{"id":3579,"date":"2023-08-21T07:00:00","date_gmt":"2023-08-21T05:00:00","guid":{"rendered":"https:\/\/www.my-it-brain.de\/wordpress\/?p=3579"},"modified":"2024-01-09T20:31:17","modified_gmt":"2024-01-09T19:31:17","slug":"red-hat-remote-host-configuration","status":"publish","type":"post","link":"https:\/\/www.my-it-brain.de\/wordpress\/red-hat-remote-host-configuration\/","title":{"rendered":"Red Hat Remote Host Configuration"},"content":{"rendered":"\n

Im folgenden Text gebe ich eine Einf\u00fchrung in Red Hat Remote Host Configuration (rhc)<\/a><\/em>. Dabei handelt es sich um ein Werkzeug, um Red Hat Enterprise Linux (RHEL) System mit der Hybrid Cloud Console zu verbinden und aus dieser heraus verwalten zu k\u00f6nnen.<\/p>\n\n\n\n

Der Artikel soll interessierten RHEL-Nutzern zur Information und Wissensvermittlung dienen. Dazu wird rhc<\/code> auch im Kontext subscription-manager<\/code> und insights-client<\/code> eingeordnet.<\/p>\n\n\n\n

Aus Gr\u00fcnden der Transparenz weise ich hiermit darauf hin, dass ich Angestellter der Firma Red Hat bin.<\/p>\n\n\n\n

Hintergrund<\/h2>\n\n\n\n

Als ich pers\u00f6nlich angefangen habe, mich f\u00fcr RHEL zu interessieren, war die Version 7 aktuell und von Simple Content Access (SCA)<\/a> noch keine Rede. Um RHEL-Systeme betreiben zu k\u00f6nnen, waren diese beim Red Hat Subscription Management (RHSM), einem Satellite-Server oder offline zu registrieren, um Subscription Entitlements zuweisen zu k\u00f6nnen. Hierf\u00fcr gab und gibt es das Kommando subscription-manager<\/code>.<\/p>\n\n\n\n

Im Laufe der Zeit kam der Dienst Red Hat Insights<\/a> hinzu, zu welchem es hier im Blog bereits eine Einf\u00fchrung<\/a> gab. Um Systeme hierf\u00fcr zu registrieren, gibt es das Kommando insights-client<\/code>. Die Console, die einst nur Red Hat Insights beheimatete, hat sich zur Hybrid Cloud Console entwickelt, welche heute Heimat f\u00fcr viele weitere Dienste rund um RHEL, OpenShift und die Ansible Automation Platform (AAP) ist.<\/p>\n\n\n\n

Es hat sich viel getan. Dank SCA [1<\/a>] entf\u00e4llt die Notwendigkeit, Entitlements zuweisen zu m\u00fcssen und das Subscription Management befindet sich im \u00dcbergang zur Hybrid Cloud Console<\/a>. \u00dcbergang bedeutet hier insbesondere, dass viele Teile in Bewegung sind und sich in Zukunft noch \u00e4ndern werden. Der Artikel unter [6<\/a>] gibt einen \u00dcberblick dazu.<\/p>\n\n\n\n

Hybrid Cloud Console mit Insights und Ansible Remediation Playbooks<\/h2>\n\n\n\n

Die folgenden vier Abs\u00e4tze wurden der Dokumentation entnommen und mit www.DeepL.com\/Translator (kostenlose Version) \u00fcbersetzt.<\/em><\/p>\n\n\n\n

Die Red Hat Hybrid Cloud Console<\/a> ist eine webbasierte, einheitliche Verwaltungsoberfl\u00e4che f\u00fcr Red Hat-L\u00f6sungen. Mit der Hybrid Cloud Console k\u00f6nnen Sie eine Verbindung zu Ihren verschiedenen Plattformen herstellen und dann Ihre Hybrid Cloud und die darin enthaltenen Systeme zentral verwalten und automatisieren.<\/p>\n\n\n\n

Verwenden Sie die Hybrid Cloud Console, um Ihre RHEL-Infrastruktur, Red Hat OpenShift-Cluster, AAP-Infrastruktur und Anwendungsdienste zu verwalten.<\/p>\n\n\n\n

Die Red Hat Hybrid Cloud Console bietet einen zentralen Einblick in Betrieb, Sicherheit und Subscriptions f\u00fcr Red Hat Enterprise Linux (RHEL).<\/p>\n\n\n\n

Mithilfe von Tools, regelbasierten Analysemodellen und der Unterst\u00fctzung von Red Hat k\u00f6nnen Sie die Konsole nutzen, um viele der Aufgaben und Analysen zu optimieren, die f\u00fcr den Aufbau und die Bereitstellung einer stabilen und sicheren Umgebung f\u00fcr Anwendungen auf RHEL erforderlich sind.<\/p>\n\n\n\n

