Rocky linux установка и настройка
После заявления Red Hat о том, что они прекращают развитие Centos 8 появилась целая куча бесплатных форков. Один из них - Rocky Linux, на который я переведу свою систему с Centos 8. Процедура миграции достаточно простая и очевидная.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на . Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.Введение
Напомню, что Rocky Linux это полностью бинарно совместимый дистрибутив с RHEL. Он собирается силами сообщества и Rocky Enterprise Software Foundation. Развитием системы занимается Gregory Kurtzer, автор Centos. Я отдаю предпочтение именно Rocky Linux, потому что организация вокруг него строится только для развития самой системы. Все остальные форки выпущены коммерческими организациями. Как известно, любая коммерческая организация нацелена на максимальное извлечение прибыли.
Сейчас у этих компаний всё хорошо с деньгами. Кто-то пытается увеличить свою известность за счет дистрибутива, так как ниша освободилась после новостей Red Hat. Нет гарантий, что в будущем, после того, как дистр наберет популярность его не начнут как-нибудь монетизировать. Другой сценарий - коммерческая организация может обанкротиться или быть куплена кем-то другим. В данной истории я больше доверяю организационной структуре, которую строят вокруг Rocky Linux. Хотя понимаю, что у нее тоже есть свои риски. На текущий момент заявлена поддержка этой системы со стороны крупных it вендоров.
Я отдаю себе отчет в том, что не разбираюсь в юридических тонкостях и организационной структуре Rocky Enterprise Software Foundation. Это мое чисто субъективное мнение, основанное только на вере и небольшой интуиции. Какому дистрибутиву отдать предпочтение, решать вам. Думаю, большинство переедет на Oracle Linux. Если к концу года с Rocky Linux всё будет в порядке, перееду на него всеми своими Centos 8. Утилита для смены системы уже готова, можно тестировать.
Загрузка Rocky Linux
Формат iso образов такой же, как у Centos:
- Boot (720M)
- Minimal (2G)
- DVD (9,5G)
Ко всему прочему образ системы для установки уже доступен на маркетплейсах популярных облачных провайдеров - Amazon Web Services, Google Cloud Platform, а так же контейнеры в Docker Hub.
Миграция Centos 8 в Rocky Linux 8
Если планируете миграцию боевых серверов с Centos на RockyLinux, обязательно погоняйте сначала тесты на клонах операционных систем. Подобный переход с одной системы на другую потенциально опасная операция.
На первом этапе необходимо загрузить скрипт для миграции - migrate2rocky.sh.
Для того, чтобы начать переход с Centos на Rocky Linux, запускаем скачанный скрипт.
Будет собрана информация о текущих пакетах и репозиториях системы. Затем произойдет их замена на репозитории Rocky, а так же начнется обновление всех текущих пакетов из нового репозитория. Все будет сделано автоматически без дополнительных запросов.
Начинается загрузка пакетов из новых репозиториев.
После загрузки автоматически стартует установка пакетов. Процесс достаточно длительный. Может продолжаться до часа. Хотя понятное дело, это будет зависеть от вашего соединения с интернетом, производительности сервера и количества установленных пакетов в системе. Фактически, будет переустановлена вся система.
Когда процедура обновления закончится, нужно будет перезагрузить систему.
В начале загрузки вы увидите вместо Centos ядро Rocky Linux.
Заходите в систему, проверяйте дистрибутив и его версию:
Заключение
В целом, миграция с Centos на Rocky Linux проходит просто и штатно. Если что-то не понравится в этой системе, можно будет переключиться на любой другой форк. Так как все они бинарно совместимы с RHEL, переход с одной системы на другую поддерживается.
При первом запуске нового сервера Rocky Linux 8 следует провести его базовую настойку – как правило, она включает в себя несколько простых шагов, которые вы должны выполнить на ранней стадии. Начальная настройка сервера повысит безопасность и удобство работы, а также даст вам прочную основу для последующих действий.
Чтобы войти на свой сервер, вам необходимо знать общедоступный IP-адрес вашего сервера. Вам также понадобится пароль (или, если вы установили аутентификацию по SSH-ключам, то закрытый ключ) учетной записи пользователя root.
