手順

1. 管理するホストおよびグループを含む必要な Ansible インベントリーを作成します。以下の例は、webservers と呼ばれるホストのグループの inventory.ini というファイルを使用します。

   [webservers]
   host1
   host2
   host3

2. 必要なロールを含む Ansible Playbook を作成します。以下の例では、Playbook の roles: オプションを使用してロールを使用する方法を示しています。

   以下の例は、特定の play の roles: オプションを使用してロールを使用する方法を示しています。

   ---
   - hosts: webservers
     roles:
        - rhel-system-roles.network
        - rhel-system-roles.timesync

   注記

   すべてのロールには README ファイルが含まれます。このファイルには、ロールや、サポートされるパラメーター値の使用方法が記載されています。ロールのドキュメントディレクトリーで、特定ロール用の Playbook のサンプルを見つけることもできます。このようなドキュメンテーションディレクトリーは、rhel-system-roles パッケージでデフォルトで提供され、以下の場所に置かれます。

   /usr/share/doc/rhel-system-roles/SUBSYSTEM/

   SUBSYSTEM は、selinux、kdump、network、timesync、または storage などの必要なロールの名前に置き換えます。

3. 特定のホストで Playbook を実行するには、以下のいずれかを実行する必要があります。

   • hosts: host1[,host2,…​] または hosts: all を使用するように Playbook を編集して、以下のコマンドを実行します。

     # ansible-playbook name.of.the.playbook

   • インベントリーを編集して、使用するホストがグループで定義されていることを確認し、以下のコマンドを実行します。

     # ansible-playbook -i name.of.the.inventory name.of.the.playbook

   • ansible-playbook コマンドの実行時にすべてのホストを指定します。

     # ansible-playbook -i host1,host2,... name.of.the.playbook

     重要

     -i フラグは、利用可能なすべてのホストのインベントリーを指定することに注意してください。ターゲットホストが複数あるが、Playbook を実行するホストを選択する場合は、Playbook に変数を追加して、ホストを選択できるようにすることができます。以下に例を示します。

     Ansible Playbook | example-playbook.yml:
     
     - hosts: "{{ target_host }}"
       roles:
          - rhel-system-roles.network
          - rhel-system-roles.timesync

     Playbook 実行コマンド:

     # ansible-playbook -i host1,..hostn -e target_host=host5 example-playbook.yml

1. tests_default.yml のいずれかを作業ディレクトリーにコピーします。

   $ cp /usr/share/ansible/collections/ansible_collections/redhat/rhel_system_roles/tests/kernel_settings/tests_default.yml .

2. ファイルを編集し、"hosts: all" を "hosts: localhost" に置き換え、Playbook がローカルシステムでのみ実行されるようにします。

3. ansible-playbook をチェックモードで実行します。このモードでは、システムの設定は変更されません。

   $ ansible-playbook --check tests_default.yml

手順

1. Automation Hub から redhat.rhel_system_roles コレクションをインストールします。

   # ansible-galaxy collection install redhat.rhel_system_roles

2. ansible.cfg 設定ファイルでコンテンツのデフォルトソースとして Red Hat Automation Hub を定義します。コンテンツについては、「プライマリーソースとしての Red Hat Automation Hub の設定」を参照してください。

   インストールが完了すると、ロールは redhat.rhel_system_roles.<role_name> として利用できます。また、各ロールのドキュメントは /usr/share/ansible/collections/ansible_collections/redhat/rhel_system_roles/roles/<role_name>/README.md で確認できます。

1. tests_default.yml のいずれかを作業ディレクトリーにコピーします。

   $ cp /usr/share/ansible/collections/ansible_collections/redhat/rhel_system_roles/tests/kernel_settings/tests_default.yml .

2. ファイルを編集し、"hosts: all" を "hosts: localhost" に置き換え、Playbook がローカルシステムでのみ実行されるようにします。

3. ansible-playbook をチェックモードで実行します。このモードでは、システムの設定は変更されません。

   $ ansible-playbook --check tests_default.yml

   このコマンドから failed=0 の値が返されたことが分かります。

手順

1. 必要なロールを定義する Playbook を作成します。

   1. 新しい YAML ファイルを作成し、これをテキストエディターで開きます。以下に例を示します。

      # vi logging-playbook.yml

   2. 以下の内容を YAML ファイルに挿入します。

      ---
      - name: Deploying basics input and implicit files output
        hosts: all
        roles:
          - redhat.rhel_system_roles.logging
        vars:
          logging_inputs:
            - name: system_input
              type: basics
          logging_outputs:
            - name: files_output
              type: files
          logging_flows:
            - name: flow1
              inputs: [system_input]
              outputs: [files_output]

2. 特定のインベントリーで Playbook を実行します。

   # ansible-playbook -i inventory-file logging-playbook.yml

   ここでは、

   • inventory-file は、インベントリーファイルの名前に置き換えます。
   • logging-playbook.yml は、使用する Playbook に置き換えます。

検証手順

1. /etc/rsyslog.conf ファイルの構文をテストします。

   # rsyslogd -N 1
   rsyslogd: version 8.1911.0-6.el8, config validation run (level 1), master config /etc/rsyslog.conf
   rsyslogd: End of config validation run. Bye.

2. システムがログにメッセージを送信していることを確認します。

   1. テストメッセージを送信します。

      # logger test

   2. /var/log/messages ログ を表示します。以下に例を示します。

      # cat /var/log/messages
      Aug  5 13:48:31 hostname root[6778]: test

      hostname はクライアントシステムのホスト名です。ログには、logger コマンドを入力したユーザーの名前 (この場合は root) が表示されます。

手順

1. 必要に応じて、図の目的で inventory ファイルを確認します。

   #  cat /home/jdoe/<ansible_project_name>/inventory
   [testingservers]
   pdoe@192.168.122.98
   fdoe@192.168.122.226
   
   [db-servers]
   db1.example.com
   db2.example.com
   
   [webservers]
   web1.example.com
   web2.example.com
   192.0.2.42

   ファイルは [testingservers] グループと他のグループを定義します。これにより、特定のシステムのコレクションに対して Ansible Engine をより効果的に実行できます。

2. Ansible Engine 操作のデフォルトおよび権限昇格を設定するための設定ファイルを作成します。

   1. 新しい YAML ファイルを作成し、これをテキストエディターで開きます。以下に例を示します。

      #  vi /home/jdoe/<ansible_project_name>/ansible.cfg

   2. 以下の内容をファイルに挿入します。

      [defaults]
      inventory = ./inventory
      
      [privilege_escalation]
      become = true
      become_method = sudo
      become_user = root
      become_ask_pass = true

      [defaults] セクションは、管理対象ホストのインベントリーファイルへのパスを指定します。[privilege_escalation] セクションでは、指定した管理対象ホストのユーザー権限が root に移行されることを定義します。これは、カーネルパラメーターを正常に設定するために必要です。Ansible Playbook を実行すると、ユーザーパスワードの入力が求められます。管理対象ホストへの接続後に、sudo により root に自動的に切り替わります。

3. kernel_settings ロールを使用する Ansible Playbook を作成します。

   1. 新しい YAML ファイルを作成し、これをテキストエディターで開きます。以下に例を示します。

      #  vi /home/jdoe/<ansible_project_name>/kernel_roles.yml

      このファイルは Playbook を表し、通常は、inventory ファイルから選択した特定の管理対象ホストに対して実行される、プレイ とも呼ばれるタスクの順序付きリストが含まれます。

