如何构建一台网络引导服务器(四)

在本系列教程中所构建的网络引导服务器有一个很重要的限制,那就是所提供的操作系统镜像是只读的。一些使用场景或许要求终端用户能够修改操作系统镜像。

-- Gregory Bartholomew

致谢

译自 | fedoramagazine.org

作者 | Gregory Bartholomew

译者 | LCTT / qhwdw

在本系列教程中所构建的网络引导服务器有一个很重要的限制,那就是所提供的操作系统镜像是只读的。一些使用场景或许要求终端用户能够修改操作系统镜像。例如,一些教师或许希望学生能够安装和配置一些像 MariaDB 和 Node.js 这样的包来做为他们课程练习的一部分。

可写镜像的另外的好处是,终端用户“私人定制”的操作系统,在下次不同的工作站上使用时能够“跟着”他们。

修改 Bootmenu 应用程序以使用 HTTPS

为 bootmenu 应用程序创建一个自签名的证书:

验证你的证书的值。确保 行中 的值与你的 iPXE 客户端连接你的网络引导服务器所使用的 DNS 名字是相匹配的:

接下来,更新 bootmenu 应用程序去监听 HTTPS 端口和新创建的证书及密钥:

注意iPXE 当前支持的

[1]

加密算法是有限制的。

GnuTLS 要求 “CAPDACREAD_SEARCH” 能力,因此将它添加到 bootmenu 应用程序的 systemd 服务:

现在,在防火墙中为 bootmenu 服务添加一个例外规则并重启动该服务:

使用 去验证是否工作正常:

添加 HTTPS 到 iPXE

更新 去使用 HTTPS。接着使用选项重新编译 ipxe 引导加载器,以便它包含和信任你为 bootmenu 应用程序创建的自签名证书:

你现在可以将启用了 HTTPS 的 iPXE 引导加载器复制到你的客户端上,并测试它能否正常工作:

添加用户验证到 Mojolicious 中

为 bootmenu 应用程序创建一个 PAM 服务定义:

添加一个库到 bootmenu 应用程序中,它使用 Authen-PAM 的 Perl 模块去执行用户验证:

以上的代码是一字不差是从 Authen::PAM::FAQ 的 man 页面中复制来的。

重定义 bootmenu 应用程序,以使它仅当提供了有效的用户名和密码之后返回一个网络引导模板:

bootmenu 应用程序现在查找 命令去找到相应的 。但是,默认情况下,对于 systemd 单元它的工作目录设置为服务器的 root 目录。因此,你必须更新 systemd 单元去设置 为 bootmenu 应用程序的根目录:

更新模块去使用重定义后的 bootmenu 应用程序:

上面的最后的命令将生成类似下面的三个文件:

现在,重启动 bootmenu 应用程序,并验证用户认证是否正常工作:

使得 iSCSI Target 可写

现在,用户验证通过 iPXE 可以正常工作,在用户连接时,你可以按需在只读镜像的上面创建每用户可写的overlay叠加层。使用一个写时复制

[2]

的叠加层与简单地为每个用户复制原始镜像相比有三个好处:

1. 副本创建非常快。这样就可以按需创建。

2. 副本并不增加服务器上的磁盘使用。除了原始镜像之外,仅存储用户写入个人镜像的内容。

3. 由于每个副本的扇区大多都是服务器的存储器上的相同扇区,在随后的用户访问这些操作系统的副本时,它们可能已经加载到内存中,这样就提升了服务器的性能,因为对内存的访问速度要比磁盘 I/O 快得多。

使用写时复制的一个潜在隐患是,一旦叠加层创建后,叠加层之下的镜像就不能再改变。如果它们改变,所有它们之上的叠加层将出错。因此,叠加层必须被删除并用新的、空白的进行替换。即便只是简单地以读写模式加载的镜像,也可能因为某些文件系统更新导致叠加层出错。

由于这个隐患,如果原始镜像被修改将导致叠加层出错,因此运行下列的命令,将原始镜像标记为不可改变:

你可以使用 去查看不可改变标志,并可以使用 取消设置不可改变标志。在设置了不可改变标志之后,即便是 root 用户或以 root 运行的系统进程也不修改或删除这个文件。

停止 tgtd.service 之后,你就可以改变镜像文件:

当仍有连接打开的时候,运行这个命令一般需要一分钟或更长的时间。

现在,移除只读的 iSCSI 出口。然后更新模板中的 配置文件,以使镜像不再是只读的:

将 journald 日志从发送到内存修改回缺省值(如果 存在的话记录到磁盘),因为一个用户报告说,他的客户端由于应用程序生成了大量的系统日志而产生内存溢出错误,导致它的客户端被卡住。而将日志记录到磁盘的负面影响是客户端产生了额外的写入流量,这将在你的网络引导服务器上可能增加一些没有必要的 I/O。你应该去决定到底使用哪个选择 —— 记录到内存还是记录到硬盘 —— 哪个更合适取决于你的环境。

因为你的模板镜像在以后不能做任何的更改,因此在它上面设置不可更改标志,然后重启动 tgtd.service:

现在,更新 bootmenu 应用程序:

新版本的 bootmenu 应用程序调用一个定制的 脚本,如果成功,它将为每个它自己创建的新的 iSCSI 目标返回一个随机的CHAP

[3]

密码。这个 CHAP 密码可以防止其它用户的 iSCSI 目标以间接方式挂载这个用户的目标。这个应用程序只有在用户密码认证成功之后才返回一个正确的 iSCSI 目标密码。

脚本要加 前缀来运行,因为它需要 root 权限去创建目标。

和 变量也传递给 命令,因此在需要的时候,它们也能够被纳入到模板中返回给用户。

接下来,更新我们的引导模板,以便于它们能够读取用户名和 变量,并传递它们到所属的终端用户。也要更新模板以 rw(读写)模式加载根文件系统:

运行上面的命令后,你应该会看到如下的引导模板:

注意:如果在插入

[4]

变量后需要查看引导模板,你可以在 命令之前,在它自己的行中插入 命令。然后在你网络引导你的客户端时,iPXE 将在那里给你提供一个用于交互的 shell,你可以在 shell 中输入 去查看传递到内核的参数。如果一切正确,你可以输入 去退出 shell 并继续引导过程。

现在,通过 允许 bootmenu 用户以 root 权限去运行 脚本(仅这个脚本):

bootmenu 用户不应该写访问 脚本或在它的家目录下的任何其它文件。在 目录下的所有文件的属主应该是 root,并且不应该被其它任何 root 以外的用户可写。

在使用 systemd 的 选项下不能正常工作,因此创建一个普通用户帐户,并设置 systemd 服务以那个用户运行:

最后,为写时复制覆盖创建一个目录,并创建管理 iSCSI 目标的 脚本和它们的覆盖支持存储:

上面的脚本将做以下五件事情:

1. 创建 稀疏文件(如果不存在的话)。

2. 创建 设备节点作为 iSCSI 目标的写时复制支持存储(如果不存在的话)。

3. 创建 iSCSI 目标(如果不存在的话)。或者,如果已存在了,它将关闭任何已存在的连接,因为在任何时刻,镜像只能以只读模式从一个地方打开。

4. 它在 iSCSI 目标上(重新)设置 chap 密码为一个新的随机值。

5. (如果前面的所有任务都成功的话)它在标准输出

[5]

上显示新的 chap 密码。

你应该可以在命令行上通过使用有效的测试参数来运行它,以测试 脚本能否正常工作。例如:

当你从命令行上运行时, 脚本应该会输出 iSCSI 目标的一个随意的八字符随机密码(如果成功的话)或者是出错位置的行号(如果失败的话)。

有时候,你可能需要在不停止整个服务的情况下删除一个 iSCSI 目标。例如,一个用户可能无意中损坏了他的个人镜像,在那种情况下,你可能需要按步骤撤销上面的 脚本所做的事情,以便于他下次登入时他将得到一个原始镜像。

下面是用于撤销的 脚本,它以相反的顺序做了上面 脚本所做的事情:

例如,使用上面的脚本去完全删除 fc29-jsmith 目标,包含它的支持存储设备节点和稀疏文件,可以按下列方式运行命令:

一旦你验证 脚本工作正常,你可以重启动 bootmenu 服务。下次有人从网络引导时,他们应该能够接收到一个他们可以写入的、可”私人定制“的网络引导镜像的副本:

现在,就像下面的截屏示范的那样,用户应该可以修改根文件系统了:

via:https://fedoramagazine.org/how-to-build-a-netboot-server-part-4/

作者:Gregory Bartholomew

[7]

选题:lujun9972译者:qhwdw校对:wxy

本文由LCTT原创编译,Linux中国荣誉推出

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190124B0C6YD00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券