Если вы еще не подключены к серверу, войдите в систему как пользователь root, используя следующую команду (замените your_server_ip публичным IP-адресом вашего сервера):
Примите предупреждение о подлинности хоста, если оно появится. Если вы используете парольную аутентификацию, укажите root- пароль для входа в систему. Если вы используете SSH-ключ, защищенный парольной фразой, система может предлагать вам ввести парольную фразу при первом использовании ключа в каждом сеансе. Если вы впервые входите на сервер по root паролю, система также может предложить вам изменить его.
Что такое root?
Пользователь root является администратором в среде Linux и имеет самые широкие привилегии. Именно из-за повышенных привилегий учетную запись root не рекомендуется использовать на регулярной основе: пользователь root способен вносить очень серьезные изменения в систему, часть из которых может оказаться разрушительной для вашей системы.
Учитывая вышесказанное, следующим шагом в нашей настройке будет создание альтернативной учетной записи с ограниченными привилегиями (и, соответственно, влиянием) для повседневной работы. При необходимости этот пользователь по-прежнему сможет получать повышенные привилегии.
2: Создание нового пользователя
После того, как вы вошли в систему как root, вы можете создать новую учетную запись пользователя, которую мы будем использовать для повседневной работы с сервером.
В этом примере новый пользователь называется 8host, но вы можете присвоить ему любое другое имя, которое захотите:
Затем установите надежный пароль:
Пароль нужно будет ввести дважды. После этого вы сможете использовать новую учетную запись для работы. Но сперва новому пользователю нужно передать дополнительные привилегии. Для этого нужно дать ему доступ к команде sudo.
3: Доступ к sudo
Теперь у вас есть новая учетная запись пользователя с обычными привилегиями. Однако иногда в работе вам может потребоваться право на выполнение административных задач.
Чтобы избежать необходимости выходить из системы и снова входить как root, мы можем передать нашему обычному пользователю так называемые «суперпользовательские» привилегии (или привилегии root). Это позволит обычному пользователю запускать команды с правами администратора при помощи команды sudo (ее нужно писать перед каждой командой, для выполнения которой нужны повышенные привилиегии).
Чтобы расширить привилегии пользователя, нужно добавить его в группу wheel. По умолчанию в системе Rocky Linux 8 всем пользователям, входящим в группу wheel, разрешено использовать команду sudo.
От имени пользователя root выполните эту команду, чтобы добавить нашего нового пользователя в группу wheel (укажите в команде правильное имя вашего пользователя):
usermod -aG wheel 8host
Теперь в сессии обычного пользователя вы сможете ввести sudo перед командами, которые нужно выполнять с привилегиями суперпользователя.
4: Настройка брандмауэра
Брандмауэры обеспечивают базовый уровень безопасности вашего сервера. Эти приложения блокируют трафик на каждый порт сервера, за исключением тех портов и сервисов, которые вы одобрили (проще говоря, они закрывают доступ ко всем неиспользуемым портам). В Rocky Linux есть сервис firewalld, он выполняет функции брандмауэра. Для настройки политик firewalld используется инструмент firewall-cmd.
Для начала установите firewalld:
dnf install firewalld -y
Конфигурация firewalld поддерживает ssh-соединения по умолчанию, поэтому мы можем сразу включить брандмауэр:
systemctl start firewalld
Проверьте состояние сервиса, чтобы убедиться, что он работает:
systemctl status firewalld
Вы получите такой вывод:
Обратите внимание, что статус сервиса – одновременно active и enabled, это значит, что он будет запускаться по умолчанию при перезагрузке сервера.
Теперь, когда брандмауэр работает, мы можем использовать служебную программу firewall-cmd, чтобы узнать все о текущей политике и обновить ее. Сначала давайте запросим список серверов, которые уже разрешены:
firewall-cmd --permanent --list-all
Чтобы узнать, какие еще сервисы можно включить по имени, введите:
Помните, что вам нужно будет явно открыть в брандмауэре любой сервис или порт, которые вы хотите использовать в работе (вы можете сделать это позже).