   2. 以下の内容をファイルに挿入します。

      ---
      - name: Configure kernel settings
        hosts: testingservers
      
        vars:
          kernel_settings_sysctl:
            - name: fs.file-max
              value: 400000
            - name: kernel.threads-max
              value: 65536
          kernel_settings_sysfs:
            - name: /sys/class/net/lo/mtu
              value: 65000
          kernel_settings_transparent_hugepages: madvise
      
        roles:
          - linux-system-roles.kernel_settings

      name キーは任意です。任意の文字列をラベルとしてプレイに関連付け、プレイの対象を特定します。プレイの hosts キーは、プレイを実行するホストを指定します。このキーの値または値は、管理対象ホストの個別名または inventory ファイルで定義されているホストのグループとして指定できます。

      vars セクションは、設定する必要がある、選択したカーネルパラメーター名および値が含まれる変数の一覧を表します。

      roles キーは、vars セクションで説明されているパラメーターおよび値を設定するシステムロールを指定します。

      注記

      必要に応じて、Playbook のカーネルパラメーターとその値を変更することができます。

4. 必要に応じて、プレイ内の構文が正しいことを確認します。

   #  ansible-playbook --syntax-check kernel-roles.yml
   
   playbook: kernel-roles.yml

   以下の例では、Playbook の検証が成功したことを示しています。

5. Playbook を実行します。

   #  ansible-playbook kernel-roles.yml
   BECOME password:
   
   PLAY [Configure kernel settings]  ... PLAY RECAP **
   fdoe@192.168.122.226       : ok=10   changed=4    unreachable=0    failed=0    skipped=6    rescued=0    ignored=0
   pdoe@192.168.122.98        : ok=10   changed=4    unreachable=0    failed=0    skipped=6    rescued=0    ignored=0

   Ansible Engine が Playbook を実行する前に、パスワードの入力を求められます。これにより、管理対象ホストのユーザーが root に切り替わります。これは、カーネルパラメーターの設定に必要です。

   recap セクションは、すべての管理対象ホストのプレイが正常に終了したこと (failed=0)、および 4 つのカーネルパラメーターが適用されたこと (changed=4) を示しています。

6. 管理対象ホストを再起動して、影響を受けるカーネルパラメーターをチェックし、変更が適用され、再起動後も維持されていることを確認します。

手順

1. Playbook の命令を実行するホストのインベントリーがまだ指定されていない場合は、そのホストの IP または名前を Ansible インベントリーファイル /etc/ansible/hosts に追加します。

   node.example.com

2. ~/ethernet-static-IP.yml ファイルを以下の内容で作成します。

   ---
   - name: Configure an Ethernet connection with static IP
     hosts: node.example.com
     become: true
     tasks:
     - include_role:
         name: linux-system-roles.network
   
       vars:
         network_connections:
           - name: enp7s0
   	  interface_name: enp7s0
             type: ethernet
             autoconnect: yes
             ip:
               address:
                 - 192.0.2.1/24
                 - 2001:db8:1::1/64
               gateway4: 192.0.2.254
               gateway6: 2001:db8:1::fffe
               dns:
                 - 192.0.2.200
                 - 2001:db8:1::ffbb
               dns_search:
                 - example.com
             state: up

3. Playbook を実行します。

   • root ユーザーとして管理対象ホストに接続するには、次のコマンドを実行します。

     # ansible-playbook -u root ~/ethernet-static-IP.yml

   • 管理ホストにユーザーとして接続するには、次のコマンドを実行します。

     # ansible-playbook -u user_name --ask-become-pass ~/ethernet-static-IP.yml

     --ask-become-pass オプションは、ansible-playbook コマンドが -u user_name オプションで定義したユーザーの sudo パスワードを要求するようにします。

   -u user_name オプションを指定しないと、ansible-playbook は、コントロールノードに現在ログインしているユーザーとして管理ホストに接続します。

手順

1. Playbook の命令を実行するホストのインベントリーがまだ指定されていない場合は、そのホストの IP または名前を Ansible インベントリーファイル /etc/ansible/hosts に追加します。

   node.example.com

2. ~/ethernet-dynamic-IP.yml Playbook を以下の内容で作成します。

   ---
   - name: Configure an Ethernet connection with dynamic IP
     hosts: node.example.com
     become: true
     tasks:
     - include_role:
         name: linux-system-roles.network
   
       vars:
         network_connections:
           - name: enp7s0
   	  interface_name: enp7s0
             type: ethernet
             autoconnect: yes
             ip:
               dhcp4: yes
               auto6: yes
             state: up

3. Playbook を実行します。

   • root ユーザーとして管理対象ホストに接続するには、次のコマンドを実行します。

     # ansible-playbook -u root ~/ethernet-dynamic-IP.yml

   • 管理ホストにユーザーとして接続するには、次のコマンドを実行します。

     # ansible-playbook -u user_name --ask-become-pass ~/ethernet-dynamic-IP.yml

     --ask-become-pass オプションは、ansible-playbook コマンドが -u user_name オプションで定義したユーザーの sudo パスワードを要求するようにします。

   -u user_name オプションを指定しないと、ansible-playbook は、コントロールノードに現在ログインしているユーザーとして管理ホストに接続します。

手順

1. Playbook の命令を実行するホストのインベントリーがまだ指定されていない場合は、そのホストの IP または名前を Ansible インベントリーファイル /etc/ansible/hosts に追加します。

   node.example.com

2. ~/vlan-ethernet.yml Playbook を以下の内容で作成します。

   ---
   - name: Configure a VLAN that uses an Ethernet connection
     hosts: node.example.com
     become: true
     tasks:
     - include_role:
         name: linux-system-roles.network
   
       vars:
         network_connections:
           # Add an Ethernet profile for the underlying device of the VLAN
           - name: enp1s0
             type: ethernet
   	  interface_name: enp1s0
   	  autoconnect: yes
             state: up
   	  ip:
   	    dhcp4: no
   	    auto6: no
   
           # Define the VLAN profile
           - name: vlan10
             type: vlan
             ip:
               address:
                 - "192.0.2.1/24"
                 - "2001:db8:1::1/64"
               gateway4: 192.0.2.254
               gateway6: 2001:db8:1::fffe
               dns:
                 - 192.0.2.200
                 - 2001:db8:1::ffbb
               dns_search:
                 - example.com
             vlan_id: 10
   	  parent: enp1s0
             state: up

   VLAN プロファイルの parent 属性は、enp1s0 デバイス上で動作する VLAN を設定します。

3. Playbook を実行します。

   • root ユーザーとして管理対象ホストに接続するには、次のコマンドを実行します。

     # ansible-playbook -u root ~/vlan-ethernet.yml

   • 管理ホストにユーザーとして接続するには、次のコマンドを実行します。

     # ansible-playbook -u user_name --ask-become-pass ~/vlan-ethernet.yml

     --ask-become-pass オプションは、ansible-playbook コマンドが -u user_name オプションで定義したユーザーの sudo パスワードを要求するようにします。

   -u user_name オプションを指定しないと、ansible-playbook は、コントロールノードに現在ログインしているユーザーとして管理ホストに接続します。

手順

1. Playbook の命令を実行するホストのインベントリーがまだ指定されていない場合は、そのホストの IP または名前を Ansible インベントリーファイル /etc/ansible/hosts に追加します。

   node.example.com

2. ~/bridge-ethernet.yml Playbook を以下の内容で作成します。

   ---
   - name: Configure a network bridge that uses two Ethernet ports
     hosts: node.example.com
     become: true
     tasks:
     - include_role:
         name: linux-system-roles.network
   
       vars:
         network_connections:
           # Define the bridge profile
           - name: bridge0
             type: bridge
             interface_name: bridge0
             ip:
               address:
                 - "192.0.2.1/24"
                 - "2001:db8:1::1/64"
               gateway4: 192.0.2.254
               gateway6: 2001:db8:1::fffe
               dns:
                 - 192.0.2.200
                 - 2001:db8:1::ffbb
               dns_search:
                 - example.com
             state: up
   
           # Add an Ethernet profile to the bridge
           - name: bridge0-port1
             interface_name: enp7s0
             type: ethernet
             controller: bridge0
             port_type: bridge
             state: up
   
           # Add a second Ethernet profile to the bridge
           - name: bridge0-port2
             interface_name: enp8s0
             type: ethernet
             controller: bridge0
             port_type: bridge
             state: up

3. Playbook を実行します。

   • root ユーザーとして管理対象ホストに接続するには、次のコマンドを実行します。

     # ansible-playbook -u root ~/bridge-ethernet.yml

   • 管理ホストにユーザーとして接続するには、次のコマンドを実行します。

     # ansible-playbook -u user_name --ask-become-pass ~/bridge-ethernet.yml

     --ask-become-pass オプションは、ansible-playbook コマンドが -u user_name オプションで定義したユーザーの sudo パスワードを要求するようにします。

