第3章 コンテナーへの Identity Management レプリカのデプロイ
本章では、Identity Management レプリカをインストールする方法を説明します。たとえば、コンテナーベースのレプリカを作成すると、既存のトポロジーでワークロードをコンテナーベースのサーバーに徐々に転送する場合に便利です。
開始する前に、「前提条件」 と 「サーバーおよびレプリケートコンテナーで利用可能な設定」 を読んでください。
以下のいずれかのインストール手順を選択します。どの認証局 (CA) 設定が状況に合っているかわからない場合は、『Linux ドメイン ID、認証、およびポリシーガイド』の「CA 設定の決定」を参照してください。
終了後に、「インストール後の次のステップ」を読んでください。
3.1. 前提条件
- コンテナーをインストールする前に Atomic Host システムをアップグレードします。『Red Hat Enterprise Linux Atomic Host 7 インストールおよび設定ガイド』の「アップグレードおよびダウングレード」を参照してください。
3.2. サーバーおよびレプリケートコンテナーで利用可能な設定
利用可能
- ドメインレベル 1 以降
コンテナーには、ドメインレベル 0 は利用できません。「ドメインレベルの表示と引き上げ」も参照してください。
そのため、コンテナーで実行しているサーバーは、Red Hat Enterprise Linux 7.3 以降に基づいて、Identity Management サーバーとのみレプリカ合意に加えることが可能です。
- コンテナーおよび非コンテナーデプロイメントの組み合わせ
- 単一の Identity Management ドメイントポロジーには、コンテナーベースおよび RPM ベースのサーバーの両方を追加できます。
利用不可
- デプロイされたコンテナーでのサーバーコンポーネントの変更
- デプロイされたコンテナーのランタイム変更は行わないでください。統合 DNS や Vault などのサーバーコンポーネントの変更または再インストールが必要な場合は、新しいレプリカを作成してください。
- 異なる Linux ディストリビューション間でのアップグレード
ipa-server コンテナーイメージを実行するプラットフォームは変更しないでください。たとえば、Red Hat Enterprise Linux で実行しているイメージを Fedora、Ubuntu、または CentOS に変更しないでください。同様に、Fedora、Ubuntu、または CentOS で実行しているイメージを Red Hat Enterprise Linux に変更しないでください。
Identity Management は、Red Hat Enterprise Linux の後続のバージョンへのアップグレードのみをサポートします。
- 実行中のコンテナーを使用したシステムのダウングレード
- ipa-server コンテナーイメージを実行するシステムをダウングレードしないでください。
- Atomic Host 上のアップストリームコンテナー
- Atomic Host で FreeIPA ipa-server イメージなどのアップストリームコンテナーイメージはインストールしないでください。Red Hat Enterprise Linux で利用可能なコンテナーイメージのみをインストールします。
- 単一の Atomic Host での複数コンテナー
- 単一の Atomic Host に ipa-server コンテナーイメージのみをインストールします。
3.3. コンテナーへの Identity Management レプリカのインストール:基本的なインストール
この手順では、統合 CA によるデフォルトの認証局 (CA) 設定で、コンテナー Identity Management サーバーをインストールする方法を説明します。
作業を開始する前に
コンテナーインストールは、
ipa-replica-installで使用している非コンテナーインストールと同じデフォルト設定を使用することに注意してください。カスタム設定を指定するには、以下の手順で使用するatomic installコマンドに追加オプションを指定します。- ipa-server コンテナーで利用できる Atomic オプション。完全な一覧は、コンテナーヘルプページを参照してください。
-
ipa-replica-installで使用できる Identity Management インストーラーオプションは、『Linux ドメイン ID、認証、およびポリシーガイド』の『Identity Management のレプリカのインストールとアンインストール』で説明しています。
- インストール済みのサーバーが利用可能である必要があります。ベアメタルマシンまたは別の Atomic Host システムのいずれかになります。
手順
- コンテナーでマスターサーバーに対してレプリカをインストールするには、『Linux ドメイン ID、認証、およびポリシーガイド』の「Identity Management サーバーのインストールおよびアンインストール」で指定されているポートでマスターコンテナーへの双方向通信を有効にします。