5: Включение удаленного SSH-доступа
Теперь, когда у нас есть обычный пользователь без привилегий root, нам нужно убедиться, что мы можем использовать его для создания SSH-подключений к серверу.
Примечание: До тех пор, пока вы не убедитесь, что вы можете войти в систему и использовать sudo как новый пользователь, мы рекомендуем оставаться в системе как root. Таким образом, если у вас возникнут проблемы, вы сможете устранить их.
Процесс настройки доступа SSH зависит от типа аутентификации вашего пользователя root: по паролю или по ключи SSH.
Парольная аутентификация пользователя root
Если вы вошли в свою учетную запись root с помощью пароля, тогда для SSH также будет включена аутентификация по паролю. Вы можете использовать SSH в своей новой учетной записи, открыв новый сеанс терминала и используя SSH с именем нового пользователя:
После ввода пароля вашего обычного пользователя вы войдете в систему. Помните, что если вам нужно запустить команду с правами администратора, вы должны ввести перед ней sudo:
При первом использовании sudo в сеансе (и периодически в течение работы) вам будет предложено ввести пароль обычного пользователя.
Чтобы повысить безопасность вашего сервера, мы настоятельно рекомендуем настроить ключи SSH вместо парольной аутентификации.
Аутентификация root по SSH-ключам
Если вы вошли в свою учетную запись root с помощью ключей SSH, то парольная аутентификация для SSH отключена. Вам нужно добавить копию вашего открытого ключа в файл
/.ssh/authorized_keys нового пользователя, чтобы он мог входить в систему.
Поскольку ваш открытый ключ уже находится в файле
/.ssh/authorized_keys корневой учетной записи, мы можем просто скопировать этот файл и структуру каталогов в новую учетную запись.
rsync --archive --chown=8host:8host
Примечание: Команда rsync обрабатывает исходные и целевые каталоги со слешем в конце иначе, чем без него. При использовании rsync убедитесь, что исходный каталог (
/.ssh) не содержит слеша (то есть, выглядит не так:
Если вы случайно добавите слеш в конец имени каталога, команда rsync скопирует содержимое каталога
/.ssh пользователя root в домашний каталог пользователя sudo вместо того, чтобы скопировать всю структуру каталогов
/.ssh. Файлы будут находиться в неправильном месте, и SSH не сможет найти и использовать их.
Вернувшись в новый терминал на вашем локальном компьютере, откройте новый сеанс SSH для пользователя без привилегий root:
Вы должны войти в систему без использования пароля. Помните, что если вам нужно запустить команду с правами администратора, перед этим нужно ввести sudo:
При первом использовании sudo в сеансе (и периодически в течение работы) вам будет предложено ввести пароль вашего обычного пользователя.
Заключение
На данный момент начальная настройка сервера завершена. Теперь у вас есть прочная основа для повседневной работы, и сервер готов к установке любого необходимого программного обеспечения.
Рассмотрим установку Rocky Linux 8 и последующую настройку исходя из практики использования этой операционной системы. Данная система для меня является основной для использования на серверах. Стабильность работы гарантированна. Поддержка до 2029 года.
Введение
В данной статье собраны все основные моменты базовой настройки сервера Rocky Linux 8 которые я использую на практике. Rocky Linux это полностью бинарно совместимый дистрибутив с RHEL.
Собирается дистрибутив силами сообщества и Rocky Enterprise Software Foundation. Развитием системы занимается Gregory Kurtzer, являющийся автором Centos. Лично я отдаю предпочтение именно Rocky Linux, потому что организация вокруг него строится только для развития самой системы.
К сожалению дальнейшее стабильное использование CentOS стало не возможно. Версия CentOS Stream конечно имеет более новые версии, но при использовании я стал получать неожиданные сюрпризы которых на стабильной ветке раньше не было.
Установка Rocky Linux 8
Создания USB носителя для установки
Существует множество программ для записи iso образа на устройство. Например, у меня два варианта для создания носителя для установки:
Варианты установки
Рассмотрим два самых популярных варианта установки Rocky Linux 8.