   -u user_name オプションを指定しないと、ansible-playbook は、コントロールノードに現在ログインしているユーザーとして管理ホストに接続します。

手順

1. Playbook の命令を実行するホストのインベントリーがまだ指定されていない場合は、そのホストの IP または名前を Ansible インベントリーファイル /etc/ansible/hosts に追加します。

   node.example.com

2. ~/bond-ethernet.yml Playbook を以下の内容で作成します。

   ---
   - name: Configure a network bond that uses two Ethernet ports
     hosts: node.example.com
     become: true
     tasks:
     - include_role:
         name: linux-system-roles.network
   
       vars:
         network_connections:
           # Define the bond profile
           - name: bond0
             type: bond
             interface_name: bond0
             ip:
               address:
                 - "192.0.2.1/24"
                 - "2001:db8:1::1/64"
               gateway4: 192.0.2.254
               gateway6: 2001:db8:1::fffe
               dns:
                 - 192.0.2.200
                 - 2001:db8:1::ffbb
               dns_search:
                 - example.com
             bond:
               mode: active-backup
             state: up
   
           # Add an Ethernet profile to the bond
           - name: bond0-port1
             interface_name: enp7s0
             type: ethernet
             controller: bond0
             state: up
   
           # Add a second Ethernet profile to the bond
           - name: bond0-port2
             interface_name: enp8s0
             type: ethernet
             controller: bond0
             state: up

3. Playbook を実行します。

   • root ユーザーとして管理対象ホストに接続するには、次のコマンドを実行します。

     # ansible-playbook -u root ~/bond-ethernet.yml

   • 管理ホストにユーザーとして接続するには、次のコマンドを実行します。

     # ansible-playbook -u user_name --ask-become-pass ~/bond-ethernet.yml

     --ask-become-pass オプションは、ansible-playbook コマンドが -u user_name オプションで定義したユーザーの sudo パスワードを要求するようにします。

   -u user_name オプションを指定しないと、ansible-playbook は、コントロールノードに現在ログインしているユーザーとして管理ホストに接続します。

手順

1. Playbook の命令を実行するホストのインベントリーがまだ指定されていない場合は、そのホストの IP または名前を Ansible インベントリーファイル /etc/ansible/hosts に追加します。

   node.example.com

2. ~/enable-802.1x.yml Playbook を以下の内容で作成します。

   ---
   - name: Configure an Ethernet connection with 802.1X authentication
     hosts: node.example.com
     become: true
     tasks:
       - name: Copy client key for 802.1X authentication
         copy:
           src: "/srv/data/client.key"
           dest: "/etc/pki/tls/private/client.key"
           mode: 0600
   
       - name: Copy client certificate for 802.1X authentication
         copy:
           src: "/srv/data/client.crt"
           dest: "/etc/pki/tls/certs/client.crt"
   
       - name: Copy CA certificate for 802.1X authentication
         copy:
           src: "/srv/data/ca.crt"
           dest: "/etc/pki/ca-trust/source/anchors/ca.crt"
   
       - include_role:
           name: linux-system-roles.network
         vars:
           network_connections:
             - name: enp1s0
               type: ethernet
               autoconnect: yes
               ip:
                 address:
                   - 192.0.2.1/24
                   - 2001:db8:1::1/64
                 gateway4: 192.0.2.254
                 gateway6: 2001:db8:1::fffe
                 dns:
                   - 192.0.2.200
                   - 2001:db8:1::ffbb
                 dns_search:
                   - example.com
               ieee802_1x:
                 identity: user_name
                 eap: tls
                 private_key: "/etc/pki/tls/private/client.key"
                 private_key_password: "password"
                 client_cert: "/etc/pki/tls/certs/client.crt"
                 ca_cert: "/etc/pki/ca-trust/source/anchors/ca.crt"
                 domain_suffix_match: example.com
               state: up

3. Playbook を実行します。

   • root ユーザーとして管理対象ホストに接続するには、次のコマンドを実行します。

     # ansible-playbook -u root ~/enable-802.1x.yml

   • 管理ホストにユーザーとして接続するには、次のコマンドを実行します。

     # ansible-playbook -u user_name --ask-become-pass ~/ethernet-static-IP.yml

     --ask-become-pass オプションは、ansible-playbook コマンドが -u user_name オプションで定義したユーザーの sudo パスワードを要求するようにします。

   -u user_name オプションを指定しないと、ansible-playbook は、コントロールノードに現在ログインしているユーザーとして管理ホストに接続します。

手順

1. Playbook の命令を実行するホストのインベントリーがまだ指定されていない場合は、そのホストの IP または名前を Ansible インベントリーファイル /etc/ansible/hosts に追加します。

   node.example.com

2. ~/ethernet-connection.yml Playbook を以下の内容で作成します。

   ---
   - name: Configure an Ethernet connection with static IP and default gateway
     hosts: node.example.com
     become: true
     tasks:
     - include_role:
         name: linux-system-roles.network
   
       vars:
         network_connections:
           - name: enp1s0
             type: ethernet
             autoconnect: yes
             ip:
               address:
                 - 198.51.100.20/24
                 - 2001:db8:1::1/64
               gateway4: 198.51.100.254
               gateway6: 2001:db8:1::fffe
               dns:
                 - 198.51.100.200
                 - 2001:db8:1::ffbb
               dns_search:
                 - example.com
             state: up

3. Playbook を実行します。

   • root ユーザーとして管理対象ホストに接続するには、次のコマンドを実行します。

     # ansible-playbook -u root ~/ethernet-connection.yml

   • 管理ホストにユーザーとして接続するには、次のコマンドを実行します。

     # ansible-playbook -u user_name --ask-become-pass ~/ethernet-connection.yml

     --ask-become-pass オプションは、ansible-playbook コマンドが -u user_name オプションで定義したユーザーの sudo パスワードを要求するようにします。

   -u user_name オプションを指定しないと、ansible-playbook は、コントロールノードに現在ログインしているユーザーとして管理ホストに接続します。

手順

1. Playbook の命令を実行するホストのインベントリーがまだ指定されていない場合は、そのホストの IP または名前を Ansible インベントリーファイル /etc/ansible/hosts に追加します。

   node.example.com

2. ~/add-static-routes.yml Playbook を以下の内容で作成します。

   ---
   - name: Configure an Ethernet connection with static IP and additional routes
     hosts: node.example.com
     become: true
     tasks:
     - include_role:
         name: linux-system-roles.network
   
       vars:
         network_connections:
           - name: enp7s0
             type: ethernet
             autoconnect: yes
             ip:
               address:
                 - 198.51.100.20/24
                 - 2001:db8:1::1/64
               gateway4: 198.51.100.254
               gateway6: 2001:db8:1::fffe
               dns:
                 - 198.51.100.200
                 - 2001:db8:1::ffbb
               dns_search:
                 - example.com
               route:
                 - network: 192.0.2.0
                   prefix: 24
                   gateway: 198.51.100.1
                 - network: 203.0.113.0
                   prefix: 24
                   gateway: 198.51.100.2
             state: up

3. Playbook を実行します。

   • root ユーザーとして管理対象ホストに接続するには、次のコマンドを実行します。

     # ansible-playbook -u root ~/add-static-routes.yml

   • 管理ホストにユーザーとして接続するには、次のコマンドを実行します。

     # ansible-playbook -u user_name --ask-become-pass ~/add-static-routes.yml

     --ask-become-pass オプションは、ansible-playbook コマンドが -u user_name オプションで定義したユーザーの sudo パスワードを要求するようにします。

   -u user_name オプションを指定しないと、ansible-playbook は、コントロールノードに現在ログインしているユーザーとして管理ホストに接続します。

手順

1. Playbook の命令を実行するホストのインベントリーがまだ指定されていない場合は、そのホストの IP または名前を Ansible インベントリーファイル /etc/ansible/hosts に追加します。

   node.example.com

2. ~/configure-ethernet-device-with-ethtool-features.yml Playbook を以下の内容で作成します。

   ---
   - name. Configure an Ethernet connection with ethtool features
     hosts: node.example.com
     become: true
     tasks:
     - include_role:
         name: linux-system-roles.network
   
       vars:
         network_connections:
           - name: enp1s0
             type: ethernet
             autoconnect: yes
             ip:
               address:
                 - 198.51.100.20/24
                 - 2001:db8:1::1/64
               gateway4: 198.51.100.254
               gateway6: 2001:db8:1::fffe
               dns:
                 - 198.51.100.200
                 - 2001:db8:1::ffbb
               dns_search:
                 - example.com
             ethtool:
               feature:
                 gro: "no"
                 gso: "yes"
                 tx_sctp_segmentation: "no"
             state: up

