05 Использование пакетных репозиториев
Установка компонентов Luxms BI c использованием пакетов облегчает развертывание, обновление и восстановление предыдущей версии. Все пакеты компонентов имеют версию SemVer, состоящую из 3 чисел, и временную метку, содержащую дату сборки пакета.
При установке пакетов Luxms BI может потребоваться доступ к публичным репозиториям стороннего программного обеспечения. Информация о необходимых дополнительных репозиториях указана далее для всех компонентов.
Доступ к пакетным репозиториям может быть настроен несколькими путями, мы рассмотрим два наиболее популярных:
- создание собственного Инфраструктурного решения по зеркалированию пакетных репозиториев;
- подключение к пакетным репозиториям Производитея ПО.
Рекомендуем использование зеркалирования репозиториев для обеспечения независимости Клиентов от стабильности каналов связи и для исключения многократной утилизации канала связи для повторного получения пакетов.
В качестве решений по реализации собственного зеркала пакетных репозиториев можем порекомендовать следующий перечень решений:
Foreman(with Katello plugin) - бесплатное OpenSource решение предоставляющее, кроме управления зеркалами репозиториев, функционал управления серверами. Поддерживает как YUM, так и DEB-репозитории.
Sonatype Nexus repository OSS - бесплатный вариант проксирующего сервера контента. Может быть использован как проксирующий сервер для различных артефактов , включая Maven, PyPi, NodeJS и других.
Aptly бесплатное OpenSource решение для полноценного управления Deb-репозиториями.
Подключение к собственному зеркалу репозиториев
В зависимости от действующего в Вашей ИТ-Инфраструктуре решения по организации доступа к пакетным репозиториям, подключение хостов должно производиться в соответствии с внутренними нормативными документами. И не может быть произведено с помощью “релизных” пакетов из репозиториев Производителей ПО, в том числе и к зеркалам репозиториев Luxms BI.
Подключение к репозиториям Luxms BI
Для подключения к персонализированному репозиторию необходимы аутентификационные данные, выдаваемые клиентам.
Репозитории Luxms BI содержат “релизные” пакеты:
- для RPM-based ОС -
luxmsbi-release-[version]-[release].noarch.rpm
- для Deb-based ОС -
luxmsbi-release_[version]-[release]_amd64.deb
значения для [version]
и [release]
обозначают версию Luxms BI и дату выпуска пакета.
При поключении к репозиториям Производителя Вам необходимо настроить и сохранить аутентификационные данные для доступа к репозиториям, на каждом подключаемом хосте.
Рекомендуем вам загрузить самый свежий пакет для вашей ОС через Web-интерфейс сервера обновлений Luxms BI.
Обновление корневых сертификатов
Подключение репозиториев или установка из них пакетов может не работать на ваших серверах, если корневые сертификаты ОС давно не обновлялись вручную и/или не обновляются автоматически.
В этом случае вам нужно загрузить пакет с корневыми сертификатами вручную и установить его.
Для RPM-based ОС:
sudo dnf -y update ca-certificates
sudo update-ca-trust
Если Вы используете собственные центры сертификации, то необходимо создать файлы сертификатов корневого(и промежуточных) CA в папке /etc/pki/ca-trust/source/anchors/
в PEM-формате, с расширением .crt
. После чего выполнить ручное обновление сертификатов командой:
sudo update-ca-trust
Для Deb-based ОС:
apt update
apt install ca-certificates
Если Вы используете собственные центры сертификации, то необходимо создать файлы сертификатов корневого(и промежуточных) CA в папке /usr/local/share/ca-certificates/
в PEM-формате, с расширением .crt
. После чего выполнить ручное обновление сертификатов командой:
update-ca-certificates
Пакетное подключение репозиториев
Установка “релизного” пакета, опубликованного в репозитории, позволяет Вам установить публичный ключ GPG для обеспечения проверки целостности пакетов, и создаст шаблон конфигурационного файла репозиториев.
Но настройка аутентификационных данных для доступа к репозиториям должна быть произведена на каждом хосте в ручном режиме. Описание настройки приведено в следующих разделах.
Пакеты Luxms BI не поставляются с критичными аутентификационными данными, тем более что каждому Клиенту предоставляется возможность смены секретной фразы для доступа к репозиториям.
Установите эти пакеты в ОС ваших серверов, используя необходимый пакетный менеджер - apt
или dnf(yum)
.
Если по каким-либо причинам вы не можете установить релизный пакет, то настройка доступа к ним может быть проведена в ручном режиме.