Dem Marketing-Text der vorstehenden Abs\u00e4tze m\u00f6chte ich einen Hinweis hinterherschicken. Mit der Hybrid Cloud Console verh\u00e4lt es sich wie mit allen extern gehosteten Cloud-Diensten. Hat der Anbieter ein Problem oder ist die Cloud bzw. das Internet nicht verf\u00fcgbar, ist auch der Cloud-Dienst nicht verf\u00fcgbar. Bei der F\u00e4higkeit, meine Infrastruktur zu administrieren, m\u00f6chte ich mich pers\u00f6nlich daher nicht allein auf einen externen Dienst verlassen und empfehle dies auch niemanden. In meinen Augen ist die Hybrid Cloud Console ein zus\u00e4tzliches Werkzeug, welches mit Red Hat Insights einen hohen Mehrwert bietet.<\/p>\n\n\n\n

In den nun folgenden Abschnitten beschreibe ich, wie in der Hybrid Cloud Console ein Activation Key<\/em> erstellt wird und wie man diesen nutzt, um Systeme mittels rhc<\/code> in der Console zu registrieren. Anschlie\u00dfend zeige ich, wie dank rhc<\/code> Ansible Remediation Playbooks<\/em> direkt aus der Console heraus auf verbundenen RHEL-Systemen ausgef\u00fchrt werden k\u00f6nnen.<\/p>\n\n\n\n

Ob man einem extern durch Dritte gehosteten Dienst das Recht einr\u00e4umen m\u00f6chte, \u00c4nderungen an den eigenen Server-Systemen durchf\u00fchren zu k\u00f6nnen, muss jeder f\u00fcr sich selbst und seine Umgebung bewerten. Ich m\u00f6chte hier lediglich die Funktionalit\u00e4t in meiner Lab-Umgebung demonstrieren.<\/p>\n\n\n\n

Activation Key erstellen<\/h3>\n\n\n\n

Um einen Activation Key zu erstellen [10<\/a>], meldet man sich an der Hybrid Cloud Console (https:\/\/console.redhat.com<\/a>) an und tippt in das Suchfeld im oberen Bereich „create activation key“ ein.<\/p>\n\n\n\n

\"Startseite
Ausgef\u00fcllte Suchmaske in der Hybrid Cloud Console<\/figcaption><\/figure>\n\n\n\n

Der erste Treffer f\u00fchrt uns zu folgender Maske, in der ein Activation Key erstellt werden kann:<\/p>\n\n\n\n

\"\"
Men\u00fc zur Erstellung von Activation Keys<\/figcaption><\/figure>\n\n\n\n
\"Dialog
Dialog zur Erstellung des Activation Keys<\/figcaption><\/figure>\n\n\n\n

Nach einem Klick auf die Schaltfl\u00e4che Create activation key<\/em> erscheint der oben dargestellte Dialog. Die Optionen, die unter Role, Service Level Agreement (SLA) <\/em>und Usage<\/em> zur Auswahl stehen, h\u00e4ngen von den im Account vorhandenen Subscriptions ab. Mit ihnen wird der sogenannte System Purpose<\/a> bestimmt. Der Name kann frei gew\u00e4hlt werden. Er erscheint anschlie\u00dfend in der \u00dcbersicht.<\/p>\n\n\n\n

\"\u00dcbersicht
\u00dcbersicht der existierenden Activation Keys<\/figcaption><\/figure>\n\n\n\n

Hinweis:<\/em> Die Organization ID und der Name des Activation Key sind vertraulich zu behandeln, da mit diesen Informationen Systeme f\u00fcr die Hybrid Cloud Console registriert werden k\u00f6nnen.<\/p>\n\n\n\n

System mit rhc registrieren<\/h3>\n\n\n\n

Mit dem Befehl rhc -h<\/code> erh\u00e4lt man eine Beschreibung, wie Organization ID und Activation Key genutzt werden, um das System bei Red Hat zu registrieren:<\/p>\n\n\n\n

