05 Использование пакетных репозиториев

Установка компонентов Luxms BI c использованием пакетов облегчает развертывание, обновление и восстановление предыдущей версии. Все пакеты компонентов имеют версию SemVer, состоящую из 3 чисел, и временную метку, содержащую дату сборки пакета.

При установке пакетов Luxms BI может потребоваться доступ к публичным репозиториям стороннего программного обеспечения. Информация о необходимых дополнительных репозиториях указана далее для всех компонентов.

Доступ к пакетным репозиториям может быть настроен несколькими путями, мы рассмотрим два наиболее популярных:

• создание собственного Инфраструктурного решения по зеркалированию пакетных репозиториев;
• подключение к пакетным репозиториям Производитея ПО.

к сведению

Рекомендуем использование зеркалирования репозиториев для обеспечения независимости Клиентов от стабильности каналов связи и для исключения многократной утилизации канала связи для повторного получения пакетов.

В качестве решений по реализации собственного зеркала пакетных репозиториев можем порекомендовать следующий перечень решений:

1. Foreman(with Katello plugin) - бесплатное OpenSource решение предоставляющее, кроме управления зеркалами репозиториев, функционал управления серверами. Поддерживает как YUM, так и DEB-репозитории.

2. Sonatype Nexus repository OSS - бесплатный вариант проксирующего сервера контента. Может быть использован как проксирующий сервер для различных артефактов , включая Maven, PyPi, NodeJS и других.

3. Aptly бесплатное OpenSource решение для полноценного управления Deb-репозиториями.

Подключение к собственному зеркалу репозиториев

В зависимости от действующего в Вашей ИТ-Инфраструктуре решения по организации доступа к пакетным репозиториям, подключение хостов должно производиться в соответствии с внутренними нормативными документами. И не может быть произведено с помощью “релизных” пакетов из репозиториев Производителей ПО, в том числе и к зеркалам репозиториев Luxms BI.

Подключение к репозиториям Luxms BI

осторожно

Для подключения к персонализированному репозиторию необходимы аутентификационные данные, выдаваемые клиентам.

Репозитории Luxms BI содержат “релизные” пакеты:

• для RPM-based ОС - luxmsbi-release-[version]-[release].noarch.rpm
• для Deb-based ОС - luxmsbi-release_[version]-[release]_amd64.deb

значения для [version] и [release] обозначают версию Luxms BI и дату выпуска пакета.

При поключении к репозиториям Производителя Вам необходимо настроить и сохранить аутентификационные данные для доступа к репозиториям, на каждом подключаемом хосте.

Рекомендуем вам загрузить самый свежий пакет для вашей ОС через Web-интерфейс сервера обновлений Luxms BI.

Обновление корневых сертификатов

Подключение репозиториев или установка из них пакетов может не работать на ваших серверах, если корневые сертификаты ОС давно не обновлялись вручную и/или не обновляются автоматически.

В этом случае вам нужно загрузить пакет с корневыми сертификатами вручную и установить его.

Для RPM-based ОС:

sudo dnf -y update ca-certificates  
sudo update-ca-trust

Если Вы используете собственные центры сертификации, то необходимо создать файлы сертификатов корневого(и промежуточных) CA в папке /etc/pki/ca-trust/source/anchors/ в PEM-формате, с расширением .crt. После чего выполнить ручное обновление сертификатов командой:

sudo update-ca-trust

Для Deb-based ОС:

apt update
apt install ca-certificates

Если Вы используете собственные центры сертификации, то необходимо создать файлы сертификатов корневого(и промежуточных) CA в папке /usr/local/share/ca-certificates/ в PEM-формате, с расширением .crt. После чего выполнить ручное обновление сертификатов командой:

update-ca-certificates

Пакетное подключение репозиториев

Установка “релизного” пакета, опубликованного в репозитории, позволяет Вам установить публичный ключ GPG для обеспечения проверки целостности пакетов, и создаст шаблон конфигурационного файла репозиториев.

Но настройка аутентификационных данных для доступа к репозиториям должна быть произведена на каждом хосте в ручном режиме. Описание настройки приведено в следующих разделах.
Пакеты Luxms BI не поставляются с критичными аутентификационными данными, тем более что каждому Клиенту предоставляется возможность смены секретной фразы для доступа к репозиториям.

Установите эти пакеты в ОС ваших серверов, используя необходимый пакетный менеджер - apt или dnf(yum).

Если по каким-либо причинам вы не можете установить релизный пакет, то настройка доступа к ним может быть проведена в ручном режиме.

