Menu Close
RHEL 8 で Web コンソールを使用したシステムの管理
Red Hat Enterprise Linux 8 で Web コンソールを使用したシステム管理ガイド
概要
オープンソースをより包摂的に
Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、今後の複数のリリースで段階的に用語の置き換えを実施して参ります。詳細は、弊社 の CTO、Chris Wright のメッセージ を参照してください。
Red Hat ドキュメントへのフィードバック (英語のみ)
ご意見ご要望をお聞かせください。ドキュメントの改善点はございませんか。
特定の文章に簡単なコメントを記入する場合は、以下の手順を行います。
- ドキュメントの表示が Multi-page HTML 形式になっていて、ドキュメントの右上端に Feedback ボタンがあることを確認してください。
- マウスカーソルで、コメントを追加する部分を強調表示します。
- そのテキストの下に表示される Add Feedback ポップアップをクリックします。
- 表示される手順に従ってください。
Bugzilla を介してフィードバックを送信するには、新しいチケットを作成します。
- Bugzilla の Web サイトにアクセスします。
- Component で Documentation を選択します。
- Description フィールドに、ドキュメントの改善に関するご意見を記入してください。ドキュメントの該当部分へのリンクも記入してください。
- Submit Bug をクリックします。
第1章 RHEL Web コンソールの使用
Red Hat Enterprise Linux 8 に Web コンソールをインストールし、RHEL 8 Web コンソールで リモートホストを追加し、監視する方法を確認します。
前提条件
- Red Hat Enterprise Linux 8 をインストールしている。
- 有効なネットワークがある。
適切なサブスクリプションが割り当てられた登録済みのシステムがある。
サブスクリプションを取得する場合は、「Web コンソールでサブスクリプションの管理」を参照してください。
1.1. RHEL Web コンソールの概要
RHEL Web コンソールは、ローカルシステムやネットワーク環境にある Linux サーバーを管理および監視するために設計された Red Hat Enterprise Linux の Web ベースのインターフェースです。
RHEL Web コンソールでは、以下を含むさまざまな管理タスクの実行が可能です。
- サービスの管理
- ユーザーアカウントの管理
- システムサービスの管理および監視
- ネットワークインターフェースおよびファイアウォールの設定
- システムログの確認
- 仮想マシンの管理
- 診断レポートの作成
- カーネルダンプ構成の設定
- SELinux の構成
- ソフトウェアの更新
- システムサブスクリプションの管理
RHEL Web コンソールは、ターミナルと同じシステム API を使用します。ターミナルで実行した操作は、即座に RHEL Web コンソールに反映されます。
ネットワーク環境のシステムのログや、パフォーマンスをグラフで監視できます。さらに、Web コンソールで設定を直接変更したり、ターミナルから設定を変更できます。
1.2. Web コンソールのインストールおよび有効化
RHEL 8 Web コンソールにアクセスするには、最初に cockpit.socket
サービスを有効にします。
Red Hat Enterprise Linux 8 では、多くのインストール方法で、RHEL 8 Web コンソールがデフォルトでインストールされます。ご使用のシステムがこれに該当しない場合は、cockpit
パッケージをインストールしてから .socket
サービスを有効にしてください。
手順
Web コンソールがインストールバリアントにデフォルトでインストールされていない場合は、
cockpit
パッケージを手動でインストールします。# yum install cockpit
必要に応じて、Web サーバーを実行する
cockpit.socket
サービスを有効にして起動します。# systemctl enable --now cockpit.socket
Web コンソールがインストールバリアントにデフォルトでインストールされておらず、カスタムのファイアウォールプロファイルを使用している場合は、
cockpit
サービスをfirewalld
に追加して、ファイアウォールの 9090 番ポートを開きます。# firewall-cmd --add-service=cockpit --permanent # firewall-cmd --reload
検証手順
- 以前のインストールと設定を確認するには、Web コンソールを開きます。
1.3. Web コンソールへのログイン
RHEL Web コンソールに、システムユーザー名とパスワードを使用して初めてログインするには、この手順に従ってください。
前提条件
以下のブラウザーのいずれかを使用して、Web コンソールを開いている。
- Mozilla Firefox 52 以上
- Google Chrome 57 以上
- Microsoft Edge 16 以上
システムユーザーアカウントの認証情報
RHEL Web コンソールは、
/etc/pam.d/cockpit
にある特定の PAM スタックを使用します。PAM を使用した認証では、システムのローカルアカウントのユーザー名およびパスワードを使用してログインできます。
手順
Web ブラウザーで Web コンソールを開き、以下のアドレスを入力します。
https://localhost:9090
注記入力したら、ローカルマシンにログインします。リモートシステムの Web コンソールにログインする場合、「リモートマシンから Web コンソールへの接続」 を参照してください。
自己署名証明書を使用する場合は、ブラウザーに警告が表示されます。証明書を確認し、セキュリティー例外を許可してから、ログインを続行します。
コンソールは
/etc/cockpit/ws-certs.d
ディレクトリーから証明書をロードし、アルファベット順で最後となる.cert
拡張子のファイルを使用します。セキュリティーの例外を承認しなくてもすむように、認証局 (CA) が署名した証明書をインストールします。- ログイン画面で、システムユーザー名とパスワードを入力します。
- ログイン をクリックします。
認証に成功すると、RHEL Web コンソールインターフェースが開きます。
制限のあるアクセスと管理アクセスを切り替えるには、Web コンソールページの上部にあるパネルで Administrative access または Limited access をクリックします。管理アクセスを取得するには、ユーザーパスワードを指定する必要があります。
1.4. Web コンソールで Basic 認証の無効化
cockpit.conf
ファイルを変更して、認証スキームの動作を変更できます。none
アクションを使用して認証スキームを無効にし、GSSAPI およびフォームによる認証のみを許可します。
前提条件
- RHEL 8 Web コンソールをインストールし、アクセスできる。詳細は、「Web コンソールのインストール」を参照してください。
- sudo 権限があること。
手順
任意のテキストエディターで、
/etc/cockpit/
ディレクトリーのcockpit.conf
ファイルを開くか、作成します。$ sudo vi cockpit.conf
以下のテキストを追加します。
[basic] action = none
- ファイルを保存します。
Web コンソールを再起動して、変更を有効にします。
# systemctl try-restart cockpit
1.5. リモートマシンから Web コンソールへの接続
任意のクライアントオペレーティングシステムから、または携帯電話やタブレットから、Web コンソールインターフェースに接続できます。
前提条件
対応しているインターネットブラウザーを備えたデバイス。以下に例を示します。
- Mozilla Firefox 52 以上
- Google Chrome 57 以上
- Microsoft Edge 16 以上
- インストールしてアクセス可能な Web コンソールでアクセスする RHEL 8 サーバー。Web コンソールのインストールの詳細は、「RHEL Web コンソールの使用」を参照してください。
手順
- Web ブラウザを開きます。
リモートサーバーのアドレスを次のいずれかの形式で入力します。
サーバーのホスト名 (
https://server.hostname.example.com:port_number
)以下に例を示します。
https://example.com:9090
サーバーの IP アドレス (
https://server.IP_address:port_number
)以下に例を示します。
https://192.0.2.2:9090
- ログインインターフェースが開いたら、RHEL マシンの資格情報でログインします。
1.6. ワンタイムパスワードを使用した Web コンソールへのログイン
ワンタイムパスワード (OTP) 設定が有効になっている Identity Management (IdM) ドメインにシステムが含まれている場合には、OTP を使用して RHEL Web コンソールにログインできます。
ワンタイムパスワードを使用してログインできるのは、OTP 設定が有効な Identity Management (IdM) ドメインに、お使いのシステムが含まれる場合のみです。
前提条件
- RHEL Web コンソールがインストールされている。
- Identity Management サーバーで OTP 設定を有効しておく。
- OTP トークンを生成する構成済みのハードウェアまたはソフトウェアのデバイス
手順
ブラウザーで RHEL Web コンソールを開きます。
-
ローカルの場合 -
https://localhost:PORT_NUMBER
-
リモートでサーバーのホスト名を使用する場合 -
https://example.com:PORT_NUMBER
リモートでサーバーの IP アドレスを使用する場合 -
https://EXAMPLE.SERVER.IP.ADDR:PORT_NUMBER
自己署名証明書を使用する場合は、ブラウザーに警告が表示されます。証明書を確認し、セキュリティー例外を許可してから、ログインを続行します。
コンソールは
/etc/cockpit/ws-certs.d
ディレクトリーから証明書をロードし、アルファベット順で最後となる.cert
拡張子のファイルを使用します。セキュリティーの例外を承認しなくてもすむように、認証局 (CA) が署名した証明書をインストールします。
-
ローカルの場合 -
- ログイン画面が表示されます。ログイン画面で、システムユーザーの名前とパスワードを入力します。
- デバイスでワンタイムパスワードを生成します。
- パスワードを確認してから、Web コンソールインターフェースに表示される新規フィールドにワンタイムパスワードを入力します。
- Log in をクリックします。
- ログインに成功すると、Web コンソールインターフェースの Overview ページに移動します。
1.7. Web コンソールでのシステムの再起動
Web コンソールを使用して、Web コンソールの接続先の RHEL システムを再起動します。
前提条件
- RHEL 8 Web コンソールをインストールし、アクセスできる。詳細は「Web コンソールのインストール」を参照してください。
手順
RHEL Web コンソールにログインします。
詳細は「Web コンソールへのログイン」を参照してください。
- Overview ページで Reboot ボタンをクリックします。
- ユーザーがシステムにログインする場合は、再起動の理由を Reboot ダイアログボックスで入力します。
- オプション: 遅延 ドロップ ダウン リストで、再起動の遅延の期間を選択します。
- Reboot をクリックします。
1.8. Web コンソールでのシステムのシャットダウン
Web コンソールを使用して、Web コンソールが接続している RHEL システムをシャットダウンします。
前提条件
RHEL 8 Web コンソールをインストールし、アクセスできる。
手順
- RHEL Web コンソールにログインします。
- 概要 をクリックします。
- 再起動 ドロップダウンリストで、シャットダウン を選択します。
- システムにログインするユーザーがいる場合は、シャットダウン ダイアログボックスに、シャットダウンの理由を入力します。
- 必要に応じて、遅延 ドロップダウンリストで、遅延させる時間を選択します。
- シャットダウン をクリックします。
1.9. Web コンソールでの時間設定の構成
タイムゾーンを設定して、システム時間を Network Time Protocol (NTP) サーバーと同期できます。
前提条件
RHEL 8 Web コンソールをインストールし、アクセスできる。
手順
- RHEL Web コンソールにログインします。
- 概要 で現在のシステム時間をクリックします。
- 必要に応じて、システム時間の変更 ダイアログボックスで、タイムゾーンを変更します。
時間の設定 ドロップダウンメニューで、以下のいずれかを選択します。
- 手動
- NTP サーバーなしで手動で時間を設定する必要がある場合は、このオプションを使用します。
- NTP サーバーの自動使用
- これはデフォルトのオプションで、既存の NTP サーバーと時間を自動同期します。
- 特定の NTP サーバーの自動使用
- このオプションは、システムを特定の NTP サーバーと同期する必要がある場合に限り使用してください。サーバーの DNS 名または IP アドレスを指定します。
- 変更 をクリックします。
- システム タブに表示されるシステム時間を確認します。
1.10. Web コンソールを使用した RHEL 8 システムの IdM ドメインへの参加
Web コンソールを使用して、Red Hat Enterprise Linux 8 システムを Identity Management(IdM)ドメインに参加させることができます。
前提条件
- IdM ドメインが実行中で参加するクライアントから到達可能
- IdM ドメインの管理者認証情報がある。
手順
RHEL Web コンソールにログインします。
詳細は「Web コンソールへのログイン」を参照してください。
- システム タブを開きます。
ドメイン参加 をクリックします。
- ドメイン参加 ダイアログボックスの ドメインアドレス フィールドに、IdM サーバーのホスト名を入力します。
認証 ドロップダウンメニューで、認証にパスワード、またはワンタイムパスワードを使用するかどうかを選択します。
- ドメイン管理者名 フィールドで、IdM 管理アカウントのユーザー名を入力します。
- 上記の 認証 ドロップダウンリストで選択した内容に応じて、パスワードフィールドにパスワードまたはワンタイムパスワードを追加します。
参加 をクリックします。
検証手順
- システムが IdM ドメインに参加していると、RHEL 8 Web コンソールにエラーが表示されず、システム 画面でドメイン名を確認できます。
ユーザーがドメインのメンバーであることを確認するには、Terminal ページをクリックし、
id
コマンドを実行します。$ id euid=548800004(example_user) gid=548800004(example_user) groups=548800004(example_user) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
1.11. Web コンソールを使用して CPU のセキュリティーの問題を防ぐために SMT を無効化する手順
CPU SMT (Simultaneous Multi Threading) を悪用する攻撃が発生した場合に SMT を無効にします。SMT を無効にすると、L1TF や MDS などのセキュリティー脆弱性を軽減できます。
SMT を無効にすると、システムパフォーマンスが低下する可能性があります。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は「Web コンソールのインストール」を参照してください。
手順
- RHEL Web コンソールにログインします。詳細は「Web コンソールへのログイン」を参照してください。
- 概要 タブで システム情報 フィールドを見つけ、ハードウェアの詳細の表示 をクリックします。
CPU セキュリティー 行で Mitigations をクリックします。
このリンクがない場合は、システムが SMT に対応していないため、攻撃を受けません。
- CPU Security Toggles テーブルで、同時マルチスレッドの無効化(nosmt) オプションをオンにします。
- Save and reboot ボタンをクリックします。
システムの再起動後、CPU は SMT を使用しなくなりました。
1.12. ログインページへのバナーの追加
企業および代理店は、コンピューターは正当な目的で使用すること、またユーザーは監視下にあり、不正アクセスは告訴の対象となるという警告を表示する必要がある場合があります。ログイン前に警告を表示する必要があります。SSH と同様に、Web コンソールのログイン画面にバナーファイルのコンテンツを表示することも可能です (オプション)。Web コンソールセッションでバナーを有効にするには、/etc/cockpit/cockpit.conf
ファイルを変更する必要があります。このファイルは必須ではないため、手動で作成する必要がある場合があります。
前提条件
- RHEL 8 Web コンソールをインストールし、アクセスできる。
- sudo 権限があること。
手順
任意のテキストエディターで、
/etc/issue.cockpit
ファイルがまだ作成されていない場合には、作成します。バナーとして表示するコンテンツをファイルに追加します。ファイルのコンテンツと表示コンテンツの間で再フォーマットが行われないので、ファイルにマクロは追加しないでください。必要に応じて改行を使用します。ASCII アートを使用できます。
- ファイルを保存します。
任意のテキストエディターで、
/etc/cockpit/
ディレクトリーのcockpit.conf
ファイルを開くか、作成します。$ sudo vi cockpit.conf
以下のテキストをファイルに追加します。
[Session] Banner=/etc/issue.cockpit
- ファイルを保存します。
Web コンソールを再起動して、変更を有効にします。
# systemctl try-restart cockpit
検証手順
- Web コンソールのログイン画面を再度開き、バナーが表示されていることを確認します。
例1.1 ログインページへのバナー例の追加
テキストエディターを使用して、任意のテキストを含めて
/etc/issue.cockpit
ファイルを作成します。This is an example banner for the RHEL web console login page.
