1. Composer une image RHEL rpm-ostree à l'aide de l'outil de construction d'images. Vous pouvez accéder à l'outil de construction d'images via une interface de ligne de commande dans l'outil composer-cli, ou utiliser une interface utilisateur graphique dans la console web RHEL.
2. Déploiement de l'image à l'aide du programme d'installation RHEL.

1. Installer et enregistrer un système RHEL
2. Installer le constructeur d'images
3. À l'aide de l'outil de création d'images, créez un modèle avec des personnalisations pour l'image RHEL for Edge Container
4. Importer le plan RHEL for Edge dans le constructeur d'images
5. Créer une image RHEL for Edge intégrée dans un conteneur OCI avec un serveur web prêt à déployer le commit en tant que dépôt OSTree
6. Télécharger le fichier image RHEL for Edge Container
7. Déployer le conteneur desservant un référentiel à l'aide de la commande RHEL for Edge Container
8. À l'aide de l'outil de création d'images, créez un autre modèle pour RHEL pour l'image Edge Installer
9. Créer une image RHEL for Edge Installer configurée pour extraire le commit du conteneur en cours d'exécution intégré à l'image RHEL for Edge Container
10. Télécharger l'image du programme d'installation de RHEL for Edge
11. Exécuter l'installation

1. Installer et enregistrer un système RHEL
2. Installer le constructeur d'images
3. À l'aide de l'outil de création d'images, créez une image RHEL for Edge
4. Importer le plan RHEL for Edge dans le constructeur d'images
5. Créer une image RHEL for Edge Commit (.tar)
6. Télécharger le fichier image RHEL for Edge
7. Mise en place d'un serveur web
8. Créer un nouveau plan pour un installateur RHEL for Edge (.iso)
9. Créer l'image RHEL for Edge Installer (.iso), en pointant vers le contenu OSTree de l'artefact RHEL for Edge Commit (.tar)
10. Téléchargez l'image ISO du programme d'installation de RHEL for Edge que vous avez créée
11. Démarrer l'appareil périphérique à l'aide de l'image ISO RHEL for Edge Installer

Procédure

1. Installez les paquets suivants sur la machine virtuelle.

   • osbuild-composer
   • composer-cli
   • cockpit-compositeur
   • bash-complétion
   • firewalld

   # dnf install osbuild-composer composer-cli cockpit-composer bash-completion firewalld

   Image builder est installé en tant qu'application dans la console web RHEL.

2. Redémarrer la machine virtuelle

3. Configurez le pare-feu du système pour autoriser l'accès à la console web :

   # firewall-cmd --add-service=cockpit && firewall-cmd --add-service=cockpit --permanent

4. Activer le constructeur d'images.

   # systemctl enable osbuild-composer.socket cockpit.socket --now

   Les services osbuild-composer et cockpit démarrent automatiquement lors du premier accès.

5. Charger le script de configuration de l'interpréteur de commandes pour que la fonction d'autocomplétion de la commande composer-cli fonctionne immédiatement sans redémarrage :

   $ source /etc/bash_completion.d/composer-cli

Procédure

1. Créez un répertoire dans lequel vous souhaitez stocker vos dérogations au référentiel :

   $ sudo mkdir -p /etc/osbuild-composer/repositories

2. Vous pouvez créer votre propre structure de fichier JSON.

3. Créez un fichier JSON, en utilisant un nom correspondant à votre version de RHEL. Vous pouvez également copier le fichier correspondant à votre distribution à partir de /usr/share/osbuild-composer/ et en modifier le contenu.

   Pour RHEL 9, utilisez /etc/osbuild-composer/repositories/rhel-92.json.

4. Ajoutez la structure suivante à votre fichier JSON, par exemple :

   {
       "<ARCH>": [
           {
               "name": "baseos",
               "baseurl": "http://mirror.example.com/composes/released/RHEL-9/9.0/BaseOS/x86_64/os/",
               "gpgkey": "-----BEGIN PGP PUBLIC KEY BLOCK-----\n\n (…​)",
               "check_gpg": true,
               "metadata_expire": ""
           }
       ]
   }

   Ne spécifiez qu'un seul des attributs suivants :

   • baseurl - chaîne de caractères : URL de base du référentiel.
   • metalink - string : URL d'un fichier metalink contenant une liste de dépôts miroirs valides.

   • mirrorlist - string : URL d'un fichier mirrorlist contenant une liste de dépôts miroirs valides

     Les autres champs sont facultatifs.

     1. Vous pouvez également copier le fichier JSON pour votre distribution.

        1. Copiez le fichier du référentiel dans le répertoire que vous avez créé. Dans la commande suivante, remplacez rhel-version.json par votre version de RHEL, par exemple : rhel-9.json.

           $  cp /usr/share/osbuild-composer/repositories/rhel-version.json /etc/osbuild-composer/repositories/

5. À l'aide d'un éditeur de texte, modifiez les chemins d'accès baseurl dans le fichier rhel-9.json et enregistrez-le. Par exemple :

   $ vi /etc/osbuild-composer/repositories/rhel-version.json

6. Redémarrer le site osbuild-composer.service:

   $ sudo systemctl restart osbuild-composer.service

Procédure

1. Obtenez le baseurl à partir du fichier /etc/yum.repos.d/redhat.repo:

   # cat /etc/yum.repos.d/redhat.repo
   [AppStream]
   name = AppStream mirror example
   baseurl = https://mirror.example.com/RHEL-9/9.0/AppStream/x86_64/os/
   enabled = 1
   gpgcheck = 0
   sslverify = 1
   sslcacert = /etc/pki/ca1/ca.crt
   sslclientkey = /etc/pki/ca1/client.key
   sslclientcert = /etc/pki/ca1/client.crt
   metadata_expire = 86400
   enabled_metadata = 0

2. Configurez le référentiel pour qu'il utilise le même baseurl et attribuez la valeur true à rhsm:

   {
       "x86_64": [
           {
               "name": "AppStream mirror example",
               "baseurl": "https://mirror.example.com/RHEL-9/9.0/AppStream/x86_64/os/",
               "gpgkey": "-----BEGIN PGP PUBLIC KEY BLOCK-----\n\n (…​)",
               "check_gpg": true,
               "rhsm": true
           }
       ]
   }

   Note

   osbuild-composer n'utilise pas automatiquement les référentiels définis à l'adresse /etc/yum.repos.d/. Vous devez les spécifier manuellement, soit en tant que remplacement du référentiel système, soit en tant que source supplémentaire à l'aide de composer-cli. Les dérogations au référentiel système sont généralement utilisées pour les référentiels "BaseOS" et "AppStream", tandis que les sources composer-cli sont utilisées pour tous les autres référentiels.

Procédure

1. Sur votre système RHEL, accédez à https://localhost:9090/ dans un navigateur web.
2. Pour plus d'informations sur l'accès à distance au constructeur d'images, voir le document Gestion des systèmes à l'aide de la console Web RHEL 9.
3. Connectez-vous à la console web en utilisant un compte d'utilisateur administratif.
4. Dans la console web, dans le menu de gauche, cliquez sur Apps.

5. Cliquez sur le générateur d'images.

   Le tableau de bord du constructeur d'images s'ouvre dans le volet de droite. Vous pouvez maintenant créer un plan pour les images RHEL for Edge.

Procédure

1. Dans le tableau de bord du constructeur d'images, cliquez sur Créer un modèle.

   La boîte de dialogue Create Blueprint s'ouvre.

2. Sur la page Details:

   1. Saisissez le nom du plan et, éventuellement, sa description. Cliquez sur Suivant.

3. Facultatif : dans la page Packages:

   1. Sur la page de recherche Available packages, saisissez le nom du paquet et cliquez sur le bouton > pour le déplacer dans le champ Paquets choisis. Recherchez et incluez autant de paquets que vous le souhaitez. Cliquez sur Suivant.

      Note

      Ces personnalisations sont toutes facultatives, sauf indication contraire.

4. Sur la page Kernel, entrez un nom de noyau et les arguments de la ligne de commande.

5. Sur la page File system, vous pouvez sélectionner Use automatic partitioning ou Manually configure partitions pour votre système de fichiers image. Pour configurer manuellement les partitions, procédez comme suit :

   1. Cliquez sur le bouton Configurer manuellement les partitions.

      La section Configure partitions s'ouvre, montrant la configuration basée sur les standards et les guides de sécurité de Red Hat.

   2. Dans le menu déroulant, fournissez les détails pour configurer les partitions :

      1. Dans le champ Mount point, sélectionnez l'une des options de type de point de montage suivantes :

         • / - le point de montage racine
         • /var
         • /home
         • /opt
         • /srv
         • /usr
         • /app
         • /data
         • /tmp

         • /usr/local

           Vous pouvez également ajouter un chemin supplémentaire au Mount point, tel que /tmp. Par exemple : /var comme préfixe et /tmp comme chemin supplémentaire donne /var/tmp.

           Note

           Selon le type de point de montage choisi, le type de système de fichiers devient xfs, et ainsi de suite.