DESCRIPTION:\n   The rhc command controls the system's connection to Red Hat.\n   \n   To connect the system using an activation key:\n     rhc connect --organization ID --activation-key KEY<\/code><\/pre>\n\n\n\n
F\u00fchrt man den Befehl wie angegeben aus und ist die Registrierung erfolgreich, erh\u00e4lt man folgende Ausgabe:<\/p>\n\n\n\n
Connecting host.example.com to Red Hat.\nThis might take a few seconds.\n\n\u25cf Connected to Red Hat Subscription Management\n\u25cf Connected to Red Hat Insights\n\u25cf Activated the Remote Host Configuration daemon\n\u25cf Enabled console.redhat.com services: remote configuration, insights, remediations, compliance\n\nSuccessfully connected to Red Hat!\n\nManage your connected systems: https:\/\/red.ht\/connector<\/code><\/pre>\n\n\n\n
Unter der URL https:\/\/red.ht\/connector<\/a> ist der Remote Host Configuration Manager<\/em> erreichbar. Hier werden die aktuellen Einstellungen angezeigt und k\u00f6nnen bei Bedarf ge\u00e4ndert werden.<\/p>\n\n\n\n
\"Das
Darstellung der Seite Remote Host Configuration Manager<\/figcaption><\/figure>\n\n\n\n
Der rhc<\/code> Client konfiguriert auf dem RHEL host den rhcd<\/code> service, welcher die Verbindung zur Hybrid Cloud Console initiiert und \u00fcber eine MQTT-Verbindung auf Instruktionen lauscht [14<\/a>].<\/p>\n\n\n\n
M\u00f6chte man mehrere Systeme registrieren, empfehle ich die Verwendung der RHEL System Role rhc<\/a>. Auf diese werde ich in einem folgenden Beitrag noch genauer eingehen.<\/p>\n\n\n\n
Die Registrierung und Einbindung in die Hybrid Cloud Console ist damit abgeschlossen.<\/p>\n\n\n\n
Ansible Remediation Playbook erstellen und ausf\u00fchren<\/h3>\n\n\n\n
Die offizielle Dokumentation f\u00fcr die folgenden Schritte befindet sich unter [12<\/a>]. Ich habe ein System gew\u00e4hlt, welches noch nicht aktualisiert wurde und daher einige Schwachstellen aufweist.<\/p>\n\n\n\n
\"Das
\u00dcbersicht der vorhandenen CVE. Zwei Eintr\u00e4ge wurden f\u00fcr die Remediation mit Ansible ausgew\u00e4hlt.<\/figcaption><\/figure>\n\n\n\n
In der \u00dcbersicht k\u00f6nnen CVE ausgew\u00e4hlt werden, welche mit Hilfe eines Ansible Remediation Playbook<\/em> geschlossen werden sollen. Mit einem Klick auf die Schaltfl\u00e4che Remediate<\/em> gelangt man in den Assistenten zur Erstellung des Playbooks.<\/p>\n\n\n\n
\"Das
Der Name des Playbooks kann frei gew\u00e4hlt werden.<\/figcaption><\/figure>\n\n\n\n
\"Im
In Schritt zwei k\u00f6nnen verwundbare Systeme ausgew\u00e4hlt werden.<\/figcaption><\/figure>\n\n\n\n
\"Das
Review der Einstellungen mit dem Hinweis, dass das Zielsystem durch das Playbook automatisch neugestartet wird.<\/figcaption><\/figure>\n\n\n\n
\"Das
Bis hierher wurde nur ein Playbook erstellt. Es wurde noch keine Remediation durchgef\u00fchrt.<\/figcaption><\/figure>\n\n\n\n
Die erstellten Playbooks findet man im Men\u00fc unter Red Hat Insights –> Automation Toolkit –> Remediations. Bisher kann das Playbook hier allerdings nur heruntergeladen werden, um es auf einem Ansible Controller in der eigenen Infrastruktur auszuf\u00fchren. Um diese Playbooks direkt aus der Hybrid Cloud Console heraus ausf\u00fchren zu k\u00f6nnen, muss der verwendete User Mitglied einer Gruppe mit der Rolle Remediations administrator<\/em> sein.<\/p>\n\n\n\n
Ein Exkurs in die Rollen- und Rechteverwaltung der Hybrid Cloud Console w\u00fcrde an dieser Stelle zu weit f\u00fchren. Nachdem die Voraussetzungen f\u00fcr die Ausf\u00fchrung von Remediation Playbooks<\/a> geschafften wurden, stehen folgende Schritte zur Verf\u00fcgung.<\/p>\n\n\n\n
\"\"
In der Ansicht des Remediation Jobs kann das Playbook nun direkt ausgef\u00fchrt werden.<\/figcaption><\/figure>\n\n\n
\n
\"\"
Eine letzte Best\u00e4tigung, dann geht es los.<\/figcaption><\/figure>\n<\/div>\n\n\n
Im Hintergrund passiert nun folgendes:<\/p>\n\n\n\n
    \n
  1. Das Playbook wird auf den oder die Hosts \u00fcbertragen<\/li>\n\n\n\n
  2. Auf den Hosts wird es durch die dort lokal installierte Ansible Engine (Paket ansible-core<\/code>) ausgef\u00fchrt<\/li>\n\n\n\n
  3. Der Host wird anschlie\u00dfend automatisch neugestartet<\/li>\n\n\n\n
  4. In der Console wird anschlie\u00dfend sichbar, dass die Remediation abgeschlossen wurde<\/li>\n<\/ol>\n\n\n\n
    \"\"<\/figure>\n\n\n\n
    Ob man einem SaaS-Dienst, der von einem US-Unternehmen in den USA gehostet wird, Zugriff auf die eigenen Server gew\u00e4hren m\u00f6chte bzw. darf, muss individuell bewertet werden.<\/p>\n\n\n\n
    Ich gestehe dem Service allerdings zu, dass er die Verwaltung und Remediation von Sicherheitsl\u00fccken, fehlenden Advisories und Konfigurationsanpassungen durch den Advisor<\/a> denkbar einfach gestaltet.<\/p>\n\n\n\n
    Ein Werkzeug f\u00fcr alles?<\/h2>\n\n\n\n
    F\u00fcr die in diesem Text aufgef\u00fchrten Anwendungsf\u00e4lle<\/p>\n\n\n\n