Образы iso Rocky Linux 8
Образы можно скачать c официального сайта по ссылке Download Rocky Linux. Существует три варианта:
Какой вариант использовать решать вам. Например, мне нравится устанавливать загрузочный образ и дальше настраивать руками, так и опыт приходит и понимаешь как что работает.
Минимальный образ не такой уж и маленький, но радует что есть загрузочный при установке с которого надо только руками внести требуемый репозиторий и выбрать нужные параметры установки.
Шаблоны
Шаблоны используются как правило для установки на VDS и предоставляются компаниями предоставляющие такие услуги. Удобно, но т ем не менее я пару раз попадал в дурацкие ситуации.
Вот моменты почему я советую использовать установку на VDS систем с iso образа:
Все компании предоставляющие услуги VDS могут предоставить возможность установки системы с ISO образа системы. При установке надо правильно указать сетевые параметры исходя из предоставленных сетевых параметров настроек выбранного тарифа!
Разбивка диска для установки
Вариантов разбивки диска для Rocky Linux 8 может быть множество исходя из пожеланий и предпочтений. Например, мне нравиться придерживаться таких параметров:
Можно выносить логи и кэш в отдельные разделы, но это лишняя трата времени. Лучше всегда выполнять мониторинг размера диска и в случае проблем оперативно принять необходимые меры. Прежде всего, так пропадёт головная боль о том какой размер указывать разделам ( вариант с перераспределением очень сюрпризная тема).
Тема организации SWAP на сервере очень важная и поэтому я описал все основные моменты использования в статье SWAP для Linux
Настройка Rocky Linux 8
Пакетный менеджер DNF
Используется новый менеджер пакетов который поддерживает модульный формат пакетов.
По прежнему можно вносить команды yum вместо dnf и всё будет работать. Для yum сделан алиас для запуска dnf.
Для вывода всей информации о том какие команды можно использовать достаточно внести в консоли команду dnf и увидеть полный список возможностей.
Информация об установленной системе
Узнать какая система установлена на сервере можно следующими командами:
Этой информации достаточно для понимания с какой системой предстоит работать.
Отключение SELinux
Отключаем SELinux. Его использование и настройка в системе Rocky Linux 8 отдельный разговор.
Перезагрузим для применения изменений. После перезагрузки проверяем статус:
Надо иметь четкое понимание что SELinux система требующая хорошего понимания в том как она работает и как настраивать. Надо или отключить сразу или потратить время на изучение как она работает.
Добавление репозиториев
Для инсталляции различного софта необходимо подключить репозитории в Rocky Linux 8. Со временем пришло понимание того что относится к добавляемым репозиториям надо очень внимательно, чтобы в последствии не возникало проблем при обслуживании.
Всегда подключаю самый популярный репозиторий Epel (Extra Packages for Enterprise Linux). Epel хранилище пакетов, созданное группой специалистов операционной системы Fedora. Пакеты из Epel репозитория никогда не конфликтуют и не переустанавливают базовые пакеты RHEL.
Старюсь подключать репозитории которые поддерживают сами разработчики программ. Например, такие как Nginx, Zabbix, MariaDB.
Обновление Rocky Linux 8
Обновление системы очень важный момент и следует относится к нему очень внимательно. Всегда проще найти проблему когда проходит немного обновлений.
Прежде всего, всегда перед обновлениями делайте резервные копии!
Перед выполнением настройки лучше выполнить полное обновление системы:
Автоматическое обновление системы
Для безопасности сервера его необходимо своевременно обновлять. Вариантов обновления Rocky Linux 8 несколько и это тема отдельного длинного разговора.
При моих пожеланиях мне подойдёт утилита dnf-automatic. Ставится она из базового репозитория командой:
Управлением запуском по расписанию занимается systemd со своим встроенным планировщиком. Посмотреть таймеры автоматического запуска можно командой:
Посмотрим настройки этого таймера выполнив команду:
Если заданий нет, то можно добавить таймер выполнив команду:
Настройка этого таймера будет по пути — /etc/systemd/system/multi-user.target.wants/dnf-automatic.timer.