/etc/cockpit/cockpit.conf
ファイルを開くか、作成して、以下のテキストを追加します。[Session] Banner=/etc/issue.cockpit
- Web コンソールを再起動します。
Web コンソールのログイン画面を再度開きます。
1.13. Web コンソールでの自動アイドルロックの設定
デフォルトでは、Web コンソールインターフェースには、アイドル後のタイムアウトは設定されていません。システムでアイドルタイムアウトを有効にするには、/etc/cockpit/cockpit.conf
設定ファイルを変更してください。このファイルは必須ではないため、手動で作成する必要がある場合があります。
前提条件
- Web コンソールがインストールされており、アクセス可能である。
- sudo 権限があること。
手順
任意のテキストエディターで、
/etc/cockpit/
ディレクトリーのcockpit.conf
ファイルを開くか、作成します。$ sudo vi cockpit.conf
以下のテキストをファイルに追加します。
[Session] IdleTimeout=X
X は、選択した期間の数値 (分単位) に置き換えます。
- ファイルを保存します。
Web コンソールを再起動して、変更を有効にします。
# systemctl try-restart cockpit
検証手順
- 設定の期間後にセッションがログアウトされているかどうかを確認します。
第2章 Web コンソールでのホスト名の設定
以下では、Red Hat Enterprise Linux Web コンソールを使用して、Web コンソールの接続先のシステムで、異なる形式のホスト名を設定する方法を説明します。
2.1. ホスト名
ホスト名はシステムを識別します。デフォルトでは、ホスト名は localhost
に設定されていますが、変更できます。
ホスト名は、以下の 2 つの部分から構成されます。
- ホスト名
- システムを識別する一意の名前です。
- ドメイン
- ネットワーク内でシステムを使用する場合や、IP アドレスではなく名前を使用する場合に、ホスト名の後にドメインを接尾辞として追加します。
ドメイン名が割り当てられたホスト名は、完全修飾ドメイン名 (FQDN) と呼ばれます。たとえば、mymachine.example.com
です。
ホスト名は /etc/hostname
ファイルに保存されます。
2.2. Web コンソールでの Pretty ホスト名
RHEL Web コンソールで Pretty ホスト名を設定することもできます。Pretty ホスト名は、大文字、スペースなどを含むホスト名です。
Pretty ホスト名は Web コンソールに表示されますが、ホスト名に対応させる必要はありません。
例2.1 Web コンソールでのホスト名の形式
- Pretty ホスト名
-
My machine
- ホスト名
-
mymachine
- 実際のホスト名 - 完全修飾ドメイン名 (FQDN)
-
mymachine.idm.company.com
2.3. Web コンソールを使用したホスト名の設定
この手順では、Web コンソールで実際のホスト名または Pretty ホスト名を設定します。
前提条件
RHEL 8 Web コンソールをインストールし、アクセスできる。
詳細は「Web コンソールのインストール」を参照してください。
手順
Web コンソールへのログイン
詳細は「Web コンソールへのログイン」を参照してください。
- 概要 をクリックします。
現在のホスト名の横にある 編集 をクリックします。
- ホスト名の変更 ダイアログボックスの Pretty ホスト名 フィールドに、ホスト名を入力します。
実際のホスト名フィールド は、ドメイン名を Pretty 名に割り当てます。
ホスト名が Pretty ホスト名と一致しない場合は、実際にホスト名を手動で変更できます。
変更 をクリックします。
検証手順
- Web コンソールからログアウトします。
ブラウザーのアドレスバーに新規ホスト名のアドレスを入力して、Web コンソールを再度開きます。
第3章 Red Hat Web コンソールアドオン
RHEL Web コンソールでアドオンをインストールし、利用できるアドオンアプリケーションを確認します。
3.1. アドオンのインストール
cockpit
パッケージは、デフォルトで Red Hat Enterprise Linux に含まれています。アドオンアプリケーションを使用できるようにするには、個別にインストールする必要があります。
前提条件
-
cockpit
パッケージがインストールされ、有効になっている。Web コンソールを最初にインストールする必要がある場合は、インストール のセクションを参照してください。
手順
アドオンをインストールします。
# yum install <add-on>
3.2. RHEL Web コンソールのアドオン
以下の表は、RHEL Web コンソールの利用可能なアドオンアプリケーションの一覧です。
機能名 | パッケージ名 | 用途 |
---|---|---|
Composer | cockpit-composer | カスタム OS イメージの構築 |
Machines | cockpit-machines | libvirt 仮想マシンの管理 |
PackageKit | cockpit-packagekit | ソフトウェア更新およびアプリケーションインストール (通常はデフォルトでインストールされている) |
PCP | cockpit-pcp | 永続的かつ、より詳細なパフォーマンスデータ (UI からオンデマンドでインストール) |
podman | cockpit-podman | podman コンテナーの管理 (RHEL 8.1 から利用可能) |
セッションの録画 | cockpit-session-recording | ユーザーセッションの記録および管理 |
第4章 Webコンソールによるシステムパフォーマンスの最適化
以下では、RHEL Web コンソールでパフォーマンスプロファイルを設定し、選択したタスクに対してシステムのパフォーマンスを最適化する方法を説明します。
4.1. Web コンソールでのパフォーマンスチューニングオプション
Red Hat Enterprise Linux 8 には、以下のタスクに対してシステムを最適化する複数のパフォーマンスプロファイルが同梱されています。
- デスクトップを使用するシステム
- スループットパフォーマンス
- レイテンシーパフォーマンス
- ネットワークパフォーマンス
- 電力の低消費
- 仮想マシン
tuned
サービスは、選択したプロファイルに一致するようにシステムオプションを最適化します。
Web コンソールでは、システムが使用するパフォーマンスプロファイルを設定できます。
関連情報
4.2. Web コンソールでのパフォーマンスプロファイルの設定
この手順では、Web コンソールを使用して、選択したタスクのシステムパフォーマンスを最適化します。
前提条件
- Web コンソールをインストールし、アクセスできることを確認します。詳細は、「Web コンソールのインストール」を参照してください。
手順
- RHEL Web コンソールにログインします。詳細は「Web コンソールへのログイン」を参照してください。
- 概要 をクリックします。
パフォーマンスプロファイル フィールドで、現在のパフォーマンスプロファイルをクリックします。
- 必要に応じて、パフォーマンスプロファイルの変更 ダイアログボックスで、プロファイルを変更します。
プロファイルの変更 をクリックします。
検証手順
- Overview タブには、選択したパフォーマンスプロファイルが表示されます。
4.3. Web コンソールを使用したパフォーマンスの監視
Red Hat の Web コンソールは、トラブルシューティングに Utilization Saturation および Errors (USE) メソッドを使用します。新しいパフォーマンスメトリックページには、データの履歴ビューが時系列に整理されており、最新のデータが上部に表示されます。
ここでは、リソースの使用状況および飽和状況のイベント、エラー、およびグラフィカル表示を表示できます。
前提条件
- Web コンソールをインストールし、アクセスできることを確認します。詳細は、「Web コンソールのインストール」を参照してください。
cockpit-pcp
パッケージをインストールします。これにより、パフォーマンスメトリックの収集が可能になります。# yum install cockpit-pcp
手順
- RHEL 8 Web コンソールにログインします。詳細は「Web コンソールへのログイン」を参照してください。
概要 をクリックします。
View details and history をクリックして、Performance Metrics を表示します。
第5章 Web コンソールでログの確認
RHEL 8 Web コンソールでログへのアクセス、確認、およびフィルタリングの方法を説明します。
5.1. Web コンソールでログの確認
RHEL 8 Web コンソールのログセクションは、journalctl
ユーティリティーの UI です。本セクションでは、Web コンソールインターフェースでシステムログにアクセスする方法を説明します。
前提条件
RHEL 8 Web コンソールがインストールされている。
詳細は、「Web コンソールのインストール」を参照してください。
手順
RHEL Web コンソールにログインします。
詳細は「Web コンソールへのログイン」を参照してください。
ログ をクリックします。
- 一覧からログを確認するログエントリーをクリックして、ログエントリーの詳細を開きます。
Pause ボタンを使用すると、新しいログエントリーが表示されないように一時停止できます。新しいログエントリーを再開すると、Web コンソールは、Pause ボタンを使用した後に報告されたすべてのログエントリーを読み込みます。
Priority時間、優先順位、または識別子でログをフィルタリングできます。詳細は、「Web コンソールでのログのフィルタリング」を参照してください。
5.2. Web コンソールでのログのフィルタリング
本セクションでは、Web コンソールでログエントリーをフィルタリングする方法を説明します。
前提条件
Web コンソールインターフェースがインストールされており、アクセス可能である。
詳細は、「Web コンソールのインストール」を参照してください。
手順
RHEL 8 Web コンソールにログインします。
詳細は「Web コンソールへのログイン」を参照してください。
- ログ をクリックします。
コンソールデフォルトでは、Web コンソールには最新のログエントリーが表示されます。別の時間範囲でフィルタリングするには、Time ドロップダウンメニューをクリックして、希望するオプションを選択します。
重大度ログの一覧は、デフォルトで エラー以上のレベル が表示されます。優先度のフィルタリングを変更するには、ドロップダウンメニューの エラー以上のレベル をクリックして、優先度を選択します。
デフォルトでは、Web コンソールにはすべての識別子のログが表示されます。特定のサービスのログをフィルタリングするには、All ドロップダウンメニューをクリックして、識別子を選択します。
- ログエントリーを開くには、選択したログをクリックします。
5.3. Web コンソールでログをフィルターするためのテキスト検索オプション
テキスト検索オプション機能では、ログをフィルタリングするためのさまざまなオプションを利用できます。テキスト検索を使用してログをフィルタリングする場合は、3 つのドロップダウンメニューに定義した事前定義オプションを使用するか、自分で検索全体を入力できます。
ドロップダウンメニュー
検索のメインパラメーターを指定するのに使用できるドロップダウンメニューには、以下の 3 つがあります。
- 時間: このドロップダウンメニューには、検索のさまざまな時間範囲が事前定義されます。
-
優先度: このドロップダウンメニューでは、さまざまな優先度のオプションを利用できます。
journalctl --priority
オプションに対応します。デフォルトの優先度の値は Error and above です。これは、他の優先度を指定しないと毎回設定されます。 -
識別子: このドロップダウンメニューでは、フィルタリングする ID を選択します。
journalctl --identifier
オプションに対応します。
量記号
検索を指定するのに使用できる量記号は 6 つあります。これらは、ログテーブルをフィルタリングするための Options で説明されています。
ログフィールド
特定のログフィールドを検索する場合は、フィールドとその内容を指定することができます。
ログメッセージでの自由形式のテキスト検索
ログメッセージで任意のテキスト文字列をフィルタリングできます。文字列は、正規表現の形式にすることもできます。
高度なログのフィルタリング I
2020 年 10 月 22 日深夜以降に発生した「systemd」によって識別されるすべてのログメッセージをフィルターします。ジャーナルフィールド JOB_TYPE は「start」または「restart」のいずれかです。
-
フィールドを検索するには、
identifier:systemd since:2020-10-22 JOB_TYPE=start,restart
と入力します。 結果を確認します。
高度なログフィルタリング II
最後の前に起動で「cockpit.service」systemd ユニットから送信されたすべてのログメッセージ、およびメッセージのボディーに「error」または「fail」が含まれるログメッセージをすべてフィルターします。
-
検索フィールドに
service:cockpit boot:-1 error|fail
と入力します。 結果を確認します。
5.4. テキストボックスのボックスを使用した Web コンソールでのログのフィルター
テキストの検索ボックスを使用すると、異なるパラメーターに従ってログをフィルターできます。検索は、フィルタリングドロップダウンメニュー、クォーター、ログフィールド、およびフリー形式の文字列検索を組み合わせます。
前提条件
Web コンソールインターフェースがインストールされており、アクセス可能である。
詳細は「Web コンソールのインストール」を参照してください。
手順
RHEL Web コンソールにログインします。
詳細は「Web コンソールへのログイン」を参照してください。
- ログ をクリックします。
ドロップダウンメニューを使用して、3 つの主要なフィルタリング対象の数量 (時間範囲、優先順位、識別子) (フィルタリングする) を指定します。
優先順位 の数量には常に値が必要です。これを指定しない場合、Error and above の優先度が自動的にフィルターされます。テキスト検索ボックスに、設定したオプションに注目してください。
フィルターするログフィールドを指定します。
複数のログフィールドを追加できます。
- 自由形式文字列を使用して他の文字を検索できます。検索ボックスにも正規表現も使用できます。
5.5. ログフィルタリングのオプション
複数の journalctl
オプションがあり、Web コンソールでのログのフィルタリングに使用できます。これは便利な場合があります。これらの一部は、Web コンソールインターフェースのドロップダウンメニューですでに扱われています。
表5.1 表
オプション名 | Usage | 備考 |
---|---|---|
| メッセージの優先度による出力をフィルタリングします。単一数値またはテキストログレベルを取ります。ログレベルは、通常の syslog ログレベルです。単一のログレベルが指定されている場合、このログレベルまたは低い (より重要な) ログレベルを持つすべてのメッセージが表示されます。 | 優先順位 ドロップダウンメニューで説明されます。 |
| 指定された syslog 識別子 SYSLOG_IDENTIFIER のメッセージを表示します。複数回指定できます。 | 識別子 ドロップダウンメニューで説明されています。 |
| 最新のジャーナルエントリーのみを表示し、ジャーナルに追加されるように新しいエントリーを継続的に出力します。 | ドロップダウンで説明しません。 |
|
指定した |
ドロップダウンで説明されません。 |
| 特定のブートのメッセージを表示します。 正の整数は、ジャーナルの最初から起動を探し、ゼロ以下の整数は、ジャーナルの最後から起動を探します。このため、1 は、時系列順でジャーナルで見つかった最初の起動を意味し、2 は次に見つかったものと続きます。また、0 は最後の起動、-1 は最後の前の起動となります。 | 時間 ドロップダウンメニューでは、現在の起動 または 以前の起動 としてのみ説明されています。その他のオプションは手動で書き込む必要があります。 |
| 指定の日付以降のエントリーまたは指定の日付以前のエントリーを示します。日付は、「2012-10-30 18:17:16」の形式にする必要があります。時間部分を省略すると、「00:00:00」が想定されます。2 番目のコンポーネントのみを省略すると、「:00」が想定されます。日付コンポーネントを省略すると、現在の日付が想定されます。「yesterday」、「today」、「tomorrow」も利用できます。それぞれ、現在の日付けの前の 00:00:00、現在の日付け、現在の日付けの後の日を参照します。「now」は、現在時刻を意味します。最後に、相対時間は「-」または「+」を前に付けてを指定できます。これは、現在時間の前または後の時間を参照します。 | ドロップダウンで説明しません。 |
第6章 Web コンソールでユーザーアカウントの管理
RHEL Web コンソールは、システムユーザーアカウントの追加、編集、および削除を行うインターフェースを提供します。