3. Playbook を実行します。

   • root ユーザーとして管理対象ホストに接続するには、次のコマンドを実行します。

     # ansible-playbook -u root ~/configure-ethernet-device-with-ethtool-features.yml

   • 管理ホストにユーザーとして接続するには、次のコマンドを実行します。

     # ansible-playbook -u user_name --ask-become-pass ~/configure-ethernet-device-with-ethtool-features.yml

     --ask-become-pass オプションは、ansible-playbook コマンドが -u user_name オプションで定義したユーザーの sudo パスワードを要求するようにします。

   -u user_name オプションを指定しないと、ansible-playbook は、コントロールノードに現在ログインしているユーザーとして管理ホストに接続します。

手順

1. Playbook の命令を実行するホストのインベントリーがまだ指定されていない場合は、そのホストの IP または名前を Ansible インベントリーファイル /etc/ansible/hosts に追加します。

   node.example.com

2. ~/configure-ethernet-device-with-ipareplicacoalesce-settings.yml Playbook を以下の内容で作成します。

   ---
   - name: Configure an Ethernet connection with ethtool coalesce settings
     hosts: node.example.com
     become: true
     tasks:
     - include_role:
         name: linux-system-roles.network
   
       vars:
         network_connections:
           - name: enp1s0
             type: ethernet
             autoconnect: yes
             ip:
               address:
                 - 198.51.100.20/24
                 - 2001:db8:1::1/64
               gateway4: 198.51.100.254
               gateway6: 2001:db8:1::fffe
               dns:
                 - 198.51.100.200
                 - 2001:db8:1::ffbb
               dns_search:
                 - example.com
             ethtool:
               coalesce:
                 rx_frames: 128
                 tx_frames: 128
             state: up

3. Playbook を実行します。

   • root ユーザーとして管理対象ホストに接続するには、次のコマンドを実行します。

     # ansible-playbook -u root ~/configure-ethernet-device-with-ethtoolcoalesce-settings.yml

   • 管理ホストにユーザーとして接続するには、次のコマンドを実行します。

     # ansible-playbook -u user_name --ask-become-pass ~/configure-ethernet-device-with-ethtoolcoalesce-settings.yml

     --ask-become-pass オプションは、ansible-playbook コマンドが -u user_name オプションで定義したユーザーの sudo パスワードを要求するようにします。

   -u user_name オプションを指定しないと、ansible-playbook は、コントロールノードに現在ログインしているユーザーとして管理ホストに接続します。

手順

1. RHEL Ansible リポジトリーを有効にします。以下に例を示します。

   # subscription-manager repos --enable ansible-2-for-rhel-8-x86_64-rpms

2. Ansible Engine をインストールします。

   # yum install ansible

3. RHEL システムロールをインストールします。

   # yum install rhel-system-roles

4. Playbook を準備します。ゼロから開始するか、rhel-system-roles パッケージの一部としてインストールされたサンプル Playbook を変更してください。

   # cp /usr/share/doc/rhel-system-roles/selinux/example-selinux-playbook.yml my-selinux-playbook.yml
   # vi my-selinux-playbook.yml

5. シナリオに合わせて Playbook の内容を変更します。たとえば、次の部分では、システムが SELinux モジュール selinux-local-1.pp をインストールして有効にします。

   selinux_modules:
   - { path: "selinux-local-1.pp", priority: "400" }

6. 変更を保存し、テキストエディターを終了します。

7. host1、host2 および host3 システムで Playbook を実行します。

   # ansible-playbook -i host1,host2,host3 my-selinux-playbook.yml

手順

1. 必要なロールを定義する Playbook を作成します。

   1. 新しい YAML ファイルを作成し、これをテキストエディターで開きます。以下に例を示します。

      # vi logging-playbook.yml

   2. 以下の内容を挿入します。

      ---
      - name: Deploying basics input and implicit files output
        hosts: all
        roles:
          - linux-system-roles.logging
        vars:
          logging_inputs:
            - name: system_input
              type: basics
          logging_outputs:
            - name: files_output
              type: files
          logging_flows:
            - name: flow1
              inputs: [system_input]
              outputs: [files_output]

2. 特定のインベントリーで Playbook を実行します。

   # ansible-playbook -i inventory-file /path/to/file/logging-playbook.yml

   ここで、* inventory-file はインベントリーファイルに置き換えます。* logging-playbook.yml は、使用する Playbook に置き換えます。

検証

1. /etc/rsyslog.conf ファイルの構文をテストします。

   # rsyslogd -N 1
   rsyslogd: version 8.1911.0-6.el8, config validation run (level 1), master config /etc/rsyslog.conf
   rsyslogd: End of config validation run. Bye.

2. システムがログにメッセージを送信していることを確認します。

   1. テストメッセージを送信します。

      # logger test

   2. /var/log/messages ログ を表示します。以下に例を示します。

      # cat /var/log/messages
      Aug  5 13:48:31 hostname root[6778]: test

      `hostname` はクライアントシステムのホスト名です。ログには、logger コマンドを入力したユーザーのユーザー名 (この場合は root) が含まれていることに注意してください。

手順

1. 以下の内容を含む新しい playbook.yml ファイルを作成します。

   ---
   - name: Deploying files input and configured files output
     hosts: all
     roles:
       - linux-system-roles.logging
     vars:
       logging_inputs:
         - name: files_input0
           type: files
           input_log_path: /var/log/containerA/*.log
         - name: files_input1
           type: files
           input_log_path: /var/log/containerB/*.log
       logging_outputs:
         - name: files_output0
           type: files
           property: msg
           property_op: contains
           property_value: error
           path: /var/log/errors.log
         - name: files_output1
           type: files
           property: msg
           property_op: "!contains"
           property_value: error
           path: /var/log/others.log
       logging_flows:
         - name: flow0
           inputs: [files_input0, files_input1]
           outputs: [files_output0, files_output1]

   この設定を使用すると、error 文字列を含むメッセージはすべて /var/log/errors.log に記録され、その他のメッセージはすべて /var/log/others.log に記録されます。

   error プロパティーの値はフィルタリングする文字列に置き換えることができます。

   設定に合わせて変数を変更できます。

2. オプション: Playbook の構文を確認します。

   # ansible-playbook --syntax-check playbook.yml

3. インベントリーファイルで Playbook を実行します。

   # ansible-playbook -i inventory_file /path/to/file/playbook.yml

検証

1. /etc/rsyslog.conf ファイルの構文をテストします。

   # rsyslogd -N 1
   rsyslogd: version 8.1911.0-6.el8, config validation run (level 1), master config /etc/rsyslog.conf
   rsyslogd: End of config validation run. Bye.