Настройка подключение к YUM-репозиторию
“Релизный” пакет устанавливает шаблон конфигурации для подключения к YUM-репозиторию /etc/yum.repos.d/luxmsbi.repo
, который выглядит следующим образом для ОС базирующихся на базе Enterprise Linux:
[luxms-thirdparty]
name=Luxms 3rd-party packages
baseurl=https://download.luxms.com/repository/thirdparty/el/$releasever/$basearch/
enabled=1
gpgcheck=0
repo_gpgcheck=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-Luxms
[luxms-bi9]
name=Luxms BI 9 Repository
baseurl=https://download.luxms.com/repository/[REPO]/9/el/$releasever/$basearch/
enabled=1
gpgcheck=1
repo_gpgcheck=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-Luxms
#username=
#password=
Для окончательной настройки доступа к репозиториям LuxmsBI необходимо:
- Указать имя репозитория в параметре
baseurl=
вместо[REPO]
(иногда название репозитория совпадает с именем учетной записи); - Удалить знак комментария и указать имя учетной записи в параметре
username=
; - Удалить знак комментария и указать пароль учетной записи в параметре
password=
.
Для настройки репозиториев под ОС RedOS базовые URL-ы выглядят чуть по другому:
[luxms-thirdparty]
name=Luxms 3rd-party packages
baseurl=https://download.luxms.com/repository/thirdparty/redos/7/$basearch/
...
[luxms-bi9]
name=Luxms BI 9 Repository
baseurl=https://download.luxms.com/repository/[REPO]/9/redos/7/$basearch/
...
При развертывании на других RPM-based дистрибутивах необходимо корректно изменить URI с учетом значения переменной $releasever
для конкретной ОС. Например для Oracle Linux 7, поможет простая замена на статическую версию:
baseurl=https://download.luxms.com/repository/[REPO]/9/el/7/$basearch/
baseurl=https://download.luxms.com/repository/thirdparty/8/el/7/$basearch/
Для облегчения процесса получения RPM-пакетов программного обеспечения с открытым исходным кодом сторонних разработчиков ПО, дополнительно настраивается репозиторий luxms-thirdparty
. Этот репозиторий не требует аутентификации.
Настройка подключения к DEB-репозиторию
“Релизный” пакет устанавливает шаблон конфигурации для подключения к репозиторию /etc/apt/source.list.d/luxmsbi.list
. Может содержать одну или несколько строк, выглядит следующим образом:
# Replace password with yours in links.
deb [ arch=amd64 ] https://[customer]:[password]@download.luxms.com/repository/alse-bi9 1.7_x86-64 main
где:
[customer]
- учетная запись клиента, для доступа к репозиториям;[password]
- пароль к учетной записи.
Количество строк в конфигурационном файле зависит от наличия заказной разработки ПО. Если Вы получаете от нас дополнительное ПО, то к основному репозиторию может быть добавлен персонализированный, например:
deb [ arch=amd64 ] https://[customer]:[password]@download.luxms.com/repository/alse-[customer] 1.7_x86-64 main
Для окончательной настройки доступа к репозиториям Luxms BI необходимо:
- Проверить корректность имени учетной записи в URL-е репозитория, вместо [customer].
- Заменить password на пароль учетной предоставленной записи.
Безопасность аутентификационных данных для доступа к репозиториям может быть обеспечена использованием apt_auth.conf.
Также можно воспользоваться командой man apt_auth.conf
Аутентификационные данные для репозитория Luxms BI устанавливаются в конфигурационном файле /etc/apt/auth.conf.d/luxmsbi.conf
:
В примере использованы нереальные значения для учетной записи и пароля.
Получите Ваш пароль через менеджера партнера или производителя Luxms BI.
machine download.luxms.com
login AstraLinux
password CoolPassword
После настройки Вы можете смело поменять разрешения на конфигурации файлов, содержащие пароли:
chmod 600 /etc/apt/auth.conf /etc/apt/auth.conf.d/*.conf
chmod 700 /etc/apt/auth.conf.d
Замечена неработоспособность при использовании специального символа “@”, поэтому при настройке рекомендуем проверить совместимость содержимого пароля с этим функционалом.
Настройка верификации пакетов
Ручная установка репозитория требует дополнительно регистрацию публичного PGP-ключа для проверки цифровой подписи пакетов при установке.
Для RPM-based ОС:
sudo curl -o /etc/pki/rpm-gpg/RPM-GPG-KEY-Luxms \
https://download.luxms.com/repository/thirdparty/RPM-GPG-KEY-Luxms
sudo rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-Luxms
Для Deb-based ОС:
wget -q -O - \
https://download.luxms.com/repository/thirdparty/RPM-GPG-KEY-Luxms \
| sudo apt-key add -
После настройки репозитория рекомендуем обновить локальный кеш пакетов:
sudo apt update