本セクションの内容を読むと、以下を理解できます。
- 既存のアカウントが存在する場所
- 新規アカウントの追加方法
- パスワードの有効期限の設定方法
- ユーザーセッションを終了する方法および時期
前提条件
- 管理者権限が割り当てられたアカウントで RHEL Web コンソールにログインしている。詳細は「RHEL 8 Web コンソールへのログイン」を参照してください。
6.1. Web コンソールで管理されるシステムユーザーアカウント
RHEL Web コンソールに表示されているユーザーアカウントでは、以下が可能になります。
- システムにアクセスする際にユーザーを認証する
- システムへのアクセス権を設定する
RHEL Web コンソールは、システムに存在するすべてのユーザーアカウントを表示します。そのため、最初に Web コンソールにログインした直後は、ユーザーアカウントが少なくとも 1 つ表示されます。
RHEL Web コンソールにログインしたら、以下の操作を実行できます。
- 新規ユーザーアカウントの作成
- パラメーターの変更
- アカウントのロック
- ユーザーセッションの終了
6.2. Web コンソールで新規アカウントの追加
RHEL Web コンソールを使用して、ユーザーアカウントをシステムに追加し、アカウントに管理者権限を設定する場合は、以下の手順に従います。
前提条件
- RHEL Web コンソールがインストールされており、アクセス可能である。詳しくは、「Webコンソールのインストールと有効化」をご覧ください。
手順
- RHEL Web コンソールにログインします。
- アカウント をクリックします。
- 新規アカウントの作成 をクリックします。
フルネーム フィールドにユーザーの氏名を入力します。
RHEL Web コンソールは、入力した氏名からユーザー名が自動的に作成され、ユーザー名 フィールドに入力されます。名前の頭文字と、苗字で構成される命名規則を使用しない場合は、入力されたユーザー名を変更します。
パスワード/確認 フィールドにパスワードを入力し、再度パスワードを入力します。
フィールドの下にあるカラーバーは、入力したパスワードの強度を表し、弱いパスワードは使用できないようにします。
- 作成 をクリックして設定を保存し、ダイアログボックスを閉じます。
- 新規作成したアカウントを選択します。
ロール で、サーバー管理者 を選択します。
これで アカウント 設定に新規アカウントが表示され、認証情報を使用してシステムに接続できるようになりました。
6.3. Web コンソールでパスワード有効期限の強制
デフォルトでは、ユーザーアカウントのパスワードに期限はありません。定義した日数が経過したら、システムパスワードが期限切れになるように設定できます。パスワードが期限切れになると、次回のログイン時にパスワードの変更が要求されます。
手順
- RHEL 8 Web コンソールにログインします。
- アカウント をクリックします。
- パスワードの有効期限を設定するユーザーアカウントを選択します。
- ユーザーアカウント設定で、2 番目の 編集 をクリックします。
- パスワードの 有効期限 ダイアログボックスで、... 日ごとのパスワードの変更が必要 を選択し、パスワードの期限が切れるまでの日数(正の整数)を入力します。
- Change をクリックします。
検証手順
パスワードの有効期限が設定されていることを確認するには、アカウント設定を開きます。
RHEL 8 Webコンソールには、有効期限を表すリンクが表示されます。
6.4. Web コンソールでユーザーセッションの終了
ユーザーがシステムにログインすると、ユーザーセッションが作成されます。ユーザーセッションを終了すると、ユーザーはシステムからログアウトされます。これは、システムのアップグレードなどの、設定変更の影響を受ける管理タスクを実行する必要がある場合に便利です。
RHEL 8 Web コンソールの各ユーザーアカウントで、現在使用している Web コンソールセッション以外のセッションすべてを終了できます。これにより、システムへの不正アクセスを阻止できます。
手順
- RHEL 8 Web コンソールにログインします。
- アカウント をクリックします。
- セッションを終了するユーザーアカウントをクリックします。
セッションの 終了 をクリックします。
Terminate Session ボタンが無効になっている場合は、ユーザーがシステムにログインしていません。
RHEL Web コンソールはセッションを終了します。
第7章 Web コンソールでのサービスの管理
RHEL Web コンソールインターフェースでシステムサービスを管理する方法を説明します。サービスをアクティブまたは非アクティブにしたり、サービスを再起動または再読み込みしたり、自動起動を管理したりできます。
7.1. Web コンソールでのシステムサービスのアクティブ化または非アクティブ化
この手順では、Web コンソールインターフェースを使用して、システムサービスをアクティブまたは非アクティブにします。
前提条件
RHEL 8 Web コンソールがインストールされている。
詳細は「Web コンソールのインストール」を参照してください。
名前または説明でサービスをフィルタリングできます。また、サービスの自動起動を有効、無効、または静的なものでフィルタリングできます。インターフェースには、サービスの現在の状態と最近のログが表示されます。
管理者権限で RHEL Web コンソールにログインしている。
詳細は「Web コンソールへのログイン」を参照してください。
- 左側の Web コンソールメニューで サービス をクリックします。
サービス のデフォルトタブは システムサービス です。ターゲット、ソケット、タイマー、またはパスを管理する場合は、上部のメニューのそれぞれのタブに切り替えます。
- サービス設定を開くには、一覧から選択したサービスをクリックします。状態 列を選択すると、アクティブまたは非アクティブのサービスを確認できます。
サービスをアクティブ化または非アクティブ化します。
非アクティブなサービスをアクティブにするには、スタート ボタンをクリックします。
アクティブなサービスを非アクティブにするには、停止 ボタンをクリックします。
7.2. Web コンソールでのシステムサービスの再起動
この手順では、Web コンソールインターフェースを使用してシステムサービスを再起動します。
前提条件
RHEL 8 Web コンソールがインストールされている。
詳細は「Web コンソールのインストール」を参照してください。
名前または説明でサービスをフィルタリングできます。また、サービスの自動起動を有効、無効、または静的なものでフィルタリングできます。インターフェースには、サービスの現在の状態と最近のログが表示されます。
管理者権限で RHEL Web コンソールにログインしている。
詳細は「Web コンソールへのログイン」を参照してください。
- 左側の Web コンソールメニューで サービス をクリックします。
サービス のデフォルトタブは システムサービス です。ターゲット、ソケット、タイマー、またはパスを管理する場合は、上部のメニューのそれぞれのタブに切り替えます。
- サービス設定を開くには、一覧から選択したサービスをクリックします。
サービスを再起動するには、再起動 ボタンをクリックします。
第8章 Web コンソールを使用したネットワークボンディングの設定
RHEL 8 Web コンソールでネットワークボンディングがどのように機能し、ネットワークボンディングの設定方法を確認します。
RHEL 8 Web コンソールは、NetworkManager サービスに構築されます。
詳細は「NetworkManager を使用したネットワーク管理の開始」を参照してください。
前提条件
- RHEL 8 Web コンソールがインストールされ、有効になっている。詳細は「Web コンソールのインストール」を参照してください。
8.1. ネットワークボンディングについて
ネットワークボンディングは、スループットや冗長性が高い論理インターフェースを提供するために、ネットワークインターフェースを結合または集約する方法です。
active-backup
、balance-tlb
、および balance-alb
の各モードは、ネットワークスイッチの特定の設定を必要としません。しかし、その他のボンディングモードでは、スイッチがリンクを集約するように設定する必要があります。たとえば、Cisco スイッチでは、モード 0、2、および 3 の EtherChannel
が必要です。ただし、モード 4 の場合は、LACP (Link Aggregation Control Protocol) と EtherChannel
が必要です。
詳細は、スイッチおよび Linux Ethernet Bonding Driver HOWTO のドキュメントを参照してください。
特定のネットワークボンディング機能 (例: fail-over メカニズム) は、ネットワークスイッチなしでのダイレクトケーブル接続に対応していません。詳細は、ナレッジベースのソリューション「ボンディングは、クロスオーバーケーブルを使用したダイレクトコレクションをサポートしますか?」を参照してください。
8.2. ボンディングモード
RHEL 8 では、複数のモードオプションがあります。各モードオプションは、特定の負荷分散とフォールトトレランスを特徴としています。ボンディングインターフェースの動作は、モードによって異なります。ボンディングモードは、フォールトトレランス、負荷分散、またはその両方を提供します。
ロードバランスモード
- ラウンドロビン - 最初に利用可能なインターフェースから最後のインターフェースへ、パケットを送信します。
フォールトトレランスモード
- アクティブバックアップ - プライマリーインターフェースが失敗した場合にのみ、いずれかのバックアップインターフェースがそれを置き換えます。アクティブインターフェースが使用する MAC アドレスだけが表示されます。
ブロードキャスト - すべての送信は、すべてのインターフェースで行われます。
注記ブロードキャストは、ボンディングされたすべてのインターフェースのネットワークトラフィックを大幅に増やします。
フォールトトレランスおよび負荷分散モード
- XOR - 宛先 MAC アドレスは、モジュロハッシュを持つインターフェース間で均等に分散されます。そして、各インターフェースは、同じ MAC アドレスのグループを提供します。
802.3ad - IEEE 802.3ad 動的リンクアグリゲーションのポリシーを設定します。同一の速度とデュプレックス設定を共有するアグリゲーショングループを作成します。アクティブなアグリゲーターのすべてのインターフェースで送受信を行います。
注記このモードには、802.3ad コンプライアントのスイッチが必要です。
- 適応送信の負荷分散 - 発信トラフィックは、各インターフェースの現在の負荷に従って分散されます。受信トラフィックは、現在のインターフェースにより受信されます。受信しているインターフェースが失敗すると、別のインターフェースが、失敗したインターフェースの MAC アドレスを引き継ぎます。
適応負荷分散 - IPv4 トラフィック用の送受信負荷分散が含まれます。
受信ロードバランスは、アドレス解決プロトコル (ARP) ネゴシエーションにより行われるため、ボンディングの設定で リンク監視 を ARP に設定する必要があります。
8.3. Web コンソールを使用した新規ボンドの追加
Web コンソールを使用して、2 つ以上のネットワークインターフェースでアクティブバックアップボンディングを設定します。
その他のネットワークボンディングモードも同様に設定できます。
前提条件
- サーバーに、2 つ以上のネットワークカードがインストールされている。
- ネットワークカードがスイッチに接続されている。
手順
- RHEL 8 Web コンソールにログインします。詳細は「Web コンソールへのログイン」を参照してください。
- ネットワーキング を開きます。
- ボンディングの追加 ボタンをクリックします。
- ボンディング設定 ダイアログボックスで、新しいボンディングの名前を入力します。
- メンバーフィールドで、ボンディングのメンバーであるインターフェースを選択します。
[任意] MAC ドロップダウンリストで、このインターフェースに使用される MAC アドレスを選択します。
MAC フィールドを空のままにすると、ボンドはドロップダウンリストに一覧表示されるアドレスのいずれかを取得します。
モードドロップダウンリストで、モードを選択します。
詳細は「ネットワークボンディングモード」を参照してください。
Active Backup を選択した場合は、プライマリーインターフェースを選択します。
Link Monitoring ドロップダウンメニューの MII オプションはそのままにしておきます。
適応ロードバランスモードのみが、このオプションを ARP に切り替える必要があります。
- Monitoring Interval、Link up delay、Link down delay フィールドには、ミリ秒単位の値が含まれています。これらの値はそのままにします。トラブルシューティングだけのために、値を変更してください。
- 適用 をクリックします。
検証手順
ボンディングが正しく機能していることを確認するには、Networking セクションに移動して、インターフェース テーブルの 送信 および 受信 の列にネットワークアクティビティーが表示されるかどうかを確認します。
8.4. Web コンソールを使用したボンドへのインターフェースの追加
ネットワークボンディングには複数のインターフェースを含めることができ、いつでも追加/削除することができます。
既存のボンディングにネットワークインターフェースを追加する方法を説明します。
前提条件
- Web コンソールを使った新しいボンドの追加 で説明したように、複数のインターフェイスを持つボンドが設定されている。
手順
Web コンソールにログインします。
詳細は「Web コンソールへのログイン」を参照してください。
- ネットワーキング を開きます。
- イターフェース テーブルで、設定するボンディングをクリックします。
- ボンディング設定画面で、メンバー (インターフェース) の表をスクロールします。
- メンバーの追加 のドロップダウンアイコンをクリックします。
- ドロップダウンリストでインターフェースを選択してクリックします。
検証手順
- ボンディング設定画面の インターフェイスメンバー テーブルに、選択したインターフェイスが表示されていることを確認します。
8.5. Web コンソールを使用したボンディングからインターフェースの削除または無効化
ネットワークボンディングには複数のインターフェースを追加できます。デバイスを変更する必要がある場合は、ボンディングから特定のインターフェースを削除または無効にできます。これにより、残りのアクティブなインターフェースと動作するようになります。
ボンディングに含まれるインターフェースの使用を停止するには、以下を行います。
- ボンディングからインターフェースを削除します。
- インターフェースを一時的に無効にします。インターフェースはボンディングの一部のままになりますが、ボンディングは再び有効にするまで使用されません。
前提条件
- Web コンソールを使った新しいボンドの追加 で説明したように、複数のインターフェイスを持つボンドが設定されている。
手順
- RHEL Web コンソールにログインします。詳細は「Web コンソールへのログイン」を参照してください。
- ネットワーキング を開きます。
- 設定するボンディングをクリックします。
- ボンディング設定画面で、ポート (インターフェース) の表をスクロールします。
インターフェースを選択し、削除または無効化します。
- インターフェイスを削除する場合は、- ボタンをクリックします。
- インターフェイスを無効または有効にするには、選択したインターフェイスの横にあるスイッチを切り替えます。
選択に基づいて、Web コンソールはボンディングからインターフェースを削除または無効化し、スタンドアロンインターフェースとして Networking セクションに戻ることができます。
8.6. Web コンソールでのボンディングの削除または無効化
Web コンソールを使用してネットワークボンディングを削除または無効化します。ボンディングを無効にすると、インターフェースはボンディングに残りますが、ボンディングはネットワークトラフィックに使用されません。
前提条件
- Web コンソールには既存のボンディングがあります。
手順
Web コンソールにログインします。
詳細は「Web コンソールへのログイン」を参照してください。
- ネットワーキング を開きます。
- 削除するボンディングをクリックします。
ボンドの設定画面では、スイッチを切り替えてボンドを無効/有効にしたり、Delete ボタンをクリックしてボンドを完全に削除したりできます。
検証手順
- Networking に戻り、ボンディングのすべてのインターフェースがスタンドアロンインターフェースであることを確認します。
第9章 Web コンソールを使用したネットワークチームの設定
ネットワークボンディングの仕組み、ネットワークチームとネットワークボンディングの違い、および Web コンソールの設定の可能性を学びます。
さらに、以下に関するガイドラインを見つけることができます。
- 新規ネットワークチームの追加
- 既存のネットワークチームへの新規インターフェースの追加
- 既存のネットワークチームからのインターフェースの削除
- ネットワークチームの削除
Red Hat Enterprise Linux 9 では、ネットワークチーミングが非推奨になりました。サーバーを将来バージョンの RHEL にアップグレードする予定がある場合は、代替手段としてカーネルボンディングドライバーの使用を検討してください。詳しくは、「 ネットワークボンディングの設定 」を参照してください。