      2. Dans le champ Minimum size partition du système de fichiers, entrez la taille minimale de partition souhaitée. Dans le menu déroulant Taille minimale, vous pouvez utiliser des unités de taille courantes telles que GiB, MiB ou KiB. L'unité par défaut est GiB.

         Note

         Minimum size signifie que le constructeur d'images peut encore augmenter la taille des partitions, au cas où elles seraient trop petites pour créer une image fonctionnelle.

   3. Pour ajouter d'autres partitions, cliquez sur le bouton Ajouter une partition. Si le message d'erreur suivant s'affiche : "Duplicate partitions : Une seule partition peut être créée à chaque point de montage", vous pouvez.. :

      1. Cliquez sur le bouton Supprimer pour supprimer la partition dupliquée.
      2. Choisissez un nouveau point de montage pour la partition que vous souhaitez créer.
   4. Après avoir terminé la configuration du partitionnement, cliquez sur Suivant.

6. Sur la page Services, vous pouvez activer ou désactiver des services :

   1. Saisissez les noms des services que vous souhaitez activer ou désactiver, en les séparant par une virgule, un espace ou en appuyant sur la touche Entrée. Cliquez sur Suivant.

7. Sur la page Firewall, configurez votre pare-feu :

   1. Saisissez l'adresse Ports et les services de pare-feu que vous souhaitez activer ou désactiver.
   2. Cliquez sur le bouton Ajouter une zone pour gérer vos règles de pare-feu pour chaque zone indépendamment. Cliquez sur Suivant.

8. Sur la page Users, ajoutez un utilisateur en suivant les étapes suivantes :

   1. Cliquez sur Ajouter un utilisateur.
   2. Saisissez un Username, un password et un SSH key. Vous pouvez également marquer l'utilisateur en tant qu'utilisateur privilégié en cochant la case Server administrator. Cliquez sur Suivant.

9. Sur la page Groups, ajoutez des groupes en suivant les étapes suivantes :

   1. Cliquez sur le bouton Ajouter des groupes:

      1. Saisissez un Group name et un Group ID. Vous pouvez ajouter d'autres groupes. Cliquez sur Suivant.

10. Sur la page SSH keys, ajoutez une clé :

    1. Cliquez sur le bouton Ajouter une clé.

       1. Entrez la clé SSH.
       2. Saisissez une adresse User. Cliquez sur Suivant.

11. Sur la page Timezone, définissez vos paramètres de fuseau horaire :

    1. Dans le champ Timezone, entrez le fuseau horaire que vous souhaitez ajouter à votre image système. Par exemple, ajoutez le format de fuseau horaire suivant : "US/Eastern".

       Si vous ne définissez pas de fuseau horaire, le système utilise par défaut le temps universel coordonné (UTC).

    2. Saisissez les serveurs NTP. Cliquez sur Suivant.

12. Sur la page Locale, effectuez les étapes suivantes :

    1. Dans le champ de recherche Keyboard, saisissez le nom du paquet que vous souhaitez ajouter à votre image système. Par exemple, [\N- "en_US.UTF-8\N"] : [\N-"en_US.UTF-8\N"].
    2. Dans le champ de recherche Languages, saisissez le nom du paquet que vous souhaitez ajouter à votre image système. Par exemple : "us". Cliquez sur Suivant.

13. Sur la page Others, effectuez les étapes suivantes :

    1. Dans le champ Hostname, entrez le nom d'hôte que vous souhaitez ajouter à votre image système. Si vous n'ajoutez pas de nom d'hôte, le système d'exploitation détermine le nom d'hôte.
    2. Obligatoire uniquement pour l'image Simplifier Installer : Dans le champ Installation Devices, entrez un nœud valide pour votre image système. Par exemple : dev/sda1. Cliquez sur Suivant.

14. Obligatoire uniquement lors de la création d'images FIDO : Sur la page FIDO device onboarding, effectuez les étapes suivantes :

    1. Dans le champ Manufacturing server URL, entrez les informations suivantes :

       1. Dans le champ DIUN public key insecure, entrez la clé publique non sécurisée.
       2. Dans le champ DIUN public key hash, entrez le hachage de la clé publique.
       3. Dans le champ DIUN public key root certs, entrez les certificats racine de la clé publique. Cliquez sur Suivant.

15. Sur la page OpenSCAP, effectuez les étapes suivantes :

    1. Dans le champ Datastream, entrez les instructions de remédiation datastream que vous souhaitez ajouter à votre image système.
    2. Dans le champ Profile ID, entrez le profil de sécurité profile_id que vous souhaitez ajouter à votre image système. Cliquez sur Suivant.

16. Obligatoire uniquement lors de la création d'images Ignition : Sur la page Ignition, effectuez les étapes suivantes :

    1. Dans le champ Firstboot URL, saisissez le nom du paquet que vous souhaitez ajouter à votre image système.
    2. Dans le champ Embedded Data, faites glisser ou téléchargez votre fichier. Cliquez sur Suivant.
17. . Sur la page Review, passez en revue les détails du plan. Cliquez sur Créer.

Procédure

1. Dans le tableau de bord du constructeur d'images, cliquez sur Créer une image.

2. Sur la page Image output, procédez comme suit :

   1. Dans le menu déroulant Select a blueprint, sélectionnez le plan que vous souhaitez utiliser.
   2. Dans la liste déroulante Image output type, sélectionnez “RHEL for Edge Commit (.tar)” pour le déploiement en réseau.
   3. Cliquez sur Suivant.

   4. Sur la page OSTree settings, entrez :

      1. Repository URL: spécifie l'URL du dépôt OSTree de la livraison à intégrer dans l'image. Par exemple, http://10.0.2.2:8080/repo/.
      2. Parent commit: spécifiez un commit précédent, ou laissez le champ vide si vous n'avez pas de commit à ce moment-là.
      3. Dans la zone de texte Ref, indiquez un chemin de référence pour l'endroit où votre livraison sera créée. Par défaut, la console web spécifie rhel/9/$ARCH/edge. La valeur de "$ARCH" est déterminée par la machine hôte. Cliquez sur Suivant.

   5. Sur la page Review, vérifiez les personnalisations et cliquez sur Créer.

      Le constructeur d'images commence à créer une image RHEL for Edge Commit pour le plan que vous avez créé.

      Note

      Le processus de création d'une image dure jusqu'à 20 minutes.

Vérification

1. Pour vérifier la progression de la création de l'image RHEL for Edge Commit :

   1. Cliquez sur l'onglet Images.

Procédure

1. Dans le tableau de bord du constructeur d'images, cliquez sur Créer une image.
2. Sur la page Image output, procédez comme suit :

3. Dans le menu déroulant Select a blueprint, sélectionnez le plan que vous souhaitez utiliser.

   1. Dans la liste déroulante Image output type, sélectionnez “RHEL for Edge Container (.tar)” pour le déploiement en réseau.
   2. Cliquez sur Suivant.

   3. Sur la page OSTree, entrez :

      1. Repository URL: spécifie l'URL du dépôt OSTree de la livraison à intégrer dans l'image. Par exemple, http://10.0.2.2:8080/repo/. Par défaut, le dossier de dépôt d'une image RHEL for Edge Container est "/repo".

         Pour trouver l'URL correcte à utiliser, accédez au conteneur en cours d'exécution et vérifiez le fichier nginx.conf. Pour savoir quelle URL utiliser, accédez au conteneur en cours d'exécution et consultez le fichier nginx.conf. Dans le fichier nginx.conf, trouvez l'entrée du répertoire root pour rechercher les informations du dossier /repo/. Notez que si vous ne spécifiez pas d'URL de référentiel lors de la création d'une image RHEL for Edge Container (.tar) à l'aide de Image Builder, l'entrée /repo/ par défaut est créée dans le fichier nginx.conf.

      2. Parent commit: spécifiez un commit précédent, ou laissez le champ vide si vous n'avez pas de commit à ce moment-là.
      3. Dans la zone de texte Ref, indiquez un chemin de référence pour l'endroit où votre livraison sera créée. Par défaut, la console web spécifie rhel/9/$ARCH/edge. La valeur de "$ARCH" est déterminée par la machine hôte. Cliquez sur Suivant.
   4. Sur la page Review, vérifiez les personnalisations. Cliquez sur Enregistrer le plan.

4. Cliquez sur Créer.

   Le constructeur d'images commence à créer une image RHEL for Edge Container pour le plan que vous avez créé.

   Note

   Le processus de création d'une image dure jusqu'à 20 minutes.

Vérification

1. Pour vérifier la progression de la création de l'image RHEL for Edge Container :

   1. Cliquez sur l'onglet Images.

Procédure

1. Dans le tableau de bord du constructeur d'images, cliquez sur Créer une image.

2. Sur la page Image output, procédez comme suit :

   1. Dans le menu déroulant Select a blueprint, sélectionnez le plan que vous souhaitez utiliser.
   2. Dans la liste déroulante Image output type, sélectionnez RHEL for Edge Installer (.iso) l'image.
   3. Cliquez sur Suivant.