atomic install rhel7/ipa-server publish --hostname fully_qualified_domain_name ipa-replica-installコマンドを使用して、インストールを開始します。Identity Management のホスト名とドメイン名を指定するために--serverおよび--domainオプションを含めます。コンテナーには独自のホスト名が必要です。Atomic Host システムのホスト名とは異なるホスト名をコンテナーに使用します。コンテナーのホスト名は、DNS または /etc/hosts ファイルで解決できる必要があります。
注記サーバーまたはレプリカコンテナーをインストールしても、Atomic Host システム自体は Identity Management ドメインに登録されません。サーバーまたはレプリカに Atomic Host システムのホスト名を使用する場合は、後で Atomic Host システムを登録できなくなります。
重要サーバーまたはレプリカコンテナーをインストールする場合は、
atomic installで--hostnameオプションを常に指定するようにしてください。この場合、--hostnameは Identity Management インストーラーオプションではなく、Atomic オプションと見なされているため、ipa-server-installオプションの前に指定します。ipa-server-installの後に使用した場合には、インストールは--hostnameを無視します。-
統合 DNS でサーバーをインストールする場合は、
--ip-addressオプションを追加して、ネットワークから到達可能な Atomic Host のパブリック IP アドレスを指定します。--ip-addressは、複数回使用できます。 インタラクティブレプリカインストールモードにおける既知の問題 により、標準の
ipa-replica-installオプションを追加して、以下のいずれかを指定します。- 特権ユーザーの認証情報例3.1「インストールコマンドの例」を参照してください。
- 一括登録のランダムパスワード。『Linux ドメイン ID、認証、およびポリシーガイド』の「無作為のパスワードを使用したレプリカのインストール」を参照してください。
警告テスト目的のみでコンテナーをインストールする場合を除き、
publishオプションは常に使用してください。publishなしでは、Atomic Host システムにポートが公開されず、サーバーはコンテナー外から到達できなくなります。
例3.1 インストールコマンドの例
ipa-server コンテナーをインストールするためのコマンド構文:
$ atomic install [ --name <container_name> ] rhel7/ipa-server [ Atomic options ] [ ipa-server-install | ipa-replica-install ] [ ipa-server-install or ipa-replica-install options ]管理者の認証情報を使用して replica-container という名前のレプリカコンテナーをインストールするには、Identity Management レプリカ設定のデフォルト値を使用します。
$ atomic install --name replica-container rhel7/ipa-server publish \ --hostname replica.example.com \ ipa-replica-install \ --server server.example.com \ --domain example.com \ --ip-address 2001:DB8::1111 \ --principal admin \ --admin-password <admin_password>
3.4. コンテナーに Identity Management レプリカのインストール: CA なし
この手順では、統合 Identity Management 認証局 (CA) なしでサーバーをインストールする方法を説明します。
コンテナー Identity Management サーバーおよび Atomic Host システムは、コンテナーへの バインドマウントを使用してマウントされるファイルシステムの部分のみを共有します。そのため、外部ファイルに関連する操作は、このボリューム内から行われる必要があります。
ipa-server コンテナーイメージは、/var/lib/<container_name>/ ディレクトリーを使用して、Atomic Host ファイルシステムに永続的なファイルを保存します。永続ストレージボリュームは、コンテナー内の /data/ ディレクトリーにマッピングします。
作業を開始する前に
コンテナーインストールは、
ipa-replica-installで使用している非コンテナーインストールと同じデフォルト設定を使用することに注意してください。カスタム設定を指定するには、以下の手順で使用するatomic installコマンドに追加オプションを指定します。- ipa-server コンテナーで利用できる Atomic オプション。完全な一覧は、コンテナーヘルプページを参照してください。
-
ipa-replica-installで使用できる Identity Management インストーラーオプションは、『Linux ドメイン ID、認証、およびポリシーガイド』の『Identity Management のレプリカのインストールとアンインストール』で説明しています。
- インストール済みのサーバーが利用可能である必要があります。ベアメタルマシンまたは別の Atomic Host システムのいずれかになります。
