2.2. SELinux への Automation Hub の高可用性 (HA) デプロイメントのインストール
SELinux で Automation Hub の高可用性 (HA) デプロイメントをセットアップするには、/var/lib/pulp と /var/lib/pulp/pullpcore_static に 2 つのマウントポイントを作成し、それぞれに適切な SELinux コンテキストを割り当てます。/var/lib/pulp/pulpcore_static のコンテキストを追加し、Ansible Automation Platform インストーラーを実行してから、/var/lib/pulp のコンテキストを追加する必要があります。
前提条件
- サーバーに NFS エクスポートを設定している。
インストール前の手順
/var/lib/pulpにマウントポイントを作成します。$ mkdir /var/lib/pulp/
テキストエディターを使用して
/etc/fstabを開き、次の値を追加します。srv_rhel8:/data /var/lib/pulp nfs defaults,_netdev,nosharecache 0 0 srv_rhel8:/data/pulpcore_static /var/lib/pulp/pulpcore_static nfs defaults,_netdev,nosharecache,context="system_u:object_r:httpd_sys_content_rw_t:s0" 0 0
以下のコマンドを実行します。
$ systemctl daemon-reload
/var/lib/pulpのマウントコマンドを実行します。$ mount /var/lib/pulp
/var/lib/pulp/pulpcore_staticにマウントポイントを作成します。$ mkdir /var/lib/pulp/pulpcore_static
マウントコマンドを実行します。
$ mount -a
マウントポイントを設定したら、Ansible Automation Platform インストーラーを実行します。
$ setup.sh -- -b --become-user root
インストールが完了したら、/var/lib/pulp/ マウントポイントをアンマウントして、適切な SELinux コンテキストを適用します。
インストール後の手順
Pulp サービスをシャットダウンします。
$ systemctl stop pulpcore.service
/var/lib/pulp/pulpcore_staticをアンマウントします。$ umount /var/lib/pulp/pulpcore_static
/var/lib/pulp/をアンマウントします。$ umount /var/lib/pulp/
テキストエディターで
/etc/fstabを開き、/var/lib/pulpの既存値を以下に置き換えます。srv_rhel8:/data /var/lib/pulp nfs defaults,_netdev,nosharecache,context="system_u:object_r:pulpcore_var_lib_t:s0" 0 0
マウントコマンドを実行します。
$ mount -a
pulpcore.service を設定します。
2 つのマウントポイントを設定したら、Pulp サービスをシャットダウンして
pulpcore.serviceを設定します。$ systemctl stop pulpcore.service
systemctlを使用してpulpcore.serviceを編集します。$ systemctl edit pulpcore.service
以下のエントリーを
pulpcore.serviceに追加し、ネットワークを起動し、リモートマウントポイントをマウントすることで、Automation Hub サービスが起動するようにします。[Unit] After=network.target var-lib-pulp.mount
remote-fs.targetを有効にします。$ systemctl enable remote-fs.target
システムを再起動します。
$ systemctl reboot
トラブルシューティング
pulpcore SELinux ポリシーのバグにより、etc/pulp/certs/ のトークン認証公開鍵/秘密鍵に適切な SELinux ラベルがなく、パルププロセスが失敗する可能性があります。これが発生した場合は、次のコマンドを実行して、適切なラベルを一時的に貼り付けます。
$ chcon system_u:object_r:pulpcore_etc_t:s0 /etc/pulp/certs/token_{private,public}_key.pemシステムにラベルを付け直すたびに、このコマンドを繰り返して適切な SELinux ラベルを付け直す必要があります。
関連情報
- SELinux コンテキスト一覧は、SELinux Requirements on the Pulp Project documentation を参照してください。
- Pulp フォルダーの詳細は、ファイルシステムレイアウト を参照してください。