   4. Sur la page OSTree settings, entrez :

      1. Repository URL: spécifie l'URL du dépôt OSTree de la livraison à intégrer dans l'image. Par exemple, http://10.0.2.2:8080/repo/.
      2. Dans la zone de texte Ref, indiquez un chemin de référence pour l'endroit où votre livraison sera créée. Par défaut, la console web spécifie rhel/9/$ARCH/edge. La valeur de "$ARCH" est déterminée par la machine hôte. Cliquez sur Suivant.
   5. Sur la page Review, vérifiez les personnalisations. Cliquez sur Enregistrer le plan.

3. Cliquez sur Créer.

   Le constructeur d'images commence à créer une image RHEL for Edge Installer pour le modèle que vous avez créé.

   Note

   Le processus de création d'une image dure jusqu'à 20 minutes.

1. Pour vérifier la progression de la création de l'image RHEL for Edge Installer :

   1. Cliquez sur l'onglet Images.

1. Dans le menu More Options, cliquez sur Télécharger.

   L'outil de création d'images télécharge le fichier à votre emplacement de téléchargement par défaut.

1. Installer et enregistrer un système RHEL
2. Installer le constructeur d'images
3. À l'aide de l'outil de création d'images, créez un modèle avec des personnalisations pour l'image RHEL for Edge Container
4. Importer le plan RHEL for Edge dans le constructeur d'images
5. Créer une image RHEL for Edge intégrée dans un conteneur OCI avec un serveur web prêt à déployer le commit en tant que dépôt OSTree
6. Créer un plan pour l'image edge-simplified-installer
7. Construire une image simplifiée de RHEL for Edge
8. Télécharger l'image simplifiée de RHEL for Edge
9. Installer l'image brute avec edge-simplified-installer virt-install

Procédure

1. Créez un fichier texte en clair au format Tom's Obvious, Minimal Language (TOML), avec le contenu suivant :

   name = "simplified-installer-blueprint"
   description = "blueprint for the simplified installer image"
   version = "0.0.1"
   packages = []
   modules = []
   groups = []
   distro = ""
   
   [customizations]
   installation_device = "/dev/vda"
   
   [[customizations.user]]
   name = "admin"
   password = "admin"
   groups = ["users", "wheel"]
   
   [customizations.fdo]
   manufacturing_server_url = "http://10.0.0.2:8080"
   diun_pub_key_insecure = "true"

   Note

   La personnalisation FDO dans les plans est facultative, et vous pouvez créer votre image RHEL for Edge Simplified Installer sans erreur.

   • name est le nom et description est la description de votre plan.
   • 0.0.1 est le numéro de version selon le schéma de versionnement sémantique.
   • Modules décrivent le nom du paquet et la version correspondante à installer dans l'image. Par exemple, le nom du paquet = "tmux" et la version correspondante est version = "2.9a". Notez qu'il n'y a actuellement aucune différence entre les paquets et les modules.
   • Groups sont des groupes de paquets à installer dans l'image, par exemple le paquet du groupe anaconda-tools. Si vous ne connaissez pas les modules et les groupes, laissez-les vides.
   • installation-device est la personnalisation qui permet une installation sans surveillance sur votre appareil.
   • manufacturing_server_url est l'URL permettant d'effectuer l'échange initial des informations d'identification du dispositif.
   • name est le nom d'utilisateur pour se connecter à l'image.
   • password est un mot de passe de votre choix.
   • groups sont des groupes d'utilisateurs, tels que "widget".

2. Pousser (importer) le plan vers le serveur de construction d'images :

   # composer-cli blueprints push blueprint-name.toml

3. Liste les plans existants pour vérifier si le plan créé a été poussé avec succès et s'il existe.

   # composer-cli blueprints show blueprint-name

4. Vérifiez si les composants et les versions répertoriés dans le plan et leurs dépendances sont valides :

   # composer-cli blueprints depsolve blueprint-name

Procédure

1. Créer l'image ISO amorçable.

   # composer-cli compose start-ostree \
   blueprint-name \
   edge-simplified-installer \
   --ref rhel/9/x86_64/edge \
   --url URL-OSTree-repository \

   Où ?

   • blueprint-name est le nom du plan RHEL for Edge.
   • edge-simplified-installer est le type d'image .
   • --ref est la référence de l'endroit où votre livraison sera créée.

   • --url est l'URL du dépôt OSTree de l'engagement à intégrer dans l'image. Par exemple, http://10.0.2.2:8080/repo/. Vous pouvez soit démarrer un conteneur RHEL for Edge, soit configurer un serveur Web. Voir Création d'une image RHEL for Edge Container pour les déploiements non basés sur le réseau et Configuration d'un serveur Web pour installer l'image RHEL for Edge.

     Une confirmation de l'ajout du processus de composition à la file d'attente s'affiche. Elle indique également un numéro d'identifiant universel unique (UUID) pour l'image créée. Utilisez le numéro UUID pour suivre votre construction. Conservez également le numéro UUID à portée de main pour d'autres tâches.

2. Vérifier l'état de la composition de l'image.

   # composer-cli compose status

   La sortie affiche l'état dans le format suivant :

   <UUID> RUNNING date blueprint-name blueprint-version image-type

   Note

   Les processus de création d'images peuvent durer jusqu'à dix minutes.

   Pour interrompre le processus de création d'image, exécutez :

   # composer-cli composer cancel <UUID>

   Pour supprimer une image existante, exécutez :

   # composer-cli composer delete <UUID>

Procédure

1. Examinez l'état de l'image RHEL for Edge.

   # composer-cli compose status

   La sortie doit afficher ce qui suit :

   $ <UUID> FINIS date blueprint-name blueprint-version image-type

2. Télécharger l'image.

   # composer-cli compose image <UUID>

   Image builder télécharge l'image sous la forme d'un fichier .iso dans le répertoire où vous exécutez la commande.

   Le numéro UUID et la taille de l'image s'affichent à côté.

   $ <UUID>-simplified-installer.iso : size MB

Procédure

1. Cliquez sur Créer un plan dans le coin supérieur droit de l'application de création d'images.

   Un assistant de dialogue contenant des champs pour le nom et la description du plan s'ouvre.

2. Sur la page Details:

   1. Saisissez le nom du plan et, éventuellement, sa description. Cliquez sur Suivant.

3. En option : Sur la page Packages, effectuez les étapes suivantes :

   1. Dans la recherche Available packages, saisissez le nom du paquet et cliquez sur le bouton > pour le déplacer dans le champ Paquets choisis. Recherchez et incluez autant de paquets que vous le souhaitez. Cliquez sur Suivant.

      Note

      Les personnalisations sont toutes facultatives, sauf indication contraire.

4. Facultatif : Sur la page Kernel, entrez un nom de noyau et les arguments de la ligne de commande.

5. Facultatif : Sur la page File system, vous pouvez sélectionner Use automatic partitioning ou Manually configure partitions pour votre système de fichiers image. Pour configurer manuellement les partitions, procédez comme suit :

   1. Cliquez sur le bouton Configurer manuellement les partitions.

      La section Configurer les partitions s'ouvre, montrant la configuration basée sur les standards et les guides de sécurité de Red Hat.

   2. Dans le menu déroulant, fournissez les détails pour configurer les partitions :

      1. Dans le champ Mount point, sélectionnez l'une des options de type de point de montage suivantes :

         • / - le point de montage racine
         • /var
         • /home
         • /opt
         • /srv
         • /usr
         • /app
         • /data
         • /tmp

         • /usr/local

           Vous pouvez également ajouter un chemin supplémentaire au Mount point, tel que /tmp. Par exemple : /var comme préfixe et /tmp comme chemin supplémentaire donne /var/tmp.

           Note

           Selon le type de point de montage choisi, le type de système de fichiers devient xfs, et ainsi de suite.

      2. Dans le champ Minimum size partition du système de fichiers, entrez la taille minimale de partition souhaitée. Dans le menu déroulant Taille minimale, vous pouvez utiliser des unités de taille courantes telles que GiB, MiB ou KiB. L'unité par défaut est GiB.

         Note

         Minimum size signifie que le constructeur d'images peut encore augmenter la taille des partitions, au cas où elles seraient trop petites pour créer une image fonctionnelle.

   3. Pour ajouter d'autres partitions, cliquez sur le bouton Ajouter une partition. Si le message d'erreur suivant s'affiche : "Duplicate partitions : Une seule partition peut être créée à chaque point de montage", vous pouvez.. :

      1. Cliquez sur le bouton Supprimer pour supprimer la partition dupliquée.
      2. Choisissez un nouveau point de montage pour la partition que vous souhaitez créer.
   4. Après avoir terminé la configuration du partitionnement, cliquez sur Suivant.

6. Optionnel : Sur la page Services, vous pouvez activer ou désactiver des services :

   1. Saisissez les noms des services que vous souhaitez activer ou désactiver, en les séparant par une virgule, un espace ou en appuyant sur la touche Entrée. Cliquez sur Suivant.

