.

Después de la instalación, será posible ir a la dirección de su servidor, realizar más configuraciones a través de la interfaz gráfica:



Ingrese la contraseña, el nombre del administrador, el nombre de la organización (que también es una de las formas de administrar clientes) y vaya al panel de inicio.

Por ahora, puede explorar las opciones disponibles usted mismo o pasar a crear canales.

Canales - Administrar canales de software - Crear canal:



Recomiendo configurar los nombres de los canales de acuerdo con los tipos y el tipo de sistema operativo que se vinculará a este canal, por ejemplo, CentOS_7_x86_64 , puede elegir con seguridad sha256 como comprobaciones, el campo Resumen de Channell está destinado a una pequeña descripción del canal. Además, opcionalmente puede proporcionar información adicional.

Ahora cree un canal secundario y vincúlelo al principal. Vamos de la misma manera que al crear el canal principal, solo en el campo Canal principal indicaremos el canal creado previamente.

Vincula los repositorios a los canales principales y subsidiarios.
Canales - Administrar repositorios



Para los canales principales, uso los Recursos base, para los canales subsidiarios - Actualizaciones.

Después de crear los repositorios, debe conectarlos a los canales.
Canales: administre canales de software , abra su canal principal, abra la sección Repositorios.



Habrá todos los repositorios creados, seleccione el que necesita, márquelo y haga clic en Actualizar recursos.

A continuación, abra la subclave Sync:



Donde puede sincronizar el repositorio y el canal, configure la programación para la sincronización.

Nota: en mi caso de bolígrafos juguetones, tuve que eliminar el repositorio estándar del sistema cliente.

Instalación del cliente, emparejamiento del cliente con el servidor, administración de claves, configuración del canal de configuración

Como mencioné anteriormente, Spacewalk usa un sistema clave de Red Hat Network, que se usa para emparejar y administrar.

Para crear una clave, vaya a Sistemas - Claves de activación - Crear clave:



Aquí todo es extremadamente simple, vale la pena mencionar que puede configurar la clave usted mismo, su formato siempre será 1-XXXXXX y, además, cada clave está conectada al canal. El indicador Universal Default obliga a los nuevos sistemas a elegir parámetros clave.

Instalación del cliente

Conecte el repositorio del cliente e instale los paquetes necesarios:

 rpm -Uvh https://copr-be.cloud.fedoraproject.org/results/@spacewalkproject/spacewalk-2.8-client/epel-7-x86_64/00742644-spacewalk-repo/spacewalk-client-repo-2.8-11.el7.centos.noarch.rpm yum -y install rhn-client-tools rhn-check rhn-setup rhnsd m2crypto yum-rhn-plugin rhncfg-actions deltarpm 

Nota: rhncfg-actions y deltarpm son necesarios para que las configuraciones y el control remoto funcionen correctamente.

Spacewalk usa rhn_check para sincronizar el servidor del cliente, que se ejecuta cada 4 horas. Este valor se puede reducir a 60 minutos, pero para mí ninguna de las opciones era óptima, por lo tanto, hay dos opciones: usar osad, que viene con Spacewalk, o simplemente agregar un cronjob para rhn_check, por ejemplo, por cada minuto mientras pruebe el sistema, entonces el valor puede cambiarse como desee.

 crontab -e * * * * * /usr/sbin/rhn_check 

Tampoco será incorrecto agregar / usr / bin / rhn-actions-control --enable-all a Cron también, se usa para implementar configuraciones y, a veces, se vuelve estúpido.

Volvemos a la gestión de claves, copiamos la ID de clave que creamos y ejecutamos:

 rhnreg_ks --serverUrl=http://your-server-ip/XMLRPC --activationkey=1-YOURKEY --force 

Simplemente no olvide cambiar la IP y los valores clave a los suyos. Nuevamente, le aconsejo que use la bandera --force , ya que noté problemas sin usar esta bandera.

Regresamos a Sistemas - Todos , nos complace notar nuestro sistema. Ahora puede abrirlo y explorar qué y cómo, pero por ahora recomiendo crear un grupo para una administración del sistema más conveniente.

Sistemas - Grupos de sistemas - Crear grupo , complete el nombre y la descripción, guarde, abra el grupo recién creado, vaya a la sección Sistemas y agregue el sistema al grupo.

Ahora suscriba el sistema al canal, Sistemas - Su sistema - Carpeta de software - Subcarpeta Canales de software:



Elige tu canal y haz clic en confirmación. Por diversión, puede intentar instalar el paquete, Software - Paquetes - Instalar .

Canal de configuración

Para administrar las configuraciones entre el servidor del cliente / máquina local, así como el control remoto, vale la pena configurar el canal de configuración y vincular el sistema a él.
Vamos a Configuración - Canales de configuración - Crear canal de configuración , establecer el nombre, descripción, guardar, luego en Configuración - Administrar canales de configuración - Suscribirse a canales y firmar el canal de configuración al canal de software y al sistema.



Ahora podemos implementar configuraciones desde el servidor y las máquinas locales, y crear particiones.

Configuración - Agregar archivos - Crear archivo / Cargar archivo:



Además, podemos enviar comandos remotos en forma de script bash:



Les recuerdo que todas las acciones pasan por un Programa, se puede encontrar una lista de todas las acciones aplicadas a este sistema en la sección Eventos:



Erratas

Una de las características más importantes de Spacewalk es el soporte de erratas, que se une convenientemente a los canales y le permite controlar el nivel de importancia de las últimas actualizaciones. Esto se configura directamente en el servidor, además de los scripts, debe descargar los paquetes necesarios para Pearl:

 yum -y install perl-Frontier-RPC perl-Text-Unidecode wget https://raw.githubusercontent.com/stevemeier/cefs/master/errata-import.pl chmod +x errata-import.pl 

Luego cree la actualización principal y la errata del script de colección, que se almacenará en / etc / rhn /:

 #!/bin/bash cd /etc/rhn/ wget -N http://cefs.steve-meier.de/errata.latest.xml wget -N https://www.redhat.com/security/data/oval/com.redhat.rhsa-all.xml export SPACEWALK_USER='root' export SPACEWALK_PASS='verystrong' ./errata-import.pl --server YourServerIPAddress --errata errata.latest.xml --rhsa-oval com.redhat.rhsa-all.xml --publish unset SPACEWALK_USER unset SPACEWALK_PASS 

En la exportación, especifique el nombre y la contraseña del administrador de Spacewalk, que especificó al principio.

Hagamos que el script sea ejecutable y agréguelo a Cron:

 chmod +x spcwlk_errata.sh crontab -e 0 2 * * 7 /usr/bin/sh /etc/rhn/spcwlk_errata.sh 

Ejecútelo ahora mismo para ver los cambios en la interfaz gráfica. La ejecución llevará algún tiempo.

Resumen

Un punto importante, en mi opinión, que personalmente extrañé, es configurar e instalar un proxy, así como elevar todo el sistema como HA. Tuve una idea para configurar la aplicación a través de marcapasos y sincronizar en la base de datos. Como resultado, se decidió abandonar esta idea, en vista de la flota no muy grande de servidores de estaciones de clientes. Sin embargo, si el sistema resulta extremadamente útil en los próximos seis meses, es posible que deba expandir el servidor original.

Automatización

Servidor:




Cliente:



Gracias a todos por leer el artículo. Buena suerte