Installeer en configureer RaaS als onderdeel van het handmatige installatieproces (wat niet wordt aanbevolen).
Het RaaS-knooppunt installeren en configureren:
- ALLEEN VOOR INSTALLATIES VAN SLES 15: installeer het
xmlsec1
-pakket. Zonder deze afhankelijkheid kan een installatie van SLES 15 mislukken. Zie xmlsec1 om het pakket te downloaden en de installatiedocumentatie te lezen. - ALLEEN VOOR INSTALLATIES VAN SLES: importeer de RPM-ondertekeningssleutel met het volgende commando:
rpm --import http://repo.saltstack.com/py3/redhat/7.7/x86_64/latest/SALTSTACK-GPG-KEY.pub
- Download en installeer de RPM voor uw besturingssysteem:
RHEL
Download en installeer de Red Hat/CentOS SaltStack Config RPM en voeg hierbij de exacte bestandsnaam in:
sudo yum install raas-<version>-0.el7.x86_64.rpm
- Werk in het configuratiebestand
/etc/raas/raas
voor de RaaS-service desql
-configuratie bij om de host en poort op te geven die in het vorige gedeelte zijn gemaakt. Als u van plan bent om SSL te gebruiken, stelt ussl
in opTrue
en bekijkt u de volgende stap voor meer informatie.sql:dialect:postgresqlhost:localhostport:5432driver:psycopg2ssl:false
- Als u
ssl
in de vorige stap hebt ingesteld opTrue
, hebt u een SSL-verbinding ingeschakeld, maar is aanvullende informatie vereist om het SSL-certificaat van de server te verifiëren. Als u certificaatverificatie wilt configureren, voegt u in/etc/raas/raas
een nieuwe sleutelssl_opts
in en geeft u de volgende waarden op:Optie
Beschrijving
sslmode
Kies de modus voor uw SSL-verbinding via een van de volgende:
-
disable
- Gebruik alleen cleartext-verbindingen. Deze waarde wordt gebruikt wanneerssl
op Onwaar is ingesteld. -
prefer
- Gebruik SSL, maar val terug op cleartext als SSL niet beschikbaar is. -
require
- Gebruik een SSL-verbinding, maar probeer het certificaat van de server niet te verifiëren. -
verify-ca
- Gebruik de content vansslrootcert
, indien aanwezig, om het SSL-certificaat van de server te valideren. Alssslrootcert
niet aanwezig is, gebruikt u het certificaatarchief van het systeem om het SSL-certificaat van de server te valideren. -
verify-full
- Gebruik de content vansslrootcert
, indien aanwezig, om het SSL-certificaat van de server te valideren. Alssslrootcert
niet aanwezig is, gebruikt u het certificaatarchief van het systeem om het SSL-certificaat van de server te valideren.verify-full
vereist dat de hostnaam in het certificaat overeenkomt met de hostnaam die SaltStack Config gebruikt bij het maken van verbinding.
Zie de documentatie voor PostgreSQL voor meer informatie over deze instellingen.
sslrootcert
Locatie op het RaaS-bestandssysteem van het CA-certificaat dat moet worden gebruikt als er een zelfondertekend certificaat op de PostgreSQL-server is ingesteld
sslcert
Locatie van het clientcertificaat op de RaaS-server dat in plaats van de gebruikersnaam en het wachtwoord moet worden gebruikt om verbinding te maken met PostgreSQL
sslkey
Locatie van het sleutelbestand dat bij het clientcertificaat blijft waarnaar wordt verwezen in
sslcert
.Voor meer uitgebreide informatie over deze opties bekijkt u de documentatie voor PostgreSQL: clientverificatie van servercertificaten en de volgende voorbeeldconfiguraties.
Voorbeeld 1
In het eerste voorbeeld ziet u een configuratie die is ingesteld op volledige verificatie. Dit betekent dat het certificaat dat PostgreSQL aan SaltStack Config toekent, is gevalideerd ten opzichte van het certificaat van de certificaatautoriteit dat is opgegeven in het bestand
path/to/CA_Certificate
. Bovendien moet de algemene naam in het certificaat van SaltStack Config overeenkomen met de hostnaam die SaltStack Config gebruikt voor PostgreSQL.sql: ssl:True ssl_opts: sslmode:verify-full sslrootcert:path/to/CA_certificate
Voorbeeld 2
Het tweede voorbeeld maakt SSL-communicatie mogelijk zonder certificaatvalidatie, en verifieert de gebruiker die door RaaS wordt gebruikt om via een client-SSL-certificaat verbinding te maken met PostgreSQL.
sql: ssl:True ssl_opts: sslmode:require sslcert:path/to/Client_Certificate sslkey:path/to/Key_for_Client_Certificate
-
- Definieer in het configuratiebestand
/etc/raas/raas
voor de RaaS-service de opties voor achtergrondwerkers:background_workers: combined_process:True max_tasks:100000 max_memory:1048576
Opmerking:SaltStack Config bevat een aantal verschillende instellingen voor achtergrondwerkers om de prestaties voor verschillende implementatiescenario's te verbeteren. Zie Systeemprestaties verbeteren voor meer informatie.
- In het configuratiebestand
/etc/raas/raas
van de RaaS-service configureert u de locatie van uw Redis-server:redis: url:redis://<Redis_IP>:6379
- Als u databaseverificatiegegevens voor zowel PostgreSQL als Redis wilt opslaan in een versleuteld bestand, moet u het volgende commando uitvoeren:
su - raas -c 'raas save_creds'
- Volg de prompts om uw gebruikersnaam en wachtwoord voor Redis en PostgreSQL in te stellen. Als u deze waarden leeg wilt laten, drukt u op de toets Enter wanneer u daarom wordt gevraagd. De verificatiegegevens worden opgeslagen in
/etc/raas/raas.secconf
.Opmerking:Als de verificatiegegevens worden weergegeven in zowel
/etc/raas/raas
als/etc/raas/raas.secconf
, krijgen de instellingen in/etc/raas/raas
in platte tekst voorrang. Zie Verificatiegegevens in uw configuratie beveiligen voor meer informatie over het beveiligen van verificatiegegevens. - Schakel de RaaS-service in bij het opstarten van het systeem en start de service met de volgende commando's:
sudo systemctl enable raas sudo systemctl start raas
Het handmatige installatieproces is nu voltooid.
Wat moet u nu doen
De stap na het installeren en configureren van RaaS bestaat uit het installeren van de RaaS-licentiesleutel. Zie De RaaS-licentiesleutel installeren voor meer informatie.