7. Facultatif : Sur la page Firewall, configurez votre pare-feu :

   1. Saisissez l'adresse Ports et les services de pare-feu que vous souhaitez activer ou désactiver.
   2. Cliquez sur le bouton Ajouter une zone pour gérer vos règles de pare-feu pour chaque zone indépendamment. Cliquez sur Suivant.

8. Sur la page Users, ajoutez un utilisateur en suivant les étapes suivantes :

   1. Cliquez sur Ajouter un utilisateur.

   2. Saisissez un Username, un password et un SSH key. Vous pouvez également marquer l'utilisateur en tant qu'utilisateur privilégié en cochant la case Server administrator.

      Note

      Lorsque vous spécifiez l'utilisateur dans la personnalisation du plan et que vous créez ensuite une image à partir de ce plan, le plan crée l'utilisateur dans le répertoire /usr/lib/passwd et le mot de passe dans le répertoire /usr/etc/shadow au moment de l'installation. Vous pouvez vous connecter à l'appareil avec le nom d'utilisateur et le mot de passe que vous avez créés pour le modèle. Après avoir accédé au système, vous devez créer des utilisateurs, par exemple à l'aide de la commande useradd.

      Cliquez sur Suivant.

9. Facultatif : Sur la page Groups, ajoutez des groupes en suivant les étapes suivantes :

   1. Cliquez sur le bouton Ajouter des groupes:

      1. Saisissez un Group name et un Group ID. Vous pouvez ajouter d'autres groupes. Cliquez sur Suivant.

10. Facultatif : Sur la page SSH keys, ajoutez une clé :

    1. Cliquez sur le bouton Ajouter une clé.

       1. Entrez la clé SSH.
       2. Saisissez une adresse User. Cliquez sur Suivant.

11. Facultatif : Sur la page Timezone, définissez vos paramètres de fuseau horaire :

    1. Dans le champ Timezone, entrez le fuseau horaire que vous souhaitez ajouter à votre image système. Par exemple, ajoutez le format de fuseau horaire suivant : "US/Eastern".

       Si vous ne définissez pas de fuseau horaire, le système utilise par défaut le temps universel coordonné (UTC).

    2. Saisissez les serveurs NTP. Cliquez sur Suivant.

12. En option : Sur la page Locale, effectuez les étapes suivantes :

    1. Dans le champ de recherche Keyboard, saisissez le nom du paquet que vous souhaitez ajouter à votre image système. Par exemple, [\N- "en_US.UTF-8\N"] : [\N-"en_US.UTF-8\N"].
    2. Dans le champ de recherche Languages, saisissez le nom du paquet que vous souhaitez ajouter à votre image système. Par exemple : "us". Cliquez sur Suivant.

13. Obligatoire : Sur la page Others, effectuez les étapes suivantes :

    1. Dans le champ Hostname, saisissez le nom d'hôte que vous souhaitez ajouter à votre image système. Si vous n'ajoutez pas de nom d'hôte, le système d'exploitation détermine le nom d'hôte.
    2. Obligatoire : Dans le champ Installation Devices, entrez un nœud valide pour votre image système afin de permettre une installation sans surveillance sur votre appareil. Par exemple : dev/sda1. Cliquez sur Suivant.

14. En option : Sur la page FIDO device onboarding, effectuez les étapes suivantes :

    1. Dans le champ Manufacturing server URL, entrez le manufacturing server URL pour effectuer l'échange initial d'informations d'identification du dispositif, par exemple : "http://10.0.0.2:8080". La personnalisation FDO dans les plans est facultative et vous pouvez créer votre image RHEL for Edge Simplified Installer sans erreur.
    2. Dans le champ DIUN public key insecure, saisissez le hachage de la clé publique de certification pour effectuer l'échange initial d'informations d'identification de l'appareil. Ce champ accepte la valeur "true", ce qui signifie qu'il s'agit d'une connexion non sécurisée au serveur de fabrication. Par exemple : manufacturing_server_url="http://${FDO_SERVER}:8080" diun_pub_key_insecure="true". Vous ne devez utiliser qu'une seule de ces trois options : \N "key insecure\N", \N "key hash\N" et \N "key root certs\N".

    3. Dans le champ DIUN public key hash, entrez la version hachée de votre clé publique. Par exemple : 17BD05952222C421D6F1BB1256E0C925310CED4CE1C4FFD6E5CB968F4B73BF73. Vous pouvez obtenir le hachage de la clé en le générant à partir du certificat du serveur de fabrication. Pour générer le hachage de la clé, exécutez la commande suivante :

       # openssl x509 -fingerprint -sha256 -noout -in /etc/fdo/aio/keys/diun_cert.pem | cut -d"=" -f2 | sed 's/://g'

       Le site /etc/fdo/aio/keys/diun_cert.pem est le certificat qui est stocké dans le serveur de fabrication.

    4. Dans le champ DIUN public key root certs, entrez la clé publique des certificats racine. Ce champ accepte le contenu du fichier de certification qui est stocké dans le serveur de fabrication. Pour obtenir le contenu du fichier de certification, exécutez la commande suivante :

       $ cat /etc/fdo/aio/keys/diun_cert.pem.

15. Cliquez sur Suivant.
16. Sur la page Review, passez en revue les détails du projet. Cliquez sur Créer.

Procédure

1. Accéder au tableau de bord du constructeur de mages.
2. Dans la table des plans, recherchez le plan pour lequel vous souhaitez créer une image.
3. Naviguez jusqu'à l'onglet Images et cliquez sur Create Image. L'assistant Create image s'ouvre.

4. Sur la page Image output, effectuez les étapes suivantes :

   1. Dans la liste Select a blueprint, sélectionnez le plan que vous avez créé pour l'image RHEL for Edge Simplified.
   2. Dans la liste Image output type, sélectionnez RHEL for Edge Simplified Installer (.iso).
   3. Dans le champ Image Size, entrez la taille de l'image. La taille minimale requise pour l'image de l'installateur simplifié est de :
5. Cliquez sur Suivant.

6. Dans la page OSTree settings, effectuez les étapes suivantes :

   1. Dans le champ Repository URL, saisissez l'URL du référentiel à partir duquel le commit OSTree parent sera extrait.
   2. Dans le champ Ref, entrez le chemin du nom de la branche ref. Si vous n'entrez pas de ref, le ref par défaut de la distribution est utilisé.
7. Sur la page Review, vérifiez la personnalisation de l'image et cliquez sur Créer.

Procédure

1. Accédez au tableau de bord image builder. Le tableau de bord de la liste des plans s'ouvre.
2. Dans le tableau des plans, recherchez le plan pour lequel vous avez créé l'image de l'installateur simplifié de RHEL for Edge.
3. Naviguez jusqu'à l'onglet Images.

4. Choisissez l'une des options :

   • Télécharger l'image.
   • Téléchargez les journaux de l'image pour inspecter les éléments et vérifier s'il y a un problème.

Procédure

1. Montez l'image ISO dans le répertoire de votre choix :

   # mkdir /mnt/rhel9-install/
   # mount -o loop,ro -t iso9660 /path_directory/installer.iso /mnt/rhel9-install/

   Remplacez /path_directory/installer.iso par le chemin d'accès à l'image ISO amorçable RHEL for Edge.

2. Copiez les fichiers de l'image montée à la racine du serveur HTTP. Cette commande crée le répertoire /var/www/html/rhel9-install/ avec le contenu de l'image.

   # mkdir /var/www/html/httpboot/
   # cp -R /mnt/rhel9-install/* /var/www/html/httpboot/
   # chmod -R +r /var/www/html/httpboot/*

   Note

   Certaines méthodes de copie peuvent ignorer le fichier .treeinfo qui est nécessaire pour une source d'installation valide. L'exécution de la commande cp pour des répertoires entiers, comme indiqué dans cette procédure, copiera correctement .treeinfo.

3. Mettre à jour le fichier /var/www/html/EFI/BOOT/grub.cfg en remplaçant

   1. coreos.inst.install_dev=/dev/sda avec coreos.inst.install_dev=/dev/vda
   2. linux /images/pxeboot/vmlinuz avec linuxefi /images/pxeboot/vmlinuz
   3. initrd /images/pxeboot/initrd.img avec initrdefi /images/pxeboot/initrd.img

   4. coreos.inst.image_file=/run/media/iso/disk.img.xz avec coreos.inst.image_url=http://{IP-ADDRESS}/disk.img.xz

      L'adresse IP-ADDRESS est l'adresse IP de cette machine, qui servira de serveur de démarrage http.

4. Démarrez le service httpd :

   # systemctl start httpd.service

   Par conséquent, après avoir configuré un serveur UEFI HTTP Boot, vous pouvez installer votre RHEL for Edge à l'aide de UEFI HTTP boot.

Procédure

1. Mettez en place une configuration réseau pour prendre en charge le démarrage de UEFI HTTP. Voir Configuration du démarrage HTTP UEFI avec libvirt.

