Esta página descreve como configurar e configurar o dispositivo isolado do Google Distributed Cloud (GDC) no local do cliente.
Na primeira inicialização, as unidades são desbloqueadas sem intervenção humana. A configuração demora cerca de quatro a seis horas a ser concluída.
Antes de começar
- Crie um ficheiro de configuração de entrada.
- Se planeia usar um servidor NTP ou um HSM externo, ligue o dispositivo ao hardware antes de executar a instalação.
Configure o aparelho
Verifique se todos os campos do ficheiro de configuração de entrada estão corretos. Assim que o ficheiro for copiado para o servidor nos passos seguintes, a configuração final é iniciada automaticamente e não pode ser interrompida facilmente.
Transfira o ficheiro de configuração de entrada para o caminho
/var/lib/assets/ciq_configure_input.yamlno servidor blade atribuído ao endereço IP198.18.0.6.scp configuration-input.yaml applianceusr@198.18.0.6:/var/lib/assets/ciq_configure_input.yamlA configuração é iniciada automaticamente e guarda o resultado no ficheiro
/var/log/gdch-install.txt.Monitorize o progresso com uma das seguintes opções:
Monitorize o ficheiro
/var/log/gdch-install.txtcom o seguinte:ssh applianceusr@198.18.0.6 'tail -f /var/log/gdch-install.txt'A instalação está concluída quando a fase de limpeza estiver concluída. O registo mostra uma linha semelhante à seguinte:
<<< Completed phase: cleanupEm alternativa, pode procurar o estado do serviço de instalação com o seguinte:
ssh applianceusr@198.18.0.6 'systemctl status gdch-app-install'O resultado indica o estado da instalação. Em particular, o campo
Activeindica se a instalação está em curso, falhou ou está inativa. Quando a linha indica que o processo de instalação está inativo e tem o estado0/SUCCESS, a instalação está concluída.
Faça uma cópia de segurança das credenciais
Obter as credenciais de emergência do dispositivo e armazená-las num local seguro
Crie um arquivo de cópia de segurança das credenciais de acesso executando o seguinte comando e introduza a palavra-passe
applianceusrquando lhe for pedido:ssh applianceusr@198.18.0.6 'sudo -S /var/lib/release/gdcloud appliance install --phase=postinstall'Copie a cópia de segurança das credenciais para o bootstrapper executando o seguinte comando e introduza a palavra-passe
applianceusrquando lhe for pedido:ssh applianceusr@198.18.0.6 'sudo -S setfacl -m u:applianceusr:rwx /var/lib/assets/credentials.tar.gz' scp applianceusr@198.18.0.6:/var/lib/assets/credentials.tar.gz .Verifique se o conteúdo deste arquivo inclui a cópia de segurança cellcfg, as credenciais do fornecedor de identidade, as credenciais do comutador e as chaves SSH para a lâmina do servidor atribuída ao endereço IP
198.18.0.6.Armazene o arquivo num suporte separado e seguro (como uma unidade USB) para acesso de emergência.
Elimine o utilizador do eletrodoméstico e pare os serviços de instalação do eletrodoméstico
Após a conclusão da cópia de segurança das credenciais de emergência, execute o seguinte comando na lâmina do servidor atribuída ao endereço IP 198.18.0.6 para eliminar a conta de utilizador do dispositivo predefinida e parar os serviços de instalação. Para usar a lâmina do servidor atribuída ao endereço IP 198.18.0.6 no futuro, pode usar credenciais de emergência.
Execute o seguinte para remover o acesso de utilizador predefinido e proteger o dispositivo
ssh applianceusr@198.18.0.6 'sudo -S /usr/local/bin/cleanup_appliance_user.sh'
Faça a gestão das YubiKeys
Depois de inserir a chave, esta é sincronizada com esse servidor e não pode ser movida para outro servidor. Não é possível usar as chaves de forma intercambiável.
A YubiKey só precisa de ser inserida durante o processo de arranque. Se remover a YubiKey após o processo de arranque, não afeta o funcionamento do dispositivo. Se remover o YubiKey, tem de o reinserir no mesmo nó antes do próximo arranque.
O que se segue?
- Configure o NTP externo
- Configure o HSM externo
- Configure ferramentas de IO para aceder a manuais de procedimentos
- Configurar notificações de alerta