Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת המכשיר והתקנת התוכנה

בדף הזה מוסבר איך להגדיר את מכשיר Google Distributed Cloud (GDC) air-gapped באתר הלקוח.

בהפעלה הראשונה, הכוננים נפתחים ללא התערבות אנושית. ההגדרה נמשכת כארבע עד שש שעות.

לפני שמתחילים

יצירת קובץ תצורה של קלט
אם אתם מתכננים להשתמש בשרת NTP חיצוני או ב-HSM, אתם צריכים לחבר את המכשיר לחומרה לפני שמריצים את ההתקנה.

הגדרת הציוד

מוודאים שכל השדות בקובץ התצורה של הקלט מדויקים. אחרי שהקובץ מועתק לכרטיס השרת בשלבים הבאים, ההגדרה הסופית מתחילה באופן אוטומטי ואי אפשר לעצור אותה בקלות.

מעבירים את קובץ הגדרות הקלט לנתיב /var/lib/assets/ciq_configure_input.yaml בחלונית השרת שהוקצתה לה כתובת ה-IP 198.18.0.6.
```
scp configuration-input.yaml applianceusr@198.18.0.6:/var/lib/assets/ciq_configure_input.yaml
```
ההגדרה מתחילה באופן אוטומטי ושומרת את הפלט בקובץ /var/log/gdch-install.txt.
אפשר לעקוב אחרי ההתקדמות באחת מהדרכים הבאות:
- עוקבים אחרי קובץ /var/log/gdch-install.txt באמצעות הפקודה הבאה:
```
ssh applianceusr@198.18.0.6 'tail -f /var/log/gdch-install.txt'
```
  ההתקנה מסתיימת כשהשלב של הניקוי מסתיים. ביומן מופיעה שורה כמו זו:
```
<<< Completed phase: cleanup
```
- לחלופין, אפשר לבדוק את סטטוס שירות ההתקנה באמצעות הפעולות הבאות:
```
ssh applianceusr@198.18.0.6 'systemctl status gdch-app-install'
```
  הפלט מציין את סטטוס ההתקנה. בפרט, השדה Active מציין אם ההתקנה מתבצעת, נכשלה או לא פעילה. כשהקו מציין שתהליך ההתקנה לא פעיל והסטטוס הוא 0/SUCCESS, ההתקנה הושלמה.

גיבוי פרטי הכניסה

אחזור פרטי הכניסה למקרה חירום של המכשיר ואחסון שלהם במיקום מאובטח

כדי ליצור ארכיון גיבוי של פרטי הגישה, מריצים את הפקודה הבאה ומזינים את הסיסמה של applianceusr כשמתבקשים:
```
ssh applianceusr@198.18.0.6 'sudo -S /var/lib/release/gdcloud appliance install --phase=postinstall'
```
מעתיקים את הגיבוי של פרטי הכניסה אל ה-bootstrapper על ידי הרצת הפקודה הבאה, ומזינים את הסיסמה applianceusr כשמוצגת בקשה:
```
ssh applianceusr@198.18.0.6 'sudo -S setfacl -m u:applianceusr:rwx /var/lib/assets/credentials.tar.gz'
scp applianceusr@198.18.0.6:/var/lib/assets/credentials.tar.gz .
```
מוודאים שהתוכן של הארכיון כולל את הגיבוי של cellcfg, את פרטי הכניסה של ספק הזהויות, את פרטי הכניסה של המתג ואת מפתחות ה-SSH של השרת שהוקצה לכתובת ה-IP‏ 198.18.0.6.
לאחסן את הארכיון במדיה נפרדת ומאובטחת (כמו כונן USB) כדי לאפשר גישה במקרה חירום.

מחיקת משתמש במכשיר והפסקת שירותי ההתקנה של המכשיר

אחרי שגיבוי פרטי הכניסה לשעת חירום מסתיים, מריצים את הפקודה הבאה בחלונית השרת שהוקצתה לה כתובת ה-IP‏ 198.18.0.6 כדי למחוק את חשבון המשתמש שמוגדר כברירת מחדל במכשיר ולהפסיק את שירותי ההתקנה. כדי להשתמש בעתיד בלהב השרת שהוקצתה לו כתובת ה-IP‏ 198.18.0.6, אפשר להשתמש בפרטי כניסה למקרה חירום.

כדי להסיר את גישת המשתמש שמוגדרת כברירת מחדל ולאבטח את המכשיר, מריצים את הפקודה הבאה
```
ssh applianceusr@198.18.0.6 'sudo -S /usr/local/bin/cleanup_appliance_user.sh'
```

ניהול של YubiKey

אחרי שמכניסים את המפתח, הוא משויך לשרת הזה ואי אפשר להעביר אותו לשרת אחר. אי אפשר להשתמש במפתחות לסירוגין.

צריך להכניס את YubiKey רק במהלך תהליך האתחול. אם מסירים את YubiKey אחרי תהליך האתחול, זה לא משפיע על הפעולה של המכשיר. אם מסירים את YubiKey, צריך להכניס אותו מחדש לאותו צומת לפני האתחול הבא.