2. Utilisez la commande virt-install pour créer une machine virtuelle RHEL for Edge à partir de l'UEFI HTTP Boot.

   # virt-install \
       --name edge-install-image \
       --disk path=”  “, ,format=qcow2
       --ram 3072 \
       --memory 4096 \
       --vcpus 2 \
       --network network=integration,mac=mac_address \
       --os-type linux
       --os-variant rhel9 \
       --cdrom "/var/lib/libvirt/images/”ISO_FILENAME"
       --boot uefi,loader_ro=yes,loader_type=pflash,nvram_template=/usr/share/edk2/ovmf/OVMF_VARS.fd,loader_secure=no
       --virt-type kvm \
       --graphics none \
        --wait=-1
        --noreboot

Procédure

1. Copiez le fichier image ISO sur une clé USB.
2. Connectez la clé USB au port de l'ordinateur que vous souhaitez démarrer.

3. Démarrez l'image ISO à partir de la clé USB. Le menu de démarrage vous propose les options suivantes :

   Install Red Hat Enterprise Linux 9
   Test this media & install Red Hat Enterprise Linux 9

4. Choisissez Installer Red Hat Enterprise Linux 9, ce qui lance l'installation du système.

Procédure

1. Créez un fichier Butane Config et enregistrez-le au format .bu. Vous devez spécifier l'entrée variant comme r4e, et l'entrée version comme 1.0.0, pour les images RHEL for Edge. La variante Butane r4e de la version 1.0.0 cible la version 3.3.0 des spécifications d'Ignition. Voici un exemple de fichier YAML de Butane Config :

   variant: r4e
   version: 1.0.0
   ignition:
     config:
       merge:
         - source: http://192.168.122.1:8000/sample.ign
   passwd:
     users:
       - name: core
         groups:
           - wheel
         password_hash: password_hash_here
         ssh_authorized_keys:
           - ssh-ed25519 some-ssh-key-here
   storage:
     files:
       - path: /etc/NetworkManager/system-connections/enp1s0.nmconnection
         contents:
           inline: |
             [connection]
             id=enp1s0
             type=ethernet
             interface-name=enp1s0
             [ipv4]
             address1=192.168.122.42/24,192.168.122.1
             dns=8.8.8.8;
             dns-search=
             may-fail=false
             method=manual
         mode: 0600
       - path: /usr/local/bin/startup.sh
         contents:
           inline: |
             #!/bin/bash
             echo "Hello, World!"
         mode: 0755
   systemd:
     units:
       - name: hello.service
         contents: |
           [Unit]
           Description=A hello world
           [Install]
           WantedBy=multi-user.target
         enabled: true
       - name: fdo-client-linuxapp.service
         dropins:
           - name: log_trace.conf
             contents: |
               [Service]
               Environment=LOG_LEVEL=trace

2. Exécutez la commande suivante pour consommer le fichier Butane Config YAML et générer une Ignition Config au format JSON :

   $ ./path/butane example.bu
   {"ignition":{"config":{"merge":[{"source":"http://192.168.122.1:8000/sample.ign"}]},"timeouts":{"httpTotal":30},"version":"3.3.0"},"passwd":{"users":[{"groups":["wheel"],"name":"core","passwordHash":"password_hash_here","sshAuthorizedKeys":["ssh-ed25519 some-ssh-key-here"]}]},"storage":{"files":[{"path":"/etc/NetworkManager/system-connections/enp1s0.nmconnection","contents":{"compression":"gzip","source":"data:;base64,H4sIAAAAAAAC/0yKUcrCMBAG3/csf/ObUKQie5LShyX5SgPNNiSr0NuLgiDzNMPM8VBFtHzoQjkxtPp+ITsrGLahKYyyGtoqEYNKwfeZc32OC0lKDb179rfg/HVyPgQ3hv8w/v0WT0k7T+7D/S1Dh7S4MRU5h1XyzqvsHVRg25G4iD5kp1cAAAD//6Cvq2ihAAAA"},"mode":384},{"path":"/usr/local/bin/startup.sh","contents":{"source":"data:;base64,IyEvYmluL2Jhc2gKZWNobyAiSGVsbG8sIFdvcmxkISIK"},"mode":493}]},"systemd":{"units":[{"contents":"[Unit]\nDescription=A hello world\n[Install]\nWantedBy=multi-user.target","enabled":true,"name":"hello.service"},{"dropins":[{"contents":"[Service]\nEnvironment=LOG_LEVEL=trace\n","name":"log_trace.conf"}],"name":"fdo-client-linuxapp.service"}]}}

   Après avoir exécuté le fichier Butane Config YAML pour vérifier et générer le fichier Ignition Config JSON, vous pouvez recevoir des avertissements lorsque vous utilisez des champs non pris en charge, comme les partitions, par exemple. Vous pouvez corriger ces champs et réexécuter la vérification.

Procédure

1. Cliquez sur Créer un plan dans le coin supérieur droit.

   Un assistant de dialogue contenant des champs pour le nom et la description du plan s'ouvre.

   • Sur la page Details:

     • Saisissez le nom du plan et, éventuellement, sa description. Cliquez sur Suivant.

   • Sur la page Ignition, effectuez les étapes suivantes :

     • Dans le champ Firstboot URL, entrez l'URL qui pointe vers la configuration d'Ignition à récupérer lors du premier démarrage.
     • Dans le champ Embedded Data, faites glisser ou téléchargez le fichier Ignition Configuration encodé base64. Cliquez sur Suivant.
   • Examinez les détails de l'image et cliquez sur Créer.

Procédure

1. Créez un fichier texte en clair au format Tom's Obvious, Minimal Language (TOML), avec le contenu suivant :

   name = "simplified-installer-blueprint"
   description = "Blueprint with Ignition for the simplified installer image"
   version = "0.0.1"
   packages = []
   modules = []
   groups = []
   distro = ""
   
   [customizations.ignition.embedded]
   config = "eyJ --- BASE64 STRING TRIMMED --- 19fQo="

   Où ?

   • name est le nom et description est la description de votre plan.
   • Le site version est le numéro de version selon le schéma de versionnement sémantique.
   • Les adresses modules et packages décrivent le nom du paquet et la version correspondante à installer dans l'image. Par exemple, le paquet name = "tmux" et la version correspondante sont version = "3.3a". Notez qu'il n'y a actuellement aucune différence entre les paquets et les modules.

   • Les groups sont des groupes de paquets à installer dans l'image. Par exemple, groups = "anaconda-tools" est un groupe de paquets. Si vous ne connaissez pas les modules et les groupes, laissez-les vides.

     Avertissement

     Si vous voulez créer un utilisateur avec Ignition, vous ne pouvez pas utiliser les personnalisations FDO pour créer un utilisateur en même temps. Vous pouvez créer des utilisateurs avec Ignition et copier des fichiers de configuration avec FDO. Mais si vous créez des utilisateurs, créez-les avec Ignition ou FDO, mais pas les deux en même temps.

2. Pousser (importer) le plan vers le serveur de construction d'images :

   # composer-cli blueprints push blueprint-name.toml

3. Liste les plans existants pour vérifier si le plan créé a été poussé avec succès et s'il existe.

   # composer-cli blueprints show blueprint-name

4. Vérifiez si les composants et les versions répertoriés dans le plan et leurs dépendances sont valides :

   # composer-cli blueprints depsolve blueprint-name

1. Le client de l'appareil lit les informations d'identification de l'appareil
2. L'appareil client se connecte au réseau
3. À un stade précoce, le système de gestion du propriétaire informe le serveur de rendez-vous du fabricant de l'emplacement du système de gestion du propriétaire
4. Après s'être connecté au réseau, le client de l'appareil contacte le serveur de rendez-vous
5. Le serveur Rendezvous envoie l'URL du point de terminaison du propriétaire au client du périphérique et enregistre le périphérique. Cette action permet de connecter et de démarrer l'appareil.
6. Le client du dispositif se connecte au système de gestion du propriétaire partagé par le serveur Rendezvous, prouve qu'il s'agit du bon dispositif en signant une déclaration avec une clé de dispositif
7. Le système de gestion du propriétaire fait ses preuves en signant une déclaration avec la dernière clé du bon du propriétaire
8. Le système de gestion des propriétaires fournit la configuration de l'appareil, que le client de l'appareil stocke, par exemple, dans une clé SSH
9. Le client du dispositif reçoit et vérifie le justificatif de propriété
10. Ensuite, le client de l'appareil récupère ses informations d'identification de l'appareil

11. Ensuite, le système de gestion des propriétaires signale que le client du dispositif a été intégré

    L'ensemble du processus FDO est terminé et n'est plus utilisé dans ce dispositif.