前提条件
RHEL Web コンソールがインストールされ、有効になっている。
詳細は「Web コンソールのインストール」を参照してください。
9.1. ネットワークチーミングの理解
ネットワークチーミングとは、ネットワークインターフェースを統合または集約し、より高いスループットまたは冗長性のある論理インターフェースを提供する機能です。
ネットワークチーミングでは、カーネルドライバーを使用してパケットフローの高速処理や、他のタスク用のユーザー空間ライブラリーおよびサービスを実装します。これにより、ネットワークチーミングは、負荷分散および冗長性の要件に対して、簡単に拡張可能でスケーラブルなソリューションとなります。
特定のネットワークチーミング機能 (例: フェイルオーバーメカニズム) は、ネットワークスイッチのないダイレクトケーブル接続に対応していません。詳細は、「ボンディングは、クロスオーバーケーブルを使用したダイレクトコレクションをサポートしますか?」を参照してください。
9.2. ネットワークチーミングとボンディング機能の比較
ネットワークチームおよびネットワークボンディングでサポートされている機能について説明します。
機能 | ネットワークボンド | ネットワークチーム |
---|---|---|
ブロードキャストの Tx ポリシー | はい | はい |
ラウンドロビンの Tx ポリシー | はい | はい |
アクティブバックアップの Tx ポリシー | はい | はい |
LACP (802.3ad) への対応 | あり (アクティブのみ) | はい |
ハッシュベースの Tx ポリシー | はい | はい |
ユーザーによるハッシュ機能の設定 | いいえ | はい |
Tx 負荷分散への対応 (TLB) | はい | はい |
LACP ハッシュポートの選択 | はい | はい |
LACP 対応の負荷分散 | いいえ | はい |
Ethtool リンク監視 | はい | はい |
ARP リンク監視 | はい | はい |
NS/NA (IPv6) リンク監視 | いいえ | はい |
ポートのアップ/ダウンの遅延 | はい | はい |
ポートの優先度および持続性 (スティッキネス) (「プライマリー」のオプション強化) | いいえ | はい |
ポートごとに個別のリンク監視の設定 | いいえ | はい |
複数のリンク監視の設定 | 限定的 | はい |
ロックなしの Tx/Rx パス | なし (rwlock) | あり (RCU) |
VLAN への対応 | はい | はい |
ユーザー空間のランタイム制御 | 限定的 | はい |
ユーザー空間での論理 | いいえ | はい |
拡張性 | 困難 | 容易 |
モジュラー設計 | いいえ | はい |
パフォーマンスのオーバーヘッド | 低 | 非常に低い |
D-Bus インターフェース | いいえ | はい |
複数デバイスのスタッキング | はい | はい |
LLDP を使用したゼロ設定 | いいえ | (計画中) |
NetworkManager への対応 | はい | はい |
9.3. Web コンソールを使用した新規チームの追加
Web コンソールを使用して、複数のネットワークインターフェースに新しいアクティブなバックアップネットワークチームを設定します。
前提条件
- サーバーに複数のネットワークカードがインストールされている。
- ネットワークカードがスイッチに接続されている。
手順
Web コンソールにログインします。
詳細は「Web コンソールへのログイン」を参照してください。
- ネットワーキング タブに移動します。
- チームの追加 ボタンをクリックします。
チーム設定 領域で、新規チームのパラメーターを設定します。
- チームデバイスの名前を Name フィールドに追加します。
- ポート フィールドで、チームに追加するネットワークインターフェースをすべて選択します。
- ランナー ドロップダウンメニューで、ランナーを選択します。
リンク監視 ドロップダウンメニューで、リンク監視を選択します。
- Ethtool を選択した場合には、リンク遅延とリンクダウン遅延を設定します。
- ARP Ping または NSNA Ping を選択し、さらに ping の間隔と ping ターゲットを設定します。
適用 をクリックします。
検証手順
Networking タブに移動し、Interfaces テーブルの Sending 列および Receiving 列にネットワークアクティビティーが表示されるかどうかを確認します。
関連情報
9.4. Web コンソールを使用したチームへの新規インターフェースの追加
ネットワークチームには複数のインターフェースを含めることができ、いつでもインターフェースを追加または削除できます。次のセクションでは、既存のチームに新しいネットワークインターフェースを追加する方法を説明します。
前提条件
- ネットワークチームが設定されている。
手順
Web コンソールにログインします。
詳細は「Web コンソールへのログイン」を参照してください。
- ネットワーク タブに切り替えます。
- インターフェース テーブルで、設定するチームをクリックします。
- チーム設定画面で、ポート テーブルまでスクロールします。
- + アイコンをクリックします。
ドロップダウンリストから、追加するインターフェースを選択します。
RHEL Web コンソールは、インターフェースをチームに追加します。
9.5. Web コンソールを使用したチームからインターフェースの削除または無効化
ネットワークチームには複数のインターフェースを追加できます。デバイスを変更する必要がある場合は、ネットワークチームから特定のインターフェースを削除または無効にできます。これにより、残りのアクティブなインターフェースと動作するようになります。
チームに含まれるインターフェースの使用を停止する場合は、以下のいずれかの方法で行います。
- チームからのインターフェースの削除
- インターフェースを一時的に無効その後、インターフェースはチームの一部として残りますが、再度有効にするまで使用されません。
前提条件
- 複数のインターフェースを持つネットワークチームがホストに存在する。
手順
RHEL Web コンソールにログインします。
詳細は「Web コンソールへのログイン」を参照してください。
- ネットワーク タブに切り替えます。
- 設定するチームをクリックします。
- チーム設定ウィンドウで、ポート (インターフェース) の表をスクロールします。
インターフェースを選択し、削除または無効化します。
- ON/OFF ボタンを Off に切り替えてインターフェースを無効にします。
- アイコンをクリックしてインターフェースを削除します。
選択に応じて、Web コンソールはインターフェースを削除または無効にします。インターフェースを削除すると、ネットワーク でスタンドアロンインターフェースとして利用できます。
9.6. Web コンソールでのチームの削除または無効化
Web コンソールを使用してネットワークチームを削除または無効化します。チームのみを無効にする場合、チーム内のインターフェースはそのまま残りますが、ネットワークトラフィックには使用されません。
前提条件
- ネットワークチームがホストに設定されている。
手順
Web コンソールにログインします。
詳細は「Web コンソールへのログイン」を参照してください。
- ネットワーク タブに切り替えます。
- 削除または無効にするチームをクリックします。
選択したチームを削除または無効にします。
- 削除 ボタンをクリックすると、チームを削除できます。
ON/OFF スイッチを無効な位置に移動すると、チームを無効にできます。
検証手順
- チームを削除した場合には、ネットワーク に移動して、チームからのすべてのインターフェースがスタンドアロンインターフェースとして一覧表示されていることを確認します。
第10章 Web コンソールでネットワークブリッジの設定
ネットワークブリッジは、同じ範囲の IP アドレスを持つ 1 つのサブネットに、複数のインタフェースを接続するのに使用します。
前提条件
RHEL 8 Web コンソールがインストールされ、有効になっている。
詳細は「Web コンソールのインストール」を参照してください。
10.1. Web コンソールでブリッジの追加
Web コンソールを使用して、複数のネットワークインターフェースにソフトウェアブリッジを作成します。
手順
RHEL 8 Web コンソールにログインします。
詳細は「Web コンソールへのログイン」を参照してください。
- ネットワーキング を開きます。
- ブリッジの追加 ボタンをクリックします。
- ブリッジ設定 ダイアログボックスで、新しいブリッジの名前を入力します。
- ポート フィールドで、1 つのサブネットに設定するインターフェースを選択します。
- 必要に応じて、スパニング ツリープロトコル (STP) を選択し、ブリッジループおよびブロードキャストの蓄積をしないようにします。
- 作成 をクリックします。
検証手順
- ネットワーク に移動し、インターフェイス テーブルで新しいブリッジが表示されていることを確認します。
新たに作成されたブリッジの行で、送信 と 受信 の値を確認します。
ブリッジを介して送受信されていない場合は、接続が正常に動作していないため、ネットワーク設定を調整する必要があります。
10.2. Web コンソールで静的 IP アドレスの設定
システムの IP アドレスは、DHCP サーバーによりプールから自動的に割り当てられるか、手動で割り当てることができます。手動で割り当てた IP アドレスは、DHCP サーバー設定の影響を受けません。
RHEL Web コンソールを使用して、ネットワークブリッジの静的 IPv4 アドレスを設定する方法を説明します。
手順
RHEL Web コンソールにログインします。
詳細は「Web コンソールへのログイン」を参照してください。
- ネットワーキング セクションを開きます。
- 静的な IP アドレスを設定するインターフェースをクリックします。
インターフェイスの詳細画面で、IPv4 行の 編集 をクリックします。
IPv4 のセッティング ダイアログボックスの アドレス ドロップダウンリストで、手作業 を選択します。
アドレス フィールドに、IP アドレス、ネットマスク、およびゲートウェイを入力します。
- 適用 をクリックします。
検証手順
ブリッジの詳細テーブルの IPv4 行に、新しい静的 IP アドレスが表示されていることを確認します。
10.3. Web コンソールでブリッジからインターフェースを削除
ネットワークブリッジには複数のインターフェースを追加できます。インターフェースは、ブリッジから削除できます。削除した各インターフェースは、自動的にスタンドアロンインターフェースに変更します。
RHEL 8 システムで作成したソフトウェアブリッジからネットワークインターフェースを削除する方法を説明します。
前提条件
- システムで複数のインターフェースを持つブリッジがある。
手順
- RHEL Web コンソールにログインします。詳細は「Web コンソールへのログイン」を参照してください。
- ネットワーキング を開きます。
- 設定するブリッジを選択します。
- ブリッジ設定画面で、ポート (インターフェース) の表をスクロールします。
- インターフェイスを選択し、- ボタンをクリックします。
検証手順
- Networking に移動して、Interface members テーブルにスタンドアロンインターフェイスとして表示されていることを確認します。
10.4. Web コンソールでブリッジの削除
RHEL Web コンソールで、ソフトウェアのネットワークブリッジを削除できます。ブリッジに含まれるすべてのネットワークインターフェースが、自動的にスタンドアロンインターフェースに変更されます。
前提条件
- システムにブリッジがある。
手順
RHEL Web コンソールにログインします。
詳細は「Web コンソールへのログイン」を参照してください。
- ネットワーキング セクションを開きます。
- 設定するブリッジを選択します。
削除 をクリックします。
検証手順
- ネットワーク に戻り、すべてのネットワークインターフェイスが インターフェイスメンバーテーブル に表示されていることを確認します。
以前はブリッジの一部であったインターフェイスが無効になることもあります。必要に応じて、アクティベーションを行い、ネットワークパラメーターを手動で設定してください。
第11章 Web コンソールで VLAN の設定
VLAN (仮想 LAN) は、1 つの物理イーサネットインターフェースに作成した仮想ネットワークです。各 VLAN には、固有の正の整数が表示され、スタンドアロンインターフェースとして機能する ID により定義されます。
RHEL Web コンソールで VLAN を作成する方法を説明します。
前提条件
- RHEL Web コンソールをインストールし、アクセスできる。詳細は「Web コンソールのインストール」を参照してください。
- システムでネットワークインターフェースを使用する。
手順
RHEL Web コンソールにログインします。
詳細は「Web コンソールへのログイン」を参照してください。
- ネットワーキング を開きます。
- VLAN の追加 ボタンをクリックします。
- VLAN 設定 ダイアログボックスでは、VLAN を作成する物理インターフェースを選択します。
- VLAN ID を入力するか、事前定義の数値を使用します。
名前 フィールドに、親インターフェースおよび VLAN ID で構成されている事前定義名が表示されます。この名前が必要ない場合は、そのままにしておきます。
- 適用 をクリックします。
検証手順
Networking を開き、Interfaces テーブルに新しい VLAN が表示されていることを確認します。
ネットワーク設定を行うには、表中の新しく作成した VLAN をクリックします。
第12章 Web コンソールのリッスンポートの設定
RHEL 8 Web コンソールを使用して、新しいポートを許可するか、既存のポートを変更する方法を説明します。
12.1. アクティブな SELinux があるシステムで新しいポートを許可
選択したポートで Web コンソールがリッスンできるようにします。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は「Web コンソールのインストール」を参照してください。
手順
SELinux の他の部分で定義されていないポートの場合は、次のコマンドを実行します。
$ sudo semanage port -a -t websm_port_t -p tcp PORT_NUMBER
SELinux の他の部分で既に定義されているポートの場合は、次のコマンドを実行します。
$ sudo semanage port -m -t websm_port_t -p tcp PORT_NUMBER
変更はすぐに有効になります。
12.2. firewalld
を使用したシステムでの新規ポートの許可
Web コンソールが新規ポートで接続を受信しるようにします。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は「Web コンソールのインストール」を参照してください。
-
firewalld
サービスが実行している。
手順
新しいポート番号を追加するには、次のコマンドを実行します。
$ sudo firewall-cmd --permanent --service cockpit --add-port=PORT_NUMBER/tcp
cockpit
サービスから古いポート番号を削除するには、次のコマンドを実行します。$ sudo firewall-cmd --permanent --service cockpit --remove-port=OLD_PORT_NUMBER/tcp
--permanent
オプションなしで firewall-cmd --service cockpit --add-port=PORT_NUMBER/tcp
を実行するだけで、次回の firewalld
の再読み込みまたはシステムの再起動で変更が取り消されます。
12.3. Web コンソールポートの変更
ポート 9090 でデフォルトの転送制御プロトコル (TCP) を別のポートに変更します。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は「 Web コンソールのインストール」を 参照してください。
- SELinux でシステムを保護する場合は、Cockpit が新しいポートをリッスンするように設定する必要があります。詳細は「アクティブな SELinux があるシステムで新しいポートを許可」を参照してください。
-
ファイアウォールとして
firewalld
を設定している場合は、新しいポートで Cockpit の受信接続を許可するように設定する必要があります。詳細は「firewalld
でシステムの新しいポートを許可」を参照してください。
手順
以下のいずれかの方法でリッスンポートを変更します。
systemctl edit cockpit.socket
コマンドの使用次のコマンドを実行します。
$ sudo systemctl edit cockpit.socket
これにより、
/etc/systemd/system/cockpit.socket.d/override.conf
ファイルが作成されます。override.conf
の内容を変更するか、以下の形式で新しいコンテンツを追加します。[Socket] ListenStream= ListenStream=PORT_NUMBER
または、上記の内容を
/etc/systemd/system/cockpit.socket.d/listen.conf
ファイルに追加します。cockpit.socket.d.
ディレクトリーがない場合は、listen.conf
ファイルを作成します。
変更を有効にするには、次のコマンドを実行します。
$ sudo systemctl daemon-reload $ sudo systemctl restart cockpit.socket
前の手順で
systemctl edit cockpit.socket
を使用していた場合は、systemctl daemon-reload
を実行する必要はありません。
検証手順
- 変更が成功したことを確認するには、新しいポートで Web コンソールへの接続を試行します。
第13章 Web コンソールでファイアウォールの管理
ファイアウォールは、外部からの不要なトラフィックからマシンを保護する方法です。ファイアウォールルールセットを定義することで、ホストマシンに着信ネットワークトラフィックを制御できます。このようなルールは、着信トラフィックを分類して、拒否または許可するために使用されます。
前提条件
RHEL 8 Web コンソールで、firewalld サービスが設定されている。
firewalld サービスの詳細は「firewalld の使用」を参照してください。
13.1. Web コンソールでファイアウォールの実行
本セクションでは、Web コンソールを使用して、RHEL 8 システムのファイアウォールをどこでどのように実行するかを説明します。
RHEL 8 Web コンソールで、firewalld サービスが設定されている。
手順
- RHEL 8 Web コンソールにログインします。詳細は「Web コンソールへのログイン」を参照してください。
- ネットワーキング セクションを開きます。
ファイアウォールの 項目で、ファイアウォールを実行するスライダーをクリックします。
Firewall のスライダーが表示されない場合は、Web コンソールに管理者権限でログインしてください。
この時点で、ファイアウォールは実行しています。
ファイアウォールのルールを設定するには、「 Web コンソールを使用したファイアウォールでサービスの有効化 」を参照してください。
13.2. Web コンソールでファイアウォールの停止
本セクションでは、Web コンソールの RHEL 8 システムファイアウォールをどこでどのように停止するかを説明します。
RHEL 8 Web コンソールで、firewalld サービスが設定されている。
手順
- RHEL 8 Web コンソールにログインします。詳細は「Web コンソールへのログイン」を参照してください。
- ネットワーキング セクションを開きます。
ファイアウォールの 項目で、スライダーをクリックするとファイアウォールが停止します。
Firewall のスライダーが表示されない場合は、Web コンソールに管理者権限でログインしてください。
この段階では、ファイアウォールは停止しており、システムは保護されていません。
13.3. ゾーン
firewalld
は、インターフェースに追加する信頼レベルと、そのネットワークのトラフィックに従って、複数のネットワークを複数のゾーンに分類できます。接続は、1 つのゾーンにしか指定できませんが、ゾーンは多くのネットワーク接続に使用できます。
NetworkManager
は、firewalld
にインターフェースのゾーンを通知します。以下を使用して、ゾーンをインターフェースに割り当てることができます。
-
NetworkManager
-
firewall-config
ツール -
firewall-cmd
コマンドラインツール - RHEL Web コンソール
後者の 3 つは、適切な NetworkManager
設定ファイルの編集のみを行います。Web コンソールを使用してインターフェースのゾーンを変更する (firewall-cmd
または firewall-config
) と、リクエストが NetworkManager
に転送され、firewalld
では処理されません。
事前定義したゾーンは /usr/lib/firewalld/zones/
ディレクトリーに保存され、利用可能なネットワークインターフェースに即座に適用されます。このファイルは、修正しないと /etc/firewalld/zones/
ディレクトリーにコピーされません。事前定義したゾーンのデフォルト設定は以下のようになります。
block
-
IPv4
の場合は icmp-host-prohibited メッセージ、IPv6
の場合は icmp6-adm-prohibited メッセージで、すべての着信ネットワーク接続が拒否されます。システムで開始したネットワーク接続のみが可能です。 dmz
- 公開アクセスは可能ですが、内部ネットワークへのアクセスに制限がある非武装地帯にあるコンピューター向けです。選択した着信接続のみが許可されます。
drop
- 着信ネットワークパケットは、通知なしで遮断されます。発信ネットワーク接続だけが可能です。
external
- マスカレードをルーター用に特別に有効にした外部ネットワークでの使用向けです。自分のコンピューターを保護するため、ネットワーク上の他のコンピューターを信頼しません。選択した着信接続のみが許可されます。
home
- そのネットワークでその他のコンピューターをほぼ信頼できる自宅での使用向けです。選択した着信接続のみが許可されます。
internal
- そのネットワークでその他のコンピューターをほぼ信頼できる内部ネットワーク向けです。選択した着信接続のみが許可されます。
public
- そのネットワークでその他のコンピューターを信頼できないパブリックエリア向けです。選択した着信接続のみが許可されます。
trusted
- すべてのネットワーク接続が許可されます。
work
- そのネットワークで、その他のコンピューターをほぼ信頼できる職場での使用向けです。選択した着信接続のみが許可されます。
このゾーンのいずれかを デフォルト ゾーンに設定できます。インターフェース接続を NetworkManager
に追加すると、デフォルトゾーンに割り当てられます。firewalld
のデフォルトゾーンは、インストール時に public
ゾーンに設定されます。デフォルトゾーンは変更できます。
ネットワークゾーン名は、分かりやすく、ユーザーが妥当な決定をすばやく下せるような名前が付けられています。セキュリティー問題を回避するために、ニーズおよびリスク評価に合わせて、デフォルトゾーンの設定の見直しを行ったり、不要なサービスを無効にしてください。
関連情報
-
firewalld.zone(5)
の man ページ
13.4. Web コンソールのゾーン
Red Hat Enterprise Linux Web コンソールは、firewalld サービスの主な機能を実装し、以下を可能にします。
- 事前定義したファイアウォールゾーンを特定のインターフェースまたは IP アドレスの範囲に追加します。
- サービスを選択して、有効なサービスの一覧にゾーンを設定できます。
- 有効なサービスの一覧からサービスを削除して、サービスを無効にすることもできます。
- インターフェースからゾーンの削除
13.5. Web コンソールでゾーンの有効化
Web コンソールでは、特定のインターフェースまたは IP アドレスの範囲に対して、事前定義のファイアウォールゾーンおよび既存のファイアウォールゾーンを適用できます。本セクションは、インターフェースでゾーンを有効にする方法を説明します。
前提条件
- RHEL 8 Web コンソールがインストールされている。詳細は「Web コンソールのインストール」を参照してください。
- ファイアウォールが有効になっている。詳細は「 Web コンソールを使用したファイアウォールの実行 」を参照してください。
手順
- 管理者権限で Web コンソールにログインします。詳細は「Web コンソールへのログイン」を参照してください。
- ネットワーキング をクリックします。
ルールとゾーンの編集 ボタンをクリックします。
ルールとゾーンの編集 ボタンが表示されない場合は、管理者権限で Web コンソールにログインしてください。
- ファイアウォール セクションの 新規ゾーンの追加 をクリックします。
ゾーンの追加 ダイアログボックスで、信頼レベル オプションからゾーンを選択します。
firewalld
サービスで事前定義しているすべてのゾーンを確認できます。- インターフェース で、選択したゾーンが適用されるインターフェースを選択します。
許可されたサービス で、ゾーンを適用するかどうかを選択できます。
- サブネット全体
または、以下の形式の IP アドレスの範囲
- 192.168.1.0
- 192.168.1.0/24
- 192.168.1.0/24, 192.168.1.0
ゾーンの追加 ボタンをクリックします。
Firewall で設定を確認します。
13.6. Web コンソールを使用してファイアウォールでサービスを有効化
デフォルトでは、サービスはデフォルトのファイアウォールゾーンに追加されます。他のネットワークインターフェースで別のファイアウォールゾーンも使用する場合は、最初にゾーンを選択してから、そのサービスをポートとともに追加する必要があります。
RHEL 8 Web コンソールは、事前定義の firewalld
サービスを表示し、アクティブなファイアウォールゾーンに追加できます。
RHEL 8 Web コンソールで、firewalld サービスが設定されている。
また、Web コンソールは、Web コンソールに追加されていない一般的な firewalld
ルールを許可しません。
前提条件
- RHEL 8 Web コンソールがインストールされている。詳細は「Web コンソールのインストール」を参照してください。
- ファイアウォールが有効になっている。詳細は「 Web コンソールを使用したファイアウォールの実行 」を参照してください。
手順
- 管理者権限で RHEL Web コンソールにログインしている。詳細は「Web コンソールへのログイン」を参照してください。
- ネットワーキング をクリックします。
ルールとゾーンの編集 ボタンをクリックします。
ルールとゾーンの編集 ボタンが表示されない場合は、管理者権限で Web コンソールにログインしてください。
ファイアウォール セクションで、サービスを追加するゾーンを選択し、サービスの追加 をクリックします。
- サービスの追加 ダイアログボックスで、ファイアウォールで有効にするサービスを見つけます。
必要なサービスを有効にします。
- サービスの追加 をクリックします。
この時点で、RHEL 8 Web コンソールは、ゾーン のサービス一覧にサービスを表示し ます。
13.7. Web コンソールでカスタムポートの設定
Web コンソールでは、以下を追加できます。
- 標準のポートでリッスンするサービス : Web コンソールを使用してファイアウォールでサービスを有効化
- カスタムポートでリッスンするサービス。
本セクションでは、カスタムポートを設定したサービスを追加する方法を説明します。
前提条件
- RHEL 8 Web コンソールがインストールされている。詳細は「Web コンソールのインストール」を参照してください。
- ファイアウォールが有効になっている。詳細は「 Web コンソールを使用したファイアウォールの実行 」を参照してください。
手順
- 管理者権限で RHEL Web コンソールにログインしている。詳細は「Web コンソールへのログイン」を参照してください。
- ネットワーキング をクリックします。
ルールとゾーンの編集 ボタンをクリックします。
ルールとゾーンの編集 ボタンが表示されない場合は、Web コンソールに管理者権限でログインしてください。
ファイアウォール セクションで、カスタムポートを設定するゾーンを選択し、サービスの追加 をクリックします。
- サービスの追加 ダイアログボックスで、カスタムポート ラジオボタンをクリックします。
TCP フィールドおよび UDP フィールドに、例に従ってポートを追加します。以下の形式でポートを追加できます。
- ポート番号 (22など)
- ポート番号の範囲 (5900-5910 など)
- エイリアス (nfs、rsync など)
注記各フィールドには、複数の値を追加できます。値はコンマで区切り、スペースは使用しないでください (例:8080,8081,http)。
TCP フィールドまたは UDP フィールド、もしくはその両方にポート番号を追加したら、名前 フィールドのサービス名を確認します。
名前 フィールドには、このポートを予約しているサービスの名前が表示されます。このポートが無料で、サーバーがこのポートで通信する必要がない場合は、名前を書き換えることができます。
- 名前 フィールドに、定義されたポートを含むサービスの名前を追加します。
ポートの追加 ボタンをクリックします。
設定を確認するには、ファイアウォール ページに移動し、ゾーンの サービス 一覧でサービスを見つけます。
13.8. Web コンソールを使用したゾーンの無効化
本セクションは、Web コンソールを使用してファイアウォール設定のファイアウォールゾーンを無効にする方法を説明します。
前提条件
- RHEL 8 Web コンソールがインストールされている。詳細は「Web コンソールのインストール」を参照してください。
手順
- 管理者権限で RHEL Web コンソールにログインしている。詳細は「Web コンソールへのログイン」を参照してください。
- ネットワーキング をクリックします。
ルールとゾーンの編集 ボタンをクリックします。
ルールとゾーンの編集 ボタンが表示されない場合は、管理者権限で Web コンソールにログインしてください。
削除するゾーンの オプションアイコン をクリックします。
- 削除 をクリックします。
これでゾーンが無効になり、そのゾーンに設定されたオープンなサービスおよびポートがインターフェースに含まれなくなります。
第14章 生成された Ansible Playbook の適用
SELinux で問題のトラブルシューティングを行う場合、Web コンソールではシェルスクリプトまたは Ansible Playbook を生成でき、さらにマシンをエクスポートおよび適用できます。
前提条件
Web コンソールインターフェースがインストールがインストールされアクセス可能。
詳細は「Web コンソールのインストール」を参照してください。
手順
- SELinux をクリックします。
右上の View the automation script をクリックします。
生成されたスクリプトを含むウィンドウが開きます。シェルスクリプトと Ansible Playbook の生成オプションタブ間を移動できます。
- Copy to clipboard ボタンをクリックし、スクリプトまたは Playbook を選択して適用します。
これにより、他のマシンに適用できる自動スクリプトがあります。
関連情報
- SELinux 関連の問題のトラブルシューティング
- 複数のシステムへの同じ SELinux 設定のデプロイメント
-
ansible-playbook
コマンドの詳細は、man ページのansible-playbook(1)
を参照してください。
第15章 Web コンソールでパーティションの管理
Web コンソールを使用して、RHEL 8 でファイルシステムを管理する方法を説明します。
利用可能なファイルシステムの詳細は、「利用可能なファイルシステム の概要 」を参照してください。
15.1. ファイルシステムでフォーマットされたパーティションを Web コンソールに表示
Web コンソールの ストレージ セクションには、ファイルシステム テーブルで使用可能なファイルシステムがすべて表示されます。
本セクションでは、Web コンソールに表示されるファイルシステムでフォーマットされたパーティションの一覧に移動します。
前提条件
-
cockpit-storaged
パッケージがシステムにインストールされている。 - Web コンソールがインストールされており、アクセス可能である。詳細は「Web コンソールのインストール」を参照してください。
手順
- RHEL 8 Web コンソールにログインします。詳細は「 Web コンソールへのログイン」を 参照してください。
- ストレージ タブをクリックします。
Filesystems テーブルでは、ファイルシステムでフォーマットされ利用可能なすべてのパーティションと、その名前、サイズ、および各パーティションで利用可能な容量を確認できます。
15.2. Web コンソールでパーティションの作成
新しいパーティションを作成するには、以下を行います。
- 既存のパーティションテーブルを使用する
- パーティションを作成する
前提条件
-
cockpit-storaged
パッケージがシステムにインストールされている。 - Web コンソールがインストールされており、アクセス可能である。詳細は「Web コンソールのインストール」を参照してください。
- 未フォーマットのボリュームが、ストレージ タブの その他のデバイス テーブルに表示されるシステムに接続されている。
手順
- RHEL Web コンソールにログインします。詳細は「Web コンソールへのログイン」を参照してください。
- ストレージ タブをクリックします。
- 他のデバイス テーブルで、パーティションを作成するボリュームをクリックします。
- コンテンツ セクションで、パーティションの作成 ボタンをクリックします。
- パーティションの作成 ダイアログボックスで、新しいパーティションのサイズを選択します。
削除 ドロップダウンメニューから、以下を選択します。
- 既存のデータを上書きしない - RHEL Web コンソールは、ディスクヘッダーのみを書き換えます。このオプションの利点は、フォーマットの速度です。
- 既存のデータをゼロで上書きする - RHEL Web コンソールは、ディスク全体をゼロで書き直します。このプログラムはディスク全体を調べるため、このオプションを使用すると遅くなりますが、安全性は高まります。ディスクにデータが含まれていて、上書きする必要がある場合は、このオプションを使用します。
種類 ドロップダウンメニューで、ファイルシステムを選択します。
- XFS ファイルシステムは大規模な論理ボリュームをサポートし、オンラインの物理ドライブを停止せずに、既存のファイルシステムの拡大および縮小を行うことができます。別のストレージの使用を希望しない場合は、このファイルシステムを選択したままにしてください。
ext4 ファイルシステムは以下に対応します。
- 論理ボリューム
- オンラインの物理ドライブを停止せずに切り替え
- ファイルシステムの拡張
- ファイルシステムの縮小
追加オプションは、LUKS (Linux Unified Key Setup) によって行われるパーティションの暗号化を有効にすることです。これにより、パスフレーズでボリュームを暗号化できます。
- 名前 フィールドに、論理ボリューム名を入力します。
マウント ドロップダウンメニューで、カスタム を選択します。
デフォルト オプションでは、システムを次回起動したときにファイルシステムがマウントされているとは限りません。
- マウントポイント フィールドに、マウントパスを追加します。
- 起動時にマウント を選択します。
パーティションの作成 ボタンをクリックします。
ボリュームのサイズや、選択するオプションによって、フォーマットに数分かかることがあります。
フォーマットが完了したら、ファイルシステム タブで、フォーマットした論理ボリュームの詳細を表示できます。
検証手順
- パーティションが正常に追加されたことを確認するには、ストレージ タブに切り替えて、ファイルシステム テーブルを確認します。
15.3. Web コンソールでパーティションの削除
次の手順では、Web コンソール インターフェイスでパーティションを削除する方法を説明します。
前提条件
-
cockpit-storaged
パッケージがシステムにインストールされている。 - Web コンソールがインストールされており、アクセス可能である。詳細は「Web コンソールのインストール」を参照してください。
パーティションのファイルシステムのマウントを解除している。
パーティションのマウントとマウント解除の詳細は、「 Web コンソールでファイルシステムのマウントとアンマウント 」を参照してください。
手順
- RHEL Web コンソールにログインします。詳細は「Web コンソールへのログイン」を参照してください。
- ストレージ タブをクリックします。
- ファイルシステム テーブルで、パーティションを削除するボリュームを選択します。
- コンテンツ セクションで、削除するパーティションをクリックします。
パーティションがロールダウンし、削除 ボタンをクリックできます。
パーティションをマウントして使用しないでください。
検証手順
- パーティションが正常に削除されたことを確認するには、ストレージ タブに切り替えて、コンテンツ テーブルを確認します。
15.4. Web コンソールでのファイルシステムのマウントとマウント解除
RHEL システムでパーティションを使用できるようにするには、パーティションにファイルシステムをデバイスとしてマウントする必要があります。
ファイルシステムのマウントを解除することもできます。アンマウントすると RHEL システムはその使用を停止します。ファイルシステムのマウントを解除すると、デバイスを削除 (delete または remove) または再読み込みできるようになります。
前提条件
-
cockpit-storaged
パッケージがシステムにインストールされている。 - Web コンソールがインストールされており、アクセス可能である。詳細は「Web コンソールのインストール」を参照してください。
- ファイルシステムのマウントを解除する場合は、システムがパーティションに保存されているファイル、サービス、またはアプリケーションを使用しないようにする。
手順
- RHEL Web コンソールにログインします。詳細は「Web コンソールへのログイン」を参照してください。
- ストレージ タブをクリックします。
- ファイルシステム テーブルで、パーティションを削除するボリュームを選択します。
- コンテンツ セクションで、ファイルシステムをマウントまたはマウント解除するパーティションをクリックします。
マウント ボタンまたはアンマウント ボタンをクリックします。
この時点で、ファイルシステムはアクションに従ってマウントまたはマウント解除されています。
第16章 Web コンソールで NFS マウントの管理
RHEL 8 Web コンソールを使用すると、ネットワークファイルシステム (NFS) プロトコルを使用して、リモートディレクトリーをマウントできます。
NFS を使用すると、ネットワークに置かれたリモートディレクトリーに到達してマウントし、ディレクトリーが物理ドライブに置かれているかのようにファイルを操作できます。
前提条件
RHEL 8 Web コンソールがインストールされている。
詳細は「Web コンソールのインストール」を参照してください。
-
cockpit-storaged
パッケージがシステムにインストールされている。 - NFS サーバー名または IP アドレス
- リモートサーバーのディレクトリーのパス
16.1. Web コンソールで NFS マウントの接続
NFS を使用して、リモートディレクトリーをファイルシステムに接続します。
前提条件
- NFS サーバー名または IP アドレス
- リモートサーバーのディレクトリーのパス
手順
- RHEL 8 Web コンソールにログインします。詳細は「Web コンソールへのログイン」を参照してください。
- ストレージ をクリックします。
NFS マウント セクションで + をクリックします。
- NFS の新規マウント ダイアログボックスに、リモートサーバーのサーバー名または IP アドレスを入力します。
- サーバーのパス フィールドに、マウントするディレクトリーのパスを入力します。
- ローカルマウントポイント フィールドに、ローカルシステムでディレクトリーを検索するパスを入力します。
- 起動時にマウント を選択します。ローカルシステムを再起動すると、ディレクトリーに到達可能になります。
コンテンツを変更しない場合は、必要に応じて、読み取り専用でマウント を選択します。
- Add をクリックします。
検証手順
- マウントしたディレクトリーを開き、コンテンツがアクセスできることを確認します。
接続をトラブルシューティングするには、カスタムのマウントオプション で調整できます。
16.2. Web コンソールで NFS マウントオプションのカスタマイズ
既存の NFS マウントを編集し、カスタムのマウントオプションを追加します。
カスタムのマウントオプションは、タイムアウトの制限を変更したり、認証を設定するなどの NFS マウントの接続をトラブルシュートしてパラメーターを変更するのに役に立ちます。
前提条件
- NFS マウントが追加されている。
手順
- RHEL 8 Web コンソールにログインします。詳細は「Web コンソールへのログイン」を参照してください。
- ストレージ をクリックします。
- 調整する NFS マウントをクリックします。
リモートディレクトリーをマウントしている場合は、アンマウント をクリックします。
カスタムのマウントオプションの設定時には、ディレクトリーをマウントできません。それ以外の場合は、Web コンソールが設定を保存しないため、エラーが発生します。
- 編集 をクリックします。
- NFS マウント ダイアログボックスで、カスタムのマウントオプション を選択します。
マウントオプションを、コンマで区切って入力します。以下に例を示します。
-
nfsvers=4
- NFS プロトコルのバージョン番号 -
soft
- NFS 要求のタイムアウト後に復元する種類 -
sec=krb5
- NFS サーバーのファイルが、Kerberos 認証により保護されます。NFS のクライアントとサーバーの両方で Kerberos 認証に対応する必要があります。
-
NFS マウントオプションの一覧は、コマンドラインで man nfs
を実行します。
- 適用 をクリックします。
- マウント をクリックします。
検証手順
- マウントしたディレクトリーを開き、コンテンツがアクセスできることを確認します。
第17章 Web コンソールで独立したディスクの冗長アレイを管理
RAID (Redundant Arrays of Independent Disks) は、1 つのストレージに複数のディスクを配置する方法を示します。RAID は、ディスク障害に対して、ディスクに保存されているデータを保護します。
RAID は、次のデータ配信ストラテジーを使用します。
- ミラーリング - データは、2 つの異なる場所にコピーします。片方のディスクに障害が発生しても、コピーがあるため、データが失われることはありません。
- ストライピング - データが均等に分散されています。
保護レベルは、RAID レベルにより異なります。
RHEL Web コンソールは、次の RAID レベルに対応します。
- RAID 0 (ストライプ)
- RAID 1 (ミラー)
- RAID 4 (専用パリティー)
- RAID 5 (分散パリティー)
- RAID 6 (ダブル分散パリティー)
- RAID 10 (ミラーのストライプ)
RAID でディスクを使用する前に、以下を行う必要があります。
- RAID を作成します。
- ファイルシステムでフォーマットします。
- RAID をサーバーにマウントします。
前提条件
- RHEL 8 Web コンソールをインストールし、アクセスできる。詳細は「Web コンソールのインストール」を参照してください。
-
cockpit-storaged
パッケージがシステムにインストールされている。
17.1. Web コンソールで RAID の作成
RHEL 8 Web コンソールで RAID を設定します。
前提条件
- システムに接続している物理ディスク。各 RAID レベルで必要なディスク容量は異なります。
手順
- RHEL 8 Web コンソールを開きます。
- ストレージ をクリックします。
- デバイス テーブルのメニューアイコンをクリックします。
- RAID デバイスの作成 をクリックします。
- RAID デバイスの作成 ダイアログボックスで、新しい RAID の名前を入力します。
- RAID レベル ドロップダウンリストで、使用する RAID レベルを選択します。
チャンクサイズ ドロップダウンリストに事前定義されている値は変更しません。
チャンクサイズ 値は、データの書き込みに使用する各ブロックのサイズを指定します。チャンクサイズが 512 KiB の場合、システムは最初の 512 KiB を最初のディスクに書き込み、次の 512 KiB を次のディスクに書き込み、その次の 512 KiB をその次のディスクに書き込みます。RAID に 3 つのディスクがある場合は、4 つ目の 512 KiB が最初のディスクに再度書き込まれます。
- RAID に使用するディスクを選択します。
- 作成 をクリックします。
検証手順
- ストレージ セクションに移動し、RAID デバイス ボックスに新しい RAID が表示されることを確認してフォーマットします。
Web コンソールで新しい RAID をフォーマットしてマウントする方法として、以下のオプションがあります。
17.2. Web コンソールで RAID のフォーマット
RHEL 8 Web インターフェースで作成された新しいソフトウェアの RAID デバイスをフォーマットします。
前提条件
- 物理ディスクが接続され、RHEL 8 から確認できる。
- RAID が追加されている。
- RAID に使用するファイルシステムを検討する。
- パーティションテーブルの作成を検討する。
手順
- RHEL 8 Web コンソールを開きます。
- ストレージ をクリックします。
- RAID デバイス ボックスで、フォーマットする RAID をクリックして選択します。
- RAID の詳細画面で、コンテンツ までスクロールします。
- 新規作成した RAID をクリックします。
- フォーマット ボタンをクリックします。
削除 ドロップダウンリストで、以下を選択します。
- 既存のデータを上書きしない - RHEL Web コンソールは、ディスクヘッダーのみを書き換えます。このオプションの利点は、フォーマットの速度です。
- 既存のデータをゼロで上書きする - RHEL Web コンソールは、ディスク全体をゼロで書き直します。このプログラムはディスク全体を調べるため、このオプションを使用すると遅くなります。RAID にデータが含まれていて、書き換える必要がある場合は、このオプションを使用します。
- 強い希望がない場合は、種類 ドロップダウンリストで、XFS ファイルシステムを選択します。
- ファイルシステムの名前を入力します。
マウント ドロップダウンリストで、カスタム を選択します。
デフォルト オプションでは、システムを次回起動したときにファイルシステムがマウントされているとは限りません。
- マウントポイント フィールドに、マウントパスを追加します。
- 起動時にマウント を選択します。
フォーマット ボタンをクリックします。
フォーマットに使用されるオプションや、RAID のサイズによって、フォーマットに数分かかることがあります。
成功すると、ファイルシステム タブに、フォーマットされた RAID の詳細が表示されます。
- RAID を使用する場合は、マウント をクリックします。
この時点で、システムが、マウントされてフォーマットされた RAID を使用します。
17.3. Web コンソールで RAID のパーティションテーブルを作成
RHEL 8 インターフェースで作成した新しいソフトウェアの RAID デバイスで、パーティションテーブルを使用して RAID をフォーマットします。
RAID は、その他のストレージデバイスとしてフォーマットする必要があります。2 つのオプションがあります。
- パーティションを使用せずに RAID デバイスをフォーマットする
- パーティションを有するパーティションテーブルを作成する
前提条件
- 物理ディスクが接続され、確認できる。
- RAID が追加されている。
- RAID に使用するファイルシステムを検討する。
- パーティションテーブルの作成を検討する。
手順
- RHEL 8 コンソールを開きます。
- ストレージ をクリックします。
- RAID デバイス ボックスで、編集する RAID を選択します。
- RAID の詳細画面で、コンテンツ までスクロールします。
- 新規作成した RAID をクリックします。
- パーティションテーブルの作成 ボタンをクリックします。
削除 ドロップダウンリストで、以下を選択します。
- 既存のデータを上書きしない - RHEL Web コンソールは、ディスクヘッダーのみを書き換えます。このオプションの利点は、フォーマットの速度です。
- 既存のデータをゼロで上書きする - RHEL Web コンソールは、ディスク全体をゼロで書き直します。このプログラムは RAID 全体を調べるため、このオプションを使用すると遅くなります。ディスクにデータが含まれていて、上書きする必要がある場合は、このオプションを使用します。
パーティション構成 ドロップダウンメニューから、以下を選択します。
- 最新のシステムとの互換性があり、ハードディスクが 2TB よりも大きい (GPT) - GUID パーティションテーブルは、4 つ以上のパーティションがある大規模 RAID の最新の推奨パーティションシステムです。
- すべてのシステムおよびデバイスとの互換性あり (MBR) - マスターブートレコードは、サイズが 2TB までのディスクで動作します。MBR は、最大で 4 つのプライマリーパーティションに対応します。
- フォーマット をクリックします。
この段階で、パーティションテーブルが作成されているため、パーティションを作成できます。
パーティションの作成方法は「Web コンソールで RAID にパーティションを作成」を参照してください。
17.4. Web コンソールで RAID にパーティションを作成
既存のパーティションテーブルにパーティションを作成します。
前提条件
- パーティションテーブルが作成されている。詳細は「 Web コンソールで RAID にパーティションテーブルを作成」を参照してください。
手順
- RHEL 8 Web コンソールを開きます。
- ストレージ をクリックします。
- RAID デバイス ボックスで、編集する RAID をクリックします。
- RAID の詳細画面で、コンテンツ までスクロールします。
- 新規作成した RAID をクリックします。
- パーティションの作成 をクリックします。
- パーティションの作成 ダイアログボックスで、最初のパーティションのサイズを設定します。
削除 ドロップダウンリストで、以下を選択します。
- 既存のデータを上書きしない - RHEL Web コンソールは、ディスクヘッダーのみを書き換えます。このオプションの利点は、フォーマットの速度です。
- 既存のデータをゼロで上書きする - RHEL Web コンソールは、ディスク全体をゼロで書き直します。このプログラムは RAID 全体を調べるため、このオプションを使用すると遅くなります。ディスクにデータが含まれていて、上書きする必要がある場合は、このオプションを使用します。
- 強い希望がない場合は、種類 ドロップダウンリストで、XFS ファイルシステムを選択します。
- ファイルシステムの名前を入力します。名前にスペースは使用しないでください。
マウント ドロップダウンリストで、カスタム を選択します。
デフォルト オプションでは、システムを次回起動したときにファイルシステムがマウントされているとは限りません。
- マウントポイント フィールドに、マウントパスを追加します。
- 起動時にマウント を選択します。
- パーティションの作成 をクリックします。
フォーマットに使用されるオプションや、RAID のサイズによって、フォーマットに数分かかることがあります。
問題なく終了したら、引き続きその他のパーティションを作成します。
この時点で、システムが、マウントされてフォーマットされた RAID を使用します。
17.5. Web コンソールで RAID にボリュームグループを作成
ソフトウェア RAID からボリュームグループを構築
前提条件
- フォーマットまたはマウントされていない RAID デバイス
手順
- RHEL 8 Web コンソールを開きます。
- ストレージ をクリックします。
- ボリュームグループ ボックスで + アイコンをクリックします。
- ボリュームグループの作成 ダイアログボックスで、新しいボリュームグループの名前を入力します。
ディスク リストで、RAID デバイスを選択します。
一覧に RAID が表示されない場合は、システムから RAID のマウントを解除します。RAID デバイスは、RHEL 8 システムでは使用できません。
- 作成 をクリックします。
新しいボリュームグループが作成され、引き続き論理ボリュームを作成できます。
17.6. 関連情報
- ソフト破損および、RAID LV の設定時にデータを保護する方法は、「RAID LV での DM 整合性の使用」を参照してください。
第18章 Web コンソールで LVM 論理ボリュームの設定
Red Hat Enterprise Linux 8 は、LVM 論理ボリュームマネージャーに対応します。Red Hat Enterprise Linux 8 をインストールすると、インストール時に自動的に作成される LVM にインストールされます。
このスクリーンショットは、インストール時に自動的に作成された RHEL 8 システムのクリーンインストールの Web コンソールビューを示しています。
論理ボリュームの詳細は、以下のセクションを参照してください。
前提条件
RHEL 8 Web コンソールがインストールされている。
手順は「 Web コンソールのインストールと有効化」を 参照してください。
-
cockpit-storaged
パッケージがシステムにインストールされている。 - 物理ドライブ、RAID デバイス、または論理ボリュームを作成できるその他のブロックデバイスの種類。
18.1. Web コンソールの論理ボリュームマネージャー
RHEL 8 Web コンソールは、LVM ボリュームグループおよび論理ボリュームを作成するグラフィカルインターフェースを提供します。
ボリュームグループは、物理ボリュームと論理ボリュームとの間に層を作成します。これにより、論理ボリューム自体には影響を与えずに物理ボリュームを追加または削除できます。ボリュームグループは、そのグループに含まれるすべての物理ドライブの容量を、1 つのドライブの容量として表示します。
Web コンソールのボリュームグループに物理ドライブを参加させることができます。
論理ボリュームは、1 つの物理ドライブとして動作し、システムのボリュームグループに構築されます。
論理ボリュームの主な利点は以下のようになります。
- 物理ドライブに使用されるパーティションシステムよりも優れた柔軟性
- 複数の物理ドライブを 1 つのボリュームに接続する機能
- 再起動せずに、オンラインボリュームの容量を拡張 (拡大) または減少 (縮小) する可能性
- スナップショットを作成する機能
関連情報
18.2. Web コンソールでボリュームグループの作成
1 つ以上の物理ドライブまたは他のストレージデバイスからボリュームグループを作成します。
論理ボリュームは、ボリュームグループから作成されます。各ボリュームグループに、複数の論理ボリュームを追加できます。
詳細は、LVM ボリュームグループの管理 を参照してください。
前提条件
- ボリュームグループを作成する物理ドライブ、またはその他の種類のストレージデバイス。
手順
- RHEL 8 Web コンソールにログインします。
- ストレージ をクリックします。
デバイス セクションで、ドロップダウンメニューで LVM2 ボリュームグループの作成 を 選択します。
- 名前 フィールドに、グループの名前 (スペースなし) を入力します。
ボリュームグループを作成するために組み合わせるドライブを選択します。
期待したとおりにデバイスが表示されない場合があります。RHEL Web コンソールは、未使用のブロックデバイスのみを表示します。使用済みのデバイスとは、以下のようなデバイスを指します。
- ファイルシステムでフォーマットしたデバイス
- 別のボリュームグループの物理ボリューム
別のソフトウェアの RAID デバイスのメンバーになる物理ボリューム
デバイスが表示されない場合は、フォーマットして空にして、未使用にします。
- 作成 をクリックします。
Web コンソールは、Device セクションにボリュームグループを追加 し ます。グループをクリックすると、ボリュームグループから割り当てた論理ボリュームを作成できます。
18.3. Web コンソールで論理ボリュームの作成
論理ボリュームは物理ドライブとして動作します。RHEL 8 Web コンソールを使用して、ボリュームグループに LVM 論理ボリュームを作成できます。
前提条件
-
cockpit-storaged
パッケージがシステムにインストールされている。 - ボリュームグループが作成されている。詳細は「Web コンソールでボリュームグループの作成」を参照してください。
手順
- RHEL 8 Web コンソールにログインします。
- ストレージ をクリックします。
- デバイス セクションで、論理ボリュームを作成するボリュームグループをクリックします。
- 論理ボリューム セクションで、論理ボリューム の 作成 をクリックします。
- 名前 フィールドに、新しい論理ボリュームの名前 (スペースなし) を入力します。
目的 ドロップダウンメニューで、ファイルシステム用ブロックデバイス を選択します。
この構成では、ボリュームグループに含まれるすべてのドライブの容量の合計に等しい最大ボリュームサイズを持つ論理ボリュームを作成できます。
論理ボリュームのサイズを定義します。以下を検討してください。
- この論理ボリュームを使用するシステムにどのぐらいの容量が必要か
- 作成する論理ボリュームの数
領域をすべて使用する必要はありません。必要な場合は、後で論理ボリュームを大きくすることができます。
- 作成 をクリックします。
設定を確認するには、論理ボリュームをクリックして、詳細を確認してください。
この段階では、論理ボリュームが作成され、フォーマット処理でファイルシステムを作成してマウントする必要があります。
18.4. Web コンソールで論理ボリュームのフォーマット
論理ボリュームは物理ドライブとして動作します。論理ボリュームを使用するには、ファイルシステムでフォーマットする必要があります。
論理ボリュームをフォーマットすると、ボリュームのデータがすべて消去されます。
選択するファイルシステムにより、論理ボリュームに使用できる設定パラメーターが決まります。たとえば、XFS ファイルシステムの中には、ボリュームの縮小に対応しないものもあります。詳細は「Web コンソールで論理ボリュームのサイズを変更」を参照してください。
次の手順では、論理ボリュームをフォーマットする手順を説明します。
前提条件
-
cockpit-storaged
パッケージがシステムにインストールされている。 - 論理ボリュームが作成されている。詳細は「 Web コンソールで論理ボリュームの作成」を 参照してください。
手順
- RHEL 8 Web コンソールにログインします。
- ストレージ をクリックします。
- デバイス セクションで、論理ボリュームを置くボリュームグループをクリックします。
論理ボリューム セクションで、フォーマット をクリックします。
- 名前 フィールドに、ファイルシステムの名前を入力します。
種類 ドロップダウンメニューで、ファイルシステムを選択します。
XFS ファイルシステムは大規模な論理ボリュームをサポートし、オンラインの物理ドライブを停止せずに、既存のファイルシステムの拡大および縮小を行うことができます。別のストレージの使用を希望しない場合は、このファイルシステムを選択したままにしてください。
XFS は、XFS ファイルシステムでフォーマットしたボリュームサイズを縮小することには対応していません。
ext4 ファイルシステムは以下に対応します。
- 論理ボリューム
- オンラインの物理ドライブを停止せずに切り替え
- ファイルシステムの拡張
- ファイルシステムの縮小
LUKS (Linux Unified Key Setup) 暗号を使用したバージョンも選択できます。パスフレーズを使用してボリュームの暗号化を行えます。
Overwrite オプションを選択します。
- 既存のデータを上書きしない - RHEL Web コンソールは、ディスクヘッダーのみを書き換えます。このオプションの利点は、フォーマットの速度です。
- 既存のデータをゼロで上書きする - RHEL Web コンソールは、ディスク全体をゼロで書き直します。このプログラムはディスク全体を調べるため、このオプションを使用すると遅くなります。ディスクにデータが含まれていて、上書きする必要がある場合は、このオプションを使用します。
マウントポイント フィールドに、マウントパスを追加します。
フォーマット をクリックします。
ボリュームのサイズや、選択するオプションによって、フォーマットに数分かかることがあります。
フォーマットが完了したら、ファイルシステム タブで、フォーマットした論理ボリュームの詳細を表示できます。
- 論理ボリュームを使用するには、マウント をクリックします。
この時点で、システムは、マウントされてフォーマットされた論理ボリュームを使用します。
18.5. Web コンソールで論理ボリュームのサイズを変更
RHEL 8 Web コンソールで論理ボリュームを拡張または縮小する方法を説明します。
論理ボリュームのサイズを変更できるかどうかは、使用しているファイルシステムの種類に依存します。ほとんどのファイルシステムは、ボリュームをオンライン (停止) せずに拡張 (拡大) できます。
論理ボリュームに、縮小に対応するファイルシステムが含まれる場合は、論理ボリュームのサイズを縮小することもできます。これは、たとえば、ext3 または ext4 のファイルシステムでも利用できます。
GFS2 または XFS のファイルシステムを含むボリュームを減らすことはできません。
前提条件
- 論理ボリュームのサイズ変更に対応するファイルシステムを含む既存の論理ボリューム。
手順
次の手順は、ボリュームをオフラインにすることなく、論理ボリュームを大きくする手順を説明します。
- RHEL Web コンソールにログインします。
- ストレージ をクリックします。
- デバイス セクションで、論理ボリュームを置くボリュームグループをクリックします。
- 論理 ボリューム セクション で、論理ボリュームをクリックします。
ボリューム タブで、増加 をクリックします。
論理ボリュームの増加 ダイアログボックスで、ボリューム サイズを調整します。
- 増加 をクリックします。
LVM は、システムを停止せずに、論理ボリュームを拡大します。
18.6. 関連情報
第19章 Web コンソールでシン論理ボリュームの設定
シンプロビジョニングの論理ボリュームを使用すると、実際に論理ボリュームに含まれている容量よりも、指定したアプリケーションやサーバーにより多くの領域を割り当てることができます。
詳細は、シンリープロビジョニングされたスナップショットボリュームの作成 を参照してください。
以下のセクションでは、次のことを説明します。
前提条件
RHEL 8 Web コンソールがインストールされている。
詳細は「Web コンソールのインストール」を参照してください。
-
cockpit-storaged
パッケージがシステムにインストールされている。 - ボリュームグループを作成する物理ドライブ、またはその他の種類のストレージデバイス。
19.1. Web コンソールでシン論理ボリュームにプールを作成
シンプロビジョニングされたボリューム用のプールを作成します。
前提条件
手順
- RHEL 8 Web コンソールにログインします。
- ストレージ をクリックします。
- シンボリュームを作成するボリュームグループをクリックします。
- 新規論理ボリュームの作成 をクリックします。
- 名前 フィールドに、シンボリュームの新しいプールの名前 (スペースなし) を入力します。
- 目的 ドロップダウンメニューで、シンプロビジョニングされたボリューム用プール を選択します。この設定により、シンボリュームを作成できます。
シンボリュームのプールのサイズを定義します。以下を検討してください。
- このプールで必要なシンボリュームの数
- 各シンボリュームの予想サイズ
領域をすべて使用する必要はありません。必要な場合は、後でプールを大きくできます。
作成 をクリックします。
シンボリューム用のプールが作成され、シンボリュームを作成できます。
19.2. Web コンソールで論理ボリュームの作成
プールにシン論理ボリュームを作成します。複数のシンボリュームを追加でき、各シンボリュームは、シンボリュームのプールと同じ大きさにできます。
シンボリュームを使用する場合は、論理ボリュームの物理的な空き容量を定期的に確認する必要があります。
前提条件
シンボリュームのプールを作成している。
詳細は「 Web コンソールでシン論理ボリュームのプールの作成 」を参照してください。
手順
- RHEL 8 Web コンソールにログインします。
- ストレージ をクリックします。
- シンボリュームを作成するボリュームグループをクリックします。
- 必要なプールをクリックします。
- シンボリュームの作成 をクリックします。
- シンボリュームの作成 ダイアログボックスで、シンボリュームの名前 (スペースなし) を入力します。
- シンボリュームのサイズを定義します。
- 作成 をクリックします。
この段階で、シン論理ボリュームが作成されているため、それをフォーマットする必要があります。
19.3. Web コンソールで論理ボリュームのフォーマット
論理ボリュームは物理ドライブとして動作します。論理ボリュームを使用するには、ファイルシステムでフォーマットする必要があります。
論理ボリュームをフォーマットすると、ボリュームのデータがすべて消去されます。
選択するファイルシステムにより、論理ボリュームに使用できる設定パラメーターが決まります。たとえば、XFS ファイルシステムの中には、ボリュームの縮小に対応しないものもあります。詳細は「Web コンソールで論理ボリュームのサイズを変更」を参照してください。
次の手順では、論理ボリュームをフォーマットする手順を説明します。
前提条件
-
cockpit-storaged
パッケージがシステムにインストールされている。 - 論理ボリュームが作成されている。詳細は「 Web コンソールで論理ボリュームの作成」を 参照してください。
手順
- RHEL 8 Web コンソールにログインします。
- ストレージ をクリックします。
- デバイス セクションで、論理ボリュームを置くボリュームグループをクリックします。
論理ボリューム セクションで、フォーマット をクリックします。
- 名前 フィールドに、ファイルシステムの名前を入力します。
種類 ドロップダウンメニューで、ファイルシステムを選択します。
XFS ファイルシステムは大規模な論理ボリュームをサポートし、オンラインの物理ドライブを停止せずに、既存のファイルシステムの拡大および縮小を行うことができます。別のストレージの使用を希望しない場合は、このファイルシステムを選択したままにしてください。
XFS は、XFS ファイルシステムでフォーマットしたボリュームサイズを縮小することには対応していません。
ext4 ファイルシステムは以下に対応します。
- 論理ボリューム
- オンラインの物理ドライブを停止せずに切り替え
- ファイルシステムの拡張
- ファイルシステムの縮小
LUKS (Linux Unified Key Setup) 暗号を使用したバージョンも選択できます。パスフレーズを使用してボリュームの暗号化を行えます。
Overwrite オプションを選択します。
- 既存のデータを上書きしない - RHEL Web コンソールは、ディスクヘッダーのみを書き換えます。このオプションの利点は、フォーマットの速度です。
- 既存のデータをゼロで上書きする - RHEL Web コンソールは、ディスク全体をゼロで書き直します。このプログラムはディスク全体を調べるため、このオプションを使用すると遅くなります。ディスクにデータが含まれていて、上書きする必要がある場合は、このオプションを使用します。
マウントポイント フィールドに、マウントパスを追加します。
フォーマット をクリックします。
ボリュームのサイズや、選択するオプションによって、フォーマットに数分かかることがあります。
フォーマットが完了したら、ファイルシステム タブで、フォーマットした論理ボリュームの詳細を表示できます。
- 論理ボリュームを使用するには、マウント をクリックします。
この時点で、システムは、マウントされてフォーマットされた論理ボリュームを使用します。
第20章 Web コンソールでボリュームグループの物理ドライブを変更
RHEL 8 Web コンソールを使用して、ボリュームグループのドライブを変更します。
物理ドライブを変更するには、次の手順に従ってください。
前提条件
RHEL 8 Web コンソールがインストールされている。
詳細は「 Web コンソールのインストール」を 参照してください。
-
cockpit-storaged
パッケージがシステムにインストールされている。 - 古いまたは不具合がある物理ドライブを交換するための新しい物理ドライブ。
- この設定には、物理ドライブがボリュームグループに編成されていることが必要になります。
20.1. Web コンソールでボリュームグループに物理デバイスを追加
RHEL 8 Web コンソールを使用すると、既存の論理ボリュームに新しい物理ドライブ、またはその他のタイプのボリュームを追加できます。
前提条件
- ボリュームグループが作成されている。
- マシンに新しいドライブが接続されている。
手順
- RHEL 8 コンソールにログインします。
- ストレージ をクリックします。
- ボリュームグループ ボックスで、物理ボリュームを追加するボリュームグループをクリックします。
- 物理ボリューム ボックスで、+ ボタンをクリックします。
- ディスクの追加 ダイアログボックスでドライブを選択し、追加 をクリックします。
これにより、RHEL 8 Web コンソールは物理ボリュームを追加します。
検証手順
- これは、物理ボリューム セクションで表示でき、論理ボリュームが、ドライブへの書き込みをすぐに開始できます。
20.2. Web コンソールでボリュームグループから物理ドライブを削除
論理ボリュームに複数の物理ドライブが含まれている場合は、オンラインの物理ドライブのいずれかを削除できます。
システムは、削除時に、削除するドライブから全てのデータを自動的に別のデバイスに移動します。これには少し時間がかかる場合があります。
Web コンソールは、物理ドライブを削除するための十分な容量があるかどうかを検証します。
前提条件
- 複数の物理ドライブが接続するボリュームグループ
手順
次の手順は、RHEL Web コンソールでシステムを停止させずにボリュームグループからドライブを削除する方法を説明します。
- RHEL 8 Web コンソールにログインします。
- ストレージ をクリックします。
- 論理ボリュームがあるボリュームグループをクリックします。
- 物理ボリューム セクションで、推奨されるボリュームを見つけます。
- アイコンをクリックします。
RHEL 8 Web コンソールは、ディスクを削除するのに十分な空き領域が論理ボリュームにあるかどうかを確認します。容量が十分ではない場合は、ディスクを削除できず、最初に別のディスクを追加する必要があります。詳細は「Web コンソールでボリュームグループに物理デバイスを追加」を参照してください。
これにより、RHEL 8 Web コンソールは、システムを停止せずに作成した論理ボリュームから物理ボリュームを削除できます。
第21章 Web コンソールで Virtual Data Optimizer ボリュームの管理
RHEL 8 Web コンソールを使用して、VDO (Virtual Data Optimizer) を設定します。
以下の方法について説明します。
- VDO ボリュームの作成
- VDO ボリュームのフォーマット
- VDO ボリュームの拡張
前提条件
- RHEL 8 Web コンソールをインストールし、アクセスできる。詳細は「Web コンソールのインストール」を参照してください。