Мой вариант настройки выглядит следующим образом:
Популярные и полезные утилиты
Установим в начале основные популярные утилиты которые обычно требуются в работе.
Про vim, mc и tmux расскажу ниже.
Настройка времени
Определим текущее время на сервере:
Как видим временная зона не настроена.
В итоге получим:
Можно использовать одну команду зная точно что эта временная зона присутствует в настройках:
Синхронизация времени
В Rocky Linux 8 по-умолчанию используется утилита для синхронизации времени chrony. Если у вас её нет, то устанавливайте:
Запускаем chrony и добавляем в автозагрузку:
Проверяем правильность работы:
Сетевые параметры
При установке Rocky Linux 8 уделяю особое внимание настройки сетевых параметров. Кроме того, на странице настройки сетевых параметров указывается название хоста.
Всегда отключаю ipv6 так как в большинстве случаев он не используется а вот проблемы при работе с системой может создать.
Для управления сетевыми настройками в Rocky Linux 8 после установки можно воспользоваться графической утилитой nmtui:
В Rocky Linux 8, сеть управляется только через Network Manager. Сетевые настройки лучше выполнять с помощью утилиты nmtui.
Руками вся настройка сводится к редактированию файлов в паке /etc/sysconfig/network-scripts/. Для определения интерфейсов необходимо предварительно выполнить команду ip addr которая покажет название всех имеющихся интерфейсов.
Например, мой файл настройки сетевого интерфейса ens18:
Для применения изменений необходимо перезагрузить Network Manager выполнив команду:
Смена пароля root
Смена пароля производится командой:
Брандмауэр FirewallD
По умолчанию в системе Rocky Linux 8 используется брандмауэр FirewallD.
О том как работать я описывал в статье FirewallD базовая настройка.
Ниже я выполню необходимые действия не описывая всё подробно.
Вывод информации об активных зонах:
Выведем информацию о конкретной зоне:
Для безопасности порт ssh лучше поменять на нестандартный.
Добавим разрешение подключаться по этому порту:
Кроме того, сразу удалим ненужный сервис:
Применим изменения и посмотрим результат сделанных действий:
Только после настройки ssh для работы по новому порту удаляйте сервис ssh из FirewallD! Иначе в случае ошибки настройки можете потерять доступ к серверу.
Смена порта SSH
Укажем порт в настройках ssh открыв конфигурационный файл командой:
Перезапускаем сервис ssh командой:
Проверяем какой порт слушает sshd (для работы нужен установленный пакет net-tools):
Подключение к SSH по нестандартному порту
Подключение производится с указанием необходимого порта командой:
Авторизация SSH по ключу
Вводить каждый раз пароль не удобно да и не помешает добавить безопасности.
После настройки можно отключить в параметрах ssh авторизацию по паролю, но иногда подключение по паролю просто необходимо. Обычно я создаю 16 злачный пароль и меняю его если давал временный доступ специалистам любого уровня и моего доверия. Безопасность лишней не бывает!
Более подробно о том как настроить подключение по ключу можно в статье RSA или авторизация SSH по ключу
Добавляем на сервер необходимый ключ командой:
Установка Midnight Commander
Установим самый популярный файловых менеджеров с текстовым интерфейсом командой если не установили ранее:
Включаем подсветку синтаксиса всех файлов, которые не обозначены явно в файле /usr/share/mc/syntax/Syntax. Этот универсальный синтаксис подходит для конфигурационных файлов, с которыми чаще всего приходится работать на сервере. Именно этот шаблон будет применяться к .conf и .cf файлам, так как к ним явно не привязано никакого синтаксиса. Перезаписываем файл unknown.syntax:
Установка редактора Vim
По умолчанию в системе работает редактор vim и это вполне оправдано.
Обоснование использования редактора VIM и как с ним работать можно в статье Vim текстовый редактор
В случае отсутствия редактора его можно установить без вопросов командой:
Отображение приглашения в консоли bash
При появлении большого количества серверов на обслуживании я сразу столкнулся с плохой информативностью о том с каким я сервером работаю.