1. Installer et enregistrer un système RHEL
2. Installer le constructeur d'images
3. À l'aide de l'outil de création d'images, créez un modèle avec des personnalisations pour l'image RHEL for Edge Container
4. Importer le plan RHEL for Edge dans le constructeur d'images
5. Créer une image RHEL for Edge intégrée dans un conteneur OCI avec un serveur web prêt à déployer le commit en tant que dépôt OSTree

6. Créer un modèle pour edge-simplified-installer avec des personnalisations pour les chemins d'accès aux périphériques de stockage et les personnalisations FDO

   name = "fdo"
   description = "FDO blueprint"
   version = "0.0.1"
   packages = []
   modules = []
   groups = []
   distro = ""
   
   [customizations]
   installation_device = "/dev/vda"
   
   [customizations.fdo]
   manufacturing_server_url = "http://10.0.0.2:8080"
   diun_pub_key_insecure = "true"

7. Construire une image d'installation simplifiée de RHEL for Edge
8. Télécharger l'image d'installation simplifiée de RHEL for Edge
9. Installer l'image ISO de l'installateur simplifié sur un périphérique. Le client FIDO FDO fonctionne sur l'image ISO de l'installateur simplifié et la structure de répertoire UEFI rend l'image amorçable.
10. La configuration du réseau permet à l'appareil d'atteindre le serveur de fabrication pour procéder à l'échange initial des données d'identification de l'appareil.
11. Une fois que le système a atteint le point d'extrémité, les informations d'identification du périphérique sont créées pour ce dernier.
12. Le serveur embarqué utilise les informations d'identification de l'appareil pour s'authentifier auprès du serveur embarqué. le serveur d'intégration transmet la configuration à l'appareil ou au système. Après s'être connecté au système, celui-ci se connecte au serveur d'accueil et reçoit la configuration.
13. Le serveur d'accueil fournit à l'appareil une clé SSH et installe le système.
14. Ensuite, il redémarre le système et le chiffre à l'aide d'une clé forte stockée dans le TPM.
15. Vous pouvez vous connecter au système avec les informations d'identification que vous avez configurées dans le fichier de configuration de l'API des informations de service et vérifier la configuration qui a été créée dans l'image ISO de l'installateur simplifié.

Procédure

1. Créez un répertoire pour les clés et les certificats :

   $ mkdir /etc/fdo/keys

2. Générer les clés et les certificats dans le répertoire /etc/fdo:

   $ for i in "diun" "manufacturer" "device-ca" "owner"; do fdo-admin-tool generate-key-and-cert $i; done
   $ ls keys
   device_ca_cert.pem device_ca_key.der diun_cert.pem diun_key.der manufacturer_cert.pem manufacturer_key.der owner_cert.pem owner_key.der

3. Vérifiez la clé et les certificats qui ont été créés dans le répertoire /etc/fdo/keys:

   $ tree keys

   Vous pouvez voir le résultat suivant :

   – device_ca_cert.pem
   – device_ca_key.der
   – diun_cert.pem
   – diun_key.dre
   – manufacturer_cert.pem
   – manufacturer_key.der
   – owner_cert.pem
   – owner_key.pem

Procédure

1. Installez le paquetage fdo-admin-cli:

   # dnf install -y fdo-admin-cli

2. Vérifier si le paquetage RPM fdo-manufacturing-server est installé :

   $ rpm -qa | grep fdo-manufacturing-server --refresh

3. Vérifier si les fichiers ont été correctement installés :

   $ ls /usr/share/doc/fdo

   Vous pouvez voir le résultat suivant :

   Output:
   manufacturing-server.yml
   owner-onboarding-server.yml
   rendezvous-info.yml
   rendezvous-server.yml
   serviceinfo-api-server.yml

4. Facultatif : Vérifiez le contenu de chaque fichier, par exemple :

   $ cat /usr/share/doc/fdo/manufacturing-server.yml

5. Créez un répertoire pour chacun des composants : pièces justificatives du propriétaire, clés du fabricant et sessions de fabrication.

   # mkdir -p /etc/fdo/stores/manufacturer_keys
   # mkdir -p /etc/fdo/stores/manufacturing_sessions
   # mkdir -p /etc/fdo/stores/owner_vouchers

6. Configurez le serveur de fabrication. Vous devez fournir les informations suivantes :

   • L'URL du serveur de fabrication
   • L'adresse IP ou le nom DNS du serveur de rendez-vous

   • Le chemin d'accès aux clés et aux certificats que vous avez générés. Voir la section Générer des clés et des certificats.

     Vous trouverez un exemple de fichier de configuration du serveur de fabrication dans le répertoire /usr/share/doc/fdo/manufacturing-server.yml. Le fichier suivant est un exemple de manufacturing server.yml qui est créé et sauvegardé dans le répertoire /etc/fdo. Il contient les chemins d'accès aux répertoires, certificats, clés que vous avez créés, l'adresse IP du serveur Rendezvous et le port par défaut.

     session_store_driver:
       Directory:
         path: /etc/fdo/stores/manufacturing_sessions/
     ownership_voucher_store_driver:
       Directory:
         path: /etc/fdo/stores/owner_vouchers
     public_key_store_driver:
       Directory:
         path: /etc/fdo/stores/manufacturer_keys
     bind: "0.0.0.0:8080"
     protocols:
       plain_di: false
       diun:
         mfg_string_type: SerialNumber
         key_type: SECP384R1
         allowed_key_storage_types:
           - Tpm
           - FileSystem
         key_path: /etc/fdo/keys/diun_key.der
         cert_path: /etc/fdo/keys/diun_cert.pem
     rendezvous_info:
       - deviceport: 8082
         ip_address: 192.168.122.99
         ownerport: 8082
         protocol: http
     manufacturing:
       manufacturer_cert_path: /etc/fdo/keys/manufacturer_cert.pem
       device_cert_ca_private_key: /etc/fdo/keys/device_ca_key.der
       device_cert_ca_chain: /etc/fdo/keys/device_ca_cert.pem
       owner_cert_path: /etc/fdo/keys/owner_cert.pem
       manufacturer_private_key: /etc/fdo/keys/manufacturer_key.der

7. Démarrer le serveur de fabrication.

   1. Vérifier si le fichier de l'unité systemd se trouve sur le serveur :

      # systemctl list-unit-files | grep fdo | grep manufac
      fdo-manufacturing-server.service disabled disabled

   2. Activer et démarrer le serveur de fabrication.

      # systemctl enable --now fdo-manufacturing-server.service

   3. Ouvrez les ports par défaut de votre pare-feu :

      # firewall-cmd --add-port=8080/tcp --permanent
      # systemctl restart firewalld

   4. Assurez-vous que le service écoute sur le port 8080 :

      # ss -ltn

8. Assurez-vous que toute votre infrastructure FDO est configurée et que le service systemd installé par le RPM fonctionne. Le serveur de fabrication se charge de créer et d'activer les informations d'identification sur le nouvel appareil.

   $ cat /usr/share/doc/fdo/manufacturing-server.yml

9. Installez RHEL for Edge sur votre système à l'aide du programme d'installation simplifié. Voir Création d'images d'installation simplifiée pour provisionner une image RHEL for Edge.

Procédure

1. Installez les paquets RPM fdo-rendezvous-server:

   # dnf install -y fdo-rendezvous-server

2. Créez les répertoires pour stocker les répertoires suivants : le répertoire enregistré, où les bons des propriétaires d'appareils enregistrés seront hébergés, et le répertoire des sessions :

   # mkdir -p /etc/fdo/stores/rendezvous_registered
   # mkdir -p /etc/fdo/stores/rendezvous_sessions

3. Créez le fichier de configuration rendezvous-server.yml, y compris le chemin d'accès au certificat du fabricant. Vous trouverez un exemple à l'adresse /usr/share/doc/fdo/rendezvous-server.yml. L'exemple suivant montre un fichier de configuration enregistré sur /etc/fdo/rendezvous-server.yml.

   storage_driver:
     Directory:
       path: /etc/fdo/stores/rendezvous_registered
   session_store_driver:
     Directory:
       path: /etc/fdo/stores/rendezvous_sessions
   trusted_manufacturer_keys_path: /etc/fdo/keys/manufacturer_cert.pem
   max_wait_seconds: ~
   bind: "0.0.0.0:8082"

4. Vérifier l'état du service du serveur Rendezvous :

   # systemctl list-unit-files | grep fdo | grep rende
   fdo-rendezvous-server.service disabled disabled

   1. Si le service est arrêté et désactivé, activez-le et démarrez-le :

      # systemctl enable --now fdo-rendezvous-server.service

5. Vérifiez que le serveur écoute sur le port 8082 configuré par défaut :

   # ss -ltn

6. Ouvrez le port si un pare-feu est configuré sur ce serveur :

   # firewall-cmd --add-port=8082/tcp --permanent
   # systemctl restart firewalld

Procédure

1. Installez les RPMs nécessaires sur ce serveur :

   # dnf install -y fdo-owner-cli fdo-owner-onboarding-server

2. Créez les répertoires supplémentaires dont le service Serveur du propriétaire a besoin :

   # mkdir -p /etc/fdo/stores/owner_vouchers
   # mkdir -p /etc/fdo/stores/owner_onboarding_sessions

3. Préparez le fichier de configuration owner-onboarding-server.yml et enregistrez-le dans le répertoire /etc/fdo/. Incluez dans ce fichier le chemin d'accès aux certificats que vous avez déjà copiés et des informations sur l'endroit où publier le service du serveur Owner.

