本ガイドでは、Red Hat Enterprise Linux ベースの Infrastructure-as-a-Service (IaaS)、Platform-as-a-Service (PaaS)、または管理サービスを提供する CCSP パートナー向けに実施されている技術および運用上の認定要件について説明します。認定ツールおよび認定方法は Red Hat Enterprise Linux にビルドされるクラウドアプリケーションイメージをその対象としています。

認定クラウドおよびサービスプロバイダー (Certified Cloud and Service Provider: CCSP) は、カタログで公開されるイメージを認定する必要があります。この認定プロセスには、Red Hat のお客様に対し、各種のクラウドプロバイダー間での一貫したエクスペリエンスと共に、最高レベルのサポートおよび優良なセキュリティー対策を利用できることを保証をするための一連のテストが含まれます。

クラウド認定テストスイート (redhat-certification-cloud) には、(supportable (サポート対応)、configuration (設定)、security (セキュリティー) の 3 つのテストが含まれ、それぞれには以下で説明する一連のサブテストとチェックが含まれます。テストの実行方法についての詳細は、CCSP 認定ユーザーガイド を参照してください。

新規の認定および再認定を受けるには、これら 3 つのクラウドテストすべてとテストスイートのセルフチェックテスト (rhcert/selfcheck) を単一実行したときに記録されたログを Red Hat に提出する必要があります。

ほとんどのクラウド認定サブテストは即時にステータス (Pass/Fail) を返しますが、一部のサブテストは合格を確認するために Red Hat の詳細レビューが必要になることがあります。これらのテストについては、Red Hat 認定アプリケーションで REVIEW ステータスのマークが付けられます。

またテストによっては、潜在的な問題を特定し、WARN ステータスを返すこともあります。このステータスはベストプラクティスが実施されていないことを示唆します。WARN ステータスのマークの付いたテストは注意またはアクションを喚起しますが、認定の結果には影響しません。パートナーの皆様には、これらの警告に含まれる情報に基づいてテストの出力を確認し、適切なアクションを取ることをお勧めします。

パートナーの皆様には、最新の認定ツールをインストールして、認定プロセスの最新のワークフローを使用していただく必要があります。新バージョンの認定ツールがリリースされてから 90 日間は、Red Hat は以前のバージョンのツールとワークフローをサポートします。

この 90 日間が過ぎると、以前のバージョンで生成されたテストログ/結果は自動的に拒否され、パートナー様は最新のツールをワークフローを使用してテストログ/結果を再生成することが求められます。

最新バージョンの認定ツールおよびワークフローは (デフォルトで) Red Hat サブスクリプション管理から入手可能となっており、CCSP ワークフローガイド にその説明があります。

rhcert/selfcheck とも呼ばれる Red Hat 認定セルフチェックテストは、認定プロセスで必要となる全ソフトウェアパッケージがインストールされ、それらが変更されていないことを確認します。これにより、認定プロセス向けにテスト環境の準備が整っており、全認定ソフトウェアパッケージがサポート可能であることが確認できます。

cloud/sosreport とも呼ばれる sosreport テストは、基本の sosreport をキャプチャーします。

Red Hat は sos と呼ばれるツールを使用して RHEL システムから設定および診断情報を収集し、お客様のシステムのトラブルシューティングや、推奨プラクティスの準拠をお手伝いします。システムレポートのサブテストは、sos ツールがイメージ/システム上で予想どおりに機能し、基本的な sosreport をキャプチャーすることを確認します。sosreport についての詳細は、https://access.redhat.com/ja/solutions/78443 を参照してください。

サポート対応テストは cloud/supportable (クラウド/サポート対応) としても知られており、Red Hat によるイメージのサポートが可能であることを保証します。このテストにより、イメージが Red Hat カーネルおよびユーザー空間ソフトウェアで構成され、Red Hat のサポート対応のある環境で実行され、かつイメージに Red Hat の更新および修正へのアクセスが含まれることを確認できます。

cloud/supportable (クラウド/サポート対応) テストには以下のサブテストが含まれます。

カーネルのサブテストは、イメージが実行しているカーネルが Red Hat のカーネルであり、認定対象の RHEL バージョンに対応するバージョンであること、またこのカーネルが変更されていないことを確認します。カーネルのバージョンには元の GA (General Availability) バージョンか、またはその後に RHEL メジャーおよびマイナーリリース向けにリリースされたカーネルのエラータを使用することができます。Red Hat Enterprise Linux のライフサイクルおよびカーネルバージョンに関する詳細は、Red Hat Enterprise Linux のライフサイクル および Red Hat Enterprise Linux のリリース日と収録カーネルの一覧 を参照してください。