Стандартный вариант отображения приветствия после установки Rocky Linux 8:
В представленном виде при работе одновременно с разными серверами я путался и порой выполнял команды не там где надо. Изменение цвета приглашения, вывода полного имени машины и пути где мы находимся позволило мне избежать таких ошибок.
Выведем имеющиеся параметры:
Изменим для текущей сессии:
Для постоянного применения настроек необходимо в папке пользователя в файл .bashrc добавить необходимый код:
Для применения подобных настроек для всех пользователей с обычными правами сделаем приглашение зеленым. Добавим необходимые параметры в имеющийся файл или создадим новый и добавим туда необходимые параметры:
В итоге я получил следующее:
Более подробно можно почитать в статье Изменение приглашения терминала в bash.
Настройка хранения истории bash
Список последних выполненных команд хранится в домашней директории пользователя в файле .bash_history (в начале точка). Его можно открыть любым редактором и посмотреть.
По умолчанию вывод команды history в консоли нам покажет:
Как видим вывод не информативный. Кроме того, покажет только последние 1000 команд.
Быстро найти конкретную команду, можно с помощью фильтрации только нужных строк, например вот так:
Изменим эту ситуацию добавив в файл .bashrc находящийся в папке пользователя необходимые параметры:
- Первый параметр увеличивает размер файла до 50000 строк;
- Второй параметр указывает, что необходимо сохранять дату и время выполнения команды;
- Третья строка вынуждает сразу же после выполнения команды сохранять ее в историю;
- В последней строке мы создаем список исключений для тех команд, запись которых в историю не требуется.
Для применения изменений необходимо выполнить команду:
В итоге мы получим:
Можно применить эту настройку для всех пользователей указав параметр в файле /etc/profile.d/bash_completion.sh.
В таком варианте получаем гораздо большую информативность.
Установка Tmux
Установим пожалуй один из самых необходимых и удобных программ для удаленной работы с сервером. Tmux терминальный оконный менеджер при использовании дает возможность при обрыве связи с сервером по ssh не терять информацию о выполняемых действиях.
Установка выполняется командой:
Более подробная информация по настройке и работе с программой Tmux можно в статье Tmux терминальный оконный менеджер
Cockpit: Веб-интерфейс управления сервером Rocky Linux 8
Возможность видеть наглядно все основные параметры системы и иметь возможность ими управлять пожалуй самая приятна новость которая меня порадовала в выпуске Rocky Linux 8.
Порт 9090 должен быть открыт. Работающий по умолчанию сервис cockpit в FirewallD открывает этот порт.
После входа вы увидите главную страницу с выводом графиков нагрузки основных параметров сервера.
Далеко не все конечно можно видеть и настраивать в этой панели но определенное удобство есть явно. Пользоваться панелью просто, понятно и не вызывает никаких сюрпризов, так что описывать по большому счету нечего. Попробуйте и вы сами всё поймете.
Единственное что я делаю это то что не держу её включенной. Убираю из автозагрузки в самой панели управления или командой:
В случае необходимости мне не сложно включить при необходимости и отключить после использования следующими командами:
Заключение
В этой статье я свёл в одно место все основные моменты которые я на практике использую при базовой настройке сервера Rocky Linux 8.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Понравилась статья? Поделитесь ей с друзьями! Пожалуйста, оставляйте свои комментарииЧитая их я получаю информацию которая позволяет мне улучшить качество написания статей. Кроме того, оставляя комментарии вы помогаете сайту получить более высокий рейтинг у поисковых систем. Давайте общаться.
4 комментариев для статьи “ Rocky Linux 8 установка и настройка ”
Теперь все статьи с Rocky будут?
Вместо CentOS (для меня теперь это Fedora2) будет Rocky Linux 🙂
Хорошее руководство получилось. Надеюсь, Rocky Linux получит такое же распространение, как и Centos.
Данная инструкция позволит быстро развернуть на одном сервере OpenShift. Так как данная инструкция не описывает процесс создания кластера, у нее нет практического применения для крупных инсталляций.