   L'exemple suivant est disponible à l'adresse /usr/share/doc/fdo/owner-onboarding-server.yml. Vous pouvez trouver des références à l'API Informations sur les services, telles que l'URL ou le jeton d'authentification.

   ---
   ownership_voucher_store_driver:
     Directory:
       path: /etc/fdo/stores/owner_vouchers
   session_store_driver:
     Directory:
       path: /etc/fdo/stores/owner_onboarding_sessions
   trusted_device_keys_path: /etc/fdo/keys/device_ca_cert.pem
   owner_private_key_path: /etc/fdo/keys/owner_key.der
   owner_public_key_path: /etc/fdo/keys/owner_cert.pem
   bind: "0.0.0.0:8081"
   service_info_api_url: "http://localhost:8083/device_info"
   service_info_api_authentication:
     BearerToken:
       token: Kpt5P/5flBkaiNSvDYS3cEdBQXJn2Zv9n1D50431/lo=
   owner_addresses:
     - transport: http
       addresses:
         - ip_address: 192.168.122.149

4. Créer et configurer l'API des informations sur les services.

   1. Ajoutez les informations automatisées pour l'onboarding, telles que la création de l'utilisateur, les fichiers à copier ou à créer, les commandes à exécuter, le disque à crypter, etc. Utilisez l'exemple de fichier de configuration Service Info API dans /usr/share/doc/fdo/serviceinfo-api-server.yml comme modèle pour créer le fichier de configuration sous /etc/fdo/.

      ---
      service_info:
        initial_user:
          username: admin
          sshkeys:
          - "ssh-rsa AAAA...."
        files:
        - path: /root/resolv.conf
          source_path: /etc/resolv.conf
        commands:
        - command: touch
          args:
          - /root/test
          return_stdout: true
          return_stderr: true
        diskencryption_clevis:
        - disk_label: /dev/vda4
          binding:
            pin: tpm2
            config: "{}"
          reencrypt: true
        additional_serviceinfo: ~
      bind: "0.0.0.0:8083"
      device_specific_store_driver:
        Directory:
          path: /etc/fdo/stores/serviceinfo_api_devices
      service_info_auth_token: Kpt5P/5flBkaiNSvDYS3cEdBQXJn2Zv9n1D50431/lo=
      admin_auth_token: zJNoErq7aa0RusJ1w0tkTjdITdMCWYkndzVv7F0V42Q=

5. Vérifier l'état des unités systemd :

   # systemctl list-unit-files | grep fdo
   fdo-owner-onboarding-server.service        disabled        disabled
   fdo-serviceinfo-api-server.service         disabled        disabled

   1. Si le service est arrêté et désactivé, activez-le et démarrez-le :

      # systemctl enable --now fdo-owner-onboarding-server.service
      # systemctl enable --now fdo-serviceinfo-api-server.service

      Note

      Vous devez redémarrer les services systemd chaque fois que vous modifiez les fichiers de configuration.

6. Vérifiez que le serveur écoute sur le port 8083 configuré par défaut :

   # ss -ltn

7. Ouvrez le port si un pare-feu est configuré sur ce serveur :

   # firewall-cmd --add-port=8081/tcp --permanent
   # firewall-cmd --add-port=8083/tcp --permanent
   # systemctl restart firewalld

Procédure

1. Commencez le processus d'installation en démarrant l'image d'installation simplifiée de RHEL for Edge sur votre appareil. Vous pouvez l'installer à partir d'un CD-ROM ou d'une clé USB, par exemple.

2. Vérifier, à l'aide du terminal, que le dispositif est parvenu au service de fabrication pour procéder à l'échange initial des données d'identification du dispositif et qu'il a produit un justificatif de propriété.

   Vous trouverez le justificatif de propriété dans l'emplacement de stockage configuré par le paramètre ownership_voucher_store_driver: dans le fichier manufacturing-sever.yml.

   Le répertoire doit contenir un fichier ownership_voucher avec un nom au format GUID qui indique que les informations d'identification correctes ont été ajoutées à l'appareil.

   Le serveur d'accueil utilise les informations d'identification de l'appareil pour s'authentifier auprès du serveur d'accueil. Il transmet ensuite la configuration à l'appareil. Une fois que l'appareil a reçu la configuration du serveur d'accueil, il reçoit une clé SSH et installe le système d'exploitation sur l'appareil. Enfin, le système redémarre automatiquement et est chiffré à l'aide d'une clé forte stockée dans le TPM.

1. Connectez-vous à l'appareil en fournissant le nom d'utilisateur et le mot de passe que vous avez créés dans l'API des informations sur les services.

Procédure

1. Extraire le fichier d'image téléchargé .tar:

   # tar xvf <UUID>-commit.tar

2. Allez dans le répertoire où vous avez extrait le fichier .tar.

   Il comporte un fichier compose.json et un répertoire OSTree. Le fichier compose.json contient le numéro de livraison et le répertoire OSTree contient les paquets RPM.

3. Ouvrez le fichier compose.json et notez le numéro d'identification du commit. Vous aurez besoin de ce numéro lorsque vous procéderez à la mise en place d'un serveur web.

   Si vous avez installé le processeur JSON jq, vous pouvez également récupérer l'identifiant du commit en utilisant l'outil jq:

   # jq '.["ostree-commit"]' < compose.json

4. Liste des paquets RPM dans le commit.

   # rpm-ostree db list rhel/9/x86_64/edge --repo=repo

5. Utilisez un fichier Kickstart pour exécuter le programme d'installation RHEL. Vous pouvez utiliser un fichier existant ou en créer un à l'aide de l'outil Kickstart Generator.

   Dans le fichier Kickstart, veillez à inclure les détails relatifs à l'approvisionnement du système de fichiers, à la création d'un utilisateur et à la récupération et au déploiement de l'image RHEL for Edge. Le programme d'installation RHEL utilise ces informations au cours du processus d'installation.

   Voici un exemple de fichier Kickstart :

   lang en_US.UTF-8
   keyboard us
   timezone Etc/UTC --isUtc
   text
   zerombr
   clearpart --all --initlabel
   autopart
   reboot
   user --name=core --group=wheel
   sshkey --username=core "ssh-rsa AAAA3Nza…​."
   rootpw --lock
   network --bootproto=dhcp
   
   ostreesetup --nogpg --osname=rhel --remote=edge --url=https://mirror.example.com/repo/ --ref=rhel/9/x86_64/edge

   L'installation basée sur OStree utilise la commande ostreesetup pour établir la configuration. Elle récupère le commit OSTree en utilisant les drapeaux suivants :

   • --nogpg - Désactiver la vérification des clés GNU Privacy Guard (GPG).
   • --osname - Racine de gestion pour l'installation du système d'exploitation.
   • --remote - Racine de gestion pour l'installation du système d'exploitation
   • --url - URL du référentiel à partir duquel l'installation doit être effectuée.
   • --ref - Nom de la branche du référentiel que l'installation utilise.

   • --url=https://mirror.example.com/repo/ - est l'adresse du système hôte sur lequel vous avez extrait l'engagement de périphérie et servi sur nginx. Vous pouvez utiliser l'adresse pour atteindre le système hôte à partir de l'ordinateur invité.

     Par exemple, si vous extrayez l'image de validation dans le répertoire /var/www/html et que vous diffusez la validation sur nginx sur un ordinateur dont le nom d'hôte est www.example.com, la valeur du paramètre --url est la suivante http://www.example.com/repo.

     Note

     Utilisez le protocole http pour démarrer un service qui servira le commit, car https n'est pas activé sur le serveur HTTP Apache.

Procédure

1. Créez le fichier de configuration nginx en suivant les instructions suivantes :

   events {
   
   }
   
   http {
       server{
           listen 8080;
           root /usr/share/nginx/html;
                   }
            }
   
   pid /run/nginx.pid;
   daemon off;

2. Créez un fichier Docker en suivant les instructions suivantes :

   FROM registry.access.redhat.com/ubi8/ubi
   RUN dnf -y install nginx && dnf clean all
   COPY kickstart.ks /usr/share/nginx/html/
   COPY repo /usr/share/nginx/html/
   COPY nginx /etc/nginx.conf
   EXPOSE 8080
   CMD ["/usr/sbin/nginx", "-c", "/etc/nginx.conf"]
   ARG commit
   ADD ${commit} /usr/share/nginx/html/

   Où ?