Настройка подключение к YUM-репозиторию

“Релизный” пакет устанавливает шаблон конфигурации для подключения к YUM-репозиторию /etc/yum.repos.d/luxmsbi.repo, который выглядит следующим образом для ОС базирующихся на базе Enterprise Linux:

[luxms-thirdparty]
name=Luxms 3rd-party packages
baseurl=https://download.luxms.com/repository/thirdparty/el/$releasever/$basearch/
enabled=1
gpgcheck=0
repo_gpgcheck=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-Luxms

[luxms-bi9]
name=Luxms BI 9 Repository 
baseurl=https://download.luxms.com/repository/[REPO]/9/el/$releasever/$basearch/
enabled=1
gpgcheck=1
repo_gpgcheck=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-Luxms
#username=
#password=

Для окончательной настройки доступа к репозиториям LuxmsBI необходимо:

• Указать имя репозитория в параметре baseurl= вместо [REPO] (иногда название репозитория совпадает с именем учетной записи);
• Удалить знак комментария и указать имя учетной записи в параметре username=;
• Удалить знак комментария и указать пароль учетной записи в параметре password=.

Для настройки репозиториев под ОС RedOS базовые URL-ы выглядят чуть по другому:

[luxms-thirdparty]
name=Luxms 3rd-party packages
baseurl=https://download.luxms.com/repository/thirdparty/redos/7/$basearch/
...

[luxms-bi9]
name=Luxms BI 9 Repository 
baseurl=https://download.luxms.com/repository/[REPO]/9/redos/7/$basearch/
...

к сведению

При развертывании на других RPM-based дистрибутивах необходимо корректно изменить URI с учетом значения переменной $releasever для конкретной ОС. Например для Oracle Linux 7, поможет простая замена на статическую версию:

baseurl=https://download.luxms.com/repository/[REPO]/9/el/7/$basearch/

baseurl=https://download.luxms.com/repository/thirdparty/8/el/7/$basearch/

Для облегчения процесса получения RPM-пакетов программного обеспечения с открытым исходным кодом сторонних разработчиков ПО, дополнительно настраивается репозиторий luxms-thirdparty. Этот репозиторий не требует аутентификации.

Настройка подключения к DEB-репозиторию

“Релизный” пакет устанавливает шаблон конфигурации для подключения к репозиторию /etc/apt/source.list.d/luxmsbi.list. Может содержать одну или несколько строк, выглядит следующим образом:

# Replace password with yours in links.
deb [ arch=amd64 ] https://[customer]:[password]@download.luxms.com/repository/alse-bi9 1.7_x86-64 main

где:

• [customer] - учетная запись клиента, для доступа к репозиториям;
• [password] - пароль к учетной записи.

Количество строк в конфигурационном файле зависит от наличия заказной разработки ПО. Если Вы получаете от нас дополнительное ПО, то к основному репозиторию может быть добавлен персонализированный, например:

deb [ arch=amd64 ] https://[customer]:[password]@download.luxms.com/repository/alse-[customer] 1.7_x86-64 main

Для окончательной настройки доступа к репозиториям Luxms BI необходимо:

• Проверить корректность имени учетной записи в URL-е репозитория, вместо [customer].
• Заменить password на пароль учетной предоставленной записи.

Безопасность аутентификационных данных для доступа к репозиториям может быть обеспечена использованием apt_auth.conf.
Также можно воспользоваться командой man apt_auth.conf

Аутентификационные данные для репозитория Luxms BI устанавливаются в конфигурационном файле /etc/apt/auth.conf.d/luxmsbi.conf:

осторожно

В примере использованы нереальные значения для учетной записи и пароля.
Получите Ваш пароль через менеджера партнера или производителя Luxms BI.

machine download.luxms.com
login AstraLinux
password CoolPassword

После настройки Вы можете смело поменять разрешения на конфигурации файлов, содержащие пароли:

chmod 600 /etc/apt/auth.conf /etc/apt/auth.conf.d/*.conf
chmod 700 /etc/apt/auth.conf.d

осторожно

Замечена неработоспособность при использовании специального символа “@”, поэтому при настройке рекомендуем проверить совместимость содержимого пароля с этим функционалом.

Настройка верификации пакетов

Ручная установка репозитория требует дополнительно регистрацию публичного PGP-ключа для проверки цифровой подписи пакетов при установке.

Для RPM-based ОС:

sudo curl -o /etc/pki/rpm-gpg/RPM-GPG-KEY-Luxms \
          https://download.luxms.com/repository/thirdparty/RPM-GPG-KEY-Luxms
sudo rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-Luxms

Для Deb-based ОС:

wget -q -O - \
     https://download.luxms.com/repository/thirdparty/RPM-GPG-KEY-Luxms \
     | sudo apt-key add -

После настройки репозитория рекомендуем обновить локальный кеш пакетов:

sudo apt update