2. システムが error 文字列を含むメッセージをログに送信していることを確認します。

   1. テストメッセージを送信します。

      # logger error

   2. 以下のように /var/log/errors.log ログを表示します。

      # cat /var/log/errors.log
      Aug  5 13:48:31 hostname root[6778]: error

      hostname はクライアントシステムのホスト名に置き換えます。ログには、logger コマンドを入力したユーザーのユーザー名 (この場合は root) が含まれていることに注意してください。

手順

1. 必要なロールを定義する Playbook を作成します。

   1. 新しい YAML ファイルを作成し、これをテキストエディターで開きます。以下に例を示します。

      # vi logging-playbook.yml

   2. 以下の内容をファイルに挿入します。

      ---
      - name: Deploying remote input and remote_files output
        hosts: server
        roles:
          - linux-system-roles.logging
        vars:
          logging_inputs:
            - name: remote_udp_input
              type: remote
              udp_ports: [ 601 ]
            - name: remote_tcp_input
              type: remote
              tcp_ports: [ 601 ]
          logging_outputs:
            - name: remote_files_output
              type: remote_files
          logging_flows:
            - name: flow_0
              inputs: [remote_udp_input, remote_tcp_input]
              outputs: [remote_files_output]
      
      - name: Deploying basics input and forwards output
        hosts: clients
        roles:
          - linux-system-roles.logging
        vars:
          logging_inputs:
            - name: basic_input
              type: basics
          logging_outputs:
            - name: forward_output0
              type: forwards
              severity: info
              target: _host1.example.com_
              udp_port: 601
            - name: forward_output1
              type: forwards
              facility: mail
              target: _host1.example.com_
              tcp_port: 601
          logging_flows:
            - name: flows0
              inputs: [basic_input]
              outputs: [forward_output0, forward_output1]
      
      [basic_input]
      [forward_output0, forward_output1]

      host1.example.com はロギングサーバーに置き換えます。

      注記

      必要に応じて、Playbook のパラメーターを変更することができます。

      警告

      ロギングソリューションは、サーバーまたはクライアントシステムの SELinux ポリシーで定義され、ファイアウォールで開放されたポートでしか機能しません。デフォルトの SELinux ポリシーには、ポート 601、514、6514、10514、および 20514 が含まれます。別のポートを使用するには、クライアントシステムおよびサーバーシステムで SELinux ポリシーを変更 します。システムロールを使用したファイアウォールの設定は、まだサポートされていません。

2. サーバーおよびクライアントを一覧表示するインベントリーファイルを作成します。

   1. 新しいファイルを作成してテキストエディターで開きます。以下に例を示します。

      # vi inventory.ini

   2. 以下のコンテンツをインベントリーファイルに挿入します。

      [servers]
      server ansible_host=host1.example.com
      [clients]
      client ansible_host=host2.example.com

      ここで、

      • host1.example.com はロギングサーバーです。
      • host2.example.com はロギングクライアントです。

3. インベントリーで Playbook を実行します。

   # ansible-playbook -i /path/to/file/inventory.ini /path/to/file/_logging-playbook.yml

   ここで、

   • inventory.ini はインベントリーファイルに置き換えます。
   • logging-playbook.yml は作成した Playbook に置き換えます。

検証

1. クライアントとサーバーシステムの両方で、/etc/rsyslog.conf ファイルの構文をテストします。

   # rsyslogd -N 1
   rsyslogd: version 8.1911.0-6.el8, config validation run (level 1), master config /etc/rsyslog.conf
   rsyslogd: End of config validation run. Bye.

2. クライアントシステムがサーバーにメッセージを送信することを確認します。

   1. クライアントシステムで、テストメッセージを送信します。

      # logger test

   2. サーバーシステムで、/var/log/messages ログを表示します。以下に例を示します。

      # cat /var/log/messages
      Aug  5 13:48:31 host2.example.com root[6778]: test

      host2.example.com は、クライアントシステムのホスト名です。ログには、logger コマンドを入力したユーザーのユーザー名 (この場合は root) が含まれていることに注意してください。

手順

1. SSHD システムロールの Playbook の例をコピーします。

   # cp /usr/share/doc/rhel-system-roles/sshd/example-root-login-playbook.yml path/custom-playbook.yml

2. 以下の例のように、テキストエディターでコピーした Playbook を開きます。

   # vim path/custom-playbook.yml
   
   ---
   - hosts: all
     tasks:
     - name: Configure sshd to prevent root and password login except from particular subnet
       include_role:
         name: rhel-system-roles.sshd
       vars:
         sshd:
           # root login and password login is enabled only from a particular subnet
           PermitRootLogin: no
           PasswordAuthentication: no
           Match:
           - Condition: "Address 192.0.2.0/24"
             PermitRootLogin: yes
             PasswordAuthentication: yes

   Playbook は、以下のように、管理対象ノードを SSH サーバーとして設定します。

   • パスワードと root ユーザーのログインが無効である
   • 192.0.2.0/24 のサブネットからのパスワードおよび root ユーザーのログインのみが有効である

   設定に合わせて変数を変更できます。詳細は「SSHD Server System Role variables」を参照してください。

3. オプション: Playbook の構文を確認します。

   # ansible-playbook --syntax-check path/custom-playbook.yml

4. インベントリーファイルで Playbook を実行します。

   # ansible-playbook -i inventory_file path/custom-playbook.yml
   
   ...
   
   PLAY RECAP
   **************************************************
   
   localhost : ok=12 changed=2 unreachable=0 failed=0
   skipped=10 rescued=0 ignored=0

検証

1. SSH サーバーにログインします。

   $ ssh user1@10.1.1.1

   ここで、

   • user1 は、SSH サーバーのユーザーです。
   • 10.1.1.1 は、SSH サーバーの IP アドレスです。

2. SSH サーバーの sshd_config ファイルの内容を確認します。

   $ vim /etc/ssh/sshd_config
   
   # Ansible managed
   HostKey /etc/ssh/ssh_host_rsa_key
   HostKey /etc/ssh/ssh_host_ecdsa_key
   HostKey /etc/ssh/ssh_host_ed25519_key
   AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
   AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
   AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
   AcceptEnv XMODIFIERS
   AuthorizedKeysFile .ssh/authorized_keys
   ChallengeResponseAuthentication no
   GSSAPIAuthentication yes
   GSSAPICleanupCredentials no
   PasswordAuthentication no
   PermitRootLogin no
   PrintMotd no
   Subsystem sftp /usr/libexec/openssh/sftp-server
   SyslogFacility AUTHPRIV
   UsePAM yes
   X11Forwarding yes
   Match Address 192.0.2.0/24
     PasswordAuthentication yes
     PermitRootLogin yes

3. 192.0.2.0/24 サブネットから root としてサーバーに接続できることを確認します。

   1. IP アドレスを確認します。

      $ hostname -I
      192.0.2.1

      IP アドレスが 192.0.2.1 - 192.0.2.254 範囲にある場合は、サーバーに接続できます。

   2. root でサーバーに接続します。

      $ ssh root@10.1.1.1

手順

1. 以下の内容を含む新しい playbook.yml ファイルを作成します。

   ---
   - hosts: all
     tasks:
     - name: "Configure ssh clients"
       include_role:
         name: rhel-system-roles.ssh
       vars:
         ssh_user: root
         ssh:
           Compression: true
           GSSAPIAuthentication: no
           ControlMaster: auto
           ControlPath: ~/.ssh/.cm%C
           Host:
             - Condition: example
               Hostname: example.com
               User: user1
         ssh_ForwardX11: no

   この Playbook は、以下の設定を使用して、管理対象ノードで root ユーザーの SSH クライアント設定を行います。

   • 圧縮が有効になっている。
   • ControlMaster multiplexing が auto に設定されている。
   • example.com ホストに接続するための example エイリアスが user1 である。
   • ホストエイリアスの example が作成されている。(これはユーザー名が user1 の example.com ホストへの接続を表します。)
   • X11 転送が無効化されている。

   必要に応じて、これらの変数は設定に合わせて変更できます。詳細は、「SSH Client Role variables」を参照してください。

2. オプション: Playbook の構文を確認します。

   # ansible-playbook --syntax-check path/custom-playbook.yml

3. インベントリーファイルで Playbook を実行します。

   # ansible-playbook -i inventory_file path/custom-playbook.yml

手順

1. 以下の内容を含む新しい playbook.yml ファイルを作成します。

   ---
   - hosts: all
     tasks:
     - name: Configure crypto policies
       include_role:
         name: linux-system-roles.crypto_policies
       vars:
         - crypto_policies_policy: FUTURE
         - crypto_policies_reboot_ok: true

   FUTURE の値は、任意の暗号化ポリシー (例: DEFAULT、LEGACY、および FIPS:OSPP) に置き換えることができます。

   crypto_policies_reboot_ok: true 変数を設定すると、システムロールで crypto ポリシーを変更した後にシステムが再起動されます。

   詳細は「Crypto Policies システムロール変数およびファクト」を参照してください。

2. オプション: Playbook の構文を確認します。

   # ansible-playbook --syntax-check playbook.yml

3. インベントリーファイルで Playbook を実行します。

   # ansible-playbook -i inventory_file playbook.yml

検証

1. コントロールノードで (例: verify_playbook.yml) という名前の別の Playbook を作成します。

   - hosts: all
     tasks:
    - name: Verify active crypto policy
      include_role:
        name: linux-system-roles.crypto_policies
   
    - debug:
        var: crypto_policies_active

   この Playbook では、システムの設定は変更されず、管理対象ノードのアクティブなポリシーだけを報告します。

2. 同じインベントリーファイルで Playbook を実行します。

   # ansible-playbook -i inventory_file verify_playbook.yml
   
   TASK [debug] **************************
   ok: [host] => {
       "crypto_policies_active": "FUTURE"
   }

   "crypto_policies_active": 変数は、管理対象ノードでアクティブなポリシーを表示します。

手順

1. RHEL Ansible リポジトリーを有効にします。以下に例を示します。

   # subscription-manager repos --enable ansible-2-for-rhel-8-x86_64-rpms

2. Ansible Engine をインストールします。

   # yum install ansible

3. RHEL システムロールをインストールします。

   # yum install rhel-system-roles

4. Tang サーバーの設定が含まれる Playbook を準備します。ゼロから開始するか、または /usr/share/ansible/roles/rhel-system-roles.nbde_server/examples/ ディレクトリーにある Playbook のいずれかのサンプルを使用することができます。

   # cp /usr/share/ansible/roles/rhel-system-roles.nbde_server/examples/simple_deploy.yml ./my-tang-playbook.yml

5. 選択したテキストエディターで Playbook を編集します。以下に例を示します。

   # vi my-tang-playbook.yml

6. 必要なパラメーターを追加します。以下の Playbook の例では、Tang サーバーのデプロイとキーローテーションを確実に実行します。

   ---
   - hosts: all
   
     vars:
       nbde_server_rotate_keys: yes
   
     roles:
       - linux-system-roles.nbde_server

7. 終了した Playbook を適用します。

   # ansible-playbook -i host1,host2,host3 my-tang-playbook.yml

手順

1. RHEL Ansible リポジトリーを有効にします。以下に例を示します。

   # subscription-manager repos --enable ansible-2-for-rhel-8-x86_64-rpms

2. Ansible Engine をインストールします。

   # yum install ansible

3. RHEL システムロールをインストールします。

   # yum install rhel-system-roles

4. Clevis クライアントの設定が含まれる Playbook を準備します。ゼロから開始するか、または /usr/share/ansible/roles/rhel-system-roles.nbde_client/examples/ ディレクトリーにある Playbook のいずれかのサンプルを使用することができます。

   # cp /usr/share/ansible/roles/rhel-system-roles.nbde_client/examples/high_availability.yml ./my-clevis-playbook.yml

5. 選択したテキストエディターで Playbook を編集します。以下に例を示します。

   # vi my-clevis-playbook.yml

6. 必要なパラメーターを追加します。以下の Playbook の例では、2 つの Tang サーバーのうち少なくとも 1 台が利用可能な場合に、LUKS で暗号化した 2 つのボリュームを自動的にアンロックするように Clevis クライアントを設定します。

   ---
   - hosts: all
   
     vars:
       nbde_client_bindings:
         - device: /dev/rhel/root
           encryption_key_src: /etc/luks/keyfile
           servers:
             - http://server1.example.com
             - http://server2.example.com
         - device: /dev/rhel/swap
           encryption_key_src: /etc/luks/keyfile
           servers:
             - http://server1.example.com
             - http://server2.example.com
   
     roles:
       - linux-system-roles.nbde_client

7. 終了した Playbook を適用します。

   # ansible-playbook -i host1,host2,host3 my-clevis-playbook.yml

手順

1. オプション: inventory.file などのインベントリーファイルを作成します。

   $ touch inventory.file

2. インベントリーファイルを開き、証明書を要求するホストを定義します。以下に例を示します。

   [webserver]
   server.idm.example.com

3. Playbook ファイルを作成します (例: request-certificate.yml)。

   • webserver など、証明書を要求するホストを含むように hosts を設定します。

   • certificate_requests 変数を設定して以下を追加します。

     • name パラメーターを希望する証明書の名前 (mycert など) に設定します。
     • dns パラメーターを *.example.com などの証明書に含むドメインに設定します。
     • ca パラメーターを self-sign に設定します。

   • roles の下に rhel-system-roles.certificate ロールを設定します。

     以下は、この例の Playbook ファイルです。

     ---
     - hosts: webserver
     
       vars:
         certificate_requests:
           - name: mycert
             dns: *.example.com
             ca: self-sign
     
       roles:
         - rhel-system-roles.certificate

4. ファイルを保存します。

5. Playbook を実行します。

   $ ansible-playbook -i inventory.file request-certificate.yml

手順

1. オプション: inventory.file などのインベントリーファイルを作成します。

   $ touch inventory.file

2. インベントリーファイルを開き、証明書を要求するホストを定義します。以下に例を示します。

   [webserver]
   server.idm.example.com

3. Playbook ファイルを作成します (例: request-certificate.yml)。

   • webserver など、証明書を要求するホストを含むように hosts を設定します。

   • certificate_requests 変数を設定して以下を追加します。

     • name パラメーターを希望する証明書の名前 (mycert など) に設定します。
     • dns パラメーターをドメインに設定し、証明書に追加します (例: www.example.com)。
     • principal パラメーターを設定し、Kerberos プリンシパルを指定します (例: HTTP/www.example.com@EXAMPLE.COM)。
     • ca パラメーターを ipa に設定します。

   • roles の下に rhel-system-roles.certificate ロールを設定します。

     以下は、この例の Playbook ファイルです。

     ---
     - hosts: webserver
       vars:
         certificate_requests:
           - name: mycert
             dns: www.example.com
             principal: HTTP/www.example.com@EXAMPLE.COM
             ca: ipa
     
       roles:
         - rhel-system-roles.certificate

4. ファイルを保存します。

5. Playbook を実行します。

   $ ansible-playbook -i inventory.file request-certificate.yml

手順

1. オプション: inventory.file などのインベントリーファイルを作成します。

   $ touch inventory.file

2. インベントリーファイルを開き、証明書を要求するホストを定義します。以下に例を示します。

   [webserver]
   server.idm.example.com

3. Playbook ファイルを作成します (例: request-certificate.yml)。

   • webserver など、証明書を要求するホストを含むように hosts を設定します。

   • certificate_requests 変数を設定して以下を追加します。

     • name パラメーターを希望する証明書の名前 (mycert など) に設定します。
     • dns パラメーターをドメインに設定し、証明書に追加します (例: www.example.com)。
     • ca パラメーターを証明書を発行する際に使用する CA に設定します (例: self-sign)。
     • この証明書を発行または更新する前に、run_before パラメーターを実行するコマンドに設定します (例: systemctl stop httpd.service)。
     • この証明書を発行または更新した後に、run_after パラメーターを実行するコマンドに設定します (例: systemctl start httpd.service)。

   • roles の下に rhel-system-roles.certificate ロールを設定します。

     以下は、この例の Playbook ファイルです。

     ---
     - hosts: webserver
       vars:
         certificate_requests:
           - name: mycert
             dns: www.example.com
             ca: self-sign
             run_before: systemctl stop httpd.service
             run_after: systemctl start httpd.service
     
       roles:
         - linux-system-roles.certificate

4. ファイルを保存します。

5. Playbook を実行します。

   $ ansible-playbook -i inventory.file request-certificate.yml

手順

1. 以下の内容を含む新しい playbook.yml ファイルを作成します。

   ---
   - hosts: kdump-test
     vars:
       kdump_path: /var/crash
     roles:
       - rhel-system-roles.kdump

2. オプション: Playbook の構文を確認します。

   # ansible-playbook --syntax-check playbook.yml

3. インベントリーファイルで Playbook を実行します。

   # ansible-playbook -i inventory_file /path/to/file/playbook.yml

手順

1. 以下の内容を含む新しい playbook.yml ファイルを作成します。

   ---
   - hosts: timesync-test
     vars:
       timesync_ntp_servers:
         - hostname: 2.rhel.pool.ntp.org
           pool: yes
           iburst: yes
     roles:
       - rhel-system-roles.timesync

