本頁面說明如何在客戶端設定及配置 Google Distributed Cloud (GDC) 無網路連線裝置。
首次啟動時,磁碟機會在無人為介入的情況下解鎖。 完成設定約需四到六小時。
事前準備
- 建立輸入設定檔。
- 如果打算使用外部 NTP 伺服器或 HSM,請先將設備連線至硬體,再執行安裝作業。
設定設備
確認輸入設定檔的所有欄位都正確無誤。按照下列步驟將檔案複製到伺服器刀鋒後,系統會自動開始最終設定,且無法輕易停止。
將輸入設定檔傳輸至伺服器刀片上指派
198.18.0.6IP 位址的路徑/var/lib/assets/ciq_configure_input.yaml。scp configuration-input.yaml applianceusr@198.18.0.6:/var/lib/assets/ciq_configure_input.yaml設定會自動開始,並將輸出內容儲存至
/var/log/gdch-install.txt檔案。使用下列任一方式監控進度:
使用下列項目監控
/var/log/gdch-install.txt檔案:ssh applianceusr@198.18.0.6 'tail -f /var/log/gdch-install.txt'清除階段完成後,即代表安裝完成。記錄會顯示類似下列的行:
<<< Completed phase: cleanup或者,您也可以使用下列指令,查看安裝服務的狀態:
ssh applianceusr@198.18.0.6 'systemctl status gdch-app-install'輸出內容會顯示安裝狀態。具體來說,
Active欄位會指出安裝作業是否正在進行、失敗或處於非使用中狀態。如果該行顯示安裝程序處於非使用中狀態,且狀態為0/SUCCESS,表示安裝完成。
備份憑證
擷取裝置緊急憑證並儲存在安全的位置
執行下列指令,建立存取憑證的備份封存檔,並在系統提示時輸入
applianceusr密碼:ssh applianceusr@198.18.0.6 'sudo -S /var/lib/release/gdcloud appliance install --phase=postinstall'執行下列指令,將憑證備份檔複製到啟動程式,並在系統提示時輸入
applianceusr密碼:ssh applianceusr@198.18.0.6 'sudo -S setfacl -m u:applianceusr:rwx /var/lib/assets/credentials.tar.gz' scp applianceusr@198.18.0.6:/var/lib/assets/credentials.tar.gz .確認這個封存檔的內容包含 cellcfg 備份、身分識別提供者憑證、交換器憑證,以及指派給
198.18.0.6IP 位址的伺服器刀鋒安全殼層金鑰。將封存檔案儲存在獨立的安全媒體 (例如 USB 隨身碟),以備不時之需。
刪除設備使用者並停止設備安裝服務
備份緊急憑證後,請在指派 198.18.0.6 IP 位址的伺服器刀鋒上執行下列指令,刪除預設設備使用者帳戶並停止安裝服務。如要在日後使用指派 198.18.0.6 IP 位址的伺服器刀鋒,可以使用緊急憑證。
執行下列指令,移除預設使用者存取權並保護裝置安全
ssh applianceusr@198.18.0.6 'sudo -S /usr/local/bin/cleanup_appliance_user.sh'
管理 YubiKey
插入金鑰後,金鑰會與該伺服器配對,無法移至其他伺服器。這兩種金鑰無法互換使用。
開機程序期間只需插入 Yubikey,開機程序完成後,即使移除 YubiKey,也不會影響設備運作。如果移除 Yubikey,必須在下次啟動前重新插入同一個節點。