   • kickstart.ks est le nom du fichier Kickstart de l'image RHEL for Edge. Le fichier Kickstart contient des informations sur les directives. Pour vous aider à gérer les images ultérieurement, il est conseillé d'inclure les contrôles et les paramètres des contrôles Greenboot. Pour cela, vous pouvez mettre à jour le fichier Kickstart pour inclure les paramètres suivants :

     lang en_US.UTF-8
     keyboard us
     timezone Etc/UTC --isUtc
     text
     zerombr
     clearpart --all --initlabel
     autopart
     reboot
     user --name=core --group=wheel
     sshkey --username=core "ssh-rsa AAAA3Nza…​."
     
     ostreesetup --nogpg --osname=rhel --remote=edge
     --url=https://mirror.example.com/repo/
     --ref=rhel/9/x86_64/edge
     
     %post
     cat << EOF > /etc/greenboot/check/required.d/check-dns.sh
     #!/bin/bash
     
     DNS_SERVER=$(grep nameserver /etc/resolv.conf | cut -f2 -d" ")
     COUNT=0
     
     # check DNS server is available
     ping -c1 $DNS_SERVER
     while [ $? != '0' ] && [ $COUNT -lt 10 ]; do
     
     							
     							
     							
     							
     							
     							
     							
     							COUNT++
     echo "Checking for DNS: Attempt $COUNT ."
     sleep 10
     ping -c 1 $DNS_SERVER
     done
     EOF
     %end

     Tout service HTTP peut héberger le référentiel OSTree, et l'exemple, qui utilise un conteneur, n'est qu'une option pour y parvenir. Le fichier Docker exécute les tâches suivantes :

     1. Utilise la dernière image de base universelle (UBI)
     2. Installe le serveur web (nginx)
     3. Ajoute le fichier Kickstart au serveur
     4. Ajoute le commit de l'image RHEL for Edge au serveur

3. Construire un conteneur Docker

   # podman build -t name-of-container-image --build-arg commit=uuid-commit.tar .

4. Exécuter le conteneur

   # podman run --rm -d -p port:8080 localhost/name-of-container-image

   Le serveur est donc configuré et prêt à démarrer l'installateur RHEL à l'aide du référentiel commit.tar et du fichier Kickstart.

Procédure

1. Ouvrez un navigateur et accédez à https://access.redhat.com/downloads.
2. Sous Gestion de l'infrastructure, cliquez sur le produit Red Hat Enterprise Linux 9.
3. Cliquez sur le bouton Télécharger maintenant pour l'option "Red Hat Enterprise Linux 9 Boot ISO"

Procédure

1. Exécutez le programme d'installation RHEL Anaconda à l'aide de libvirt virt-install:

   virt-install \
   --name rhel-edge-test-1 \
   --memory 2048 \
   --vcpus 2 \
   --disk path=prepared_disk_image.qcow2,format=qcow2,size=8 \
   --os-variant rhel9 \
   --cdrom /home/username/Downloads/rhel-9-x86_64-boot.iso

2. Sur l'écran d'installation :

   Figure 9.1. Menu de démarrage de Red Hat Enterprise Linux

   

   1. Appuyez sur la touche e pour ajouter un paramètre supplémentaire au noyau :

      inst.ks=http://edge_device_ip:port/kickstart.ks

      Le paramètre kernel indique que vous souhaitez installer RHEL à l'aide du fichier Kickstart et non de l'image RHEL contenue dans le programme d'installation RHEL.

   2. Après avoir ajouté les paramètres du noyau, appuyez sur Ctrl X pour démarrer l'installation RHEL à l'aide du fichier Kickstart.

      Le programme d'installation RHEL démarre, récupère le fichier Kickstart à partir du point d'extrémité du serveur (HTTP) et exécute les commandes, y compris la commande d'installation de la commande d'image RHEL for Edge à partir du point d'extrémité HTTP. Une fois l'installation terminée, le programme d'installation RHEL vous invite à fournir des informations de connexion.

Vérification

1. Dans l'écran de connexion, saisissez les informations d'identification de votre compte utilisateur et cliquez sur Entrée.

2. Vérifiez que l'image RHEL for Edge a été installée avec succès.

   $ rpm-ostree status

   La sortie de la commande fournit l'identifiant de validation de l'image et indique que l'installation a réussi.

   Voici un exemple de résultat :

   State: idle
   Deployments:
   * ostree://edge:rhel/9/x86_64/edge
   		  Timestamp: 2020-09-18T20:06:54Z
   			Commit: 836e637095554e0b634a0a48ea05c75280519dd6576a392635e6fa7d4d5e96

Procédure

1. Naviguez jusqu'au répertoire dans lequel vous avez téléchargé le commit RHEL for Edge Container OSTree.

2. Chargez le commit OSTree de RHEL for Edge Container dans Podman.

   sudo podman load -i UUID-container.tar

   La sortie de la commande indique l'ID de l'image, par exemple : @8e0d51f061ff1a51d157804362bc875b649b27f2ae1e66566a15e7e6530cec63

3. Marquez la nouvelle image RHEL for Edge Container à l'aide de l'ID d'image généré à l'étape précédente.

   $ sudo podman tag image-ID localhost/edge-container

   La commande podman tag attribue un nom supplémentaire à l'image locale.

4. Exécutez le conteneur nommé edge-container.

   $ sudo podman run -d --name=edge-container -p 8080:8080 localhost/edge-container

   La commande podman run -d --name=edge-container attribue un nom à votre conteneur en se basant sur l'image localhost/edge-container.

5. Liste des contenants :

   $ sudo podman ps -a
   CONTAINER ID  IMAGE                               	COMMAND	CREATED    	STATUS                	PORTS   NAMES
   2988198c4c4b  …./localhost/edge-container   /bin/bash  3 seconds ago  Up 2 seconds ago      	edge-container

Procédure

1. Commencez à créer l'image RHEL for Edge Installer.

   # composer-cli compose start-ostree --ref rhel/9/x86_64/edge --url URL-OSTree-repository blueprint-name image-type

   Où ?

   • ref est la même valeur que celle utilisée par le client pour construire le dépôt d'ostree
   • URL-OSTree-repository est l'URL du dépôt OSTree de l'engagement à intégrer dans l'image. Par exemple, http://10.0.2.2:8080/repo/. Voir Création d'une image RHEL for Edge Container pour les déploiements non basés sur le réseau.
   • blueprint-name est le nom du modèle RHEL for Edge Installer.

   • image-type est edge-installer.

     Une confirmation de l'ajout du processus de composition à la file d'attente s'affiche. Elle indique également un numéro d'identifiant universel unique (UUID) pour l'image créée. Utilisez le numéro UUID pour suivre votre construction. Conservez également le numéro UUID à portée de main pour d'autres tâches.

2. Vérifier l'état de la composition de l'image.

   # composer-cli compose status

   La sortie de la commande affiche l'état dans le format suivant :

   <UUID> RUNNING date blueprint-name blueprint-version image-type

   Note

   Le processus de création de l'image prend quelques minutes.

   Pour interrompre le processus de création d'image, exécutez :

   # composer-cli composer cancel <UUID>

   Pour supprimer une image existante, exécutez :

   # composer-cli composer delete <UUID>

   Image builder tire le commit qui est servi par le conteneur en cours d'exécution pendant la construction de l'image.

   Une fois la construction de l'image terminée, vous pouvez télécharger l'image ISO résultante.

3. Téléchargez l'image. Voir Téléchargement d'une image RHEL for Edge.

   Une fois l'image prête, vous pouvez l'utiliser pour non-network deployments. Voir Installation de l'image RHEL for Edge pour les déploiements non basés sur le réseau.

Procédure

1. Créez un fichier disque qcow VM pour installer l'image (.iso). Il s'agit d'une image d'un disque dur pour la machine virtuelle (VM). Par exemple, il s'agit d'une image d'un disque dur pour la machine virtuelle (VM) :

   $ qemu-img create -f qcow2 diskfile.qcow2 20G

2. Utilisez la commande virt-install pour démarrer la VM en utilisant le disque comme une unité et l'ISO d'installation comme un CD-ROM. Par exemple :

   $ virt-install \
   --boot uefi \
   --name VM_NAME
   --memory 2048 \
   --vcpus 2 \
   --disk path=diskfile.qcow2
   --cdrom /var/lib/libvirt/images/UUID-installer.iso \
   --os-variant rhel9.0

   Cette commande demande à virt-install de :

   • Indique à la VM d'utiliser l'UEFI pour démarrer, au lieu du BIOS.
   • Monter l'ISO d'installation.

   • Utilisez l'image du disque dur créée lors de la première étape.

     Vous obtenez un programme d'installation Anaconda. L'installateur RHEL démarre, charge le fichier Kickstart de l'ISO et exécute les commandes, y compris la commande d'installation du commit de l'image RHEL for Edge. Une fois l'installation terminée, le programme d'installation demande des informations de connexion.

     Note

     Anaconda est préconfiguré pour utiliser le Container commit lors de l'installation. Cependant, vous devez définir les configurations du système, telles que la partition du disque, le fuseau horaire, entre autres.

3. Connectez-vous à l'interface graphique d'Anaconda à l'aide de virt-viewer pour configurer le système :

   $ virt-viewer --connect qemu:///system --wait VM_NAME

4. Redémarrez le système pour terminer l'installation.
5. Sur l'écran de connexion, indiquez les informations d'identification de votre compte utilisateur et cliquez sur Entrée.

Verification steps

1. Vérifiez que l'image RHEL for Edge a été installée avec succès.

   $  rpm-ostree status