Установка и настройка Docker
Для работы Openshift необходимо, чтобы был установлен Docker. Рассмотрим процесс его установки и настройки.
1. Устанавливаем wget:
dnf install wget
Скачиваем конфигурационный файл для репозитория докер:
2. Теперь устанавливаем docker:
dnf install docker-ce docker-ce-cli
И разрешаем автозапуск сервиса и стартуем его:
systemctl enable docker --now
Подробнее об установке Docker на странице Установка Docker на Linux.
3. Чтобы убедиться, что docker в рабочем состоянии, выполняем команду:
docker run hello-world
Мы должны увидеть:
Hello from Docker!
This message shows that your installation appears to be working correctly.
To generate this message, Docker.
4. Внесем изменения в два конфигурационных файла.
И второй (создаем):
* опция insecure-registries / registries.insecure разрешает подсеть, для которой может использоваться реестр образов, для подключения к которому не требуется наличие безопасного сертификата (например, может использоваться самоподписанный).
systemctl restart docker
Настройка системы
Внесем некоторые настройки в систему.
1. Ядро
Разрешаем форвардин для предоставления доступа к другим подсетям и сети Интернет создаваемым контейнерам.
Открываем конфигурационный файл:
И добавим строку:
sysctl -p /etc/sysctl.conf
2. Брандмауэр
В системе Rocky Linux используется утилита для управления брандмауэром на базе firewalld. Но мы рассмотрим также и iptables.
а) firewalld.
Открываем порты командами:
firewall-cmd --permanent --permanent --add-port=/tcp
firewall-cmd --permanent --permanent --add-port=/udp
- 80,443,8443 — порты для доступа к веб-интерфейсу.
- 53,8053 — для сервера DNS.
б) iptables.
Если в нашей системе Rocky Linux используется iptables, вводим команды:
iptables -I INPUT -p tcp --match multiport --dports 80,443,8443 -j ACCEPT
iptables -I INPUT -p udp --match multiport --dports 53,8053 -j ACCEPT
Для сохранения правил вводим:
service iptables save
Установка Openshift и запуск кластера
Переходим к установке и запуску Openshift.
Установка
Процесс установки заключается в загрузке бинарника и размещении его в каталоге /usr/local/bin. Переходим на страницу загрузки последней версии Openshift. Копируем ссылку на загрузку архива openshift-origin-client (в самом низу страницы):
Используем ссылку для загрузки архива на сервере, например:
tar xvf openshift-origin-client-tools*.tar.gz
Переносим бинарники в каталог /usr/local/bin:
mv openshift-origin-client-tools-*/ /usr/local/bin/
Проверяем работу утилиты oc:
Мы должны увидеть что-то на подобие:
oc v3.11.0+0cbc58b
kubernetes v1.11.0+d4cacc0
features: Basic-Auth GSSAPI Kerberos SPNEGO
Запуск
Openshift представляет из себя набор контейнеров Docker, которые представляют из себя сервис. Для их запуска вводим:
oc cluster up --public-hostname=192.168.1.30
* где 192.168.1.30 — IP-адрес, на котором должен слушать запросы наш кластер.
Некоторое время, команда будет работать. После мы увидим:
Login to server .
Creating initial project "myproject" .
Server Information .
OpenShift server started.
You are logged in as:
User: developer
Password: <any value>
To login as administrator:
oc login -u system:admin
Вводим логин system и пароль admin.
Автозапуск
[Unit]
Description=OpenShift oc cluster up Service
After=docker.service
Requires=docker.service
[Service]
ExecStart=/usr/local/bin/oc cluster up --public-hostname=192.168.1.30
ExecStop=/usr/local/bin/oc cluster down
Restart=no
StandardOutput=syslog
StandardError=syslog
SyslogIdentifier=occlusterup
User=root
Type=oneshot
RemainAfterExit=yes
TimeoutSec=300
* обратите внимание на опцию public-hostname, в которой необходимо указать адрес, на котором должен слушать кластер.
Читайте также: