RHEL 8 で Web コンソールを使用したシステムの管理
Red Hat Enterprise Linux 8 で Web コンソールを使用したシステム管理ガイド
概要
多様性を受け入れるオープンソースの強化
Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、今後の複数のリリースで段階的に用語の置き換えを実施して参ります。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。
Red Hat ドキュメントへのフィードバック (英語のみ)
当社のドキュメントに関するご意見やご感想をお寄せください。また、改善点があればお知らせください。
特定の文章に関するコメントの送信
- Multi-page HTML 形式でドキュメントを表示し、ページが完全にロードされてから右上隅に Feedback ボタンが表示されていることを確認します。
- カーソルを使用して、コメントを追加するテキスト部分を強調表示します。
- 強調表示されたテキストの近くに表示される Add Feedback ボタンをクリックします。
- フィードバックを追加し、Submit をクリックします。
Bugzilla からのフィードバック送信 (アカウントが必要)
- Bugzilla の Web サイトにログインします。
- Version メニューから正しいバージョンを選択します。
- Summary フィールドにわかりやすいタイトルを入力します。
- Description フィールドに、ドキュメントの改善に関するご意見を記入してください。ドキュメントの該当部分へのリンクも追加してください。
- Submit Bug をクリックします。
第1章 RHEL Web コンソールの使用
Red Hat Enterprise Linux 8 に Web コンソールをインストールし、RHEL 8 Web コンソールで リモートホストを追加 し、監視する方法を確認します。
前提条件
- Red Hat Enterprise Linux 8 をインストールしている。
- 有効なネットワークがある。
適切なサブスクリプションが割り当てられた登録済みのシステムがある。
サブスクリプションを取得する場合は、Web コンソールでサブスクリプションの管理 を参照してください。
1.1. RHEL Web コンソールの概要
RHEL Web コンソールは、ローカルシステムやネットワーク環境にある Linux サーバーを管理および監視するために設計された Red Hat Enterprise Linux の Web ベースのインターフェイスです。
RHEL Web コンソールでは、以下を含むさまざまな管理タスクの実行が可能です。
- サービスの管理
- ユーザーアカウントの管理
- システムサービスの管理および監視
- ネットワークインターフェイスおよびファイアウォールの設定
- システムログの確認
- 仮想マシンの管理
- 診断レポートの作成
- カーネルダンプ設定の設定
- SELinux の設定
- ソフトウェアの更新
- システムサブスクリプションの管理
RHEL Web コンソールは、ターミナルと同じシステム API を使用します。ターミナルで実行した操作は、即座に RHEL Web コンソールに反映されます。
ネットワーク環境のシステムのログや、パフォーマンスをグラフで監視できます。さらに、Web コンソールで設定を直接変更したり、ターミナルから設定を変更できます。
1.2. Web コンソールのインストールおよび有効化
RHEL 8 Web コンソールにアクセスするには、最初に cockpit.socket
サービスを有効にします。
Red Hat Enterprise Linux 8 では、多くのインストール方法で、RHEL 8 Web コンソールがデフォルトでインストールされます。ご使用のシステムがこれに該当しない場合は、cockpit
パッケージをインストールしてから .socket
サービスを有効にしてください。
手順
Web コンソールがインストールバリアントにデフォルトでインストールされていない場合は、
cockpit
パッケージを手動でインストールします。# yum install cockpit
必要に応じて、Web サーバーを実行する
cockpit.socket
サービスを有効にして起動します。# systemctl enable --now cockpit.socket
Web コンソールがインストールバリアントにデフォルトでインストールされておらず、カスタムのファイアウォールプロファイルを使用している場合は、
cockpit
サービスをfirewalld
に追加して、ファイアウォールの 9090 番ポートを開きます。# firewall-cmd --add-service=cockpit --permanent # firewall-cmd --reload
検証手順
- 以前のインストールと設定を確認するには、Web コンソールを開きます。
1.3. Web コンソールへのログイン
RHEL Web コンソールに、システムユーザー名とパスワードを使用して初めてログインするには、この手順に従ってください。
前提条件
以下のブラウザーのいずれかを使用して、Web コンソールを開いている。
- Mozilla Firefox 52 以降
- Google Chrome 57 以降
- Microsoft Edge 16 以降
システムユーザーアカウントの認証情報
RHEL Web コンソールは、
/etc/pam.d/cockpit
にある特定の PAM スタックを使用します。PAM を使用した認証では、システムのローカルアカウントのユーザー名およびパスワードを使用してログインできます。
手順
Web ブラウザーで Web コンソールを開き、以下のアドレスを入力します。
https://localhost:9090
注記入力したら、ローカルマシンにログインします。リモートシステムの Web コンソールにログインする場合、「リモートマシンから Web コンソールへの接続」 を参照してください。
自己署名証明書を使用する場合は、ブラウザーに警告が表示されます。証明書を確認し、セキュリティー例外を許可してから、ログインを続行します。
コンソールは
/etc/cockpit/ws-certs.d
ディレクトリーから証明書をロードし、アルファベット順で最後となる.cert
拡張子のファイルを使用します。セキュリティーの例外を承認しなくてもすむように、認証局 (CA) が署名した証明書をインストールします。- ログイン画面で、システムユーザー名とパスワードを入力します。
- Log In をクリックします。
認証に成功すると、RHEL Web コンソールインターフェイスが開きます。
制限付きアクセスと管理アクセスを切り替えるには、Web コンソールページのトップパネルで Administrative access または Limited access をクリックします。管理者アクセスを取得するには、ユーザーパスワードを入力する必要があります。
1.4. Web コンソールでの基本認証の無効化
cockpit.conf
ファイルを変更することで、認証方式の動作を変更できます。none
アクションを使用して認証方式を無効にし、GSSAPI とフォームによる認証のみを許可します。
前提条件
- RHEL 8 Web コンソールをインストールし、アクセスできる。詳細は、Web コンソールのインストール を参照してください。
- sudo 権限があること。
手順
任意のテキストエディターで、
/etc/cockpit/
ディレクトリーのcockpit.conf
ファイルを開くか、作成します。$ sudo vi cockpit.conf
次のテキストを追加します。
[basic] action = none
- ファイルを保存します。
Web コンソールを再起動して、変更を有効にします。
# systemctl try-restart cockpit
1.5. リモートマシンから Web コンソールへの接続
任意のクライアントオペレーティングシステムから、または携帯電話やタブレットから、Web コンソールインターフェイスに接続できます。
前提条件
対応しているインターネットブラウザーを備えたデバイス。以下に例を示します。
- Mozilla Firefox 52 以降
- Google Chrome 57 以降
- Microsoft Edge 16 以上
- インストールしてアクセス可能な Web コンソールでアクセスする RHEL 8 サーバー。Web コンソールのインストールの詳細は、RHEL Web コンソールの使用 を参照してください。
手順
- Web ブラウザーを開きます。
リモートサーバーのアドレスを次のいずれかの形式で入力します。
サーバーのホスト名 (
https://server.hostname.example.com:port_number
)以下に例を示します。
https://example.com:9090
サーバーの IP アドレス (
https://server.IP_address:port_number
)以下に例を示します。
https://192.0.2.2:9090
- ログインインターフェイスが開いたら、RHEL マシンの資格情報でログインします。
1.6. ワンタイムパスワードを使用した Web コンソールへのログイン
ワンタイムパスワード (OTP) 設定が有効になっている Identity Management (IdM) ドメインにシステムが含まれている場合には、OTP を使用して RHEL Web コンソールにログインできます。
ワンタイムパスワードを使用してログインできるのは、OTP 設定が有効な Identity Management (IdM) ドメインに、お使いのシステムが含まれる場合のみです。
前提条件
- RHEL Web コンソールがインストールされている。
- Identity Management サーバーで OTP 設定を有効しておく。
- OTP トークンを生成する設定済みのハードウェアまたはソフトウェアのデバイス
手順
ブラウザーで RHEL Web コンソールを開きます。
-
ローカルの場合 -
https://localhost:PORT_NUMBER
-
リモートでサーバーのホスト名を使用する場合 -
https://example.com:PORT_NUMBER
リモートでサーバーの IP アドレスを使用する場合 -
https://EXAMPLE.SERVER.IP.ADDR:PORT_NUMBER
自己署名証明書を使用する場合は、ブラウザーに警告が表示されます。証明書を確認し、セキュリティー例外を許可してから、ログインを続行します。
コンソールは
/etc/cockpit/ws-certs.d
ディレクトリーから証明書をロードし、アルファベット順で最後となる.cert
拡張子のファイルを使用します。セキュリティーの例外を承認しなくてもすむように、認証局 (CA) が署名した証明書をインストールします。
-
ローカルの場合 -
- ログイン画面が表示されます。ログイン画面で、システムユーザーの名前とパスワードを入力します。
- デバイスでワンタイムパスワードを生成します。
- パスワードを確認してから、Web コンソールインターフェイスに表示される新規フィールドにワンタイムパスワードを入力します。
- Log in をクリックします。
- ログインに成功すると、Web コンソールインターフェイスの Overview ページに移動します。
1.7. Web コンソールを使用したシステムの再起動
Web コンソールを使用して、Web コンソールの接続先の RHEL システムを再起動します。
前提条件
- RHEL 8 Web コンソールをインストールし、アクセスできる。詳細は、Web コンソールのインストール を参照してください。
手順
- RHEL Web コンソールにログインします。詳細は、Web コンソールへのログイン を参照してください。
- Overview ページで、Reboot ボタンをクリックします。
- ユーザーがシステムにログインする場合は、Reboot ダイアログボックスに、再起動する理由を記入します。
- オプション: Delay ドロップダウンリストで、再起動遅延の時間間隔を選択します。
- Reboot をクリックします。
1.8. Web コンソールでのシステムのシャットダウン
Web コンソールを使用して、Web コンソールが接続している RHEL システムをシャットダウンします。
前提条件
RHEL 8 Web コンソールをインストールし、アクセスできる。
手順
- RHEL Web コンソールにログインします。
- 概要 をクリックします。
- 再起動 ドロップダウンリストで、シャットダウン を選択します。
- システムにログインするユーザーがいる場合は、シャットダウン ダイアログボックスに、シャットダウンの理由を入力します。
- 必要に応じて、遅延 ドロップダウンリストで、遅延させる時間を選択します。
- シャットダウン をクリックします。
1.9. Web コンソールでの時間設定の設定
タイムゾーンを設定して、システム時間を Network Time Protocol (NTP) サーバーと同期できます。
前提条件
RHEL 8 Web コンソールをインストールし、アクセスできる。
手順
- RHEL Web コンソールにログインします。
- 概要 で現在のシステム時間をクリックします。
- System time をクリックします。
- 必要に応じて、システム時間の変更 ダイアログボックスで、タイムゾーンを変更します。
時間の設定 ドロップダウンメニューで、以下のいずれかを選択します。
- 手動
- NTP サーバーなしで手動で時間を設定する必要がある場合は、このオプションを使用します。
- NTP サーバーの自動使用
- これはデフォルトのオプションで、既存の NTP サーバーと時間を自動同期します。
- 特定の NTP サーバーの自動使用
- このオプションは、システムを特定の NTP サーバーと同期する必要がある場合に限り使用してください。サーバーの DNS 名または IP アドレスを指定します。
- Change をクリックします。
- システム タブに表示されるシステム時間を確認します。
1.10. Web コンソールを使用した RHEL 8 システムの IdM ドメインへの参加
Web コンソールを使用して、Red Hat Enterprise Linux 8 システムを Identity Management (IdM) ドメインに参加させることができます。
前提条件
- IdM ドメインが実行中で参加するクライアントから到達可能
- IdM ドメインの管理者認証情報がある。
手順
RHEL Web コンソールにログインします。
詳細は、Web コンソールへのログイン を参照してください。
- Overview タブの Configuration フィールドで、Join Domain をクリックします。
- ドメイン参加 ダイアログボックスの ドメインアドレス フィールドに、IdM サーバーのホスト名を入力します。
- ドメイン管理者名 フィールドで、IdM 管理アカウントのユーザー名を入力します。
- Domain administrator password にパスワードを追加します。
- 参加 をクリックします。
検証手順
- システムが IdM ドメインに参加していると、RHEL 8 Web コンソールにエラーが表示されず、システム 画面でドメイン名を確認できます。
ユーザーがドメインのメンバーであることを確認するには、Terminal ページをクリックし、
id
コマンドを実行します。$ id euid=548800004(example_user) gid=548800004(example_user) groups=548800004(example_user) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
1.11. Web コンソールを使用して CPU のセキュリティーの問題を防ぐために SMT を無効化する手順
CPU SMT (Simultaneous Multi Threading) を悪用する攻撃が発生した場合に SMT を無効にします。SMT を無効にすると、L1TF や MDS などのセキュリティー脆弱性を軽減できます。
SMT を無効にすると、システムパフォーマンスが低下する可能性があります。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は、Web コンソールのインストール を参照してください。
手順
- RHEL Web コンソールにログインします。詳細は、Web コンソールへのログイン を参照してください。
- Overview タブで、System information フィールドを見つけて、View hardware details をクリックします。
CPU Security 行で、Mitigations をクリックします。
このリンクがない場合は、システムが SMT に対応していないため、攻撃を受けません。
- CPU Security Toggles テーブルで、Disable simultaneous multithreading (nosmt) オプションに切り替えます。
- Save and reboot ボタンをクリックします。
システムの再起動後、CPU は SMT を使用しなくなりました。
1.12. ログインページへのバナーの追加
企業および代理店は、コンピューターは正当な目的で使用すること、またユーザーは監視下にあり、不正アクセスは告訴の対象となるという警告を表示する必要がある場合があります。ログイン前に警告を表示する必要があります。SSH と同様に、Web コンソールのログイン画面にバナーファイルのコンテンツを表示することも可能です (オプション)。Web コンソールセッションでバナーを有効にするには、/etc/cockpit/cockpit.conf
ファイルを変更する必要があります。このファイルは必須ではないため、手動で作成する必要がある場合があります。
前提条件
- RHEL 8 Web コンソールをインストールし、アクセスできる。
- sudo 権限があること。
手順
任意のテキストエディターで、
/etc/issue.cockpit
ファイルがまだ作成されていない場合には、作成します。バナーとして表示するコンテンツをファイルに追加します。ファイルのコンテンツと表示コンテンツの間で再フォーマットが行われないので、ファイルにマクロは追加しないでください。必要に応じて改行を使用します。ASCII アートを使用できます。
- ファイルを保存します。
任意のテキストエディターで、
/etc/cockpit/
ディレクトリーのcockpit.conf
ファイルを開くか、作成します。$ sudo vi cockpit.conf
以下のテキストをファイルに追加します。
[Session] Banner=/etc/issue.cockpit
- ファイルを保存します。
Web コンソールを再起動して、変更を有効にします。
# systemctl try-restart cockpit
検証手順
- Web コンソールのログイン画面を再度開き、バナーが表示されていることを確認します。
例1.1 ログインページへのバナー例の追加
テキストエディターを使用して、任意のテキストを含めて
/etc/issue.cockpit
ファイルを作成します。This is an example banner for the RHEL web console login page.
/etc/cockpit/cockpit.conf
ファイルを開くか、作成して、以下のテキストを追加します。[Session] Banner=/etc/issue.cockpit
- Web コンソールを再起動します。
Web コンソールのログイン画面を再度開きます。
1.13. Web コンソールでの自動アイドルロックの設定
デフォルトでは、Web コンソールインターフェイスには、アイドル後のタイムアウトは設定されていません。システムでアイドルタイムアウトを有効にするには、/etc/cockpit/cockpit.conf
設定ファイルを変更することで実行できます。このファイルは必須ではないため、手動で作成する必要がある場合があります。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は、Web コンソールのインストール を参照してください。
- sudo 権限があること。
手順
任意のテキストエディターで、
/etc/cockpit/
ディレクトリーのcockpit.conf
ファイルを開くか、作成します。$ sudo vi cockpit.conf
以下のテキストをファイルに追加します。
[Session] IdleTimeout=X
X は、選択した期間の数値 (分単位) に置き換えます。
- ファイルを保存します。
Web コンソールを再起動して、変更を有効にします。
# systemctl try-restart cockpit
検証手順
- 設定の期間後にセッションがログアウトされているかどうかを確認します。
第2章 Web コンソールでのホスト名の設定
以下では、Red Hat Enterprise Linux Web コンソールを使用して、Web コンソールの接続先のシステムで、異なる形式のホスト名を設定する方法を説明します。
2.1. ホスト名
ホスト名はシステムを識別します。デフォルトでは、ホスト名は localhost
に設定されていますが、変更できます。
ホスト名は、以下の 2 つの部分から設定されます。
- ホスト名
- システムを識別する一意の名前です。
- ドメイン
- ネットワーク内でシステムを使用する場合や、IP アドレスではなく名前を使用する場合に、ホスト名の後にドメインを接尾辞として追加します。
ドメイン名が割り当てられたホスト名は、完全修飾ドメイン名 (FQDN) と呼ばれます。たとえば、mymachine.example.com
です。
ホスト名は /etc/hostname
ファイルに保存されます。
2.2. Web コンソールでの Pretty ホスト名
RHEL Web コンソールで Pretty ホスト名を設定することもできます。Pretty ホスト名は、大文字、スペースなどを含むホスト名です。
Pretty ホスト名は Web コンソールに表示されますが、ホスト名に対応させる必要はありません。
例2.1 Web コンソールでのホスト名の形式
- Pretty ホスト名
-
My machine
- ホスト名
-
mymachine
- 実際のホスト名 - 完全修飾ドメイン名 (FQDN)
-
mymachine.idm.company.com
2.3. Web コンソールを使用したホスト名の設定
この手順では、Web コンソールで実際のホスト名または Pretty ホスト名を設定します。
前提条件
RHEL 8 Web コンソールをインストールし、アクセスできる。
詳細は、Web コンソールのインストール を参照してください。
手順
Web コンソールへのログイン
詳細は、Web コンソールへのログイン を参照してください。
- 概要 をクリックします。
現在のホスト名の横にある 編集 をクリックします。
- ホスト名の変更 ダイアログボックスの Pretty ホスト名 フィールドに、ホスト名を入力します。
実際のホスト名フィールド は、ドメイン名を Pretty 名に割り当てます。
ホスト名が Pretty ホスト名と一致しない場合は、実際にホスト名を手動で変更できます。
Change をクリックします。
検証手順
- Web コンソールからログアウトします。
ブラウザーのアドレスバーに新規ホスト名のアドレスを入力して、Web コンソールを再度開きます。
第3章 Red Hat Web コンソールアドオン
RHEL Web コンソールでアドオンをインストールし、利用できるアドオンアプリケーションを確認します。
3.1. アドオンのインストール
cockpit
パッケージは、デフォルトで Red Hat Enterprise Linux に含まれています。アドオンアプリケーションを使用できるようにするには、個別にインストールする必要があります。
前提条件
-
cockpit
パッケージがインストールされ、有効になっている。Web コンソールを最初にインストールする必要がある場合は、インストール のセクションを参照してください。
手順
アドオンをインストールします。
# yum install <add-on>
3.2. RHEL Web コンソールのアドオン
以下の表は、RHEL Web コンソールの利用可能なアドオンアプリケーションの一覧です。
機能名 | パッケージ名 | 用途 |
---|---|---|
Composer | cockpit-composer | カスタム OS イメージの構築 |
Machines | cockpit-machines | libvirt 仮想マシンの管理 |
PackageKit | cockpit-packagekit | ソフトウェア更新およびアプリケーションインストール (通常はデフォルトでインストールされている) |
PCP | cockpit-pcp | 永続的かつ、より詳細なパフォーマンスデータ (UI からオンデマンドでインストール) |
Podman | cockpit-podman | Podman コンテナーの管理 (RHEL 8.1 から利用可能) |
セッションの録画 | cockpit-session-recording | ユーザーセッションの記録および管理 |
第4章 Web コンソールを使用したシステムパフォーマンスの最適化
以下では、RHEL Web コンソールでパフォーマンスプロファイルを設定し、選択したタスクに対してシステムのパフォーマンスを最適化する方法を説明します。
4.1. Web コンソールでのパフォーマンスチューニングオプション
Red Hat Enterprise Linux 8 には、以下のタスクに対してシステムを最適化する複数のパフォーマンスプロファイルが同梱されています。
- デスクトップを使用するシステム
- スループットパフォーマンス
- レイテンシーパフォーマンス
- ネットワークパフォーマンス
- 電力の低消費
- 仮想マシン
TuneD
サービスは、選択したプロファイルに一致するようにシステムオプションを最適化します。
Web コンソールでは、システムが使用するパフォーマンスプロファイルを設定できます。
関連情報
4.2. Web コンソールでのパフォーマンスプロファイルの設定
この手順では、Web コンソールを使用して、選択したタスクのシステムパフォーマンスを最適化します。
前提条件
- Web コンソールをインストールし、アクセスできることを確認します。詳細は、Web コンソールのインストール を参照してください。
手順
- RHEL Web コンソールにログインします。詳細は、Web コンソールへのログイン を参照してください。
- 概要 をクリックします。
パフォーマンスプロファイル フィールドで、現在のパフォーマンスプロファイルをクリックします。
- 必要に応じて、パフォーマンスプロファイルの変更 ダイアログボックスで、プロファイルを変更します。
プロファイルの変更 をクリックします。
検証手順
- Overview タブには、選択したパフォーマンスプロファイルが表示されます。
4.3. Web コンソールを使用したローカルシステムのパフォーマンスの監視
Red Hat Enterprise Linux の Web コンソールは、トラブルシューティングに Utilization Saturation and Errors (USE) メソッドを使用します。新しいパフォーマンスメトリックページには、データの履歴ビューが時系列に整理されており、最新のデータが上部に表示されます。
ここでは、リソースの使用状況および飽和状況のイベント、エラー、およびグラフィカル表示を表示できます。
前提条件
- RHEL 8 Web コンソールをインストールし、アクセスできる。詳細は、Web コンソールのインストール を参照してください。
パフォーマンスメトリクスの収集を可能にする
cockpit-pcp
パッケージがインストールされます。Web コンソールインターフェイスからパッケージをインストールするには、以下を行います。
- Web コンソールに管理者権限でログインする。詳細は、Web コンソールへのログイン を参照してください。
- 概要 ページで、詳細と履歴を表示 をクリックします。
- cockpit-pcp のインストール ボタンをクリックします。
- ソフトウェアのインストール ダイアログウィンドウで、インストール をクリックします。
コマンドラインインターフェイスからパッケージをインストールするには、次を使用します。
# yum install cockpit-pcp
PCP サービスが有効化されています。
# systemctl enable --now pmlogger.service pmproxy.service
手順
RHEL 8 Web コンソールにログインします。Overview ページで View details and history をクリックして、Performance Metrics を表示します。
4.4. Web コンソールと Grafana を使用して複数のシステムのパフォーマンスを監視する
Grafana を使用すると、一度に複数のシステムからデータを収集し、収集した PCP メトリックのグラフィカル表現を確認できます。Web コンソールインターフェイスで、複数のシステムのパフォーマンスメトリックの監視およびエクスポートを設定できます。
この手順では、RHEL 8 Web コンソールインターフェイスから PCP を使用してパフォーマンスメトリックのエクスポートを有効にする方法を示します。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は、Web コンソールのインストール を参照してください。
cockpit-pcp
パッケージをインストールします。Web コンソールインターフェイスから:
- Web コンソールに管理者権限でログインする。詳細は、Web コンソールへのログイン を参照してください。
- 概要 ページで、詳細と履歴を表示 をクリックします。
- cockpit-pcp のインストール ボタンをクリックします。
- ソフトウェアのインストール ダイアログウィンドウで、インストール をクリックします。
- ログアウトしてから再度ログインして、メトリクスの履歴を表示します。
コマンドラインインターフェイスからパッケージをインストールするには、次を使用します。
# yum install cockpit-pcp
PCP サービスを有効にします。
# systemctl enable --now pmlogger.service pmproxy.service
- Grafana ダッシュボードをセットアップします。詳細は、grafana-server の設定 を参照してください。
redis
パッケージをインストールします。# dnf install redis
または、手順の後半で Web コンソールインターフェイスからパッケージをインストールすることもできます。
手順
- 使用状況 テーブルの 概要 ページで、詳細と履歴を表示 をクリックします。
- Metrics settings ボタンをクリックします。
Export to network スライダーをアクティブな位置に移動します。
redis
サービスがインストールされていない場合は、インストールするように求められます。-
pmproxy
サービスを開くには、ドロップダウンリストからゾーンを選択し、Add pmproxy ボタンをクリックします。 - Save をクリックします。
検証
- ネットワーキング をクリックします。
-
Firewall テーブルで、
n
active zones または Edit rules and zones ボタンをクリックします。 -
選択したゾーンで
pmproxy
を検索します。
監視するすべてのシステムでこの手順を繰り返します。
第5章 Grafana からより多くのシステムでパフォーマンス監視を設定する
5.1. 前提条件
PCP をインストールしている。
- Web コンソールインターフェイスからのインストールについては、link:<TBA> を参照してください:<TBA>
- コマンド行インターフェイスからのインストールについては、Web コンソールを使用したパフォーマンスのモニター を参照してください。
PCP サービスが有効になっています。
# systemctl enable --now pmlogger.service pmproxy.service
- Grafana をセットアップします。詳細は、grafana-server の設定 を参照してください。
5.2. Web コンソールと Grafana を使用して複数のシステムのパフォーマンスを監視する
Grafana を使用すると、一度に複数のシステムからデータを収集し、収集した PCP メトリックのグラフィカル表現を確認できます。Web コンソールインターフェイスで、複数のシステムのパフォーマンスメトリックの監視およびエクスポートを設定できます。
この手順では、RHEL 8 Web コンソールインターフェイスから PCP を使用してパフォーマンスメトリックのエクスポートを有効にする方法を示します。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は、Web コンソールのインストール を参照してください。
cockpit-pcp
パッケージをインストールします。Web コンソールインターフェイスから:
- Web コンソールに管理者権限でログインする。詳細は、Web コンソールへのログイン を参照してください。
- 概要 ページで、詳細と履歴を表示 をクリックします。
- cockpit-pcp のインストール ボタンをクリックします。
- ソフトウェアのインストール ダイアログウィンドウで、インストール をクリックします。
- ログアウトしてから再度ログインして、メトリクスの履歴を表示します。
コマンドラインインターフェイスからパッケージをインストールするには、次を使用します。
# yum install cockpit-pcp
PCP サービスを有効にします。
# systemctl enable --now pmlogger.service pmproxy.service
- Grafana ダッシュボードをセットアップします。詳細は、grafana-server の設定 を参照してください。
redis
パッケージをインストールします。# dnf install redis
または、手順の後半で Web コンソールインターフェイスからパッケージをインストールすることもできます。
手順
- 使用状況 テーブルの 概要 ページで、詳細と履歴を表示 をクリックします。
- Metrics settings ボタンをクリックします。
Export to network スライダーをアクティブな位置に移動します。
redis
サービスがインストールされていない場合は、インストールするように求められます。-
pmproxy
サービスを開くには、ドロップダウンリストからゾーンを選択し、Add pmproxy ボタンをクリックします。 - Save をクリックします。
検証
- ネットワーキング をクリックします。
-
Firewall テーブルで、
n
active zones または Edit rules and zones ボタンをクリックします。 -
選択したゾーンで
pmproxy
を検索します。
監視するすべてのシステムでこの手順を繰り返します。
第6章 Web コンソールでログの確認
RHEL 8 Web コンソールでログへのアクセス、確認、およびフィルターリングの方法を説明します。
6.1. Web コンソールでログの確認
RHEL 8 Web コンソールのログセクションは、journalctl
ユーティリティーの UI です。本セクションでは、Web コンソールインターフェイスでシステムログにアクセスする方法を説明します。
前提条件
RHEL 8 Web コンソールがインストールされている。
詳細は、Web コンソールのインストール を参照してください。
手順
RHEL Web コンソールにログインします。
詳細は、Web コンソールへのログイン を参照してください。
ログ をクリックします。
- 一覧からログを確認するログエントリーをクリックして、ログエントリーの詳細を開きます。
Pause ボタンを使用すると、新しいログエントリーが表示されないように一時停止できます。新しいログエントリーを再開すると、Web コンソールは、Pause ボタンを使用した後に報告されたすべてのログエントリーを読み込みます。
Priority 時間、優先順位、または識別子でログをフィルターリングできます。詳細は、Web コンソールでのログのフィルターリング を参照してください。
6.2. Web コンソールでのログのフィルターリング
本セクションでは、Web コンソールでログエントリーをフィルターリングする方法を説明します。
前提条件
Web コンソールインターフェイスがインストールされており、アクセス可能である。
詳細は、Web コンソールのインストール を参照してください。
手順
RHEL 8 Web コンソールにログインします。
詳細は、Web コンソールへのログイン を参照してください。
- ログ をクリックします。
コンソールデフォルトでは、Web コンソールには最新のログエントリーが表示されます。別の時間範囲でフィルターリングするには、Time ドロップダウンメニューをクリックして、希望するオプションを選択します。
重大度ログの一覧は、デフォルトで エラー以上のレベル が表示されます。優先度のフィルターリングを変更するには、ドロップダウンメニューの エラー以上のレベル をクリックして、優先度を選択します。
デフォルトでは、Web コンソールにはすべての識別子のログが表示されます。特定のサービスのログをフィルターリングするには、All ドロップダウンメニューをクリックして、識別子を選択します。
- ログエントリーを開くには、選択したログをクリックします。
6.3. Web コンソールでログをフィルターするためのテキスト検索オプション
テキスト検索オプション機能では、ログをフィルターリングするためのさまざまなオプションを利用できます。テキスト検索を使用してログをフィルターリングする場合は、3 つのドロップダウンメニューに定義した事前定義オプションを使用するか、自分で検索全体を入力できます。
ドロップダウンメニュー
検索のメインパラメーターを指定するのに使用できるドロップダウンメニューには、以下の 3 つがあります。
- 時間: このドロップダウンメニューには、検索のさまざまな時間範囲が事前定義されます。
-
優先度: このドロップダウンメニューでは、さまざまな優先度のオプションを利用できます。
journalctl --priority
オプションに対応します。デフォルトの優先度の値は Error and above です。これは、他の優先度を指定しないと毎回設定されます。 -
識別子: このドロップダウンメニューでは、フィルターリングする ID を選択します。
journalctl --identifier
オプションに対応します。
量記号
検索を指定するのに使用できる量記号は 6 つあります。これらは、ログテーブルをフィルターリングするための Options で説明されています。
ログフィールド
特定のログフィールドを検索する場合は、フィールドとその内容を指定することができます。
ログメッセージでの自由形式のテキスト検索
ログメッセージで任意のテキスト文字列をフィルターリングできます。文字列は、正規表現の形式にすることもできます。
高度なログのフィルターリング I
2020 年 10 月 22 日深夜以降に発生した systemd によって識別されるすべてのログメッセージをフィルターします。ジャーナルフィールド JOB_TYPE は start または restart のいずれかです。
-
フィールドを検索するには、
identifier:systemd since:2020-10-22 JOB_TYPE=start,restart
と入力します。 結果を確認します。
高度なログフィルターリング II
最後の前に起動で cockpit.servicesystemd ユニットから送信されたすべてのログメッセージ、およびメッセージのボディーに error または fail が含まれるログメッセージをすべてフィルターします。
-
検索フィールドに
service:cockpit boot:-1 error|fail
と入力します。 結果を確認します。
6.4. テキストボックスのボックスを使用した Web コンソールでのログのフィルター
テキストの検索ボックスを使用すると、異なるパラメーターに従ってログをフィルターできます。検索は、フィルターリングドロップダウンメニュー、クォーター、ログフィールド、およびフリー形式の文字列検索を組み合わせます。
前提条件
Web コンソールインターフェイスがインストールされており、アクセス可能である。
詳細は、Web コンソールのインストール を参照してください。
手順
RHEL Web コンソールにログインします。
詳細は、Web コンソールへのログイン を参照してください。
- ログ をクリックします。
ドロップダウンメニューを使用して、3 つの主要なフィルターリング対象の数量 (時間範囲、優先順位、識別子) (フィルターリングする) を指定します。
優先順位 の数量には常に値が必要です。これを指定しない場合、Error and above の優先度が自動的にフィルターされます。テキスト検索ボックスに、設定したオプションに注目してください。
フィルターするログフィールドを指定します。
複数のログフィールドを追加できます。
- 自由形式文字列を使用して他の文字を検索できます。検索ボックスにも正規表現も使用できます。
6.5. ログフィルターリングのオプション
複数の journalctl
オプションがあり、Web コンソールでのログのフィルターリングに使用できます。これは便利な場合があります。これらの一部は、Web コンソールインターフェイスのドロップダウンメニューですでに扱われています。
表6.1 表
オプション名 | 用途 | 備考 |
---|---|---|
| メッセージの優先度による出力をフィルターリングします。単一数値またはテキストログレベルを取ります。ログレベルは、通常の syslog ログレベルです。単一のログレベルが指定されている場合、このログレベルまたは低い (より重要な) ログレベルを持つすべてのメッセージが表示されます。 | 優先順位 ドロップダウンメニューで説明されます。 |
| 指定された syslog 識別子 SYSLOG_IDENTIFIER のメッセージを表示します。複数回指定できます。 | 識別子 ドロップダウンメニューで説明されています。 |
| 最新のジャーナルエントリーのみを表示し、ジャーナルに追加されるように新しいエントリーを継続的に出力します。 | ドロップダウンで説明しません。 |
|
指定した |
ドロップダウンで説明されません。 |
| 特定のブートのメッセージを表示します。 正の整数は、ジャーナルの最初から起動を探し、ゼロ以下の整数は、ジャーナルの最後から起動を探します。このため、1 は、時系列順でジャーナルで見つかった最初の起動を意味し、2 は次に見つかったものと続きます。また、-0 は最後の起動、-1 は最後の起動の1 つ前などとなります。 | 時間 ドロップダウンメニューでは、現在の起動 または 以前の起動 としてのみ説明されています。その他のオプションは手動で書き込む必要があります。 |
| 指定の日付以降のエントリーまたは指定の日付以前のエントリーを示します。日付は、2012-10-30 18:17:16 の形式にする必要があります。時間部分を省略すると、00:00:00 が想定されます。2 番目のコンポーネントのみを省略すると、:00 が想定されます。日付コンポーネントを省略すると、現在の日付が想定されます。yesterday、today、tomorrow も利用できます。それぞれ、現在の日付けの前の 00:00:00、現在の日付け、現在の日付けの後の日を参照します。now は、現在時刻を意味します。最後に、相対時間は-または+を前に付けてを指定できます。これは、現在時間の前または後の時間を参照します。 | ドロップダウンで説明しません。 |
第7章 Web コンソールでユーザーアカウントの管理
RHEL Web コンソールは、システムユーザーアカウントの追加、編集、および削除を行うインターフェイスを提供します。
本セクションの内容を読むと、以下を理解できます。
- 既存のアカウントが存在する場所
- 新規アカウントの追加方法
- パスワードの有効期限の設定方法
- ユーザーセッションを終了する方法および時期
前提条件
- 管理者権限が割り当てられたアカウントで RHEL Web コンソールにログインしている。詳細は RHEL 8 Web コンソールへのログイン を参照してください。
7.1. Web コンソールで管理されるシステムユーザーアカウント
RHEL Web コンソールに表示されているユーザーアカウントでは、以下が可能になります。
- システムにアクセスする際にユーザーを認証する
- システムへのアクセス権を設定する
RHEL Web コンソールは、システムに存在するすべてのユーザーアカウントを表示します。そのため、最初に Web コンソールにログインした直後は、ユーザーアカウントが少なくとも 1 つ表示されます。
RHEL Web コンソールにログインしたら、以下の操作を実行できます。
- 新規ユーザーアカウントの作成
- パラメーターの変更
- アカウントのロック
- ユーザーセッションの終了
7.2. Web コンソールで新規アカウントの追加
RHEL Web コンソールを使用して、ユーザーアカウントをシステムに追加し、アカウントに管理者権限を設定する場合は、以下の手順に従います。
前提条件
- RHEL Web コンソールがインストールされており、アクセス可能である。詳細は、Web コンソールのインストール を参照してください。
手順
- RHEL Web コンソールにログインします。
- アカウント をクリックします。
- 新規アカウントの作成 をクリックします。
フルネーム フィールドにユーザーの氏名を入力します。
RHEL Web コンソールは、入力した氏名からユーザー名が自動的に作成され、ユーザー名 フィールドに入力されます。名前の頭文字と、苗字で設定される命名規則を使用しない場合は、入力されたユーザー名を変更します。
パスワード/確認 フィールドにパスワードを入力し、再度パスワードを入力します。
フィールドの下にあるカラーバーは、入力したパスワードの強度を表し、弱いパスワードは使用できないようにします。
- 作成 をクリックして設定を保存し、ダイアログボックスを閉じます。
- 新規作成したアカウントを選択します。
ロール で、サーバー管理者 を選択します。
これで アカウント 設定に新規アカウントが表示され、認証情報を使用してシステムに接続できるようになりました。
7.3. Web コンソールでパスワード有効期限の強制
デフォルトでは、ユーザーアカウントのパスワードに期限はありません。定義した日数が経過したら、システムパスワードが期限切れになるように設定できます。パスワードが期限切れになると、次回のログイン時にパスワードの変更が要求されます。
手順
- RHEL 8 Web コンソールにログインします。
- アカウント をクリックします。
- パスワードの有効期限を設定するユーザーアカウントを選択します。
- ユーザーアカウント設定で、2 番目の 編集 をクリックします。
- Password Expiration ダイアログボックスで、Require password change every … days を選択し、パスワードの期限が切れるまでの日数 (正の整数) を入力します。
- Change をクリックします。
検証手順
パスワードの有効期限が設定されていることを確認するには、アカウント設定を開きます。
RHEL 8 Web コンソールには、有効期限を表すリンクが表示されます。
7.4. Web コンソールでユーザーセッションの終了
ユーザーがシステムにログインすると、ユーザーセッションが作成されます。ユーザーセッションを終了すると、ユーザーはシステムからログアウトされます。これは、システムのアップグレードなどの、設定変更の影響を受ける管理タスクを実行する必要がある場合に便利です。
RHEL 8 Web コンソールの各ユーザーアカウントで、現在使用している Web コンソールセッション以外のセッションすべてを終了できます。これにより、システムへの不正アクセスを阻止できます。
手順
- RHEL 8 Web コンソールにログインします。
- アカウント をクリックします。
- セッションを終了するユーザーアカウントをクリックします。
セッションの 終了 をクリックします。
Terminate Session ボタンが無効になっている場合は、ユーザーがシステムにログインしていません。
RHEL Web コンソールはセッションを終了します。
第8章 Web コンソールでのサービスの管理
RHEL Web コンソールインターフェイスでシステムサービスを管理する方法を説明します。サービスをアクティブまたは非アクティブにしたり、サービスを再起動または再読み込みしたり、自動起動を管理したりできます。
8.1. Web コンソールでのシステムサービスのアクティブ化または非アクティブ化
この手順では、Web コンソールインターフェイスを使用して、システムサービスをアクティブまたは非アクティブにします。
前提条件
RHEL 8 Web コンソールがインストールされている。
詳細は、Web コンソールのインストール を参照してください。
名前または説明でサービスをフィルターリングできます。また、サービスの自動起動を有効、無効、または静的なものでフィルターリングできます。インターフェイスには、サービスの現在の状態と最近のログが表示されます。
管理者権限で RHEL Web コンソールにログインしている。
詳細は、Web コンソールへのログイン を参照してください。
- 左側の Web コンソールメニューで サービス をクリックします。
サービス のデフォルトタブは システムサービス です。ターゲット、ソケット、タイマー、またはパスを管理する場合は、上部のメニューのそれぞれのタブに切り替えます。
- サービス設定を開くには、一覧から選択したサービスをクリックします。状態 列を選択すると、アクティブまたは非アクティブのサービスを確認できます。
サービスをアクティブ化または非アクティブ化します。
非アクティブなサービスをアクティブにするには、Start ボタンをクリックします。
アクティブなサービスを非アクティブにするには、Stop ボタンをクリックします。
8.2. Web コンソールでのシステムサービスの再起動
この手順では、Web コンソールインターフェイスを使用してシステムサービスを再起動します。
前提条件
RHEL 8 Web コンソールがインストールされている。
詳細は、Web コンソールのインストール を参照してください。
名前または説明でサービスをフィルターリングできます。また、サービスの自動起動を有効、無効、または静的なものでフィルターリングできます。インターフェイスには、サービスの現在の状態と最近のログが表示されます。
管理者権限で RHEL Web コンソールにログインしている。
詳細は、Web コンソールへのログイン を参照してください。
- 左側の Web コンソールメニューで サービス をクリックします。
サービス のデフォルトタブは システムサービス です。ターゲット、ソケット、タイマー、またはパスを管理する場合は、上部のメニューのそれぞれのタブに切り替えます。
- サービス設定を開くには、一覧から選択したサービスをクリックします。
サービスを再起動するには、Restart ボタンをクリックします。
第9章 Web コンソールを使用したネットワークボンディングの設定
RHEL 8 Web コンソールでネットワークボンディングがどのように機能し、ネットワークボンディングの設定方法を確認します。
RHEL 8 Web コンソールは、NetworkManager サービスに構築されます。
詳細は NetworkManager を使用したネットワーク管理の開始 を参照してください。
前提条件
- RHEL 8 Web コンソールがインストールされ、有効になっている。詳細は Web コンソールのインストール を参照してください。
9.1. ネットワークボンディングについて
ネットワークボンディングは、スループットや冗長性が高い論理インターフェイスを提供するために、ネットワークインターフェイスを結合または集約する方法です。
active-backup
、balance-tlb
、および balance-alb
の各モードは、ネットワークスイッチの特定の設定を必要としません。しかし、その他のボンディングモードでは、スイッチがリンクを集約するように設定する必要があります。たとえば、Cisco スイッチでは、モード 0、2、および 3 の EtherChannel
が必要です。ただし、モード 4 の場合は、LACP (Link Aggregation Control Protocol) と EtherChannel
が必要です。
詳細は、スイッチおよび Linux Ethernet Bonding Driver HOWTO のドキュメントを参照してください。
特定のネットワークボンディング機能 (例: fail-over メカニズム) は、ネットワークスイッチなしでのダイレクトケーブル接続に対応していません。詳細は、ボンディングは、クロスオーバーケーブルを使用したダイレクトコレクションをサポートしますか ? を参照してください。を参照してください。
9.2. ボンディングモード
RHEL 8 では、複数のモードオプションがあります。各モードオプションは、特定の負荷分散とフォールトトレランスを特徴としています。ボンディングインターフェイスの動作は、モードによって異なります。ボンディングモードは、フォールトトレランス、負荷分散、またはその両方を提供します。
ロードバランスモード
- ラウンドロビン - 最初に利用可能なインターフェイスから最後のインターフェイスへ、パケットを送信します。
フォールトトレランスモード
- アクティブバックアップ - プライマリーインターフェイスが失敗した場合にのみ、いずれかのバックアップインターフェイスがそれを置き換えます。アクティブインターフェイスが使用する MAC アドレスだけが表示されます。
ブロードキャスト - すべての送信は、すべてのインターフェイスで行われます。
注記ブロードキャストは、ボンディングされたすべてのインターフェイスのネットワークトラフィックを大幅に増やします。
フォールトトレランスおよび負荷分散モード
- XOR - 宛先 MAC アドレスは、モジュロハッシュを持つインターフェイス間で均等に分散されます。そして、各インターフェイスは、同じ MAC アドレスのグループを提供します。
802.3ad - IEEE 802.3ad 動的リンクアグリゲーションのポリシーを設定します。同一の速度とデュプレックス設定を共有するアグリゲーショングループを作成します。アクティブなアグリゲーターのすべてのインターフェイスで送受信を行います。
注記このモードには、802.3ad コンプライアントのスイッチが必要です。
- 適応送信の負荷分散 - 発信トラフィックは、各インターフェイスの現在の負荷に従って分散されます。受信トラフィックは、現在のインターフェイスにより受信されます。受信しているインターフェイスが失敗すると、別のインターフェイスが、失敗したインターフェイスの MAC アドレスを引き継ぎます。
適応負荷分散 - IPv4 トラフィック用の送受信負荷分散が含まれます。
受信ロードバランスは、アドレス解決プロトコル (ARP) ネゴシエーションにより行われるため、ボンディングの設定で リンク監視 を ARP に設定する必要があります。
9.3. RHEL Web コンソールを使用したネットワーク結合の設定
このセクションでは、RHEL Web コンソールを使用してネットワーク結合を設定する方法について説明します。
前提条件
- RHEL Web コンソールにログインしています。
- サーバーに、2 つ以上の物理ネットワークデバイスまたは仮想ネットワークデバイスがインストールされている。
- ボンディングのメンバーとしてイーサネットデバイスを使用するには、物理または仮想のイーサネットデバイスがサーバーにインストールされている。
チーム、ブリッジ、または VLAN デバイスを結合のメンバーとして使用するには、次の説明に従って事前に作成します。
手順
-
画面左側のナビゲーションで
Networking
タブを選択します。 -
Interfaces
セクションで Add bond をクリックします。 - 作成するボンドデバイスの名前を入力します。
- 結合のメンバーにするインターフェイスを選択します。
結合のモードを選択します。
Active backup
を選択すると、Web コンソールに追加フィールドPrimary
が表示され、優先するアクティブデバイスを選択できます。-
リンクモニターリング監視モードを設定します。たとえば、
Adaptive load balancing
モードを使用する場合は、ARP
に設定します。 オプション: モニター間隔、リンクアップ遅延、およびリンクダウン遅延の設定を調整します。通常、トラブルシューティングの目的でのみデフォルトを変更します。
- Apply をクリックします。
デフォルトでは、ボンドは動的 IP アドレスを使用します。静的 IP アドレスを設定する場合:
-
Interfaces
セクションでボンドの名前をクリックします。 -
設定するプロトコルの横にある
Edit
をクリックします。 -
Addresses
の横にあるManual
を選択し、IP アドレス、接頭辞、およびデフォルトゲートウェイを入力します。 -
DNS
セクションで + ボタンをクリックし、DNS サーバーの IP アドレスを入力します。複数の DNS サーバーを設定するには、この手順を繰り返します。 -
DNS search domains
セクションで、+ ボタンをクリックし、検索ドメインを入力します。 インターフェイスにスタティックルートが必要な場合は、
Routes
セクションで設定します。- Apply をクリックします。
-
検証
画面左側のナビゲーションで
Networking
タブを選択し、インターフェイスに着信および発信トラフィックがあるかどうかを確認します。ホストからネットワークケーブルを一時的に削除します。
ソフトウェアユーティリティーを使用して、リンク障害イベントを適切にテストする方法がないことに注意してください。Web コンソールなどの接続を非アクティブ化するツールは、実際のリンク障害イベントではなく、メンバー設定の変更を処理するボンディングドライバーの機能のみを示します。
ボンドのステータスを表示します。
# cat /proc/net/bonding/bond0
9.4. Web コンソールを使用したボンドへのインターフェイスの追加
ネットワークボンディングには複数のインターフェイスを含めることができ、いつでも追加/削除することができます。
既存のボンディングにネットワークインターフェイスを追加する方法を説明します。
前提条件
- Web コンソールを使用したネットワークボンドの設定 で説明したように、複数のインターフェイスを持つボンドが設定されている
手順
Web コンソールにログインします。
詳細は、Web コンソールへのログイン を参照してください。
- ネットワーキング を開きます。
- イターフェース テーブルで、設定するボンディングをクリックします。
- ボンディング設定画面で、メンバー (インターフェイス) の表をスクロールします。
- メンバーの追加 のドロップダウンアイコンをクリックします。
- ドロップダウンリストでインターフェイスを選択してクリックします。
検証手順
- ボンディング設定画面の インターフェイスメンバー テーブルに、選択したインターフェイスが表示されていることを確認します。
9.5. Web コンソールを使用したボンディングからインターフェイスの削除または無効化
ネットワークボンディングには複数のインターフェイスを追加できます。デバイスを変更する必要がある場合は、ボンディングから特定のインターフェイスを削除または無効にできます。これにより、残りのアクティブなインターフェイスと動作するようになります。
ボンディングに含まれるインターフェイスの使用を停止するには、以下を行います。
- ボンディングからインターフェイスを削除します。
- インターフェイスを一時的に無効にします。インターフェイスはボンディングの一部のままになりますが、ボンディングは再び有効にするまで使用されません。
前提条件
- Web コンソールを使用したネットワークボンドの設定 で説明したように、複数のインターフェイスを持つボンドが設定されている
手順
- RHEL Web コンソールにログインします。詳細は、Web コンソールへのログイン を参照してください。
- ネットワーキング を開きます。
- 設定するボンディングをクリックします。
- ボンディング設定画面で、ポート (インターフェイス) の表をスクロールします。
インターフェイスを選択し、削除または無効化します。
- インターフェイスを削除する場合は、- ボタンをクリックします。
- インターフェイスを無効または有効にするには、選択したインターフェイスの横にあるスイッチを切り替えます。
選択に基づいて、Web コンソールはボンディングからインターフェイスを削除または無効化し、スタンドアロンインターフェイスとして Networking セクションに戻ることができます。
9.6. Web コンソールでのボンディングの削除または無効化
Web コンソールを使用してネットワークボンディングを削除または無効化します。ボンディングを無効にすると、インターフェイスはボンディングに残りますが、ボンディングはネットワークトラフィックに使用されません。
前提条件
- Web コンソールには既存のボンディングがあります。
手順
Web コンソールにログインします。
詳細は、Web コンソールへのログイン を参照してください。
- ネットワーキング を開きます。
- 削除するボンディングをクリックします。
ボンドの設定画面では、スイッチを切り替えてボンドを無効/有効にしたり、Delete ボタンをクリックしてボンドを完全に削除したりできます。
検証手順
- Networking に戻り、ボンディングのすべてのインターフェイスがスタンドアロンインターフェイスであることを確認します。
第10章 Web コンソールを使用したネットワークチームの設定
ネットワークボンディングの仕組み、ネットワークチームとネットワークボンディングの違い、および Web コンソールの設定の可能性を学びます。
さらに、以下に関するガイドラインを見つけることができます。
- 新規ネットワークチームの追加
- 既存のネットワークチームへの新規インターフェイスの追加
- 既存のネットワークチームからのインターフェイスの削除
- ネットワークチームの削除
Red Hat Enterprise Linux 9 では、ネットワークチーミングが非推奨になりました。サーバーを将来バージョンの RHEL にアップグレードする予定がある場合は、代替手段としてカーネルボンディングドライバーの使用を検討してください。詳細は、Configuring network bonding を参照してください。
前提条件
RHEL Web コンソールがインストールされ、有効になっている。
詳細は、Web コンソールのインストール を参照してください。
10.1. ネットワークチーミングの理解
ネットワークチーミングとは、ネットワークインターフェイスを統合または集約し、より高いスループットまたは冗長性のある論理インターフェイスを提供する機能です。
ネットワークチーミングでは、カーネルドライバーを使用してパケットフローの高速処理や、他のタスク用のユーザー空間ライブラリーおよびサービスを実装します。これにより、ネットワークチーミングは、負荷分散および冗長性の要件に対して、簡単に拡張可能でスケーラブルなソリューションとなります。
特定のネットワークチーミング機能 (例: フェイルオーバーメカニズム) は、ネットワークスイッチのないダイレクトケーブル接続に対応していません。詳細は、ボンディングは、クロスオーバーケーブルを使用したダイレクトコレクションをサポートしますか ? を参照してください。
10.2. ネットワークチーミングとボンディング機能の比較
ネットワークチームおよびネットワークボンディングでサポートされている機能について説明します。
機能 | ネットワークボンド | ネットワークチーム |
---|---|---|
ブロードキャストの Tx ポリシー | はい | はい |
ラウンドロビンの Tx ポリシー | はい | はい |
アクティブバックアップの Tx ポリシー | はい | はい |
LACP (802.3ad) への対応 | あり (アクティブのみ) | はい |
ハッシュベースの Tx ポリシー | はい | はい |
ユーザーによるハッシュ機能の設定 | いいえ | はい |
Tx 負荷分散への対応 (TLB) | はい | はい |
LACP ハッシュポートの選択 | はい | はい |
LACP 対応の負荷分散 | いいえ | はい |
Ethtool リンク監視 | はい | はい |
ARP リンク監視 | はい | はい |
NS/NA (IPv6) リンク監視 | いいえ | はい |
ポートのアップ/ダウンの遅延 | はい | はい |
ポートの優先度および持続性 (スティッキネス) (プライマリーのオプション強化) | いいえ | はい |
ポートごとに個別のリンク監視の設定 | いいえ | はい |
複数のリンク監視の設定 | 限定的 | はい |
ロックなしの Tx/Rx パス | なし (rwlock) | あり (RCU) |
VLAN への対応 | はい | はい |
ユーザー空間のランタイム制御 | 限定的 | はい |
ユーザー空間での論理 | いいえ | はい |
拡張性 | 困難 | 容易 |
モジュラー設計 | いいえ | はい |
パフォーマンスのオーバーヘッド | 低 | 非常に低い |
D-Bus インターフェイス | いいえ | はい |
複数デバイスのスタッキング | はい | はい |
LLDP を使用したゼロ設定 | いいえ | (計画中) |
NetworkManager への対応 | はい | はい |
10.3. RHEL Web コンソールを使用したネットワークチームの設定
RHEL Web コンソールを使用し、Web ブラウザーを使用してネットワークチームを設定できます。
Red Hat Enterprise Linux 9 では、ネットワークチーミングが非推奨になりました。サーバーを将来バージョンの RHEL にアップグレードする予定がある場合は、代替手段としてカーネルボンディングドライバーの使用を検討してください。詳細は、Configuring network bonding を参照してください。
前提条件
-
teamd
およびNetworkManager-team
パッケージがインストールされている。 - サーバーに、2 つ以上の物理ネットワークデバイスまたは仮想ネットワークデバイスがインストールされている。
- チームのポートとしてイーサネットデバイスを使用するには、物理または仮想のイーサネットデバイスがサーバーにインストールされ、スイッチに接続されている必要があります。
ボンド、ブリッジ、または VLAN デバイスをチームのポートとして使用するには、次の説明に従って事前に作成します。
手順
-
画面左側のナビゲーションで
Networking
タブを選択します。 -
Interfaces
セクションで Add team をクリックします。 - 作成するチームデバイスの名前を入力します。
- チームのポートにするインターフェイスを選択します。
チームのランナーを選択します。
Load balancing
または802.3ad LACP
を選択すると、Web コンソールに追加のフィールドBalancer
が表示されます。リンクウォッチャーを設定します。
-
Ethtool
を選択した場合は、さらに、リンクアップおよびリンクダウンの遅延を設定します。 -
ARP ping
またはNSNA ping
を選択し、さらに ping の間隔と ping ターゲットを設定します。
-
- Apply をクリックします。
デフォルトでは、チームは動的 IP アドレスを使用します。静的 IP アドレスを設定する場合:
-
Interfaces
セクションでチームの名前をクリックします。 -
設定するプロトコルの横にある
Edit
をクリックします。 -
Addresses
の横にあるManual
を選択し、IP アドレス、接頭辞、およびデフォルトゲートウェイを入力します。 -
DNS
セクションで + ボタンをクリックし、DNS サーバーの IP アドレスを入力します。複数の DNS サーバーを設定するには、この手順を繰り返します。 -
DNS search domains
セクションで、+ ボタンをクリックし、検索ドメインを入力します。 インターフェイスにスタティックルートが必要な場合は、
Routes
セクションで設定します。- Apply をクリックします。
-
検証
画面左側のナビゲーションで
Networking
タブを選択し、インターフェイスに着信および発信トラフィックがあるかどうかを確認します。チームのステータスを表示します。
# teamdctl team0 state setup: runner: activebackup ports: enp7s0 link watches: link summary: up instance[link_watch_0]: name: ethtool link: up down count: 0 enp8s0 link watches: link summary: up instance[link_watch_0]: name: ethtool link: up down count: 0 runner: active port: enp7s0
この例では、両方のポートが起動しています。
関連情報
10.4. Web コンソールを使用したチームへの新規インターフェイスの追加
ネットワークチームには複数のインターフェイスを含めることができ、いつでもインターフェイスを追加または削除できます。次のセクションでは、既存のチームに新しいネットワークインターフェイスを追加する方法を説明します。
前提条件
- ネットワークチームが設定されている。
手順
Web コンソールにログインします。
詳細は、Web コンソールへのログイン を参照してください。
- ネットワーク タブに切り替えます。
- インターフェイス テーブルで、設定するチームをクリックします。
- チーム設定画面で、ポート テーブルまでスクロールします。
- + ボタンをクリックします
ドロップダウンリストから、追加するインターフェイスを選択します。
RHEL Web コンソールは、インターフェイスをチームに追加します。
10.5. Web コンソールを使用したチームからインターフェイスの削除または無効化
ネットワークチームには複数のインターフェイスを追加できます。デバイスを変更する必要がある場合は、ネットワークチームから特定のインターフェイスを削除または無効にできます。これにより、残りのアクティブなインターフェイスと動作するようになります。
チームに含まれるインターフェイスの使用を停止する場合は、以下のいずれかの方法で行います。
- チームからのインターフェイスの削除
- インターフェイスを一時的に無効その後、インターフェイスはチームの一部として残りますが、再度有効にするまでチームは使用しません。
前提条件
- 複数のインターフェイスを持つネットワークチームがホストに存在する。
手順
RHEL Web コンソールにログインします。
詳細は、Web コンソールへのログイン を参照してください。
- ネットワーク タブに切り替えます。
- 設定するチームをクリックします。
- チーム設定ウィンドウで、ポート (インターフェイス) の表をスクロールします。
インターフェイスを選択し、削除または無効化します。
- ON/OFF ボタンを Off に切り替えてインターフェイスを無効にします。
- ボタンをクリックしてインターフェイスを削除します。
選択に応じて、Web コンソールはインターフェイスを削除または無効にします。インターフェイスを削除すると、ネットワーク でスタンドアロンインターフェイスとして利用できます。
10.6. Web コンソールでのチームの削除または無効化
Web コンソールを使用してネットワークチームを削除または無効化します。チームのみを無効にする場合、チーム内のインターフェイスはそのまま残りますが、ネットワークトラフィックには使用されません。
前提条件
- ネットワークチームがホストに設定されている。
手順
Web コンソールにログインします。
詳細は、Web コンソールへのログイン を参照してください。
- ネットワーク タブに切り替えます。
- 削除または無効にするチームをクリックします。
選択したチームを削除または無効にします。
- 削除 ボタンをクリックすると、チームを削除できます。
ON/OFF スイッチを無効な位置に移動すると、チームを無効にできます。
検証手順
- チームを削除した場合には、ネットワーク に移動して、チームからのすべてのインターフェイスがスタンドアロンインターフェイスとして一覧表示されていることを確認します。
第11章 Web コンソールでネットワークブリッジの設定
ネットワークブリッジは、同じ範囲の IP アドレスを持つ 1 つのサブネットに、複数のインタフェースを接続するのに使用します。
前提条件
RHEL 8 Web コンソールがインストールされ、有効になっている。
詳細は、Web コンソールのインストール を参照してください。
11.1. RHEL Web コンソールを使用したネットワークブリッジの設定
このセクションでは、RHEL Web コンソールを使用してネットワークブリッジを設定する方法について説明します。
前提条件
- サーバーに、2 つ以上の物理ネットワークデバイスまたは仮想ネットワークデバイスがインストールされている。
- ブリッジのポートとしてイーサネットデバイスを使用するには、物理または仮想のイーサネットデバイスをサーバーにインストールする必要があります。
ブリッジのポートにチーム、ボンディング、または VLAN デバイスを使用するには、ブリッジの作成時にこれらのデバイスを作成するか、次の説明に従って事前にデバイスを作成することができます。
手順
-
画面左側のナビゲーションで
Networking
タブを選択します。 -
Interfaces
セクションで Add bridge をクリックします。 - 作成するブリッジデバイスの名前を入力します。
- ブリッジのポートにするインターフェイスを選択します。
オプション:
Spanning tree protocol (STP)
機能を有効にして、ブリッジループとブロードキャスト放射を回避します。- Apply をクリックします。
デフォルトでは、ブリッジは動的 IP アドレスを使用します。静的 IP アドレスを設定する場合:
-
Interfaces
セクションでブリッジの名前をクリックします。 -
設定するプロトコルの横にある
Edit
をクリックします。 -
Addresses
の横にあるManual
を選択し、IP アドレス、接頭辞、およびデフォルトゲートウェイを入力します。 -
DNS
セクションで + ボタンをクリックし、DNS サーバーの IP アドレスを入力します。複数の DNS サーバーを設定するには、この手順を繰り返します。 -
DNS search domains
セクションで、+ ボタンをクリックし、検索ドメインを入力します。 インターフェイスにスタティックルートが必要な場合は、
Routes
セクションで設定します。- Apply をクリックします。
-
検証
画面左側のナビゲーションで
Networking
タブを選択し、インターフェイスに着信および発信トラフィックがあるかどうかを確認します。
11.2. Web コンソールでブリッジからインターフェイスを削除
ネットワークブリッジには複数のインターフェイスを追加できます。インターフェイスは、ブリッジから削除できます。削除した各インターフェイスは、自動的にスタンドアロンインターフェイスに変更します。
RHEL 8 システムで作成したソフトウェアブリッジからネットワークインターフェイスを削除する方法を説明します。
前提条件
- システムで複数のインターフェイスを持つブリッジがある。
手順
- RHEL Web コンソールにログインします。詳細は、Web コンソールへのログイン を参照してください。
- ネットワーキング を開きます。
- 設定するブリッジを選択します。
- ブリッジ設定画面で、ポート (インターフェイス) の表をスクロールします。
- インターフェイスを選択し、- ボタンをクリックします。
検証手順
- Networking に移動して、Interface members テーブルにスタンドアロンインターフェイスとして表示されていることを確認します。
11.3. Web コンソールでブリッジの削除
RHEL Web コンソールで、ソフトウェアのネットワークブリッジを削除できます。ブリッジに含まれるすべてのネットワークインターフェイスが、自動的にスタンドアロンインターフェイスに変更されます。
前提条件
- システムにブリッジがある。
手順
RHEL Web コンソールにログインします。
詳細は Web コンソールへのログイン を参照してください。
- ネットワーキング セクションを開きます。
- 設定するブリッジを選択します。
Delete をクリックします。
検証手順
- ネットワーク に戻り、すべてのネットワークインターフェイスが インターフェイスメンバーテーブル に表示されていることを確認します。
以前はブリッジの一部であったインターフェイスが無効になることもあります。必要に応じて、アクティベーションを行い、ネットワークパラメーターを手動で設定してください。
第12章 Web コンソールで VLAN の設定
本セクションでは、仮想ローカルエリアネットワーク (VLAN) を設定する方法を説明します。VLAN は、物理ネットワーク内の論理ネットワークです。VLAN インターフェイスは、インターフェイスを通過する際に VLAN ID でパケットをタグ付けし、返信パケットのタグを削除します。
12.1. RHEL Web コンソールを使用した VLAN タギングの設定
Web ブラウザーベースのインターフェイスを使用してネットワーク設定を構成する場合は、RHEL Web コンソールを使用して VLAN タギングを設定します。
前提条件
- 仮想 VLAN インターフェイスに対する親として使用するインターフェイスが VLAN タグに対応している。
ボンドインターフェイスに VLAN を設定する場合は、以下のようになります。
- ボンディングのポートが起動している。
-
ボンドが、
fail_over_mac=follow
オプションで設定されていない。VLAN 仮想デバイスは、親の新規 MAC アドレスに一致する MAC アドレスを変更できません。このような場合、トラフィックは間違ったソースの MAC アドレスで送信されます。 - ボンドは通常、DHCP サーバーまたは IPv6 自動設定から IP アドレスを取得することは想定されていません。結合を作成する IPv4 および IPv6 プロトコルを無効にして、これを確認します。そうしないと、DHCP または IPv6 の自動設定がしばらくして失敗した場合に、インターフェイスがダウンする可能性があります。
- ホストが接続するスイッチは、VLAN タグに対応するように設定されています。詳細は、スイッチのドキュメントを参照してください。
手順
-
画面左側のナビゲーションで
Networking
タブを選択します。 -
Interfaces
セクションで Add VLAN をクリックします。 - 親デバイスを選択します。
- VLAN ID を入力します。
VLAN デバイスの名前を入力するか、自動生成された名前のままにします。
- Apply をクリックします。
デフォルトでは、VLAN デバイスは動的 IP アドレスを使用します。静的 IP アドレスを設定する場合:
-
Interfaces
セクションで VLAN デバイスの名前をクリックします。 -
設定するプロトコルの横にある
Edit
をクリックします。 -
Addresses
の横にあるManual
を選択し、IP アドレス、接頭辞、およびデフォルトゲートウェイを入力します。 -
DNS
セクションで + ボタンをクリックし、DNS サーバーの IP アドレスを入力します。複数の DNS サーバーを設定するには、この手順を繰り返します。 -
DNS search domains
セクションで、+ ボタンをクリックし、検索ドメインを入力します。 インターフェイスにスタティックルートが必要な場合は、
Routes
セクションで設定します。- Apply をクリックします。
-
検証
画面左側のナビゲーションで
Networking
タブを選択し、インターフェイスに着信および発信トラフィックがあるかどうかを確認します。
第13章 Web コンソールのリッスンポートの設定
RHEL 8 Web コンソールを使用して新しいポートを許可するか、または既存のポートを変更する方法を説明します。
13.1. アクティブな SELinux があるシステムで新しいポートを許可
選択したポートで Web コンソールがリッスンできるようにします。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は、Web コンソールのインストール を参照してください。
手順
SELinux の他の部分で定義されていないポートの場合は、次のコマンドを実行します。
$ sudo semanage port -a -t websm_port_t -p tcp PORT_NUMBER
SELinux の他の部分で既に定義されているポートの場合は、次のコマンドを実行します。
$ sudo semanage port -m -t websm_port_t -p tcp PORT_NUMBER
変更はすぐに有効になります。
13.2. firewalld
を使用したシステムでの新規ポートの許可
Web コンソールが新規ポートで接続を受信しるようにします。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は、Web コンソールのインストール を参照してください。
-
firewalld
サービスが実行している。
手順
新しいポート番号を追加するには、次のコマンドを実行します。
$ sudo firewall-cmd --permanent --service cockpit --add-port=PORT_NUMBER/tcp
cockpit
サービスから古いポート番号を削除するには、次のコマンドを実行します。$ sudo firewall-cmd --permanent --service cockpit --remove-port=OLD_PORT_NUMBER/tcp
--permanent
オプションなしで firewall-cmd --service cockpit --add-port=PORT_NUMBER/tcp
を実行するだけで、次回の firewalld
の再読み込みまたはシステムの再起動で変更が取り消されます。
13.3. Web コンソールポートの変更
ポート 9090 でデフォルトの転送制御プロトコル (TCP) を別のポートに変更します。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は、Web コンソールのインストール を参照してください。
- SELinux でシステムを保護する場合は、Cockpit が新しいポートをリッスンするように設定する必要があります。詳細は アクティブな SELinux があるシステムで新しいポートを許可 を参照してください。
-
ファイアウォールとして
firewalld
を設定している場合は、新しいポートで Cockpit の受信接続を許可するように設定する必要があります。詳細はfirewalld
でシステムの新しいポートを許可 を参照してください。
手順
以下のいずれかの方法でリッスンポートを変更します。
systemctl edit cockpit.socket
コマンドの使用次のコマンドを実行します。
$ sudo systemctl edit cockpit.socket
これにより、
/etc/systemd/system/cockpit.socket.d/override.conf
ファイルが作成されます。override.conf
の内容を変更するか、以下の形式で新しいコンテンツを追加します。[Socket] ListenStream= ListenStream=PORT_NUMBER
または、上記の内容を
/etc/systemd/system/cockpit.socket.d/listen.conf
ファイルに追加します。cockpit.socket.d.
ディレクトリーがない場合は、listen.conf
ファイルを作成します。
変更を有効にするには、次のコマンドを実行します。
$ sudo systemctl daemon-reload $ sudo systemctl restart cockpit.socket
前の手順で
systemctl edit cockpit.socket
を使用していた場合は、systemctl daemon-reload
を実行する必要はありません。
検証手順
- 変更が成功したことを確認するには、新しいポートで Web コンソールへの接続を試行します。
第14章 Web コンソールでファイアウォールの管理
ファイアウォールは、外部からの不要なトラフィックからマシンを保護する方法です。ファイアウォールルールセットを定義することで、ホストマシンに着信ネットワークトラフィックを制御できます。このようなルールは、着信トラフィックを分類して、拒否または許可するために使用されます。
前提条件
RHEL 8 Web コンソールで、firewalld サービスが設定されている。
firewalld サービスの詳細は firewalld の使用 を参照してください。
14.1. Web コンソールでファイアウォールの実行
このセクションでは、Web コンソールで RHEL 8 システムファイアウォールを実行する場所と方法について説明します。
RHEL 8 Web コンソールは、firewalld サービスを設定します。
手順
- RHEL 8 Web コンソールにログインします。詳細は、Web コンソールへのログイン を参照してください。
- ネットワーキング セクションを開きます。
ファイアウォールの 項目で、ファイアウォールを実行するスライダーをクリックします。
Firewall のスライダーが表示されない場合は、Web コンソールに管理者権限でログインしてください。
この時点で、ファイアウォールは実行しています。
ファイアウォールのルールを設定するには、Enabling services on the firewall using the web console を参照してください。
14.2. Web コンソールでファイアウォールの停止
このセクションでは、Web コンソールの RHEL 8 システムファイアウォールをどこでどのように停止するかを説明します。
RHEL 8 Web コンソールは、firewalld サービスを設定します。
手順
- RHEL 8 Web コンソールにログインします。詳細は、Web コンソールへのログイン を参照してください。
- ネットワーキング セクションを開きます。
ファイアウォールの 項目で、スライダーをクリックするとファイアウォールが停止します。
Firewall のスライダーが表示されない場合は、Web コンソールに管理者権限でログインしてください。
この段階では、ファイアウォールは停止しており、システムは保護されていません。
14.3. ゾーン
firewalld
は、インターフェイスに追加する信頼レベルと、そのネットワークのトラフィックに従って、複数のネットワークを複数のゾーンに分類できます。接続は、1 つのゾーンにしか指定できませんが、ゾーンは多くのネットワーク接続に使用できます。
NetworkManager
は、firewalld
にインターフェイスのゾーンを通知します。以下を使用して、ゾーンをインターフェイスに割り当てることができます。
-
NetworkManager
-
firewall-config
ツール -
firewall-cmd
コマンドラインツール - RHEL Web コンソール
後者の 3 つは、適切な NetworkManager
設定ファイルの編集のみを行います。Web コンソールを使用してインターフェイスのゾーンを変更する (firewall-cmd
または firewall-config
) と、リクエストが NetworkManager
に転送され、firewalld
では処理されません。
事前定義したゾーンは /usr/lib/firewalld/zones/
ディレクトリーに保存され、利用可能なネットワークインターフェイスに即座に適用されます。このファイルは、修正しないと /etc/firewalld/zones/
ディレクトリーにコピーされません。事前定義したゾーンのデフォルト設定は以下のようになります。
block
-
IPv4
の場合は icmp-host-prohibited メッセージ、IPv6
の場合は icmp6-adm-prohibited メッセージで、すべての着信ネットワーク接続が拒否されます。システムで開始したネットワーク接続のみが可能です。 dmz
- 公開アクセスは可能ですが、内部ネットワークへのアクセスに制限がある非武装地帯にあるコンピューター向けです。選択した着信接続のみが許可されます。
drop
- 着信ネットワークパケットは、通知なしで遮断されます。発信ネットワーク接続だけが可能です。
external
- マスカレードをルーター用に特別に有効にした外部ネットワークでの使用向けです。自分のコンピューターを保護するため、ネットワーク上の他のコンピューターを信頼しません。選択した着信接続のみが許可されます。
home
- そのネットワークでその他のコンピューターをほぼ信頼できる自宅での使用向けです。選択した着信接続のみが許可されます。
internal
- そのネットワークでその他のコンピューターをほぼ信頼できる内部ネットワーク向けです。選択した着信接続のみが許可されます。
public
- そのネットワークでその他のコンピューターを信頼できないパブリックエリーア向けです。選択した着信接続のみが許可されます。
trusted
- すべてのネットワーク接続が許可されます。
work
- そのネットワークで、その他のコンピューターをほぼ信頼できる職場での使用向けです。選択した着信接続のみが許可されます。
このゾーンのいずれかを デフォルト ゾーンに設定できます。インターフェイス接続を NetworkManager
に追加すると、デフォルトゾーンに割り当てられます。firewalld
のデフォルトゾーンは、インストール時に public
ゾーンに設定されます。デフォルトゾーンは変更できます。
ネットワークゾーン名は、分かりやすく、ユーザーが妥当な決定をすばやく下せるような名前が付けられています。セキュリティー問題を回避するために、ニーズおよびリスク評価に合わせて、デフォルトゾーンの設定の見直しを行ったり、不要なサービスを無効にしてください。
関連情報
-
firewalld.zone(5)
の man ページ
14.4. Web コンソールのゾーン
Red Hat Enterprise Linux Web コンソールは、firewalld サービスの主な機能を実装し、以下を可能にします。
- 事前定義したファイアウォールゾーンを特定のインターフェイスまたは IP アドレスの範囲に追加します。
- サービスを選択して、有効なサービスの一覧にゾーンを設定できます。
- 有効なサービスの一覧からサービスを削除して、サービスを無効にすることもできます。
- インターフェイスからゾーンの削除
14.5. Web コンソールでゾーンの有効化
Web コンソールでは、特定のインターフェイスまたは IP アドレスの範囲に対して、事前定義のファイアウォールゾーンおよび既存のファイアウォールゾーンを適用できます。本セクションは、インターフェイスでゾーンを有効にする方法を説明します。
前提条件
- RHEL 8 Web コンソールがインストールされている。詳細は、Web コンソールのインストール を参照してください。
- ファイアウォールが有効になっている。詳細はWeb コンソールでファイアウォールの実行を参照してください。
手順
- 管理者権限で Web コンソールにログインします。詳細は、Web コンソールへのログイン を参照してください。
- ネットワーキング をクリックします。
ルールとゾーンの編集 ボタンをクリックします。
ルールとゾーンの編集 ボタンが表示されない場合は、管理者権限で Web コンソールにログインしてください。
- ファイアウォール セクションの 新規ゾーンの追加 をクリックします。
ゾーンの追加 ダイアログボックスで、信頼レベル オプションからゾーンを選択します。
firewalld
サービスで事前定義しているすべてのゾーンを確認できます。- インターフェイス で、選択したゾーンが適用されるインターフェイスを選択します。
許可されたサービス で、ゾーンを適用するかどうかを選択できます。
- サブネット全体
または、以下の形式の IP アドレスの範囲
- 192.168.1.0
- 192.168.1.0/24
- 192.168.1.0/24, 192.168.1.0
Add zone ボタンをクリックします。
Firewall で設定を確認します。
14.6. Web コンソールを使用してファイアウォールでサービスを有効化
デフォルトでは、サービスはデフォルトのファイアウォールゾーンに追加されます。他のネットワークインターフェイスで別のファイアウォールゾーンも使用する場合は、最初にゾーンを選択してから、そのサービスをポートとともに追加する必要があります。
RHEL 8 Web コンソールには、事前定義の firewalld
サービスが表示され、それらをアクティブなファイアウォールゾーンに追加することができます。
RHEL 8 Web コンソールは、firewalld サービスを設定します。
また、Web コンソールは、Web コンソールに追加されていない一般的な firewalld
ルールを許可しません。
前提条件
- RHEL 8 Web コンソールがインストールされている。詳細は、Web コンソールのインストール を参照してください。
- ファイアウォールが有効になっている。詳細はWeb コンソールでファイアウォールの実行を参照してください。
手順
- 管理者権限で RHEL Web コンソールにログインしている。詳細は、Web コンソールへのログイン を参照してください。
- ネットワーキング をクリックします。
ルールとゾーンの編集 ボタンをクリックします。
ルールとゾーンの編集 ボタンが表示されない場合は、管理者権限で Web コンソールにログインしてください。
ファイアウォール セクションで、サービスを追加するゾーンを選択し、サービスの追加 をクリックします。
- サービスの追加 ダイアログボックスで、ファイアウォールで有効にするサービスを見つけます。
必要なサービスを有効にします。
- サービスの追加 をクリックします。
この時点で、RHEL 8 Web コンソールは、ゾーンの Services リストにサービスを表示します。
14.7. Web コンソールでカスタムポートの設定
Web コンソールでは、以下を追加できます。
- 標準ポートでリッスンするサービス: Web コンソールを使用してファイアウォールでサービスを有効にする
- カスタムポートでリッスンするサービス。
本セクションでは、カスタムポートを設定したサービスを追加する方法を説明します。
前提条件
- RHEL 8 Web コンソールがインストールされている。詳細は、Web コンソールのインストール を参照してください。
- ファイアウォールが有効になっている。詳細はWeb コンソールでファイアウォールの実行を参照してください。
手順
- 管理者権限で RHEL Web コンソールにログインしている。詳細は、Web コンソールへのログイン を参照してください。
- ネットワーキング をクリックします。
ルールとゾーンの編集 ボタンをクリックします。
ルールとゾーンの編集 ボタンが表示されない場合は、Web コンソールに管理者権限でログインしてください。
ファイアウォール セクションで、カスタムポートを設定するゾーンを選択し、サービスの追加 をクリックします。
- サービスの追加 ダイアログボックスで、カスタムポート ラジオボタンをクリックします。
TCP フィールドおよび UDP フィールドに、例に従ってポートを追加します。以下の形式でポートを追加できます。
- ポート番号 (22 など)
- ポート番号の範囲 (5900-5910 など)
- エイリアス (nfs、rsync など)
注記各フィールドには、複数の値を追加できます。値はコンマで区切り、スペースは使用しないでください (例:8080,8081,http)。
TCP filed、UDP filed、またはその両方にポート番号を追加した後、Name フィールドでサービス名を確認します。
名前 フィールドには、このポートを予約しているサービスの名前が表示されます。このポートが無料で、サーバーがこのポートで通信する必要がない場合は、名前を書き換えることができます。
- 名前 フィールドに、定義されたポートを含むサービスの名前を追加します。
Add Ports ボタンをクリックします。
設定を確認するには、ファイアウォール ページに移動し、ゾーンの サービス 一覧でサービスを見つけます。
14.8. Web コンソールを使用したゾーンの無効化
本セクションは、Web コンソールを使用してファイアウォール設定のファイアウォールゾーンを無効にする方法を説明します。
前提条件
- RHEL 8 Web コンソールがインストールされている。詳細は、Web コンソールのインストール を参照してください。
手順
- 管理者権限で RHEL Web コンソールにログインしている。詳細は、Web コンソールへのログイン を参照してください。
- ネットワーキング をクリックします。
ルールとゾーンの編集 ボタンをクリックします。
ルールとゾーンの編集 ボタンが表示されない場合は、管理者権限で Web コンソールにログインしてください。
削除するゾーンの オプションアイコン をクリックします。
- Delete をクリックします。
これでゾーンが無効になり、そのゾーンに設定されたオープンなサービスおよびポートがインターフェイスに含まれなくなります。
第15章 Web コンソールでシステム全体の暗号化ポリシーを設定する
事前定義されたシステム全体の暗号化ポリシーレベルから選択し、Red Hat Enterprise Linux Web コンソールインターフェイスでそれらを直接切り替えることができます。システムにカスタムポリシーを設定すると、Web コンソールの Overview ページと Change crypto policy ダイアログウィンドウにポリシーが表示されます。
前提条件
- RHEL 8 Web コンソールがインストールされている。詳細は、Web コンソールのインストールと有効化 を参照してください。
- 管理者権限があります。
手順
- RHEL Web コンソールにログインします。詳細は、Web コンソールへのログイン を参照してください。
- Overview ページの Configuration カードで、Crypto policy の横にある現在のポリシー値をクリックします。
- Change crypto policy ダイアログウィンドウで、使用を開始するポリシーレベルをクリックします。
- Apply and reboot ボタンをクリックします。
検証
- 再度ログインして、Crypto policy の値が選択した値に対応していることを確認します。
第16章 生成された Ansible Playbook の適用
SELinux で問題のトラブルシューティングを行う場合、Web コンソールではシェルスクリプトまたは Ansible Playbook を生成でき、さらにマシンをエクスポートおよび適用できます。
前提条件
Web コンソールインターフェイスがインストールがインストールされアクセス可能。
詳細は、Web コンソールのインストール を参照してください。
手順
- SELinux をクリックします。
右上の View the automation script をクリックします。
生成されたスクリプトを含むウィンドウが開きます。シェルスクリプトと Ansible Playbook の生成オプションタブ間を移動できます。
- Copy to clipboard ボタンをクリックし、スクリプトまたは Playbook を選択して適用します。
これにより、他のマシンに適用できる自動スクリプトがあります。
関連情報
- SELinux 関連の問題のトラブルシューティング
- 複数のシステムへの同じ SELinux 設定のデプロイメント
-
ansible-playbook
コマンドの詳細は、man ページのansible-playbook(1)
を参照してください。
第17章 Web コンソールでパーティションの管理
Web コンソールを使用して、RHEL 8 でファイルシステムを管理する方法を説明します。
利用可能なファイルシステムの詳細は、Overview of available file systems を参照してください。
17.1. ファイルシステムでフォーマットされたパーティションを Web コンソールに表示
Web コンソールの ストレージ セクションには、ファイルシステム テーブルで使用可能なファイルシステムがすべて表示されます。
本セクションでは、Web コンソールに表示されるファイルシステムでフォーマットされたパーティションの一覧に移動します。
前提条件
-
cockpit-storaged
パッケージがシステムにインストールされている。 - Web コンソールがインストールされており、アクセス可能である。詳細は、Web コンソールのインストール を参照してください。
手順
- RHEL 8 Web コンソールにログインします。詳細は、Web コンソールへのログイン を参照してください。
- ストレージ タブをクリックします。
Filesystems テーブルでは、ファイルシステムでフォーマットされ利用可能なすべてのパーティションと、その名前、サイズ、および各パーティションで利用可能な容量を確認できます。
17.2. Web コンソールでパーティションの作成
新しいパーティションを作成するには、以下を行います。
- 既存のパーティションテーブルを使用する
- パーティションを作成する
前提条件
-
cockpit-storaged
パッケージがシステムにインストールされている。 - Web コンソールがインストールされており、アクセス可能である。詳細は、Web コンソールのインストール を参照してください。
- 未フォーマットのボリュームが、ストレージ タブの その他のデバイス テーブルに表示されるシステムに接続されている。
手順
- RHEL Web コンソールにログインします。詳細は、Web コンソールへのログイン を参照してください。
- ストレージ タブをクリックします。
- 他のデバイス テーブルで、パーティションを作成するボリュームをクリックします。
- Content セクションで、Create Partition ボタンをクリックします。
- パーティションの作成 ダイアログボックスで、新しいパーティションのサイズを選択します。
削除 ドロップダウンメニューから、以下を選択します。
- 既存のデータを上書きしない - RHEL Web コンソールは、ディスクヘッダーのみを書き換えます。このオプションの利点は、フォーマットの速度です。
- 既存のデータをゼロで上書きする - RHEL Web コンソールは、ディスク全体をゼロで書き直します。このプログラムはディスク全体を調べるため、このオプションを使用すると遅くなりますが、安全性は高まります。ディスクにデータが含まれていて、上書きする必要がある場合は、このオプションを使用します。
Type ドロップダウンメニューで、ファイルシステムを選択します。
- XFS ファイルシステムは大規模な論理ボリュームをサポートし、オンラインの物理ドライブを停止せずに、既存のファイルシステムの拡大および縮小を行うことができます。別のストレージの使用を希望しない場合は、このファイルシステムを選択したままにしてください。
ext4 ファイルシステムは以下に対応します。
- 論理ボリューム
- オンラインの物理ドライブを停止せずに切り替え
- ファイルシステムの拡張
- ファイルシステムの縮小
追加オプションは、LUKS (Linux Unified Key Setup) によって行われるパーティションの暗号化を有効にすることです。これにより、パスフレーズでボリュームを暗号化できます。
- 名前 フィールドに、論理ボリューム名を入力します。
マウント ドロップダウンメニューで、カスタム を選択します。
デフォルト オプションでは、システムを次回起動したときにファイルシステムがマウントされているとは限りません。
- マウントポイント フィールドに、マウントパスを追加します。
- 起動時にマウント を選択します。
Create partition ボタンをクリックします。
ボリュームのサイズや、選択するオプションによって、フォーマットに数分かかることがあります。
フォーマットが完了したら、ファイルシステム タブで、フォーマットした論理ボリュームの詳細を表示できます。
検証手順
- パーティションが正常に追加されたことを確認するには、ストレージ タブに切り替えて、ファイルシステム テーブルを確認します。
17.3. Web コンソールでパーティションの削除
次の手順では、Web コンソール インターフェイスでパーティションを削除する方法を説明します。
前提条件
-
cockpit-storaged
パッケージがシステムにインストールされている。 - Web コンソールがインストールされており、アクセス可能である。詳細は、Web コンソールのインストール を参照してください。
パーティションのファイルシステムのマウントを解除している。
パーティションのマウントとアンマウントの詳細は、Mounting and unmounting file systems in the web console を参照してください。
手順
- RHEL Web コンソールにログインします。詳細は、Web コンソールへのログイン を参照してください。
- ストレージ タブをクリックします。
- ファイルシステム テーブルで、パーティションを削除するボリュームを選択します。
- コンテンツ セクションで、削除するパーティションをクリックします。
パーティションがロールダウンし、Delete ボタンをクリックできます。
パーティションをマウントして使用しないでください。
検証手順
- パーティションが正常に削除されたことを確認するには、ストレージ タブに切り替えて、コンテンツ テーブルを確認します。
17.4. Web コンソールでのファイルシステムのマウントとマウント解除
RHEL システムでパーティションを使用できるようにするには、パーティションにファイルシステムをデバイスとしてマウントする必要があります。
ファイルシステムのマウントを解除することもできます。アンマウントすると RHEL システムはその使用を停止します。ファイルシステムのマウントを解除すると、デバイスを削除 (delete または remove) または再読み込みできるようになります。
前提条件
-
cockpit-storaged
パッケージがシステムにインストールされている。 - Web コンソールがインストールされており、アクセス可能である。詳細は、Web コンソールのインストール を参照してください。
- ファイルシステムのマウントを解除する場合は、システムがパーティションに保存されているファイル、サービス、またはアプリケーションを使用しないようにする。
手順
- RHEL Web コンソールにログインします。詳細は、Web コンソールへのログイン を参照してください。
- ストレージ タブをクリックします。
- ファイルシステム テーブルで、パーティションを削除するボリュームを選択します。
- コンテンツ セクションで、ファイルシステムをマウントまたはマウント解除するパーティションをクリックします。
Mount ボタンまたはUnmount ボタンをクリックします。
この時点で、ファイルシステムはアクションに従ってマウントまたはマウント解除されています。
第18章 Web コンソールで NFS マウントの管理
RHEL 8 Web コンソールを使用すると、ネットワークファイルシステム (NFS) プロトコルを使用して、リモートディレクトリーをマウントできます。
NFS を使用すると、ネットワークに置かれたリモートディレクトリーに到達してマウントし、ディレクトリーが物理ドライブに置かれているかのようにファイルを操作できます。
前提条件
RHEL 8 Web コンソールがインストールされている。
詳細は Web コンソールのインストール を参照してください。
-
cockpit-storaged
パッケージがシステムにインストールされている。 - NFS サーバー名または IP アドレス
- リモートサーバーのディレクトリーのパス
18.1. Web コンソールで NFS マウントの接続
NFS を使用して、リモートディレクトリーをファイルシステムに接続します。
前提条件
- NFS サーバー名または IP アドレス
- リモートサーバーのディレクトリーのパス
手順
- RHEL 8 Web コンソールにログインします。詳細は、Web コンソールへのログイン を参照してください。
- Storage をクリックします。
NFS マウント セクションで + をクリックします。
- NFS の新規マウント ダイアログボックスに、リモートサーバーのサーバー名または IP アドレスを入力します。
- サーバーのパス フィールドに、マウントするディレクトリーのパスを入力します。
- ローカルマウントポイント フィールドに、ローカルシステムでディレクトリーを検索するパスを入力します。
- 起動時にマウント を選択します。ローカルシステムを再起動すると、ディレクトリーに到達可能になります。
コンテンツを変更しない場合は、必要に応じて、読み取り専用でマウント を選択します。
- Add をクリックします。
検証手順
- マウントしたディレクトリーを開き、コンテンツがアクセスできることを確認します。
接続をトラブルシューティングするには、カスタムのマウントオプション で調整できます。
18.2. Web コンソールで NFS マウントオプションのカスタマイズ
既存の NFS マウントを編集し、カスタムのマウントオプションを追加します。
カスタムのマウントオプションは、タイムアウトの制限を変更したり、認証を設定するなどの NFS マウントの接続をトラブルシュートしてパラメーターを変更するのに役に立ちます。
前提条件
- NFS マウントが追加されている。
手順
- RHEL 8 Web コンソールにログインします。詳細は、Web コンソールへのログイン を参照してください。
- Storage をクリックします。
- 調整する NFS マウントをクリックします。
リモートディレクトリーをマウントしている場合は、アンマウント をクリックします。
カスタムのマウントオプションの設定時には、ディレクトリーをマウントできません。それ以外の場合は、Web コンソールが設定を保存しないため、エラーが発生します。
- Edit をクリックします。
- NFS マウント ダイアログボックスで、カスタムのマウントオプション を選択します。
マウントオプションを、コンマで区切って入力します。以下に例を示します。
-
nfsvers=4
- NFS プロトコルのバージョン番号 -
soft
- NFS 要求のタイムアウト後に復元する種類 -
sec=krb5
- NFS サーバーのファイルが、Kerberos 認証により保護されます。NFS のクライアントとサーバーの両方で Kerberos 認証に対応する必要があります。
-
NFS マウントオプションの一覧は、コマンドラインで man nfs
を実行します。
- Apply をクリックします。
- マウント をクリックします。
検証手順
- マウントしたディレクトリーを開き、コンテンツがアクセスできることを確認します。
第19章 Web コンソールで独立したディスクの冗長アレイを管理
RAID (Redundant Arrays of Independent Disks) は、1 つのストレージに複数のディスクを配置する方法を示します。RAID は、ディスク障害に対して、ディスクに保存されているデータを保護します。
RAID は、次のデータ配信ストラテジーを使用します。
- ミラーリング - データは、2 つの異なる場所にコピーします。片方のディスクに障害が発生しても、コピーがあるため、データが失われることはありません。
- ストライピング - データが均等に分散されています。
保護レベルは、RAID レベルにより異なります。
RHEL Web コンソールは、次の RAID レベルに対応します。
- RAID 0 (ストライプ)
- RAID 1 (ミラー)
- RAID 4 (専用パリティー)
- RAID 5 (分散パリティー)
- RAID 6 (ダブル分散パリティー)
- RAID 10 (ミラーのストライプ)
RAID でディスクを使用する前に、以下を行う必要があります。
- RAID を作成します。
- ファイルシステムでフォーマットします。
- RAID をサーバーにマウントします。
前提条件
- RHEL 8 Web コンソールをインストールし、アクセスできる。詳細は、Web コンソールのインストール を参照してください。
-
cockpit-storaged
パッケージがシステムにインストールされている。
19.1. Web コンソールで RAID の作成
RHEL 8 Web コンソールで RAID を設定します。
前提条件
- システムに接続している物理ディスク。各 RAID レベルで必要なディスク容量は異なります。
手順
- RHEL 8 Web コンソールを開きます。
- Storage をクリックします。
- デバイス テーブルのメニューアイコンをクリックします。
- RAID デバイスの作成 をクリックします。
- RAID デバイスの作成 ダイアログボックスで、新しい RAID の名前を入力します。
- RAID レベル ドロップダウンリストで、使用する RAID レベルを選択します。
チャンクサイズ ドロップダウンリストに事前定義されている値は変更しません。
チャンクサイズ 値は、データの書き込みに使用する各ブロックのサイズを指定します。チャンクサイズが 512 KiB の場合、システムは最初の 512 KiB を最初のディスクに書き込み、次の 512 KiB を次のディスクに書き込み、その次の 512 KiB をその次のディスクに書き込みます。RAID に 3 つのディスクがある場合は、4 つ目の 512 KiB が最初のディスクに再度書き込まれます。
- RAID に使用するディスクを選択します。
- Create をクリックします。
検証手順
- ストレージ セクションに移動し、RAID デバイス ボックスに新しい RAID が表示されることを確認してフォーマットします。
Web コンソールで新しい RAID をフォーマットしてマウントする方法として、以下のオプションがあります。
19.2. Web コンソールで RAID のフォーマット
RHEL 8 Web インターフェイスで作成された新しいソフトウェアの RAID デバイスをフォーマットします。
前提条件
- 物理ディスクが接続され、RHEL 8 から確認できる。
- RAID が追加されている。
- RAID に使用するファイルシステムを検討する。
- パーティションテーブルの作成を検討する。
手順
- RHEL 8 Web コンソールを開きます。
- Storage をクリックします。
- RAID デバイス ボックスで、フォーマットする RAID をクリックして選択します。
- RAID の詳細画面で、コンテンツ までスクロールします。
- 新規作成した RAID をクリックします。
- Format ボタンをクリックします。
削除 ドロップダウンリストで、以下を選択します。
- 既存のデータを上書きしない - RHEL Web コンソールは、ディスクヘッダーのみを書き換えます。このオプションの利点は、フォーマットの速度です。
- 既存のデータをゼロで上書きする - RHEL Web コンソールは、ディスク全体をゼロで書き直します。このプログラムはディスク全体を調べるため、このオプションを使用すると遅くなります。RAID にデータが含まれていて、書き換える必要がある場合は、このオプションを使用します。
- 強い希望がない場合は、種類 ドロップダウンリストで、XFS ファイルシステムを選択します。
- ファイルシステムの名前を入力します。
マウント ドロップダウンリストで、カスタム を選択します。
デフォルト オプションでは、システムを次回起動したときにファイルシステムがマウントされているとは限りません。
- マウントポイント フィールドに、マウントパスを追加します。
- 起動時にマウント を選択します。
Format ボタンをクリックします。
フォーマットに使用されるオプションや、RAID のサイズによって、フォーマットに数分かかることがあります。
成功すると、ファイルシステム タブに、フォーマットされた RAID の詳細が表示されます。
- RAID を使用する場合は、マウント をクリックします。
この時点で、システムが、マウントされてフォーマットされた RAID を使用します。
19.3. Web コンソールで RAID のパーティションテーブルを作成
RHEL 8 インターフェイスに作成した新しいソフトウェア RAID デバイスで、パーティションテーブルを有する RAID をフォーマットします。
RAID は、その他のストレージデバイスとしてフォーマットする必要があります。2 つのオプションがあります。
- パーティションを使用せずに RAID デバイスをフォーマットする
- パーティションを有するパーティションテーブルを作成する
前提条件
- 物理ディスクが接続され、確認できる。
- RAID が追加されている。
- RAID に使用するファイルシステムを検討する。
- パーティションテーブルの作成を検討する。
手順
- RHEL 8 のコンソールを開きます。
- Storage をクリックします。
- RAID デバイス ボックスで、編集する RAID を選択します。
- RAID の詳細画面で、コンテンツ までスクロールします。
- 新規作成した RAID をクリックします。
- Create partition table ボタンをクリックします。
削除 ドロップダウンリストで、以下を選択します。
- 既存のデータを上書きしない - RHEL Web コンソールは、ディスクヘッダーのみを書き換えます。このオプションの利点は、フォーマットの速度です。
- 既存のデータをゼロで上書きする - RHEL Web コンソールは、ディスク全体をゼロで書き直します。このプログラムは RAID 全体を調べるため、このオプションを使用すると遅くなります。ディスクにデータが含まれていて、上書きする必要がある場合は、このオプションを使用します。
パーティション設定 ドロップダウンメニューから、以下を選択します。
- 最新のシステムとの互換性があり、ハードディスクが 2TB よりも大きい (GPT) - GUID パーティションテーブルは、4 つ以上のパーティションがある大規模 RAID の最新の推奨パーティションシステムです。
- すべてのシステムおよびデバイスとの互換性あり (MBR) - マスターブートレコードは、サイズが 2TB までのディスクで動作します。MBR は、最大で 4 つのプライマリーパーティションに対応します。
- Format をクリックします。
この段階で、パーティションテーブルが作成されているため、パーティションを作成できます。
パーティションの作成方法は Web コンソールで RAID にパーティションを作成 を参照してください。
19.4. Web コンソールで RAID にパーティションを作成
既存のパーティションテーブルにパーティションを作成します。
前提条件
- パーティションテーブルが作成されている。詳細は、Web コンソールを使って RAID 上のパーティションテーブルを作成 を参照してください。
手順
- RHEL 8 Web コンソールを開きます。
- Storage をクリックします。
- RAID デバイス ボックスで、編集する RAID をクリックします。
- RAID の詳細画面で、コンテンツ までスクロールします。
- 新規作成した RAID をクリックします。
- パーティションの作成 をクリックします。
- パーティションの作成 ダイアログボックスで、最初のパーティションのサイズを設定します。
削除 ドロップダウンリストで、以下を選択します。
- 既存のデータを上書きしない - RHEL Web コンソールは、ディスクヘッダーのみを書き換えます。このオプションの利点は、フォーマットの速度です。
- 既存のデータをゼロで上書きする - RHEL Web コンソールは、ディスク全体をゼロで書き直します。このプログラムは RAID 全体を調べるため、このオプションを使用すると遅くなります。ディスクにデータが含まれていて、上書きする必要がある場合は、このオプションを使用します。
- 強い希望がない場合は、種類 ドロップダウンリストで、XFS ファイルシステムを選択します。
- ファイルシステムの名前を入力します。名前にスペースは使用しないでください。
マウント ドロップダウンリストで、カスタム を選択します。
デフォルト オプションでは、システムを次回起動したときにファイルシステムがマウントされているとは限りません。
- マウントポイント フィールドに、マウントパスを追加します。
- 起動時にマウント を選択します。
- パーティションの作成 をクリックします。
フォーマットに使用されるオプションや、RAID のサイズによって、フォーマットに数分かかることがあります。
問題なく終了したら、引き続きその他のパーティションを作成します。
この時点で、システムが、マウントされてフォーマットされた RAID を使用します。
19.5. Web コンソールで RAID にボリュームグループを作成
ソフトウェア RAID からボリュームグループを構築
前提条件
- フォーマットまたはマウントされていない RAID デバイス
手順
- RHEL 8 Web コンソールを開きます。
- Storage をクリックします。
- Volume Groups ボックスの + ボタンをクリックします。
- ボリュームグループの作成 ダイアログボックスで、新しいボリュームグループの名前を入力します。
ディスク リストで、RAID デバイスを選択します。
一覧に RAID が表示されない場合は、システムから RAID のマウントを解除します。RAID デバイスは、RHEL 8 システムでは使用できません。
- Create をクリックします。
新しいボリュームグループが作成され、引き続き論理ボリュームを作成できます。
19.6. 関連情報
- ソフト破損と、RAID LV の設定時にデータを保護する方法の詳細は、DM 整合性を使用した RAID LV の作成 を参照してください。
第20章 Web コンソールで LVM 論理ボリュームの設定
Red Hat Enterprise Linux 8 は、LVM 論理ボリュームマネージャーを作成します。Red Hat Enterprise Linux 8 をインストールする場合は、インストール時に自動的に作成される LVM にインストールされます。
スクリーンショットは、インストール中に 2 つの論理ボリュームが自動的に作成された RHEL 8 システムのクリーンインストールの Web コンソールビューを示しています。
論理ボリュームの詳細は、以下のセクションを参照してください。
前提条件
RHEL 8 Web コンソールがインストールされている。
手順は、Installing and enabling the web console を参照してください。
-
cockpit-storaged
パッケージがシステムにインストールされている。 - 物理ドライブ、RAID デバイス、または論理ボリュームを作成できるその他のブロックデバイスの種類。
20.1. Web コンソールの論理ボリュームマネージャー
RHEL 8 Web コンソールは、LVM ボリュームグループおよび論理ボリュームを作成するグラフィカルインターフェイスを提供します。
ボリュームグループは、物理ボリュームと論理ボリュームとの間に層を作成します。これにより、論理ボリューム自体には影響を与えずに物理ボリュームを追加または削除できます。ボリュームグループは、そのグループに含まれるすべての物理ドライブの容量を、1 つのドライブの容量として表示します。
Web コンソールのボリュームグループに物理ドライブを参加させることができます。
論理ボリュームは、1 つの物理ドライブとして動作し、システムのボリュームグループに構築されます。
論理ボリュームの主な利点は以下のようになります。
- 物理ドライブに使用されるパーティションシステムよりも優れた柔軟性
- 複数の物理ドライブを 1 つのボリュームに接続する機能
- 再起動せずに、オンラインボリュームの容量を拡張 (拡大) または減少 (縮小) する可能性
- スナップショットを作成する機能
関連情報
20.2. Web コンソールでボリュームグループの作成
1 つ以上の物理ドライブまたは他のストレージデバイスからボリュームグループを作成します。
論理ボリュームは、ボリュームグループから作成されます。各ボリュームグループに、複数の論理ボリュームを追加できます。
詳細は、LVM ボリュームグループの管理 を参照してください。
前提条件
- ボリュームグループを作成する物理ドライブ、またはその他の種類のストレージデバイス。
手順
- RHEL 8 Web コンソールにログインします。
- Storage をクリックします。
Devices セクションで、ドロップダウンメニューから Create LVM2 volume group を選択します。
- 名前 フィールドに、グループの名前 (スペースなし) を入力します。
ボリュームグループを作成するために組み合わせるドライブを選択します。
期待したとおりにデバイスが表示されない場合があります。RHEL Web コンソールは、未使用のブロックデバイスのみを表示します。使用済みのデバイスとは、以下のようなデバイスを指します。
- ファイルシステムでフォーマットしたデバイス
- 別のボリュームグループの物理ボリューム
別のソフトウェアの RAID デバイスのメンバーになる物理ボリューム
デバイスが表示されない場合は、フォーマットして空にして、未使用にします。
- Create をクリックします。
Web コンソールは、Devices セクションにボリュームグループを追加します。グループをクリックすると、ボリュームグループから割り当てた論理ボリュームを作成できます。
20.3. Web コンソールで論理ボリュームの作成
論理ボリュームは物理ドライブとして動作します。RHEL 8 Web コンソールを使用して、ボリュームグループに LVM 論理ボリュームを作成できます。
前提条件
-
cockpit-storaged
パッケージがシステムにインストールされている。 - ボリュームグループが作成されている。詳細は Web コンソールでボリュームグループの作成 を参照してください。
手順
- RHEL 8 Web コンソールにログインします。
- Storage をクリックします。
- Devices セクションで、論理ボリュームを作成するボリュームグループをクリックします。
- Logical volumes セクションで、Create new Logical Volume をクリックします。
- 名前 フィールドに、新しい論理ボリュームの名前 (スペースなし) を入力します。
Purpose ドロップダウンメニューで、Block device for filesystems を選択します。
この設定では、ボリュームグループに含まれるすべてのドライブの容量の合計に等しい最大ボリュームサイズを持つ論理ボリュームを作成できます。
論理ボリュームのサイズを定義します。以下を検討してください。
- この論理ボリュームを使用するシステムにどのぐらいの容量が必要か
- 作成する論理ボリュームの数
領域をすべて使用する必要はありません。必要な場合は、後で論理ボリュームを大きくすることができます。
- Create をクリックします。
設定を確認するには、論理ボリュームをクリックして、詳細を確認してください。
この段階では、論理ボリュームが作成され、フォーマット処理でファイルシステムを作成してマウントする必要があります。
20.4. Web コンソールで論理ボリュームのフォーマット
論理ボリュームは物理ドライブとして動作します。論理ボリュームを使用するには、ファイルシステムでフォーマットする必要があります。
論理ボリュームをフォーマットすると、ボリュームのデータがすべて消去されます。
選択するファイルシステムにより、論理ボリュームに使用できる設定パラメーターが決まります。たとえば、XFS ファイルシステムの中には、ボリュームの縮小に対応しないものもあります。詳細は Web コンソールで論理ボリュームのサイズを変更 を参照してください。
次の手順では、論理ボリュームをフォーマットする手順を説明します。
前提条件
-
cockpit-storaged
パッケージがシステムにインストールされている。 - 論理ボリュームが作成されている。詳細は Creating logical volumes in the web console を参照してください。
手順
- RHEL 8 Web コンソールにログインします。
- Storage をクリックします。
- Devices セクションで、論理ボリュームが配置されているボリュームグループをクリックします。
Devices セクションで、Format をクリックします。
- Name フィールドに、ファイルシステムの名前を入力します。
Type ドロップダウンメニューで、ファイルシステムを選択します。
XFS ファイルシステムは大規模な論理ボリュームをサポートし、オンラインの物理ドライブを停止せずに、既存のファイルシステムの拡大および縮小を行うことができます。別のストレージの使用を希望しない場合は、このファイルシステムを選択したままにしてください。
XFS は、XFS ファイルシステムでフォーマットしたボリュームサイズを縮小することには対応していません。
ext4 ファイルシステムは以下に対応します。
- 論理ボリューム
- オンラインの物理ドライブを停止せずに切り替え
- ファイルシステムの拡張
- ファイルシステムの縮小
LUKS (Linux Unified Key Setup) 暗号を使用したバージョンも選択できます。パスフレーズを使用してボリュームの暗号化を行えます。
Overwrite オプションを選択します。
- 既存のデータを上書きしない - RHEL Web コンソールは、ディスクヘッダーのみを書き換えます。このオプションの利点は、フォーマットの速度です。
- 既存のデータをゼロで上書きする - RHEL Web コンソールは、ディスク全体をゼロで書き直します。このプログラムはディスク全体を調べるため、このオプションを使用すると遅くなります。ディスクにデータが含まれていて、上書きする必要がある場合は、このオプションを使用します。
マウントポイント フィールドに、マウントパスを追加します。
Format をクリックします。
ボリュームのサイズや、選択するオプションによって、フォーマットに数分かかることがあります。
フォーマットが完了したら、ファイルシステム タブで、フォーマットした論理ボリュームの詳細を表示できます。
- 論理ボリュームを使用するには、Mount をクリックします。
この時点で、システムは、マウントされてフォーマットされた論理ボリュームを使用します。
20.5. Web コンソールで論理ボリュームのサイズを変更
RHEL 8 Web コンソールで論理ボリュームを拡張または縮小する方法を説明します。
論理ボリュームのサイズを変更できるかどうかは、使用しているファイルシステムの種類に依存します。ほとんどのファイルシステムは、ボリュームをオンライン (停止) せずに拡張 (拡大) できます。
論理ボリュームに、縮小に対応するファイルシステムが含まれる場合は、論理ボリュームのサイズを縮小することもできます。これは、たとえば、ext3 または ext4 のファイルシステムでも利用できます。
GFS2 または XFS のファイルシステムを含むボリュームを減らすことはできません。
前提条件
- 論理ボリュームのサイズ変更に対応するファイルシステムを含む既存の論理ボリューム。
手順
次の手順は、ボリュームをオフラインにすることなく、論理ボリュームを大きくする手順を説明します。
- RHEL Web コンソールにログインします。
- Storage をクリックします。
- Devices セクションで、論理ボリュームが配置されているボリュームグループをクリックします。
- Logical volumes ボリュームセクションで、logical volume をクリックします。
Volume タブで、Grow をクリックします。
Grow logical volume ダイアログボックスで、ボリュームサイズを調整します。
- Grow をクリックします。
LVM は、システムを停止せずに、論理ボリュームを拡大します。
20.6. 関連情報
第21章 Web コンソールでシン論理ボリュームの設定
シンプロビジョニングの論理ボリュームを使用すると、実際に論理ボリュームに含まれている容量よりも、指定したアプリケーションやサーバーにより多くの領域を割り当てることができます。
詳細は、シンリープロビジョニングされたスナップショットボリュームの作成 を参照してください。
以下のセクションでは、次のことを説明します。
前提条件
RHEL 8 Web コンソールがインストールされている。
詳細は Web コンソールのインストール を参照してください。
-
cockpit-storaged
パッケージがシステムにインストールされている。 - ボリュームグループを作成する物理ドライブ、またはその他の種類のストレージデバイス。
21.1. Web コンソールでシン論理ボリュームにプールを作成
プロビジョニングされたボリューム用のプールを作成します。
前提条件
手順
- RHEL 8 Web コンソールにログインします。
- Storage をクリックします。
- シンボリュームを作成するボリュームグループをクリックします。
- 新規論理ボリュームの作成 をクリックします。
- 名前 フィールドに、シンボリュームの新しいプールの名前 (スペースなし) を入力します。
- 目的 ドロップダウンメニューで、シンプロビジョニングされたボリューム用プール を選択します。この設定により、シンボリュームを作成できます。
シンボリュームのプールのサイズを定義します。以下を検討してください。
- このプールで必要なシンボリュームの数
- 各シンボリュームの予想サイズ
領域をすべて使用する必要はありません。必要な場合は、後でプールを大きくできます。
Create をクリックします。
シンボリューム用のプールが作成され、シンボリュームを作成できます。
21.2. Web コンソールで論理ボリュームの作成
プールにシン論理ボリュームを作成します。複数のシンボリュームを追加でき、各シンボリュームは、シンボリュームのプールと同じ大きさにできます。
シンボリュームを使用する場合は、論理ボリュームの物理的な空き容量を定期的に確認する必要があります。
前提条件
シンボリュームのプールを作成している。
詳細は、Web コンソールでシン論理ボリュームにプールを作成 を参照してください。
手順
- RHEL 8 Web コンソールにログインします。
- Storage をクリックします。
- シンボリュームを作成するボリュームグループをクリックします。
- 必要なプールをクリックします。
- シンボリュームの作成 をクリックします。
- シンボリュームの作成 ダイアログボックスで、シンボリュームの名前 (スペースなし) を入力します。
- シンボリュームのサイズを定義します。
- Create をクリックします。
この段階で、シン論理ボリュームが作成されているため、それをフォーマットする必要があります。
21.3. Web コンソールで論理ボリュームのフォーマット
論理ボリュームは物理ドライブとして動作します。論理ボリュームを使用するには、ファイルシステムでフォーマットする必要があります。
論理ボリュームをフォーマットすると、ボリュームのデータがすべて消去されます。
選択するファイルシステムにより、論理ボリュームに使用できる設定パラメーターが決まります。たとえば、XFS ファイルシステムの中には、ボリュームの縮小に対応しないものもあります。詳細は Web コンソールで論理ボリュームのサイズを変更 を参照してください。
次の手順では、論理ボリュームをフォーマットする手順を説明します。
前提条件
-
cockpit-storaged
パッケージがシステムにインストールされている。 - 論理ボリュームが作成されている。詳細は Creating logical volumes in the web console を参照してください。
手順
- RHEL 8 Web コンソールにログインします。
- Storage をクリックします。
- Devices セクションで、論理ボリュームが配置されているボリュームグループをクリックします。
Devices セクションで、Format をクリックします。
- Name フィールドに、ファイルシステムの名前を入力します。
Type ドロップダウンメニューで、ファイルシステムを選択します。
XFS ファイルシステムは大規模な論理ボリュームをサポートし、オンラインの物理ドライブを停止せずに、既存のファイルシステムの拡大および縮小を行うことができます。別のストレージの使用を希望しない場合は、このファイルシステムを選択したままにしてください。
XFS は、XFS ファイルシステムでフォーマットしたボリュームサイズを縮小することには対応していません。
ext4 ファイルシステムは以下に対応します。
- 論理ボリューム
- オンラインの物理ドライブを停止せずに切り替え
- ファイルシステムの拡張
- ファイルシステムの縮小
LUKS (Linux Unified Key Setup) 暗号を使用したバージョンも選択できます。パスフレーズを使用してボリュームの暗号化を行えます。
Overwrite オプションを選択します。
- 既存のデータを上書きしない - RHEL Web コンソールは、ディスクヘッダーのみを書き換えます。このオプションの利点は、フォーマットの速度です。
- 既存のデータをゼロで上書きする - RHEL Web コンソールは、ディスク全体をゼロで書き直します。このプログラムはディスク全体を調べるため、このオプションを使用すると遅くなります。ディスクにデータが含まれていて、上書きする必要がある場合は、このオプションを使用します。
マウントポイント フィールドに、マウントパスを追加します。
Format をクリックします。
ボリュームのサイズや、選択するオプションによって、フォーマットに数分かかることがあります。
フォーマットが完了したら、ファイルシステム タブで、フォーマットした論理ボリュームの詳細を表示できます。
- 論理ボリュームを使用するには、Mount をクリックします。
この時点で、システムは、マウントされてフォーマットされた論理ボリュームを使用します。
第22章 Web コンソールでボリュームグループの物理ドライブを変更
RHEL 8 Web コンソールを使用して、ボリュームグループのドライブを変更します。
物理ドライブを変更するには、次の手順に従ってください。
前提条件
RHEL 8 Web コンソールがインストールされている。
詳細は、Web コンソールのインストール を参照してください。
-
cockpit-storaged
パッケージがシステムにインストールされている。 - 古いまたは不具合がある物理ドライブを交換するための新しい物理ドライブ。
- この設定には、物理ドライブがボリュームグループに編成されていることが必要になります。
22.1. Web コンソールでボリュームグループに物理デバイスを追加
RHEL 8 Web コンソールを使用すると、既存の論理ボリュームに新しい物理ドライブ、またはその他のタイプのボリュームを追加できます。
前提条件
- ボリュームグループが作成されている。
- マシンに新しいドライブが接続されている。
手順
- RHEL 8 のコンソールにログインします。
- Storage をクリックします。
- ボリュームグループ ボックスで、物理ボリュームを追加するボリュームグループをクリックします。
- 物理ボリューム ボックスで、+ ボタンをクリックします。
- ディスクの追加 ダイアログボックスでドライブを選択し、追加 をクリックします。
これにより、RHEL 8 Web コンソールは物理ボリュームを追加します。
検証手順
- これは、物理ボリューム セクションで表示でき、論理ボリュームが、ドライブへの書き込みをすぐに開始できます。
22.2. Web コンソールでボリュームグループから物理ドライブを削除
論理ボリュームに複数の物理ドライブが含まれている場合は、オンラインの物理ドライブのいずれかを削除できます。
システムは、削除時に、削除するドライブから全てのデータを自動的に別のデバイスに移動します。これには少し時間がかかる場合があります。
Web コンソールは、物理ドライブを削除するための十分な容量があるかどうかを検証します。
前提条件
- 複数の物理ドライブが接続するボリュームグループ
手順
次の手順は、RHEL 8 Web コンソールで、システムを停止させずにボリュームグループからドライブを削除する方法を説明します。
- RHEL 8 Web コンソールにログインします。
- Storage をクリックします。
- 論理ボリュームがあるボリュームグループをクリックします。
- 物理ボリューム セクションで、推奨されるボリュームを見つけます。
- ボタンをクリックします。
ディスクを削除するための十分な容量が論理ボリュームにあるかどうかを RHEL 8 Web コンソールが検証します。容量が十分ではない場合は、ディスクを削除できず、最初に別のディスクを追加する必要があります。詳細は Web コンソールでボリュームグループに物理デバイスを追加 を参照してください。
これにより、RHEL 8 Web コンソールは、システムを停止せずに作成した論理ボリュームから物理ボリュームを削除します。
第23章 Web コンソールで Virtual Data Optimizer ボリュームの管理
RHEL 8 Web コンソールを使用して、VDO (Virtual Data Optimizer) を設定します。
以下の方法について説明します。
- VDO ボリュームの作成
- VDO ボリュームのフォーマット
- VDO ボリュームの拡張
前提条件
- RHEL 8 Web コンソールをインストールし、アクセスできる。詳細は Web コンソールのインストール を参照してください。
-
cockpit-storaged
パッケージがシステムにインストールされている。
23.1. Web コンソールでの VDO ボリューム
Red Hat Enterprise Linux 8 では、Virtual Data Optimizer (VDO) がサポートされます。
VDO は、以下を組み合わせたブロック仮想化テクノロジーです。
- 圧縮
- 詳細は、Enabling or disabling compression in VDO を参照してください。
- 重複排除
- 詳細は、Enabling or disabling compression in VDO を参照してください。
- シンプロビジョニング
- 詳細は、シンプロビジョニングボリューム (シンボリューム) の作成と管理 を参照してください。
このような技術を使用して、VDO は、以下を行います。
- ストレージ領域をインラインに保存します。
- ファイルを圧縮します。
- 重複を排除します。
- 物理ストレージまたは論理ストレージが提供するサイズよりも多くの仮想領域を割り当てることができます。
- 拡大して仮想ストレージを拡張できます。
VDO は、さまざまなタイプのストレージに作成できます。RHEL 8 Web コンソールでは、以下に VDO を設定できます。
LVM
注記シンプロビジョニングされたボリュームに VDO を設定することはできません。
- 物理ボリューム
- ソフトウェア RAID
ストレージスタックにおける VDO の配置の詳細は、System Requirements を参照してください。
関連情報
- VDO の詳細は、Deduplicating and compressing storage を参照してください。
23.2. Web コンソールで VDO ボリュームの作成
RHEL Web コンソールで VDO ボリュームを作成します。
前提条件
- VDO の作成元となる物理ドライブ、LVM、または RAID
手順
RHEL 8 Web コンソールにログインします。
詳細は、Web コンソールへのログイン を参照してください。
- Storage をクリックします。
- VDO Devices ボックスの + ボタンをクリックします。
- 名前 フィールドに、VDO ボリュームの名前 (スペースなし) を入力します。
- 使用するドライブを選択します。
論理サイズ バーに、VDO ボリュームのサイズを設定します。10 回以上拡張できますが、VDO ボリュームを作成する目的を検討してください。
- アクティブな仮想マシンまたはコンテナーストレージの場合は、使用する論理のサイズを、ボリュームの物理サイズの 10 倍になるようにします。
- オブジェクトストレージの場合は、使用する論理のサイズを、ボリュームの物理サイズの 3 倍になるようにします。
詳細は、Deploying VDO を参照してください。
インデックスメモリー バーで、VDO ボリュームにメモリーを割り当てます。
VDO システム要件の詳細は、System Requirements を参照してください。
圧縮 オプションを選択します。このオプションを使用すると、さまざまなファイル形式を効率的に減らすことができます。
詳細は、Enabling or disabling compression in VDO を参照してください。
重複排除 オプションを選択します。
このオプションは、重複ブロックのコピーを削除して、ストレージリソースが使用されなくなるようにします。詳細は、Enabling or disabling compression in VDO を参照してください。
- 必要に応じて、512 バイトのブロックサイズを必要とするアプリケーションで VDO ボリュームを使用する場合は、512 バイトのエミュレーションを使用 を選択します。これにより、VDO ボリュームのパフォーマンスは低下しますが、その必要はほとんどありません。不明な場合は、無効にします。
- Create をクリックします。
検証手順
- ストレージ セクションに新しい VDO ボリュームが表示されることを確認します。そして、ファイルシステムでフォーマットすることができます。
23.3. Web コンソールで VDO ボリュームのフォーマット
VDO ボリュームは物理ドライブとして動作します。論理ボリュームを使用するには、ファイルシステムでフォーマットする必要があります。
VDO をフォーマットすると、ボリュームのデータがすべて消去されます。
次の手順では、VDO ボリュームをフォーマットする手順を説明します。
前提条件
- VDO ボリュームが作成されている。詳細は、Creating VDO volumes in the web console を参照してください。
手順
- RHEL 8 Web コンソールにログインします。詳細は、Web コンソールへのログイン を参照してください。
- Storage をクリックします。
- VDO ボリュームをクリックします。
- 認識されないデータ タブをクリックします。
- Format をクリックします。
削除 ドロップダウンメニューから、以下を選択します。
- 既存データを上書きしない
- RHEL Web コンソールは、ディスクヘッダーのみを書き換えます。このオプションの利点は、フォーマットの速度です。
- 既存のデータをゼロで上書きする
- RHEL Web コンソールは、ディスク全体をゼロで書き直します。このプログラムはディスク全体を調べるため、このオプションを使用すると遅くなります。ディスクにデータが含まれていて、書き直す必要がある場合は、このオプションを使用します。
種類 ドロップダウンメニューで、ファイルシステムを選択します。
XFS ファイルシステムは大規模な論理ボリュームをサポートし、オンラインの物理ドライブを停止せずに、既存のファイルシステムの拡大および縮小を行うことができます。別のストレージの使用を希望しない場合は、このファイルシステムを選択したままにしてください。
XFS は、ボリュームの縮小に対応していません。したがって、XFS でフォーマットしたボリュームを縮小することはできません。
- ext4 ファイルシステムは論理ボリュームをサポートし、オンラインの物理ドライブを停止せずに、既存のファイルシステムの拡大および縮小を行うことができます。
LUKS (Linux Unified Key Setup) 暗号を使用したバージョンも選択できます。パスフレーズを使用してボリュームの暗号化を行えます。
- 名前 フィールドに、論理ボリューム名を入力します。
マウント ドロップダウンメニューで、カスタム を選択します。
デフォルト オプションでは、システムを次回起動したときにファイルシステムがマウントされているとは限りません。
- マウントポイント フィールドに、マウントパスを追加します。
- 起動時にマウント を選択します。
Format をクリックします。
フォーマットに使用されるオプションや、ボリュームのサイズによって、フォーマットに数分かかることがあります。
成功すると、ファイルシステム タブに、フォーマットされた VDO ボリュームの詳細が表示されます。
- VDO ボリュームを使用するには、マウント をクリックします。
この時点で、システムが、マウントされてフォーマットされた VDO ボリュームを使用します。
23.4. Web コンソールで VDO ボリュームの拡張
RHEL 8 Web コンソールで VDO ボリュームを拡張します。
前提条件
-
cockpit-storaged
パッケージがシステムにインストールされている。 - VDO ボリュームが作成されている。
手順
RHEL 8 Web コンソールにログインします。
詳細は、Web コンソールへのログイン を参照してください。
- Storage をクリックします。
- VDO デバイス で、VDO ボリュームをクリックします。
- VDO ボリュームの詳細で、Grow ボタンをクリックします。
- VDO の論理サイズを増加 ダイアログボックスで、VDO ボリュームの論理サイズを増やします。
- 増加 をクリックします。
検証手順
- 新しいサイズの VDO ボリュームの詳細を確認し、変更が正常に行われたことを確認します。
第24章 RHEL Web コンソールで LUKS パスワードを使用したデータのロック
Web コンソールの ストレージ タブでは、作成、ロック、ロック解除、サイズ変更、または LUKS (Linux Unified Key Setup) バージョン 2 形式を使用した暗号化デバイスを設定できます。
この新しいバージョンの LUKS は、以下を提供します。
- より柔軟なロック解除ポリシー
- より強力な暗号化
- 今後の変更との互換性の高さ
前提条件
- RHEL 8 Web コンソールがインストールされている。詳細は Web コンソールのインストール を参照してください。
-
cockpit-storaged
パッケージがシステムにインストールされている。
24.1. LUKS ディスクの暗号化
LUKS (Linux Unified Key Setup-on-disk-format) は、ブロックデバイスを暗号化でき、暗号化したデバイスの管理を簡素化するツールセットを提供します。LUKS を使用すれば、複数のユーザー鍵が、パーティションのバルク暗号化に使用されるマスター鍵を複号できるようになります。
RHEL は、LUKS を使用してブロックデバイスの暗号化を行います。デフォルトではインストール時に、ブロックデバイスを暗号化するオプションが指定されていません。ディスクを暗号化するオプションを選択すると、コンピューターを起動するたびにパスフレーズの入力が求められます。このパスフレーズは、パーティションの複号に用いられるバルク暗号化鍵の「ロックを解除」します。デフォルトのパーティションテーブルの変更を選択すると、暗号化するパーティションを選択できます。この設定は、パーティションテーブル設定で行われます。
LUKS の機能
- LUKS は、ブロックデバイス全体を暗号化するため、脱着可能なストレージメディアやノート PC のディスクドライブといった、モバイルデバイスのコンテンツを保護するのに適しています。
- 暗号化されたブロックデバイスの基本的な内容は任意であり、スワップデバイスの暗号化に役立ちます。また、とりわけデータストレージ用にフォーマットしたブロックデバイスを使用する特定のデータベースに関しても有用です。
- LUKS は、既存のデバイスマッパーのカーネルサブシステムを使用します。
- LUKS はパスフレーズのセキュリティーを強化し、辞書攻撃から保護します。
- LUKS デバイスには複数のキースロットが含まれ、ユーザーはこれを使用してバックアップキーやパスフレーズを追加できます。
LUKS が 行わない こと
- LUKS などのディスク暗号化ソリューションは、システムの停止時にしかデータを保護しません。システムの電源がオンになり、LUKS がディスクを復号すると、そのディスクのファイルは、通常、そのファイルにアクセスできるすべてのユーザーが使用できます。
- LUKS は、多くのユーザーが、同じデバイスにアクセスする鍵をそれぞれ所有することが必要となるシナリオには適していません。LUKS1 形式は鍵スロットを 8 個提供し、LUKS2 形式は鍵スロットを最大 32 個提供します。
- LUKS は、ファイルレベルの暗号化を必要とするアプリケーションには適していません。
暗号化
LUKS に使用されるデフォルトの暗号は aes-xts-plain64
です。LUKS のデフォルトの鍵サイズは 512 ビットです。Anaconda (XTS モード) を使用した LUKS のデフォルトの鍵サイズは 512 ビットです。利用可能な暗号は以下のとおりです。
- AES: Advanced Encryption Standard
- Twofish (128 ビットブロック暗号)
- Serpent
24.2. Web コンソールで LUKS パスフレーズの設定
システムの既存の論理ボリュームに暗号化を追加する場合は、ボリュームをフォーマットすることでしか実行できません。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は、Web コンソールのインストール を参照してください。
-
cockpit-storaged
パッケージがシステムにインストールされている。 - 暗号化なしで、既存の論理ボリュームを利用できます。
手順
RHEL 8 Web コンソールにログインします。
詳細は、Web コンソールへのログイン を参照してください。
- Storage をクリックします。
- フォーマットするストレージデバイスを選択します。
- メニューアイコンをクリックし、フォーマット オプションを選択します。
- データの暗号化 を選択して、ストレージデバイスの暗号化をアクティベートします。
- 新しいパスフレーズを設定し、確認します。
- (必要に応じて) さらなる暗号化オプションを変更します。
- フォーマット設定の最終処理
- Format をクリックします。
24.3. Web コンソールで LUKS パスフレーズの変更
Web コンソールで、暗号化されたディスクまたはパーティションで LUKS パスフレーズを変更します。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は、Web コンソールのインストール を参照してください。
-
cockpit-storaged
パッケージがシステムにインストールされている。
手順
- Web コンソールにログインします。詳細は、Web コンソールへのログイン を参照してください。
- Storage をクリックします。
- ドライブテーブルで、暗号化されたデータがあるディスクを選択します。
- コンテンツ で、暗号化されたパーティションを選択します。
- 暗号化 をクリックします。
- キー テーブルで、ペンアイコンをクリックします。
パスフレーズの変更 ダイアログウィンドウで、以下を行います。
- 現在のパスフレーズを入力します。
- 新しいパスフレーズを入力します。
- 新しいパスフレーズを確認します。
- 保存 をクリックします。
第25章 Web コンソールで Tang 鍵を使用した自動アンロックの設定
Tang サーバーが提供する鍵を使用して、LUKS で暗号化したストレージデバイスの自動ロック解除を設定します。
前提条件
RHEL 8 Web コンソールがインストールされている。
詳細は、Web コンソールのインストール を参照してください。
-
cockpit-storaged
パッケージがシステムにインストールされている。 -
cockpit.socket
サービスがポート 9090 で実行されている。 -
clevis
パッケージ、tang
パッケージ、およびclevis-dracut
パッケージがインストールされている。 - Tang サーバーが実行している。
手順
Web ブラウザーに以下のアドレスを入力して、RHEL Web コンソールを開きます。
https://localhost:9090
リモートシステムに接続する際に、localhost の部分をリモートサーバーのホスト名または IP アドレスに置き換えます。
- 認証情報を指定して、ストレージ をクリックします。> をクリックして、Tang サーバーを使用してロックを解除する暗号化されたデバイスの詳細を展開し、Encryption をクリックします。
Keys セクションの + をクリックして Tang キーを追加します。
Tang サーバーのアドレスと、LUKS で暗号化したデバイスのロックを解除するパスワードを指定します。Add をクリックして確定します。
以下のダイアログウインドウは、鍵ハッシュが一致することを確認するコマンドを提供します。
Tang サーバーのターミナルで、
tang-show-keys
コマンドを使用して、比較のためにキーハッシュを表示します。この例では、Tang サーバーはポート 7500 で実行されています。# tang-show-keys 7500 fM-EwYeiTxS66X3s1UAywsGKGnxnpll8ig0KOQmr9CM
Web コンソールと前述のコマンドの出力のキーハッシュが同じ場合は、Trust key をクリックします。
初期ブートシステムでディスクバインディングを処理できるようにするには、左側のナビゲーションバーの下部にある Terminal をクリックし、次のコマンドを入力します。
# yum install clevis-dracut # grubby --update-kernel=ALL --args="rd.neednet=1" # dracut -fv --regenerate-all
検証
新規に追加された Tang キーが
Keyserver
タイプの Keys セクションに一覧表示されていることを確認します。バインディングが初期ブートで使用できることを確認します。次に例を示します。
# lsinitrd | grep clevis clevis clevis-pin-sss clevis-pin-tang clevis-pin-tpm2 -rwxr-xr-x 1 root root 1600 Feb 11 16:30 usr/bin/clevis -rwxr-xr-x 1 root root 1654 Feb 11 16:30 usr/bin/clevis-decrypt ... -rwxr-xr-x 2 root root 45 Feb 11 16:30 usr/lib/dracut/hooks/initqueue/settled/60-clevis-hook.sh -rwxr-xr-x 1 root root 2257 Feb 11 16:30 usr/libexec/clevis-luks-askpass
第26章 Web コンソールでソフトウェア更新の管理
RHEL 8 Web コンソールでソフトウェア更新を管理する方法と、その更新を自動化する方法。
Web コンソールのソフトウェア更新モジュールは、yum
ユーティリティーに基づいています。yum
を使用したソフトウェアの更新の詳細は、Updating software packages セクションを参照してください。
26.1. Web コンソールでの手動ソフトウェア更新の管理
本セクションでは、Web コンソールを使用してソフトウェアを手動で更新する方法を説明します。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は、Web コンソールのインストール を参照してください。
手順
RHEL 8 Web コンソールにログインします。
詳細は、Web コンソールへのログイン を参照してください。
ソフトウェアの更新 をクリックします。
最後のチェックが行われてから 24 時間以上経っている場合は、利用可能な更新の一覧が自動的に更新されます。更新を発生させるには、Check for Updates ボタンをクリックします。
更新を適用します。更新の実行中に更新ログを見ることができます。
- 利用可能な更新をすべてインストールするには、Install all updates ボタンをクリックします。
- セキュリティー更新プログラムがある場合は、Install Security Updates ボタンをクリックすると個別にインストールできます。
- 利用可能な kpatch 更新がある場合は、Install kpatch updates ボタンをクリックして、それらを個別にインストールできます。
オプション: システムを自動的に再起動するために、Reboot after completion スイッチをオンにすることができます。
この手順を実行する場合は、この手順の残りの手順をスキップできます。
システムが更新を適用すると、システムを再起動するように勧められます。
個別には再起動しない新しいカーネルまたはシステムサービスが更新に含まれている場合は、特に推奨されます。
無視 をクリックして再起動をキャンセルするか、今すぐ再起動 をクリックしてシステムの再起動を続行します。
システムの再起動後、Web コンソールにログインし、ソフトウェアの更新 ページに移動して、更新が成功したことを確認します。
26.2. Web コンソールで自動ソフトウェア更新の管理
Web コンソールでは、すべての更新またはセキュリティー更新の適用を選択し、自動更新の周期とタイミングを管理することもできます。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は、Web コンソールのインストール を参照してください。
手順
- RHEL 8 Web コンソールにログインします。詳細は、Web コンソールへのログイン を参照してください。
- ソフトウェアの更新 をクリックします。
- 設定 表で、編集 ボタンをクリックします。
- 自動更新の種類を一つ選びます。セキュリティー更新プログラムのみ、または すべての更新 プログラムから選択することができます。
- 自動更新の日付を変更するには、ドロップダウンメニューの 毎日 をクリックして、特定の日付を選択します。
- 自動更新の時刻を変更するには、6:00 のフィールドをクリックして、特定の時刻を選択するか、入力します。
- ソフトウェアの自動更新を無効にする場合は、更新なし を選択してください。
26.3. Web コンソールでソフトウェア更新適用後のオンデマンド再起動の管理
インテリジェント再起動機能は、ソフトウェア更新後にシステム全体を再起動する必要があるのか、それとも特定のサービスだけを再起動すればよいのかをユーザーに通知する機能です。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は、Web コンソールのインストール を参照してください。
手順
- RHEL 8 Web コンソールにログインします。詳細は、Web コンソールへのログイン を参照してください。
- ソフトウェアの更新 をクリックします。
- システムの更新を適用します。
- 更新が成功したら、Reboot system…、Restart services…、または Ignore をクリックします。
無視することにした場合には、次のいずれかの方法で再起動またはリブートメニューに戻ることができます。
リブート:
- Software Updates ページの Status フィールドにある Reboot system ボタンをクリックします。
- (オプション) ログインしているユーザーへのメッセージを書きます。
- Delay ドロップダウンメニューから、delay を選択します。
- Reboot をクリックします。
サービスの再起動:
Software Updates ページの Status フィールドにある Restart services… ボタンをクリックします。
再起動が必要なすべてのサービスのリストが表示されます。
サービスの再起動 をクリックします。
選択した内容に応じて、システムを再起動するか、サービスを再起動します。
26.4. Web コンソールでのカーネルライブパッチを使用したパッチ適用
この Web コンソールでは、kpatch
フレームワークを使用して再起動を強制せずに、カーネルセキュリティーパッチを適用できます。以下の手順で、任意のパッチを設定する方法を説明します。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は、Web コンソールのインストール を参照してください。
手順
- Web コンソールに管理者権限でログインする。詳細は、Web コンソールへのログイン を参照してください。
- ソフトウェアの更新 をクリックします。
カーネルパッチの設定状況を確認します。
パッチがインストールされていない場合は、インストール をクリックします。
カーネルパッチを有効にするには、Enable をクリックします。
- カーネルパッチを適用する場合はチェックを入れます。
現在および今後のカーネルにパッチを適用するか、現在のカーネルにのみ適用するかを選択します。今後のカーネルに対するパッチの適用を選択した場合に、システムは今後リリースされるカーネルに対してもパッチを適用します。
- Apply をクリックします。
検証
ソフトウェア更新 の 設定 の表で、カーネルパッチが 有効 になっていることを確認します。
関連情報
第27章 Web コンソールでサブスクリプションの管理
Web コンソールから Red Hat Enterprise Linux 8 のサブスクリプションを管理します。
Red Hat Enterprise Linux のサブスクリプションを取得するには、Red Hat カスタマーポータル またはアクティベーションキーが必要です。
本章の内容は次のとおりです。
- RHEL 8 Web コンソールを使用したサブスクリプション管理
- Red Hat ユーザー名およびパスワードを使用して、Web コンソールでシステムのサブスクリプション登録
- アクティベーションキーを使用してサブスクリプションを登録
前提条件
- サブスクリプションを購入している。
- サブスクリプションの対象となっているシステムが、インターネットに接続している (Web コンソールは Red Hat カスタマーポータルと通信する必要があるため)。
27.1. Web コンソールでサブスクリプションの管理
RHEL 8 Web コンソールは、ローカルシステムにインストールされている Red Hat Subscription Manager を使用するインターフェイスを提供します。
Subscription Manager は Red Hat カスタマーポータルに接続し、利用可能な次のものをすべて確認します。
- アクティブなサブスクリプション
- 期限が切れたサブスクリプション
- 更新されたサブスクリプション
Red Hat カスタマーポータルでサブスクリプションを更新したり、別のサブスクリプションを入手したい場合に、Subscription Manager のデータを手動で更新する必要はありません。サブスクリプションマネージャーは、Red Hat カスタマーポータルと自動的に同期します。
27.2. Web コンソールで認証情報を使用してサブスクリプションを登録
RHEL Web コンソールを使用して、新しくインストールされた Red Hat Enterprise Linux をアカウント認証情報で登録するには、次の手順を使用します。
前提条件
Red Hat カスタマーポータルに有効なユーザーアカウントがある。
Red Hat アカウントの作成 ページを参照してください。
- RHEL システムに使用するアクティブなサブスクリプションがある。
手順
- RHEL Web コンソールにログインします。詳細は、Web コンソールへのログイン を参照してください。
概要 ページの ヘルス ファイル内の 未登録 の警告をクリックするか、メインメニューの サブスクリプション をクリックして、サブスクリプション情報のあるページに移動します。
.
Overview フィールドの Register をクリックします。
システムの登録 ダイアログボックスで、アカウント情報での登録を選択します。
- ユーザー名を入力します。
- パスワードを入力します。
オプションで、組織名または ID を入力します。
アカウントが Red Hat カスタマーポータルで複数の組織に所属している場合には、組織名または組織 ID を追加する必要があります。組織 ID は、Red Hat の連絡先に問い合わせてください。
- Red Hat Insights にシステムを接続しない場合は、Insights チェックボックスのチェックを外してください。
- 登録 ボタンをクリックします。
この時点で、Red Hat Enterprise Linux システムが正常に登録されました。
27.3. Web コンソールでアクティベーションキーを使用してサブスクリプションを登録
RHEL Web コンソールを使用して、新しくインストールされた Red Hat Enterprise Linux をアクティベーションキーで登録するには、次の手順を使用します。
前提条件
- ポータルにユーザーアカウントがない場合は、ベンダーからアクティベーションキーが提供されます。
手順
- RHEL Web コンソールにログインします。詳細は、Web コンソールへのログイン を参照してください。
概要 ページの ヘルス ファイル内の 未登録 の警告をクリックするか、メインメニューの サブスクリプション をクリックして、サブスクリプション情報のあるページに移動します。
.
Overview フィールドの Register をクリックします。
システムの登録 ダイアログボックスで、アクティベーションキーを使用した登録を選択します。
- キーを入力します。
組織名または ID を入力します。
組織 ID の取得は、Red Hat にお問い合わせください。
- Red Hat Insights にシステムを接続しない場合は、Insights チェックボックスのチェックを外してください。
- 登録 ボタンをクリックします。
この時点で、Red Hat Enterprise Linux システムが正常に登録されました。
第28章 Web コンソールで kdump の設定
RHEL 8 Web コンソールで kdump
設定を指定してテストします。
Web コンソールは、RHEL 8 のデフォルトインストールの一部で、システムの起動時に kdump
を有効または無効にします。さらには、kdump
に予約メモリーを設定したり、非圧縮または圧縮の形式で vmcore の保存場所を選択したりすることもできます。
28.1. Web コンソールで kdump メモリーの使用量およびターゲットの場所を設定
以下の手順では、RHEL Web コンソールインターフェイスの Kernel Dump
タブを使用して、kdump
カーネルに予約されているメモリー容量を設定する方法を示しています。この手順では、vmcore
ダンプファイルのターゲットの場所を指定する方法と、設定をテストする方法を説明します。
手順
-
Kernel Dump
タブを開き、kdump
サービスを開始します。 -
コマンドラインで
kdump
のメモリー使用量を設定します。 クラッシュダンプの場所
オプションの横にあるリンクをクリックします。ドロップダウンメニューから
ローカルファイルシステム
を選択し、ダンプを保存するディレクトリーを指定します。または、ドロップダウンから
SSH 経由のリモート
オプションを選択し、SSH プロトコルを使用して、vmcore をリモートマシンに送信します。Server
、ssh key
、Directory
の各フィールドに、リモートマシンのアドレス、ssh キーの場所、およびターゲットディレクトリーを入力します。または、ドロップダウンから
NFS 経由のリモート
オプションを選択し、マウント
フィールドに入力して、NFS プロトコルを使用して vmcore をリモートマシンに送信することもできます。注記圧縮
チェックボックスにチェックマークを入れ、vmcore ファイルのサイズを小さくします。
カーネルをクラッシュして、設定をテストします。
-
Test configuration
をクリックします。 Test kdump settings フィールドで、
Crash system
をクリックします。警告この手順では、カーネルの実行を中断し、システムクラッシュやデータの損失が発生します。
-
28.2. 関連情報
第29章 Web コンソールでの仮想マシンの管理
RHEL 8 ホストのグラフィカルインターフェイスで仮想マシンを管理する場合は、RHEL 8 Web コンソールの Virtual Machines
ペインを使用できます。

29.1. Web コンソールで仮想マシンの管理の概要
RHEL 8 Web コンソールは、Web ベースのシステム管理インターフェイスです。Web コンソールは、その機能の 1 つとして、ホストシステムで仮想マシンをグラフィカルに表示してその仮想マシンの作成、アクセス、および設定を可能にします。
Web コンソールを使用して RHEL 8 で仮想マシンを管理するには、最初に、仮想化用の Web コンソールプラグイン をインストールする必要があります。
次のステップ
- Web コンソールで仮想マシンの管理を有効にする手順は、Setting up the web console to manage virtual machines を参照してください。
- Web コンソールで使用できる仮想マシン管理アクションの包括的な一覧は、Web コンソールで利用可能な仮想マシンの管理機能 を参照してください。
- Web コンソールでは使用できず、virt-manager アプリケーションで使用できる機能の一覧は、Differences between virtualization features in Virtual Machine Manager and the web console を参照してください。
29.2. 仮想マシンを管理するために Web コンソールを設定
RHEL 8 Web コンソールを使用して仮想マシンを管理できるようにするには、ホストに Web コンソールの仮想マシンプラグインをインストールする必要があります。
前提条件
Web コンソールがマシンにインストールされ、有効化さている。
# systemctl status cockpit.socket cockpit.socket - Cockpit Web Service Socket Loaded: loaded (/usr/lib/systemd/system/cockpit.socket [...]
このコマンドが、
Unit cockpit.socket could not be found
を返す場合は、Installing the web console のドキュメントに従って Web コンソール を有効にします。
手順
cockpit-machines
プラグインをインストールします。# yum install cockpit-machines
検証
-
ブラウザーに
https://localhost:9090
のアドレスを入力するなどして、Web コンソールにアクセスします。 - ログインします。
インストールに成功すると、仮想マシン が Web コンソールのサイドメニューに表示されます。
29.3. Web コンソールを使用した仮想マシンの名前の変更
仮想マシン (VM) の作成後、競合を回避するために VM の名前を変更するか、ユースケースに基づいて新しい一意の名前を割り当てることをお勧めします。RHEL Web コンソールを使用して VM の名前を変更できます。
前提条件
- Web コンソールの VM プラグインが システムにインストールされている。
- 仮想マシンがシャットダウンしていることを確認します。
手順
仮想マシン インターフェイスで、名前を変更する VM のメニューボタン ⋮ をクリックします。
仮想マシン操作を制御するためのドロップダウンメニューが表示されます。
Rename をクリックします。
VM の名前の変更ダイアログが表示されます。
- 新しい名前 フィールドに、VM の名前を入力します。
- Rename をクリックします。
検証
- 新しい VM 名が 仮想マシン インターフェイスに表示されるはずです。
29.4. Web コンソールで利用可能な仮想マシンの管理機能
RHEL 8 Web コンソールを使用すると、システム上の仮想マシンを管理する以下のアクションを実行できます。
表29.1 RHEL 8 Web コンソールで実行できる仮想マシンタスク
タスク | 詳細は、次を参照してください。 |
---|---|
仮想マシンを作成し、ゲストオペレーティングシステムでインストールします。 | |
仮想マシンを削除します。 | |
仮想マシンを起動、シャットダウンし、再起動します。 | Starting virtual machines using the web console および Shutting down and restarting virtual machines using the web console を参照してください。 |
さまざまなコンソールを使用して仮想マシンに接続し、操作します。 | |
仮想マシンに関するさまざまな情報を表示します。 | |
仮想マシンに割り当てられたホストメモリーを調整します。 | |
仮想マシンのネットワーク接続を管理します。 | |
ホストでの利用可能な仮想マシンストレージ管理および仮想ディスクを仮想マシンへの割り当て | |
仮想マシンの仮想 CPU 設定設定 | |
VM のライブマイグレーション | |
仮想マシンの名前変更 | |
ホストと VM の間でファイルを共有する | |
ホストデバイスの管理 |
29.5. 仮想マシンマネージャーと Web コンソールでの仮想化機能の相違点
仮想マシンマネージャー (virt-manager) は、RHEL 8 で対応していますが、非推奨になっています。後続の主要なリリースでは、Web コンソールがその代替となる予定です。したがって、GUI で仮想化を管理する場合は、Web コンソールを使用することが推奨されます。
ただし、RHEL 8 では、virt-manager またはコマンドラインでのみ実行可能な仮想マシン管理タスクがあります。次の表は、virt-manager で使用でき、RHEL 8.0 Web コンソールでは使用できない機能を示しています。
この機能は、RHEL 8 の後続のマイナーバージョンで利用可能な場合は、Web コンソールのサポートの列に、最小バージョンの RHEL 8 が表示されます。
表29.2 RHEL 8.0 の Web コンソールを使用して実行できない仮想マシンの管理タスク
タスク | Web コンソールでのサポートが導入されました。 | CLI を使用した代替方法 |
---|---|---|
ホストの起動時に起動する仮想マシンを設定 | RHEL 8.1 |
|
仮想マシンの一時停止 | RHEL 8.1 |
|
中断している仮想マシンの再開 | RHEL 8.1 |
|
ファイルシステムディレクトリーストレージプールの作成 | RHEL 8.1 |
|
NFS ストレージプールの作成 | RHEL 8.1 |
|
物理ディスクデバイスのストレージプールの作成 | RHEL 8.1 |
|
LVM ボリュームグループストレージプールの作成 | RHEL 8.1 |
|
パーティションベースのストレージプールの作成 | 現在利用不可 |
|
GlusterFS ベースのストレージプールの作成 | 現在利用不可 |
|
SCSI デバイスを使用した vHBA ベースのストレージプールの作成 | 現在利用不可 |
|
マルチパスベースのストレージプールの作成 | 現在利用不可 |
|
RBD ベースのストレージプールの作成 | 現在利用不可 |
|
ストレージボリュームの新規作成 | RHEL 8.1 |
|
新しい仮想ネットワークの追加 | RHEL 8.1 |
|
仮想ネットワークの削除 | RHEL 8.1 |
|
ホストマシンのインターフェイスから仮想マシンへのブリッジを作成 | 現在利用不可 |
|
スナップショットの作成 | 現在利用不可 |
|
スナップショットへの復帰 | 現在利用不可 |
|
スナップショットの削除 | 現在利用不可 |
|
仮想マシンのクローン作成 | RHEL 8.4 |
|
仮想マシンの別のホストマシンへの移行 | RHEL 8.5 |
|
ホストデバイスの仮想マシンへの割り当て | RHEL 8.5 |
|
仮想マシンからのホストデバイスの削除 | RHEL 8.5 |
|
第30章 Web コンソールでリモートシステムの管理
リモートシステムに接続し、RHEL 8 Web コンソールで管理します。
次の章で以下を説明します。
- 接続したシステムで最適なトポロジー
- リモートシステムを追加および削除する方法
- リモートシステム認証に SSH 鍵を使用する時、理由、および方法
-
スマートカードで認証されたユーザーがリモートホストに
SSH
接続してサービスにアクセスできるように Web コンソールクライアントを設定する方法。
前提条件
- リモートシステムで、SSH サービスが開いている。
30.1. Web コンソールのリモートシステムマネージャー
ネットワークでリモートシステムを管理する RHEL 8 Web コンソールを使用する場合は、接続したサーバーのトポロジーを考慮する必要があります。
最適なセキュリティーを確保するために、Red Hat では、次の接続設定が推奨されます。
- Web コンソールを使用して、システム 1 台を要塞ホストとして使用します。要塞ホストは、開いている HTTPS ポートを使用するシステムです。
- その他のすべてのシステムは SSH を介して通信します。
要塞ホストで Web インターフェイスを使用して、デフォルト設定でポート 22 を使用して、SSH プロトコルを介して他のすべてのシステムに到達できます。
30.2. Web コンソールへのリモートシステムの追加
ここでは、ユーザー名とパスワードを使って他のシステムと接続する際に役立つ情報について説明します。
前提条件
- 管理者権限で Web コンソールにログインしている。詳細は、Web コンソールへのログイン を参照してください。
手順
RHEL 8 の Web コンソールで、Overview ページの左上にある
username@hostname
をクリックします。ドロップダウンメニューで、新規ホストの追加 ボタンをクリックします。
- 新規ホストの追加 ダイアログボックスで、追加するホストを指定します。
(オプション) 接続するアカウントのユーザー名を追加します。
リモートシステムのユーザーアカウントを使用できます。ただし、管理者権限を持たないユーザーアカウントの認証情報を使用している場合は、管理タスクを実行できません。
ローカルシステムと同じ認証情報を使用する場合は、ログインするたびに、Web コンソールがリモートシステムを自動的に認証します。したがって、複数のマシンで同じ認証情報を使用すると、潜在的なセキュリティーリスクになります。
- 必要に応じて、色 フィールドをクリックして、システムの色を変更します。
Add をクリックします。
新しいホストは、
username@hostname
ドロップダウンメニューのホスト一覧に表示されます。
Web コンソールは、リモートシステムのログインに使用するパスワードを保存しないため、システムが再起動するたびに再度ログインする必要があります。次回のログイン時には、切断されたリモートシステムのメイン画面に配置された ログイン ボタンをクリックして、ログインダイアログを開きます。
30.3. Web コンソールでリモートホストの削除
ここでは、Web コンソールから他のシステムを削除する方法について説明します。
前提条件
リモートシステムが追加されている。
詳細は、「Web コンソールへのリモートシステムの追加」 を参照してください。
管理者権限で Web コンソールにログインしている。
詳細は、Web コンソールへのログイン を参照してください。
手順
- RHEL 8 Web コンソールにログインします。
概要 ページの左上にある
username@hostname
をクリックします。Edit hosts アイコンをクリックします。
Web コンソールからホストを削除するには、対象のホスト名の横にある赤いマイナス記号 - のボタンをクリックします。なお、現在接続中のホストは削除できません。
これにより、そのサーバーはお客様の Web コンソールから削除されます。
30.4. 新しいホストの SSH ログインの有効化
新しいホストを追加するときに、SSH キーでログインすることもできます。システム上にすでに SSH キーがある場合は、Web コンソールは既存のものを使用します。そうでない場合は、Web コンソールはキーを作成できます。
前提条件
管理者権限で Web コンソールにログインしている。
詳細は、Web コンソールへのログイン を参照してください。
手順
RHEL 8 の Web コンソールで、Overview ページの左上にある
username@hostname
をクリックします。ドロップダウンメニューで、新規ホストの追加 ボタンをクリックします。
- 新規ホストの追加 ダイアログボックスで、追加するホストを指定します。
接続するアカウントのユーザー名を追加します。
リモートシステムのユーザーアカウントを使用できます。ただし、管理者権限を持たないユーザーアカウントの認証情報を使用している場合は、管理タスクを実行できません。
- 必要に応じて、色 フィールドをクリックして、システムの色を変更します。
Add をクリックします。
新しいダイアログウィンドウが表示され、パスワードの入力が求められます。
- ユーザーアカウントのパスワードを入力します。
すでに SSH 鍵がある場合は、Authorize ssh key にチェックを入れてください。
SSH 鍵がない場合は、Create new SSH key and authorize it にチェックを入れてください。Web コンソールで作成します。
- SSH 鍵のパスワードを追加します。
- パスワードを確認すします。
Log In をクリックします。
新しいホストは、
username@hostname
ドロップダウンメニューのホスト一覧に表示されます。
検証手順
- ログアウトします。
- ログインし直してください。
- Not connected to host 画面の Log in をクリックします。
認証オプションとして、SSH 鍵を選択します。
- 鍵のパスワードを入力します。
- Log in をクリックします。
30.5. アイデンティティー管理における制約付き委任
Service for User to Proxy (S4U2proxy
) 拡張機能は、ユーザーに代わって他のサービスに対するサービスチケットを取得するサービスを提供します。この機能は、制約付き委任と 呼ばれています。2 番目のサービスは通常、ユーザーの承認コンテキストの下で、最初のサービスに代わって何らかの作業を実行するプロキシーです。制約付き委任を使用することで、ユーザーが Ticket Granting Ticket (TGT) を完全に委任する必要がなくなります。
Identity Management (IdM) は従来、Kerberos S4U2proxy
機能を使用して、Web サーバーフレームワークがユーザーの代わりに LDAP サービスチケットを取得することを可能にするものです。また、IdM-AD の信頼システムも、cifs
プリンシパルを取得するために制約付き委任を使用しています。
S4U2proxy
機能を使用して Web コンソールクライアントを設定し、スマートカードで認証された IdM ユーザーが以下を達成できるようにすることができます。
- Web コンソールサービスが実行されている RHEL ホストで、再度認証を求められることなく、スーパーユーザー権限でコマンドを実行します。
-
SSH
を使用してリモートホストにアクセスし、再度認証を求められることなくホスト上のサービスにアクセスします。
30.6. スマートカードで認証されたユーザーが、再度認証を要求されることなくリモートホストに SSH 接続できるようにするための Web コンソールの設定
RHEL の Web コンソールでユーザーアカウントにログインした後、Identity Management (IdM) システム管理者として、SSH
プロトコルを使用してリモートマシンに接続する必要がある場合があります。制約付き委任 機能を使用すると、再度認証を求められることなく SSH
を使用することができます。
この手順では、制約付き委任を使用するように Web コンソールを設定する方法について説明します。以下の例では、Web コンソールセッションは myhost.idm.example.com ホストで実行され、認証されたユーザーの代わりに SSH
を使用して remote.idm.example.com ホストにアクセスするように設定されています。
前提条件
-
IdM
admin
Ticket-Granting Ticket (TGT) を取得している -
remote.idm.example.com への
root
アクセス権がある - Web コンソールサービスが IdM に存在する
- remote.idm.example.com ホストが IdM に存在する
Web コンソールは、ユーザーセッションに
S4U2Proxy
Kerberos チケットを作成している。これを確認するために、IdM ユーザーで Web コンソールにログインし、Terminal
ページを開き、以下を入力します。$ klist Ticket cache: FILE:/run/user/1894000001/cockpit-session-3692.ccache Default principal: user@IDM.EXAMPLE.COM Valid starting Expires Service principal 07/30/21 09:19:06 07/31/21 09:19:06 HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM 07/30/21 09:19:06 07/31/21 09:19:06 krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM for client HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM
手順
委任ルールでアクセス可能な対象ホストのリストを作成します。
サービス委任ターゲットを作成します。
$ ipa servicedelegationtarget-add cockpit-target
委任対象に対象ホストを追加します。
$ ipa servicedelegationtarget-add-member cockpit-target \ --principals=host/remote.idm.example.com@IDM.EXAMPLE.COM
サービス委任ルールを作成し、
HTTP
サービスの Kerberos プリンシパルを追加することで、cockpit
セッションが対象ホストのリストにアクセスできるようにします。サービス委任ルールを作成します。
$ ipa servicedelegationrule-add cockpit-delegation
Web コンソールクライアントを委任ルールに追加します。
$ ipa servicedelegationrule-add-member cockpit-delegation \ --principals=HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM
委任対象を委任ルールに追加します。
$ ipa servicedelegationrule-add-target cockpit-delegation \ --servicedelegationtargets=cockpit-target
remote.idm.example.com ホストで Kerberos 認証を有効にします。
-
root
として remote.idm.example.com にSSH
接続します。 -
/etc/ssh/sshd_config
ファイルを開いて編集します。 -
GSSAPIAuthentication no
行のコメントを外し、GSSAPIAuthentication yes
に置き換えて、GSSAPIAuthentication
を有効にします。
-
上記の変更がすぐに有効になるように、remote.idm.example.com の
SSH
サービスを再起動します。$ systemctl try-restart sshd.service
30.7. Ansible を使用して Web コンソールを設定し、スマートカードで認証されたユーザーが再認証を求められることなくリモートホストに SSH 接続できるようにする
RHEL の Web コンソールでユーザーアカウントにログインした後、Identity Management (IdM) システム管理者として、SSH
プロトコルを使用してリモートマシンに接続する必要がある場合があります。制約付き委任 機能を使用すると、再度認証を求められることなく SSH
を使用することができます。
この手順では、servicedelegationrule
とservicedelegationtarget
ansible-freeipa
モジュールを使用して、制約付き委任を使用するように Web コンソールを設定する方法を説明します。以下の例では、Web コンソールセッションは myhost.idm.example.com ホストで実行され、認証されたユーザーの代わりに SSH
を使用して remote.idm.example.com ホストにアクセスするように設定されています。
前提条件
-
IdM
admin
パスワードがある -
remote.idm.example.com への
root
アクセスがある - Web コンソールサービスが IdM に存在する
- remote.idm.example.com ホストが IdM に存在する
Web コンソールは、ユーザーセッションに
S4U2Proxy
Kerberos チケットを作成している。これを確認するために、IdM ユーザーで Web コンソールにログインし、Terminal
ページを開き、以下を入力します。$ klist Ticket cache: FILE:/run/user/1894000001/cockpit-session-3692.ccache Default principal: user@IDM.EXAMPLE.COM Valid starting Expires Service principal 07/30/21 09:19:06 07/31/21 09:19:06 HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM 07/30/21 09:19:06 07/31/21 09:19:06 krbtgt/IDM.EXAMPLE.COM@IDM.EXAMPLE.COM for client HTTP/myhost.idm.example.com@IDM.EXAMPLE.COM
以下の要件を満たす Ansible コントロールノードを設定している。
- Ansible バージョン 2.8 以降を使用している。
- ansible-freeipa パッケージがインストールされている。
- ~/MyPlaybooks/ ディレクトリーに、制約付き委任を設定する IdM サーバーの完全修飾ドメイン名 (FQDN) を含む Ansible インベントリーファイル を作成している。
手順
~/MyPlaybooks/ ディレクトリーに移動します。
$ cd ~/MyPlaybooks/
以下の内容で
web-console-smart-card-ssh.yml
Playbook を作成します。委任対象の存在を確認するタスクを作成します。
--- - name: Playbook to create a constrained delegation target hosts: ipaserver become: true tasks: - name: Ensure servicedelegationtarget web-console-delegation-target is present ipaservicedelegationtarget: ipaadmin_password: SomeADMINpassword name: web-console-delegation-target
対象ホストを委任ターゲットに追加するタスクを追加します。
- name: Ensure servicedelegationtarget web-console-delegation-target member principal host/remote.idm.example.com@IDM.EXAMPLE.COM is present ipaservicedelegationtarget: ipaadmin_password: SomeADMINpassword name: web-console-delegation-target principal: host/remote.idm.example.com@IDM.EXAMPLE.COM action: member
委任ルールの存在を確認するタスクを追加します。
- name: Ensure servicedelegationrule delegation-rule is present ipaservicedelegationrule: ipaadmin_password: SomeADMINpassword name: web-console-delegation-rule
Web コンソールクライアントサービスの Kerberos プリンシパルが制約付き委任ルールのメンバーであることを確認するタスクを追加します。
- name: Ensure the Kerberos principal of the web console client service is added to the servicedelegationrule web-console-delegation-rule ipaservicedelegationrule: ipaadmin_password: SomeADMINpassword name: web-console-delegation-rule principal: HTTP/myhost.idm.example.com action: member
制約付き委任ルールが web-console-delegation-target 委任対象と関連付けられることを確認するタスクを追加します。
- name: Ensure a constrained delegation rule is associated with a specific delegation target ipaservicedelegationrule: ipaadmin_password: SomeADMINpassword name: web-console-delegation-rule target: web-console-delegation-target action: member
- ファイルを保存します。
Playbook ファイルとインベントリーファイルを指定して Ansible Playbook を実行します。
$ ansible-playbook -v -i inventory web-console-smart-card-ssh.yml
remote.idm.example.com で Kerberos 認証を有効にします。
-
root
として remote.idm.example.com にSSH
接続します。 -
/etc/ssh/sshd_config
ファイルを開いて編集します。 -
GSSAPIAuthentication no
行のコメントを外し、GSSAPIAuthentication yes
に置き換えて、GSSAPIAuthentication
を有効にします。
-
関連情報
- スマートカードを使用して Web コンソールへのログイン
- アイデンティティー管理における制約付き委任
-
/usr/share/doc/ansible-freeipa/
ディレクトリーのREADME-servicedelegationrule.md
およびREADME-servicedelegationtarget.md
-
/usr/share/doc/ansible-freeipa/playbooks/servicedelegationtarget
および/usr/share/doc/ansible-freeipa/playbooks/servicedelegationrule
ディレクトリーのサンプル Playbook
第31章 IdM ドメインで RHEL 8 Web コンソールにシングルサインオンを設定
RHEL 8 Web コンソールでの Identity Management (IdM) が提供する SSO (シングルサインオン) 認証を使用する方法を学びます。
利点:
- IdM ドメインの管理者は、RHEL 8 Web コンソールを使用して、ローカルマシンを管理できます。
- IdM ドメインで Kerberos チケットを使用すると、Web コンソールにアクセスする際にログイン認証情報を指定する必要がなくなりました。
- IdM ドメインが認識しているすべてのホストは、RHEL 8 Web コンソールのローカルインスタンスから SSH 経由でアクセスできます。
- 証明書設定は必須ではありません。コンソールの Web サーバーでは、IdM 認証局が発行した証明書に自動的に切り替わり、ブラウザーに許可されます。
本章は、RHEL Web コンソールにログインするために SSO を設定する手順を説明します。
RHEL 8 Web コンソールを使用して IdM ドメインにマシンを追加します。
詳細は、Joining a RHEL 8 system to an IdM domain using the web console を参照してください。
認証に Kerberos を使用する場合は、マシンで Kerberos チケットを取得する必要があります。
詳細は、Kerberos 認証を使用した Web コンソールへのログイン を参照してください。
IdM サーバーの管理者が、任意のホストで任意のコマンドを実行できます。
詳細は、Enabling admin sudo access to domain administrators on the IdM server を参照してください。
前提条件
RHEL Web コンソールが RHEL 8 システムにインストールされている。
詳細は、Web コンソールのインストール を参照してください。
RHEL Web コンソールを使用して IdM クライアントがシステムにインストールされている。
詳細は Identity Management クライアントのインストール を参照してください。
31.1. Web コンソールを使用した RHEL 8 システムの IdM ドメインへの参加
Web コンソールを使用して、Red Hat Enterprise Linux 8 システムを Identity Management (IdM) ドメインに参加させることができます。
前提条件
- IdM ドメインが実行中で参加するクライアントから到達可能
- IdM ドメインの管理者認証情報がある。
手順
RHEL Web コンソールにログインします。
詳細は、Web コンソールへのログイン を参照してください。
- Overview タブの Configuration フィールドで、Join Domain をクリックします。
- ドメイン参加 ダイアログボックスの ドメインアドレス フィールドに、IdM サーバーのホスト名を入力します。
- ドメイン管理者名 フィールドで、IdM 管理アカウントのユーザー名を入力します。
- Domain administrator password にパスワードを追加します。
- 参加 をクリックします。
検証手順
- システムが IdM ドメインに参加していると、RHEL 8 Web コンソールにエラーが表示されず、システム 画面でドメイン名を確認できます。
ユーザーがドメインのメンバーであることを確認するには、Terminal ページをクリックし、
id
コマンドを実行します。$ id euid=548800004(example_user) gid=548800004(example_user) groups=548800004(example_user) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
31.2. Kerberos 認証を使用して Web コンソールにログイン
次の手順は、Kerberos 認証を使用するように RHEL 8 システムを設定する方法を説明します。
SSO を使用した場合は、通常、Web コンソールに管理者権限がありません。これは、パスワードがない sudo を設定した場合に限り機能します。Web コンソールは、対話的に sudo パスワードを要求しません。
前提条件
稼働中で、会社の環境で到達可能な IdM ドメイン
詳細は、Joining a RHEL 8 system to an IdM domain using the web console を参照してください。
リモートシステムで、RHEL Web コンソールで接続して管理する
cockpit.socket
サービスを有効にしている。詳細は、Web コンソールのインストール を参照してください。
-
システムが、SSSD クライアントが管理する Kerberos チケットを使用しない場合は、
kinit
ユーティリティーを使用して手動でチケットを要求してみる。
手順
https://dns_name:9090
から、RHEL Web コンソールにログインします。
この時点で、RHEL Web コンソールへの接続に成功しており、設定を開始できます。
31.3. 管理者の sudo で IdM サーバーのドメイン管理者にアクセス可能に
次の手順は、ドメイン管理者が、Identity Management (IdM) ドメイン内のホストでコマンドを実行できるようにする手順を説明します。
これを可能にするために、IdM サーバーのインストール時に自動的に作成された admins ユーザーグループに sudo がアクセスできるようにします。
グループで ipa-advise
スクリプトを実行すると、admins グループに追加したすべてのユーザーに sudo アクセスが付与されます。
前提条件
- サーバーが、IdM 4.7.1 以降を実行している。
手順
- IdM サーバーに接続します。
ipa-advise スクリプトを実行します。
$ ipa-advise enable-admins-sudo | sh -ex
admins グループが、IdM ドメインのすべてのマシンの管理者権限を有している場合は、コンソールにエラーが表示されません。
第32章 集中管理ユーザー向けに Web コンソールを使用したスマートカード認証の設定
RHEL Web コンソールでスマートカード認証を集中管理しているユーザーに設定します。
- ID 管理
- Identity Management を使用してフォレスト間の信頼に接続する Active Directory
Smart card authentication does not elevate administrative privileges yet and the web console opens in the web browser in the read-only mode.
You can run administrative commands in the built-in terminal with `sudo`.
前提条件
スマートカード認証を使用するシステムは、Active Directory または Identity Management ドメインのメンバーである必要があります。
Web コンソールを使用して RHEL 8 システムをドメインに参加させる方法は Web コンソールで RHEL 8 システムを IdM ドメインに参加 を参照してください。
スマートカード認証に使用される証明書は、Identity Management または Active Directory の特定のユーザーに関連付けられている必要があります。
Identity Management のユーザーと証明書の関連付けの詳細は、Adding a certificate to a user entry in the IdM Web UI または Adding a certificate to a user entry in the IdM CLI を参照してください。
32.1. 集中管理ユーザーのスマートカード認証
スマートカードは、カードに保存されている証明書を使用して個人認証を提供できる物理デバイスです。個人認証とは、ユーザーパスワードと同じ方法でスマートカードを使用できることを意味します。
秘密鍵と証明書の形式で、スマートカードにユーザーの認証情報を保存できます。特別なソフトウェアおよびハードウェアを使用して、そのソフトウェアにアクセスします。スマートカードをリーダーまたは USB ソケットに挿入して、パスワードを入力する代わりに、スマートカードの PIN コードを入力します。
Identity Management (IdM) では、以下によるスマートカード認証に対応しています。
- IdM 認証局が発行するユーザー証明書。詳細は、スマートカード認証用の Identity Management の設定 を参照してください。
- Active Directory Certificate Service (ADCS) 認証局が発行するユーザー証明書。詳細は IdM でスマートカード認証用に ADCS が発行した証明書の設定 を参照してください。
スマートカード認証の使用を開始する場合は、ハードウェア要件 Smart Card support in RHEL8+ を参照してください。
32.2. スマートカードを管理および使用するツールのインストール
スマートカードを設定するには、証明書を生成し、スマートカードに保存するツールが必要になります。
以下を行う必要があります。
-
証明書管理に役立つ
gnutls-utils
パッケージをインストールする。 -
スマートカードと連携するライブラリーおよびユーティリティーのセットを提供する
opensc
パッケージをインストールします。 -
スマートカードリーダーと通信する
pcscd
サービスを開始する。
手順
opensc
パッケージおよびgnutls-utils
パッケージをインストールします。# dnf -y install opensc gnutls-utils
pcscd
サービスを開始します。# systemctl start pcscd
pcscd
サービスが稼働していることを確認します。
32.3. スマートカードを準備し、証明書と鍵をスマートカードにアップロードする
本セクションでは、設定に役立つ pkcs15-init
によるスマートカードの設定を説明します。
- スマートカードの消去
- 新しい PIN および任意の PIN ブロック解除キー (PUK) の設定
- スマートカードでの新規スロットの作成
- スロットへの証明書、秘密鍵、および公開鍵の保存
- 必要に応じて、特定のスマートカードではこのタイプのファイナライズが必要なため、スマートカードの設定をロックします。
pkcs15-init
ツールは、すべてのスマートカードで機能するとは限りません。使用しているスマートカードで動作するツールを使用する必要があります。
前提条件
pkcs15-init
ツールを含むopensc
パッケージがインストールされている。詳細はスマートカードを管理および使用するツールのインストールを参照してください。
- カードがリーダーに挿入され、コンピューターに接続されている。
-
スマートカードに保存する秘密鍵、公開鍵、および証明書がある。この手順の
testuser.key
、testuserpublic.key
、およびtestuser.crt
は、秘密鍵、公開鍵、および証明書に使用される名前です。 - 現在のスマートカードユーザー PIN およびセキュリティーオフィス PIN (SO-PIN)
手順
スマートカードを消去して PIN で自身を認証します。
$ pkcs15-init --erase-card --use-default-transport-keys Using reader with a card: Reader name PIN [Security Officer PIN] required. Please enter PIN [Security Officer PIN]:
カードが削除されました。
スマートカードを初期化し、ユーザーの PIN と PUK を設定します。また、セキュリティー担当者の PIN と PUK を設定します。
$ pkcs15-init --create-pkcs15 --use-default-transport-keys \ --pin 963214 --puk 321478 --so-pin 65498714 --so-puk 784123 Using reader with a card: Reader name
pcks15-init
ツールは、スマートカードに新しいスロットを作成します。スロットのラベルと認証 ID を設定します。
$ pkcs15-init --store-pin --label testuser \ --auth-id 01 --so-pin 65498714 --pin 963214 --puk 321478 Using reader with a card: Reader name
ラベルは人間が判読できる値に設定されます (この場合は
testuser
)。auth-id
は 16 進数の値である必要があります。この場合、01
に設定されます。スマートカードの新しいスロットに秘密鍵を保存し、ラベルを付けます。
$ pkcs15-init --store-private-key testuser.key --label testuser_key \ --auth-id 01 --id 01 --pin 963214 Using reader with a card: Reader name
注記--id
に指定する値は、秘密鍵を保存するときと、次の手順で証明書を保存するときに同じである必要があります。--id
に独自の値を指定することをお勧めします。そうしないと、より複雑な値がツールによって計算されます。スマートカードの新しいスロットに証明書を保存し、ラベル付けします。
$ pkcs15-init --store-certificate testuser.crt --label testuser_crt \ --auth-id 01 --id 01 --format pem --pin 963214 Using reader with a card: Reader name
(必要に応じて) スマートカードの新しいスロットに公開鍵を保存し、ラベルを付けます。
$ pkcs15-init --store-public-key testuserpublic.key --label testuserpublic_key --auth-id 01 --id 01 --pin 963214 Using reader with a card: Reader name
注記公開鍵が秘密鍵または証明書に対応する場合は、秘密鍵または証明書の ID と同じ ID を指定します。
(オプション) スマートカードの中には、設定をロックしてカードを最終処理する必要があります。
$ pkcs15-init -F
この段階では、スマートカードには、新たに作成されたスロットに証明書、秘密鍵、および公開鍵が含まれます。ユーザーの PIN と PUK、およびセキュリティー担当者の PIN と PUK も作成しました。
32.4. Web コンソールのスマートカード認証の有効化
Web コンソールでスマートカード認証を使用できるようにするには、cockpit.conf
ファイルでスマートカード認証を有効にします。
また、同じファイルでパスワード認証を無効にすることもできます。
前提条件
RHEL Web コンソールがインストールされている。
詳細は、Web コンソールのインストール を参照してください。
手順
管理者権限で RHEL Web コンソールにログインしている。
詳細は Web コンソールへのログイン を参照してください。
- Terminal をクリックします。
/etc/cockpit/cockpit.conf
でClientCertAuthentication
をyes
に設定します。[WebService] ClientCertAuthentication = yes
必要に応じて、以下のようにして
cockpit.conf
でパスワードベースの認証を無効にします。[Basic] action = none
この設定ではパスワード認証が無効になり、常にスマートカードを使用する必要があります。
Web コンソールを再起動して、
cockpit.service
が変更を受け入れることを確認します。# systemctl restart cockpit
32.5. スマートカードを使用して Web コンソールへのログイン
スマートカードを使用して、Web コンソールにログインできます。
前提条件
- 有効な証明書が、Active Directory または Identity Management ドメインで作成されたユーザーアカウントに関連付けられているスマートカードに保存されている。
- スマートカードのロックを解除するピン。
- スマートカードがリーダーに追加されている。
手順
Web ブラウザーを開き、アドレスバーに Web コンソールのアドレスを追加します。
ブラウザーは、スマートカードに保存されている証明書を PIN で保護するよう要求します。
- Password Required ダイアログボックスで PIN を入力し、OK をクリックします。
- User Identification Request ダイアログボックスで、スマートカードに保存されている証明書を選択します。
Remember this decision を選択します。
次回、このウィンドウが開きません。
注記この手順は、Google Chrome ユーザーには適用されません。
- OK をクリックします。
これで接続され、Web コンソールがそのコンテンツを表示します。
32.6. DoS 攻撃を防ぐためのユーザーセッションおよびメモリーの制限
証明書認証は、別のユーザーの権限を借用する攻撃者に対して Web サーバー cockpit-ws
のインスタンスを分離して孤立させることで保護されます。ただし、これによりサービス拒否攻撃 (DoS) 攻撃が発生する可能性があります。リモートの攻撃者は大量の証明書を作成し、異なる証明書を使用してそれぞれ cockpit-ws
に多数の HTTPS 要求を送信することができます。
この DoS を防ぐために、これらの Web サーバーインスタンスの共同リソースは制限されます。デフォルトでは、接続数に制限され、メモリー使用量の制限は 200 スレッドと、75% (ソフト) または 90% (ハード) のメモリーに設定されます。
以下の手順では、接続およびメモリーの数を制限することで、リソースの保護を説明します。
手順
端末で
system-cockpithttps.slice
設定ファイルを開きます。# systemctl edit system-cockpithttps.slice
TasksMax
を 100 に、CPUQuota
を 30% に制限します。[Slice] # change existing value TasksMax=100 # add new restriction CPUQuota=30%
変更を適用するには、システムを再起動します。
# systemctl daemon-reload # systemctl stop cockpit
これで、新しいメモリーとユーザーセッションの制限により、Web サーバー cockpit-ws
が DoS 攻撃から保護されるようになりました。