2. オプション: Playbook の構文を確認します。

   # ansible-playbook --syntax-check playbook.yml

3. インベントリーファイルで Playbook を実行します。

   # ansible-playbook -i inventory_file /path/to/file/playbook.yml

手順

1. 以下のコンテンツをインベントリーに追加して、/etc/ansible/hosts Ansible インベントリーの localhost を設定します。

   localhost ansible_connection=local

2. 以下の内容を含む Ansible Playbook を作成します。

   ---
   - hosts: localhost
     vars:
       metrics_graph_service: yes
     roles:
       - rhel-system-roles.metrics

3. Ansible Playbook の実行:

   # ansible-playbook name_of_your_playbook.yml

   注記

   metrics_graph_service ブール値はvalue="yes" に設定されているため、grafana は自動的にインストールされ、データソースとして pcp が追加されてプロビジョニングされます。

4. マシンで収集されるメトリックを視覚化するには、「Grafana Web UI へのアクセス」 の説明どおりに grafana Web インターフェースにアクセスします。

手順

1. Playbook 経由で監視するマシンの名前または IP を、括弧で囲まれた識別グループ名で /etc/ansible/hosts Ansible インベントリーファイルに追加します。

   [remotes]
   webserver.example.com
   database.example.com

2. 以下の内容を含む Ansible Playbook を作成します。

   ---
   - hosts: remotes
     vars:
       metrics_retention_days: 0
     roles:
       - rhel-system-roles.metrics

3. Ansible Playbook の実行:

   # ansible-playbook name_of_your_playbook.yml

手順

1. 以下の内容を含む Ansible Playbook を作成します。

   ---
   - hosts: localhost
     vars:
       metrics_graph_service: yes
       metrics_query_service: yes
       metrics_retention_days: 10
       metrics_monitored_hosts: ["database.example.com", "webserver.example.com"]
     roles:
       - rhel-system-roles.metrics

2. Ansible Playbook の実行:

   # ansible-playbook name_of_your_playbook.yml

   注記

   metrics_graph_service および metrics_query_service のブール値は value="yes" に設定されているため、grafana は、redis にインデックス化された pcp データの記録のあるデータソースとして追加された pcp で自動的にインストールおよびプロビジョニングされます。これにより、pcp クエリー言語をデータの複雑なクエリーに使用できます。

3. マシンによって一元的に収集されるメトリックのグラフィック表示とデータのクエリーを行うには、「Grafana Web UI へのアクセス」 で説明されているように、grafana Web インターフェースにアクセスします。

手順

1. 認証を設定する Ansible Playbook に、以下の変数を追加します。

   ---
     vars:
       metrics_username: your_username
       metrics_password: your_password

2. Ansible Playbook の実行:

   # ansible-playbook name_of_your_playbook.yml

手順

1. 以下のコンテンツをインベントリーに追加して、/etc/ansible/hosts Ansible インベントリーの localhost を設定します。

   localhost ansible_connection=local

2. 以下の内容が含まれる Ansible Playbook を作成します。

   ---
   - hosts: localhost
     roles:
       - role: rhel-system-roles.metrics
         vars:
           metrics_from_sql: yes

3. Ansible Playbook の実行:

   # ansible-playbook name_of_your_playbook.yml

手順

1. 以下の内容を含む新しい playbook.yml ファイルを作成します。

   ---
   - name: Deploy session recording
     hosts: all
     vars:
       tlog_scope_sssd: some
       tlog_users_sssd:
         - recordeduser
   
     roles:
       - rhel-system-roles.tlog

   詳細は以下のようになります。

   • tlog_scope_sssd:

     • some は、all または none ではなく、特定のユーザーおよびグループのみを記録することを指定します。

   • tlog_users_sssd:

     • recordeduser は、セッションを記録するユーザーを指定します。ただし、ユーザーは追加されない点に留意してください。ユーザーを独自に設定する必要があります。

2. オプション: Playbook の構文を確認します。

   # ansible-playbook --syntax-check playbook.yml

3. インベントリーファイルで Playbook を実行します。

   # ansible-playbook -i IP_Address /path/to/file/playbook.yml -v

1. SSSD 設定ドロップファイルが作成されるフォルダーに移動します。

   # cd /etc/sssd/conf.d

2. ファイルの内容を確認します。

   # cat /etc/sssd/conf.d/sssd-session-recording.conf

手順

1. 以下の内容を含む新しい playbook.yml ファイルを作成します。

   ---
   - name: Deploy session recording excluding users and groups
     hosts: all
     vars:
       tlog_scope_sssd: all
       tlog_exclude_users_sssd:
         - jeff
         - james
       tlog_exclude_groups_sssd:
         - admins
   
     roles:
       - rhel-system-roles.tlog

   詳細は以下のようになります。

   • tlog_scope_sssd:

     • all: ユーザーおよびグループをすべて記録するように指定します。

   • tlog_exclude_users_sssd:

     • User name: セッションの記録から除外するユーザーのユーザー名を指定します。

   • tlog_exclude_groups_sssd:

     • admins は、セッション記録から除外するグループを指定します。

2. オプションで Playbook の構文を確認します。

   # ansible-playbook --syntax-check playbook.yml

3. インベントリーファイルで Playbook を実行します。

   # ansible-playbook -i IP_Address /path/to/file/playbook.yml -v

1. SSSD 設定ドロップファイルが作成されるフォルダーに移動します。

   # cd /etc/sssd/conf.d

2. ファイルの内容を確認します。

   # cat sssd-session-recording.conf

手順

1. ユーザーを作成し、このユーザーにパスワードを割り当てます。

   # useradd recordeduser
   # passwd recordeduser

2. 上記で作成したユーザーとしてシステムにログインし直します。

   # ssh recordeduser@localhost

3. 認証用に yes または no を入力するようにシステムが求めたら、「yes」を入力します。

4. 記録したユーザー のパスワードを挿入します。

   システムは、セッションを記録していることを示すメッセージを表示します。

   ATTENTION! Your session is being recorded!

5. セッションの記録が完了したら、以下を入力します。

   # exit

   システムはユーザーからログアウトし、ローカルホストとの接続を閉じます。

1. 以下のコマンドを実行します。

   # journalctl -o verbose -r

2. 記録したジャーナルエントリー tlog-rec の MESSAGE フィールドを検索します。

   # journalctl -xel _EXE=/usr/bin/tlog-rec-session

手順

1. CLI 端末で、ユーザーセッションの記録を再生します。

   # journalctl -o verbose -r

2. tlog 記録を検索します。

   $ /tlog-rec

   以下のような詳細が表示されます。

   • ユーザーセッションの記録用のユーザー名
   • out_txt フィールド (記録したセッションの raw 出力エンコード)
   • 識別子番号 TLOG_REC=ID_number
3. 識別子番号 TLOG_REC=ID_number をコピーします。

4. 識別子番号 TLOG_REC=ID_number を使用して記録を再生します。

   # tlog-play -r journal -M TLOG_REC=ID_number

手順

1. 「ha_cluster システムロールのインベントリーの指定」で説明されているように、クラスター内のノードを指定するインベントリーファイルを作成します。

2. Playbook ファイルを作成します (例: new-cluster.yml)。

   以下の Playbook ファイルの例では、フェンシングが設定されていないクラスターと、リソースを実行しないクラスターを設定します。実稼働環境の Playbook ファイルを作成する場合は、「Ansible Vault を使用したコンテンツの暗号化」で説明されているように、パスワード vault を暗号化することが推奨されます。

   - hosts: node1 node2
     vars:
       ha_cluster_cluster_name: my-new-cluster
       ha_cluster_hacluster_password: password
   
     roles:
       - rhel-system-roles.ha_cluster

3. ファイルを保存します。

4. Playbook を実行します。

   $ ansible-playbook -i inventory new-cluster.yml

手順

1. 「ha_cluster システムロールのインベントリーの指定」で説明されているように、クラスター内のノードを指定するインベントリーファイルを作成します。

2. Playbook ファイルを作成します (例: new-cluster.yml)。

   以下の Playbook ファイルの例では、フェンシング、複数のリソース、およびリソースグループを含むクラスターを設定します。また、リソースグループのリソースクローンも含まれます。実稼働環境の Playbook ファイルを作成する場合は、「Ansible Vault を使用したコンテンツの暗号化」で説明されているように、パスワード vault を暗号化することが推奨されます。