カーネルのサブテストでは、カーネルが環境での実行中に汚染されていないことも確認します。カーネルの汚染についての詳細は、カーネルが「tainted」となるのはなぜですか? taint 値はどのように解釈されますか? を参照してください。

カーネルモジュールのサブテストは、ロードされたカーネルモジュールが、実行中のカーネルのパッケージ か、または Red Hat Driver Update (Where can I download Driver Update Program (DUP) disks?を参照) のいずれかの Red Hat のモジュールであることを確認します。また、カーネルモジュールのサブテストでは、カーネルモジュールが環境での実行時にテクノロジープレビューとして特定されないことを確認します (「テクノロジープレビュー」機能とはどんな機能ですか? を参照)。

Red Hat カーネルがサポートされていないハードウェアを特定しないことを確認します。これにより、Red Hat 製品をサポートされていない設定や環境で実行することから生じるお客様のプロダクション環境のリスクを防ぐことができます。カーネルは各種の理由によりサポート対応とみなされないハードウェアを認識します。カーネルがこのようなハードウェアを特定すると、システムログにサポートされていないハードウェアのメッセージを出力するか、またはカーネル汚染についてトリガーします。

RHEL を認定ハードウェアにインストールし、実行することをお勧めします。RHEL 6 および RHEL 7 向けに認定されたハードウェアの詳細の一覧については、 Red Hat Ecosystem Catalog を参照してください。

イメージが Red Hat Enterprise Linux の実行が認定されているハイパーバイザーで実行されることを確認します。これにより、Red Hat 製品をサポートされていない環境で実行することから生じるお客様のプロダクション環境のリスクを防ぐことができます。

ルートファイルシステムのタイプおよびイメージの最小サイズが各 RHEL リリースのガイドラインに従っていることを確認します。これにより、イメージに適切な稼働、アプリケーションの実行、およびお客様向けのアップグレードのインストールの実行に必要なスペース容量が十分にあることを確認できます。

RHEL イメージで表示されるホストアーキテクチャーが RHEL、CCSP プログラムおよびカーネルでサポートされていることを確認します。現在、CCSP イメージ認定は RHEL6 の x86 および x86_64 アーキテクチャーと、RHEL 7 の x86_64 アーキテクチャーで提供されています。

システムにインストールされている RPM パッケージが未変更の Red Hat のパッケージであり、予期しないソフトウェアまたはパッケージから生じる重大なリスクをお客様が予防できる可能性を確認します。さらに、お客様がサポート対応可能な環境で開始することを確認します。

Red Hat 以外のパッケージをインストールできるのは、それらがクラウド環境を有効にするために必要であり、それらが文書化されていること、および Red Hat パッケージ/ソフトウェアを変更したり、これらと競合しないことを条件として受け入れ可能である場合です。このサブテストには、Red Hat 以外のパッケージがインストールされている場合の合格/不合格の確認が行われる Red Hat の詳細レビューが必要になります。

サードパーティーソフトウェアの Red Hat サポートポリシーについては、製品サポートの対象範囲を参照してください。

関連する Red Hat リポジトリー が設定されており、GPG キーがイメージにインポート済みでサポートされていないコンテンツから生じる可能性のある大きなリスクを回避できることを確認します。Red Hat は Red Hat の公式ソフトウェアリポジトリー (アタッチされるサブスクリプションに含まれる) でコアとなるソフトウェアパッケージ/コンテンツを提供します。これらのリポジトリーは配信ファイルの信頼性を確認するために GPG キーで署名されます。これらのリポジトリーの一部として提供されるソフトウェアはお客様のプロダクション環境用に完全にサポートされ、信頼性があります。詳細は、製品サポートの対象範囲を参照してください。

EPEL または Optional および Supplementary チャンネル などの Red Hat が公開するが、サポートしている訳ではないリポジトリー、および Red Hat 以外のリポジトリーは、クラウド環境を有効にするために必要であり、かつ適正に文書化され、承認されていることを条件として設定することができます。

イメージ設定のテストは cloud/configuration (クラウド/設定) としても知られ、お客様が統合環境の複数のクラウドプロバイダーとイメージ間で統一し、一貫性のあるエクスペリエンスを確保できるようイメージが Red Hat 標準に従って設定されていることを確認します。

cloud/configuration (クラウド/設定) テストには以下のサブテストが含まれます。

デフォルトのシステムロギングサービス (syslog) がイメージの /var/log/ ディレクトリーにログを保存し、必要に応じて問題をすばやく解決できるように設定されていることを確認します。