手順
- コンテナーでマスターサーバーに対してレプリカをインストールするには、『Linux ドメイン ID、認証、およびポリシーガイド』の「Identity Management サーバーのインストールおよびアンインストール」で指定されているポートでマスターコンテナーへの双方向通信を有効にします。
コンテナーの永続ストレージディレクトリーを
/var/lib/<container_name>/に手動で作成します。$ mkdir -p /var/lib/ipa-server証明書チェーンを含むファイルをディレクトリーにコピーします。
$ cp /root/server-*.p12 /var/lib/ipa-server/.必要なファイルに関する詳細は、『Linux ドメイン ID、認証、およびポリシーガイド』 の「CA なしのインストール」を参照してください。
atomic install rhel7/ipa-server publish --hostname fully_qualified_domain_name ipa-replica-installコマンドに--serverおよび--domainオプションを指定して、Identity Management サーバーのホスト名およびドメイン名および、サードパーティーの認証局から必要な証明書を指定します。$ atomic install --name replica-container rhel7/ipa-server publish \ --hostname replica.example.com \ ipa-replica-install \ --server server.example.com \ --domain example.com \ --dirsrv-cert-file=/data/replica-dirsrv-cert.p12 \ --dirsrv-pin=1234 \ --http-cert-file=/data/replica-http-cert.p12 \ --http-pin=1234 \ --pkinit-cert-file=/data/replica-pkinit-cert.p12 \ --pkinit-pin=1234
注記証明書へのパスには、永続ストレージボリュームがコンテナー内の
/data/にマップするため/data/が含まれます。コンテナーには独自のホスト名が必要です。Atomic Host システムのホスト名とは異なるホスト名をコンテナーに使用します。コンテナーのホスト名は、DNS または /etc/hosts ファイルで解決できる必要があります。
注記サーバーまたはレプリカコンテナーをインストールしても、Atomic Host システム自体は Identity Management ドメインに登録されません。サーバーまたはレプリカに Atomic Host システムのホスト名を使用する場合は、後で Atomic Host システムを登録できなくなります。
重要サーバーまたはレプリカコンテナーをインストールする場合は、
atomic installで--hostnameオプションを常に指定するようにしてください。この場合、--hostnameは Identity Management インストーラーオプションではなく、Atomic オプションと見なされているため、ipa-server-installオプションの前に指定します。ipa-server-installの後に使用した場合には、インストールは--hostnameを無視します。-
統合 DNS でサーバーをインストールする場合は、
--ip-addressオプションを追加して、ネットワークから到達可能な Atomic Host のパブリック IP アドレスを指定します。--ip-addressは、複数回使用できます。 インタラクティブレプリカインストールモードにおける既知の問題 により、標準の
ipa-replica-installオプションを追加して、以下のいずれかを指定します。- 特権ユーザーの認証情報例3.1「インストールコマンドの例」を参照してください。
- 一括登録のランダムパスワード。『Linux ドメイン ID、認証、およびポリシーガイド』の「無作為のパスワードを使用したレプリカのインストール」を参照してください。
警告テスト目的のみでコンテナーをインストールする場合を除き、
publishオプションは常に使用してください。publishなしでは、Atomic Host システムにポートが公開されず、サーバーはコンテナー外から到達できなくなります。
3.5. インストール後の次のステップ
コンテナーを実行するには、
atomic runコマンドを使用します。$ atomic run rhel7/ipa-serverインストール時にコンテナーの名前を指定した場合は、以下を実行します。
$ atomic run --name replica-container rhel7/ipa-server- ipa-server コンテナーの実行は、ベアメタルまたは仮想マシンシステムでの標準的な Identity Management デプロイメントと同じ方法で機能します。たとえば、ドメインへのホストの登録やトポロジーの管理は、コマンドラインインターフェース、Web UI、または RPM ベースの Identity Management システムと同じ方法で jsonrpc-API を使用して行えます。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。