   - hosts: node1 node2
     vars:
       ha_cluster_cluster_name: my-new-cluster
       ha_cluster_hacluster_password: password
       ha_cluster_resource_primitives:
         - id: xvm-fencing
           agent: 'stonith:fence_xvm'
           instance_attrs:
             - attrs:
                 - name: pcmk_host_list
                   value: node1 node2
         - id: simple-resource
           agent: 'ocf:pacemaker:Dummy'
         - id: resource-with-options
           agent: 'ocf:pacemaker:Dummy'
           instance_attrs:
             - attrs:
                 - name: fake
                   value: fake-value
                 - name: passwd
                   value: passwd-value
           meta_attrs:
             - attrs:
                 - name: target-role
                   value: Started
                 - name: is-managed
                   value: 'true'
           operations:
             - action: start
               attrs:
                 - name: timeout
                   value: '30s'
             - action: monitor
               attrs:
                 - name: timeout
                   value: '5'
                 - name: interval
                   value: '1min'
         - id: dummy-1
           agent: 'ocf:pacemaker:Dummy'
         - id: dummy-2
           agent: 'ocf:pacemaker:Dummy'
         - id: dummy-3
           agent: 'ocf:pacemaker:Dummy'
         - id: simple-clone
           agent: 'ocf:pacemaker:Dummy'
         - id: clone-with-options
           agent: 'ocf:pacemaker:Dummy'
       ha_cluster_resource_groups:
         - id: simple-group
           resource_ids:
             - dummy-1
             - dummy-2
           meta_attrs:
             - attrs:
                 - name: target-role
                   value: Started
                 - name: is-managed
                   value: 'true'
         - id: cloned-group
           resource_ids:
             - dummy-3
       ha_cluster_resource_clones:
         - resource_id: simple-clone
         - resource_id: clone-with-options
           promotable: yes
           id: custom-clone-id
           meta_attrs:
             - attrs:
                 - name: clone-max
                   value: '2'
                 - name: clone-node-max
                   value: '1'
         - resource_id: cloned-group
           promotable: yes
   
     roles:
       - rhel-system-roles.ha_cluster

3. ファイルを保存します。

4. Playbook を実行します。

   $ ansible-playbook -i inventory new-cluster.yml

手順

1. 「ha_cluster システムロールのインベントリーの指定」で説明されているように、クラスター内のノードを指定するインベントリーファイルを作成します。

2. Playbook ファイルを作成します (例: http-cluster.yml)。

   以下の Playbook ファイルの例では、アクティブ/パッシブの 2 ノード HA クラスターで事前に作成した Apache HTTP サーバーを設定します。

   この例では、ホスト名が zapc.example.com の APC 電源スイッチを使用します。クラスターが他のフェンスエージェントを使用しない場合は、以下の例のように、ha_cluster_fence_agent_packages 変数を定義するときに、クラスターが必要とするフェンスエージェントのみを任意で一覧表示できます。

   実稼働環境の Playbook ファイルを作成する場合は、「Ansible Vault を使用したコンテンツの暗号化」で説明されているように、パスワード vault を暗号化することが推奨されます。

   - hosts: z1.example.com z2.example.com
     roles:
       - rhel-system-roles.ha_cluster
     vars:
       ha_cluster_hacluster_password: password
       ha_cluster_cluster_name: my_cluster
       ha_cluster_fence_agent_packages:
         - fence-agents-apc-snmp
       ha_cluster_resource_primitives:
         - id: myapc
           agent: stonith:fence_apc_snmp
           instance_attrs:
             - attrs:
                 - name: ipaddr
                   value: zapc.example.com
                 - name: pcmk_host_map
                   value: z1.example.com:1;z2.example.com:2
                 - name: login
                   value: apc
                 - name: passwd
                   value: apc
         - id: my_lvm
           agent: ocf:heartbeat:LVM-activate
           instance_attrs:
             - attrs:
                 - name: vgname
                   value: my_vg
                 - name: vg_access_mode
                   value: system_id
         - id: my_fs
           agent: Filesystem
           instance_attrs:
             - attrs:
                 - name: device
                   value: /dev/my_vg/my_lv
                 - name: directory
                   value: /var/www
                 - name: fstype
                   value: ext4
         - id: VirtualIP
           agent: IPaddr2
           instance_attrs:
             - attrs:
                 - name: ip
                   value: 198.51.100.3
                 - name: cidr_netmask
                   value: 24
         - id: Website
           agent: apache
           instance_attrs:
             - attrs:
                 - name: configfile
                   value: /etc/httpd/conf/httpd.conf
                 - name: statusurl
                   value: http://127.0.0.1/server-status
       ha_cluster_resource_groups:
         - id: apachegroup
           resource_ids:
             - my_lvm
             - my_fs
             - VirtualIP
             - Website

3. ファイルを保存します。

4. Playbook を実行します。

   $ ansible-playbook -i inventory http-cluster.yml

検証手順

1. クラスター内のノードのいずれかから、クラスターのステータスを確認します。4 つのリソースがすべて同じノード (z1.example.com) で実行されていることに注意してください。

   設定したリソースが実行していない場合は、pcs resource debug-start resource コマンドを実行して、リソースの設定をテストします。

   [root@z1 ~]# pcs status
   Cluster name: my_cluster
   Last updated: Wed Jul 31 16:38:51 2013
   Last change: Wed Jul 31 16:42:14 2013 via crm_attribute on z1.example.com
   Stack: corosync
   Current DC: z2.example.com (2) - partition with quorum
   Version: 1.1.10-5.el7-9abe687
   2 Nodes configured
   6 Resources configured
   
   Online: [ z1.example.com z2.example.com ]
   
   Full list of resources:
    myapc  (stonith:fence_apc_snmp):       Started z1.example.com
    Resource Group: apachegroup
        my_lvm     (ocf::heartbeat:LVM):   Started z1.example.com
        my_fs      (ocf::heartbeat:Filesystem):    Started z1.example.com
        VirtualIP  (ocf::heartbeat:IPaddr2):       Started z1.example.com
        Website    (ocf::heartbeat:apache):        Started z1.example.com

2. クラスターが稼働したら、ブラウザーで、IPaddr2 リソースとして定義した IP アドレスを指定して、「Hello」と単語が表示されるサンプル表示を確認します。

   Hello

3. z1.example.com で実行しているリソースグループが z2.example.com ノードにフェールオーバーするかどうかをテストするには、ノード z1.example.com を standby にすると、ノードがリソースをホストできなくなります。

   [root@z1 ~]# pcs node standby z1.example.com

4. ノード z1 を standby モードにしたら、クラスター内のノードのいずれかからクラスターのステータスを確認します。リソースはすべて z2 で実行しているはずです。

   [root@z1 ~]# pcs status
   Cluster name: my_cluster
   Last updated: Wed Jul 31 17:16:17 2013
   Last change: Wed Jul 31 17:18:34 2013 via crm_attribute on z1.example.com
   Stack: corosync
   Current DC: z2.example.com (2) - partition with quorum
   Version: 1.1.10-5.el7-9abe687
   2 Nodes configured
   6 Resources configured
   
   Node z1.example.com (1): standby
   Online: [ z2.example.com ]
   
   Full list of resources:
   
    myapc  (stonith:fence_apc_snmp):       Started z1.example.com
    Resource Group: apachegroup
        my_lvm     (ocf::heartbeat:LVM):   Started z2.example.com
        my_fs      (ocf::heartbeat:Filesystem):    Started z2.example.com
        VirtualIP  (ocf::heartbeat:IPaddr2):       Started z2.example.com
        Website    (ocf::heartbeat:apache):        Started z2.example.com

   定義している IP アドレスの Web サイトは、中断せず表示されているはずです。

5. スタンバイ モードから z1 を削除するには、以下のコマンドを実行します。

   [root@z1 ~]# pcs node unstandby z1.example.com

   注記

   ノードを スタンバイ モードから削除しても、リソースはそのノードにフェイルオーバーしません。これは、リソースの resource-stickiness 値により異なります。resource-stickiness メタ属性の詳細は、「現在のノードを優先するようにリソースを設定」を参照してください。