서버 설치를 자동화할 때 닭고기 또는 계란 문제를 해결하는 방법을 이해하지 못합니다.
PXE를 통해 재구축할 수 있는 일련의 서버가 있습니다. 머신이 재구축될 때 Apache 서버에서 나중에 다른 서비스를 사용할 때 자신을 인증하는 데 사용할 개인 인증서를 포함하여 필요한 모든 설정을 로드합니다. 이 Apache 서버는 해당 서버에 대해 의도된 구성이나 인증서를 제공하거나 제공을 거부하기 위해 IP 주소로 클라이언트를 식별합니다.
그러나 클라이언트의 IP 주소는 스푸핑될 수 있습니다. MAC 주소도 마찬가지입니다. 어느 시점에 이런 종류의 확인도 추가하면 됩니다.
구성 및 개인 인증서를 안전하게 가져오려면 PXE를 통해 부팅하는 시스템에 Apache 서버와 통신할 때 사용할 수 있는 인증서가 이미 있어야 합니다. 그러나 PXE에서 부팅하는 머신은 새 머신이거나 설치 중에 디스크를 포맷하므로 이는 불가능해 보입니다.
뭔가 빠졌나요? 스푸핑 위험 없이 새 컴퓨터를 어떻게 식별할 수 있나요?
개인 키가 포함된 항상 연결되어 있는 USB 키를 사용해야 합니까? 아니면 다른 옵션이 있나요?
답변1
우리는 감독의 것을 사용합니다부트디스크 플러그인이 목적을 위해. 나는 그것이 정확하거나 독특한 방법이라는 것을 암시하는 것이 아니라 우리가 성공적으로 사용하는 방법입니다.
호스트를 (재)프로비저닝해야 할 때마다 단기 토큰이 생성되어 호스트에 연결된 데이터베이스에 보관됩니다. 이 토큰은 ipxe 바이너리와 올바른 토큰을 식별자로 제공하는 경우에만 프로비저닝 호스트에서 kicstart 파일을 다운로드하는 스크립트와 함께 iso 파일에 들어갑니다. 호스트가 프로비저닝되면 토큰이 삭제됩니다. 특정 시간(조정 가능, 기본적으로 60분) 후에 토큰이 무효화됩니다.
이는 UEFI 펌웨어인 BIOS와 함께 작동하며 pxe가 필요 없고 http(s)만 있으면 거의 수정 없이 인터넷 배포가 가능합니다(원격 위치에 하드웨어를 배포하는 데 편리함).