本页面介绍如何在客户现场设置和配置 Google Distributed Cloud (GDC) 气隙设备。
在首次启动时,无需人工干预即可解锁驱动器。 配置大约需要 4 到 6 小时才能完成。
准备工作
- 创建输入配置文件。
- 如果您计划使用外部 NTP 服务器或 HSM,请在运行安装程序之前将设备连接到硬件。
配置设备
验证输入配置文件的所有字段是否准确无误。按照以下步骤将文件复制到服务器刀片后,最终配置会自动开始,并且无法轻易停止。
将输入配置文件转移到分配了
198.18.0.6IP 地址的服务器刀片上的路径/var/lib/assets/ciq_configure_input.yaml。scp configuration-input.yaml applianceusr@198.18.0.6:/var/lib/assets/ciq_configure_input.yaml配置会自动开始,并将输出保存到
/var/log/gdch-install.txt文件中。您可以通过以下任一方式监控进度:
使用以下命令监控
/var/log/gdch-install.txt文件:ssh applianceusr@198.18.0.6 'tail -f /var/log/gdch-install.txt'清理阶段完成后,安装即告完成。日志会显示类似如下所示的一行:
<<< Completed phase: cleanup或者,您也可以通过以下命令查找安装服务的状态:
ssh applianceusr@198.18.0.6 'systemctl status gdch-app-install'输出会指示安装的状态。具体而言,
Active字段用于指明安装是正在进行、失败还是处于非活动状态。当该行显示安装过程处于非活动状态且状态为0/SUCCESS时,表示安装已完成。
备份凭据
检索设备紧急凭据并将其存储在安全的位置
运行以下命令,创建访问凭据的备份归档文件,并在收到提示时输入
applianceusr密码:ssh applianceusr@198.18.0.6 'sudo -S /var/lib/release/gdcloud appliance install --phase=postinstall'运行以下命令,将凭据备份复制到引导加载程序,并在出现提示时输入
applianceusr密码:ssh applianceusr@198.18.0.6 'sudo -S setfacl -m u:applianceusr:rwx /var/lib/assets/credentials.tar.gz' scp applianceusr@198.18.0.6:/var/lib/assets/credentials.tar.gz .验证此归档的内容是否包含以下信息:cellcfg 备份、身份提供方凭据、交换机凭据以及分配给
198.18.0.6IP 地址的服务器刀片的 SSH 密钥。将归档存储在单独的安全介质(例如 U 盘)中,以便在紧急情况下访问。
删除虚拟设备用户并停止虚拟设备安装服务
在完成紧急凭据备份后,在分配了 198.18.0.6 IP 地址的服务器刀片上运行以下命令,以删除默认设备用户账号并停止安装服务。为了将来使用分配了 198.18.0.6 IP 地址的服务器刀片,您可以使用紧急凭据。
执行以下操作以移除默认用户访问权限并保护设备
ssh applianceusr@198.18.0.6 'sudo -S /usr/local/bin/cleanup_appliance_user.sh'
管理 YubiKey
插入密钥后,该密钥会与相应服务器配对,无法移至其他服务器。这些密钥不能互换使用。
Yubikey 只需在启动过程中插入。如果您在启动流程结束后移除 Yubikey,不会影响设备的运行。 如果您移除了 Yubikey,则必须在下次启动之前将其重新插入到同一节点中。