デフォルトのファイアウォールサービス (iptables) が実行中であること、SSHD が実行中の状態でポート 22 が開いていること、ポート 80 と 443 が開いているか、または閉じていること、さらにその他のすべてのポートが閉じていることをネットワーク設定が確認します。これにより、イメージは既知のアクセス設定によってデフォルトで不正アクセスから保護されます。

また、お客様がイメージに SSH でアクセスでき、追加の設定なしに HTTP アプリケーションをすぐにデプロイできることを確認します。このイメージでは、他のポートを開くこともできますが、その場合は、それらがクラウドインフラストラクチャーの適切な操作に必要であること、またそれらのポートについて文書化されることを条件とします。

このテストは、ポート 22、80 (オプション)、 443 (オプション) がイメージ上で開いている場合にのみランタイム時にステータス (Pass) を表示します。他のポートが開いている場合、Red Hat が合格または失敗の確認を行うため、開かれているポートの詳細を要求します。

現行のシステムランレベルが 3、4 または 5 であることを確認します。このサブテストでは、イメージが必要なすべてのシステムサービス (例: ネットワーキング) が実行中の状態で、必要なモード/状態で実行されていることを確認します。

RHEL 6 および RHEL 7 のランレベルについての詳細は、以下を参照してください。

システムサービスは、root ユーザーがシステム上でサービスを開始し、停止できることを確認します。これにより、システム管理権限を持つお客様がシステム上でアプリケーションおよびサービスにアクセスし、これらを使用できること、また管理者アクセスを必要とするすべてのタスクをシームレスに実行できることを確認できます。また、インストールされたシステムサービスの設定された状態と実際の状態に違いが生じないようにします。

必要な権限を取得する方法についての詳細は、以下を参照してください。

必要な Red Hat サブスクリプションが設定済みで、イメージ上で利用可能および機能していること、また更新メカニズムとして Red Hat Satellite または RHUI を使用できることを確認します。これにより、お客様は、標準的な Red Hat パッケージ更新または配信メカニズムを使用して、アプリケーションのサポートに必要なパッケージおよび更新へアクセスできます。

セキュリティー対策のテストは cloud/security (クラウド/セキュリティー) としても知られ、イメージが最小限の標準セキュリティー対策に従っていることを確認します。また、最新の Red Hat セキュリティー更新がインストールされていることを確認します (ただし現時点でこの確認は不要です)。

cloud/configuration (クラウド/設定) テストには以下のサブテストが含まれます。

ユーザーパスワード設定に RHEL 6 および 7 用の証明書または SHA-512 が使用されていることを確認します。これにより、イメージがセキュリティーの最適化のために標準の暗号/暗号解除メカニズムに基づいていることを確認できます。

イメージに含まれる Red Hat パッケージに対してリリースされるすべての重要および重大なセキュリティーエラータがインストールされていることを確認します。Red Hat はパートナーの皆様に対し、エラータのリリース時にはいつでもイメージの更新および再認定を実行することを奨励します。このテストは、Red Hat による合格または不合格の確認レビューが必要となるため、ランタイム時にステータス (REVIEW) を表示します。Red Hat におけるセキュリティーレベルについての詳細は、https://access.redhat.com/ja/security/updates/classification を参照してください。

SELinux がイメージ上で enforcing モード (推奨) または permissive モードで実行されていることを確認します。SELinux (Security-Enhanced Linux) は MAC (Mandatory Access Control) を Linux カーネルに追加し、Red Hat Enterprise Linux にてデフォルトで有効にされます。

SELinux ポリシーは管理者が定義し、システム全体にわたって強制されるもので、ユーザーの判断で設定されるものではありません。これにより、権限昇格攻撃の脆弱性が軽減し、設定上のミスによる損害が制限されます。あるプロセスが危険にさらされても、攻撃者がアクセスできるのはそのプロセスの通常の機能とそのプロセスが設定上アクセスできるファイルのみになります。

RHEL の SELinux についての詳細は、以下を参照してください。

Red Hat 認定クラウドおよびサービスプロバイダープログラム、またはRed Hat 認定クラウドおよびサービスプロバイダー認定に関する詳細情報は、以下のドキュメント/ページを参照してください。