-
cockpit-storaged
パッケージがシステムにインストールされている。
21.1. Web コンソールでの VDO ボリューム
Red Hat Enterprise Linux 8 では、Virtual Data Optimizer(VDO)がサポートされます。
VDO は、以下を組み合わせたブロック仮想化テクノロジーです。
- 圧縮
- 詳細は「VDO で圧縮の有効化または無効化」を参照してください。
- 重複排除
- 詳細は「VDO で圧縮の有効化または無効化」を参照してください。
- シンプロビジョニング
- 詳細は、シンプロビジョニングボリューム (シンボリューム) の作成と管理 を参照してください。
このような技術を使用して、VDO は、以下を行います。
- ストレージ領域をインラインに保存します。
- ファイルを圧縮します。
- 重複を排除します。
- 物理ストレージまたは論理ストレージが提供するサイズよりも多くの仮想領域を割り当てることができます。
- 拡大して仮想ストレージを拡張できます。
VDO は、さまざまなタイプのストレージに作成できます。RHEL 8 Web コンソールでは、以下に VDO を設定できます。
LVM
注記シンプロビジョニングされたボリュームに VDO を設定することはできません。
- 物理ボリューム
- ソフトウェア RAID
ストレージスタックにおける VDO の配置の詳細は、「システム要件」を参照してください。
関連情報
- VDO の詳細は『ストレージの重複排除および圧縮』を参照してください。
21.2. Web コンソールで VDO ボリュームの作成
RHEL Web コンソールで VDO ボリュームを作成します。
前提条件
- VDO の作成元となる物理ドライブ、LVM、または RAID
手順
RHEL 8 Web コンソールにログインします。
詳細は「Web コンソールへのログイン」を参照してください。
- ストレージ をクリックします。
- VDO デバイス ボックスの + アイコンをクリックします。
- 名前 フィールドに、VDO ボリュームの名前 (スペースなし) を入力します。
- 使用するドライブを選択します。
論理サイズ バーに、VDO ボリュームのサイズを設定します。10 回以上拡張できますが、VDO ボリュームを作成する目的を検討してください。
- アクティブな仮想マシンまたはコンテナーストレージの場合は、使用する論理のサイズを、ボリュームの物理サイズの 10 倍になるようにします。
- オブジェクトストレージの場合は、使用する論理のサイズを、ボリュームの物理サイズの 3 倍になるようにします。
詳細は「VDO のデプロイメント」を参照してください。
インデックスメモリー バーで、VDO ボリュームにメモリーを割り当てます。
VDO システム要件の詳細は「システム要件」を参照してください。
圧縮 オプションを選択します。このオプションを使用すると、さまざまなファイル形式を効率的に減らすことができます。
詳細は「VDO で圧縮の有効化または無効化」を参照してください。
重複排除 オプションを選択します。
このオプションは、重複ブロックのコピーを削除して、ストレージリソースが使用されなくなるようにします。詳細は「VDO で圧縮の有効化または無効化」を参照してください。
- 必要に応じて、512 バイトのブロックサイズを必要とするアプリケーションで VDO ボリュームを使用する場合は、512 バイトのエミュレーションを使用 を選択します。これにより、VDO ボリュームのパフォーマンスは低下しますが、その必要はほとんどありません。不明な場合は、無効にします。
- 作成 をクリックします。
検証手順
- ストレージ セクションに新しい VDO ボリュームが表示されることを確認します。そして、ファイルシステムでフォーマットすることができます。
21.3. Web コンソールで VDO ボリュームのフォーマット
VDO ボリュームは物理ドライブとして動作します。論理ボリュームを使用するには、ファイルシステムでフォーマットする必要があります。
VDO をフォーマットすると、ボリュームのデータがすべて消去されます。
次の手順では、VDO ボリュームをフォーマットする手順を説明します。
前提条件
- VDO ボリュームが作成されている。詳細は「 Web コンソールで VDO ボリュームの作成」 を参照してください。
手順
- RHEL 8 Web コンソールにログインします。詳細は「Web コンソールへのログイン」を参照してください。
- ストレージ をクリックします。
- VDO ボリュームをクリックします。
- 認識されないデータ タブをクリックします。
- フォーマット をクリックします。
削除 ドロップダウンメニューから、以下を選択します。
- 既存データを上書きしない
- RHEL Web コンソールは、ディスクヘッダーのみを書き換えます。このオプションの利点は、フォーマットの速度です。
- 既存のデータをゼロで上書きする
- RHEL Web コンソールは、ディスク全体をゼロで書き直します。このプログラムはディスク全体を調べるため、このオプションを使用すると遅くなります。ディスクにデータが含まれていて、書き直す必要がある場合は、このオプションを使用します。
種類 ドロップダウンメニューで、ファイルシステムを選択します。
XFS ファイルシステムは大規模な論理ボリュームをサポートし、オンラインの物理ドライブを停止せずに、既存のファイルシステムの拡大および縮小を行うことができます。別のストレージの使用を希望しない場合は、このファイルシステムを選択したままにしてください。
XFS は、ボリュームの縮小に対応していません。したがって、XFS でフォーマットしたボリュームを縮小することはできません。
- ext4 ファイルシステムは論理ボリュームをサポートし、オンラインの物理ドライブを停止せずに、既存のファイルシステムの拡大および縮小を行うことができます。
LUKS (Linux Unified Key Setup) 暗号を使用したバージョンも選択できます。パスフレーズを使用してボリュームの暗号化を行えます。
- 名前 フィールドに、論理ボリューム名を入力します。
マウント ドロップダウンメニューで、カスタム を選択します。
デフォルト オプションでは、システムを次回起動したときにファイルシステムがマウントされているとは限りません。
- マウントポイント フィールドに、マウントパスを追加します。
- 起動時にマウント を選択します。
フォーマット をクリックします。
フォーマットに使用されるオプションや、ボリュームのサイズによって、フォーマットに数分かかることがあります。
成功すると、ファイルシステム タブに、フォーマットされた VDO ボリュームの詳細が表示されます。
- VDO ボリュームを使用するには、マウント をクリックします。
この時点で、システムが、マウントされてフォーマットされた VDO ボリュームを使用します。
21.4. Web コンソールで VDO ボリュームの拡張
RHEL 8 Web コンソールで VDO ボリュームを拡張します。
前提条件
-
cockpit-storaged
パッケージがシステムにインストールされている。 - VDO ボリュームが作成されている。
手順
RHEL 8 Web コンソールにログインします。
詳細は「Web コンソールへのログイン」を参照してください。
- ストレージ をクリックします。
- VDO デバイス で、VDO ボリュームをクリックします。
- VDO ボリュームの詳細で、増加 ボタンをクリックします。
- VDO の論理サイズを増加 ダイアログボックスで、VDO ボリュームの論理サイズを増やします。
- 増加 をクリックします。
検証手順
- 新しいサイズの VDO ボリュームの詳細を確認し、変更が正常に行われたことを確認します。
第22章 RHEL Web コンソールで LUKS パスワードを使用したデータのロック
Web コンソールの ストレージ タブでは、作成、ロック、ロック解除、サイズ変更、または LUKS (Linux Unified Key Setup) バージョン 2 形式を使用した暗号化デバイスを設定できます。
この新しいバージョンの LUKS は、以下を提供します。
- より柔軟なロック解除ポリシー
- より強力な暗号化
- 今後の変更との互換性の高さ
前提条件
- RHEL 8 Web コンソールがインストールされている。詳細は「Web コンソールのインストール」を参照してください。
-
cockpit-storaged
パッケージがシステムにインストールされている。
22.1. LUKS ディスクの暗号化
LUKS (Linux Unified Key Setup-on-disk-format) は、ブロックデバイスを暗号化でき、暗号化したデバイスの管理を簡素化するツールセットを提供します。LUKS を使用すれば、複数のユーザー鍵が、パーティションのバルク暗号化に使用されるマスター鍵を複号できるようになります。
RHEL は、LUKS を使用してブロックデバイスの暗号化を行います。デフォルトではインストール時に、ブロックデバイスを暗号化するオプションが指定されていません。ディスクを暗号化するオプションを選択すると、コンピューターを起動するたびにパスフレーズの入力が求められます。このパスフレーズ 「により、」 パーティションを復号するバルク暗号鍵がロックされます。デフォルトのパーティションテーブルの変更を選択すると、暗号化するパーティションを選択できます。この設定は、パーティションテーブル設定で行われます。
LUKS の機能
- LUKS は、ブロックデバイス全体を暗号化するため、脱着可能なストレージメディアやノート PC のディスクドライブといった、モバイルデバイスのコンテンツを保護するのに適しています。
- 暗号化されたブロックデバイスの基本的な内容は任意であり、スワップデバイスの暗号化に役立ちます。また、とりわけデータストレージ用にフォーマットしたブロックデバイスを使用する特定のデータベースに関しても有用です。
- LUKS は、既存のデバイスマッパーのカーネルサブシステムを使用します。
- LUKS はパスフレーズのセキュリティーを強化し、辞書攻撃から保護します。
- LUKS デバイスには複数のキースロットが含まれ、ユーザーはこれを使用してバックアップキーやパスフレーズを追加できます。
LUKS が 行わない こと
- LUKS などのディスク暗号化ソリューションは、システムの停止時にしかデータを保護しません。システムの電源がオンになり、LUKS がディスクを復号すると、そのディスクのファイルは、通常、そのファイルにアクセスできるすべてのユーザーが使用できます。
- LUKS は、多くのユーザーが、同じデバイスにアクセスする鍵をそれぞれ所有することが必要となるシナリオには適していません。LUKS1 形式は鍵スロットを 8 個提供し、LUKS2 形式は鍵スロットを最大 32 個提供します。
- LUKS は、ファイルレベルの暗号化を必要とするアプリケーションには適していません。
暗号化
LUKS に使用されるデフォルトの暗号は aes-xts-plain64
です。LUKS のデフォルトの鍵サイズは 512 ビットです。Anaconda (XTS モード) を使用した LUKS のデフォルトの鍵サイズは 512 ビットです。利用可能な暗号は以下のとおりです。
- AES: Advanced Encryption Standard
- Twofish (128 ビットブロック暗号)
- Serpent
22.2. Web コンソールで LUKS パスフレーズの設定
システムの既存の論理ボリュームに暗号化を追加する場合は、ボリュームをフォーマットすることでしか実行できません。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は「Web コンソールのインストール」を参照してください。
-
cockpit-storaged
パッケージがシステムにインストールされている。 - 暗号化なしで、既存の論理ボリュームを利用できます。
手順
RHEL 8 Web コンソールにログインします。
詳細は「Web コンソールへのログイン」を参照してください。
- ストレージ をクリックします。
- フォーマットするストレージデバイスを選択します。
- メニューアイコンをクリックし、フォーマット オプションを選択します。
- データの暗号化 を選択して、ストレージデバイスの暗号化をアクティベートします。
- 新しいパスフレーズを設定し、確認します。
- (必要に応じて) さらなる暗号化オプションを変更します。
- フォーマット設定の最終処理
- フォーマット をクリックします。
22.3. Web コンソールで LUKS パスフレーズの変更
Web コンソールで、暗号化されたディスクまたはパーティションで LUKS パスフレーズを変更します。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は「Web コンソールのインストール」を参照してください。
-
cockpit-storaged
パッケージがシステムにインストールされている。
手順
- Web コンソールにログインします。詳細は「Web コンソールへのログイン」を参照してください。
- ストレージ をクリックします。
- ドライブテーブルで、暗号化されたデータがあるディスクを選択します。
- コンテンツ で、暗号化されたパーティションを選択します。
- 暗号化 をクリックします。
- キー テーブルで、ペンアイコンをクリックします。
パスフレーズの変更 ダイアログウィンドウで、以下を行います。
- 現在のパスフレーズを入力します。
- 新しいパスフレーズを入力します。
- 新しいパスフレーズを確認します。
- 保存 をクリックします。
第23章 Web コンソールで Tang 鍵を使用した自動アンロックの設定
Tang サーバーが提供する鍵を使用して、LUKS で暗号化したストレージデバイスの自動ロック解除を設定します。
前提条件
RHEL 8 Web コンソールがインストールされている。
詳細は「Web コンソールのインストール」を参照してください。
-
cockpit-storaged
パッケージがシステムにインストールされている。 -
cockpit.socket
サービスがポート 9090 で実行されている。 -
clevis
パッケージ、tang
パッケージ、およびclevis-dracut
パッケージがインストールされている。 - Tang サーバーが実行している。
手順
Web ブラウザーに以下のアドレスを入力して、RHEL Web コンソールを開きます。
https://localhost:9090
リモートシステムに接続する際に、localhost の部分をリモートサーバーのホスト名または IP アドレスに置き換えます。
- 認証情報を指定して、ストレージ をクリックします。> ; をクリックして、Tang サーバーを使用してロックを解除する暗号化デバイスの詳細を展開し、Encryption をクリックします。
Keys セクションの + をクリックして Tang キーを追加します。
Tang サーバーのアドレスと、LUKS で暗号化したデバイスのロックを解除するパスワードを指定します。Add をクリックして確定します。
以下のダイアログウインドウは、鍵ハッシュが一致することを確認するコマンドを提供します。
Tang サーバーの端末で、
tang-show-keys
コマンドを使用して、比較用の鍵ハッシュを表示します。この例では、Tang サーバーがポート 7500 で実行されています。# tang-show-keys 7500 fM-EwYeiTxS66X3s1UAywsGKGnxnpll8ig0KOQmr9CM
Web コンソールと前述のコマンドの出力のキーハッシュが同じ場合は、Trust key をクリックします。
初期ブートシステムでディスクバインディングを処理できるようにするには、左側のナビゲーションバーの下部にある Terminal をクリックし、次のコマンドを入力します。
# yum install clevis-dracut # grubby --update-kernel=ALL --args="rd.neednet=1" # dracut -fv --regenerate-all
Clevis で、ブートプロセスでマウントするボリュームもアンロックできるようにするには、システムを再起動する前に、クライアントで以下のコマンドを使用します。
# systemctl enable clevis-luks-askpass.path
検証
新規に追加された Tang キーが
Keyserver
タイプの Keys セクションに一覧表示されていることを確認します。バインディングが初期ブートで使用できることを確認します。次に例を示します。
# lsinitrd | grep clevis clevis clevis-pin-sss clevis-pin-tang clevis-pin-tpm2 -rwxr-xr-x 1 root root 1600 Feb 11 16:30 usr/bin/clevis -rwxr-xr-x 1 root root 1654 Feb 11 16:30 usr/bin/clevis-decrypt ... -rwxr-xr-x 2 root root 45 Feb 11 16:30 usr/lib/dracut/hooks/initqueue/settled/60-clevis-hook.sh -rwxr-xr-x 1 root root 2257 Feb 11 16:30 usr/libexec/clevis-luks-askpass
第24章 Web コンソールでソフトウェア更新の管理
RHEL 8 Web コンソールでソフトウェア更新を管理する方法と、その更新を自動化する方法。
Web コンソールのソフトウェア更新モジュールは、yum
ユーティリティーに基づいています。yum
を使用したソフトウェアの更新の詳細は、「パッケージの確認と更新」を参照してください。
24.1. Web コンソールでの手動ソフトウェア更新の管理
本セクションでは、Web コンソールを使用してソフトウェアを手動で更新する方法を説明します。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は「Web コンソールのインストール」を参照してください。
手順
RHEL 8 Web コンソールにログインします。
詳細は「Web コンソールへのログイン」を参照してください。
ソフトウェアの更新 をクリックします。
最後のチェックが行われてから 24時間以上経っている場合は、利用可能な更新の一覧が自動的に更新されます。更新をトリガーするには、更新の確認 ボタンをクリックします。
更新を適用します。
- 利用可能な更新をすべてインストールするには、すべてのアップデートをインストール ボタンをクリックします。
- セキュリティー更新が利用可能な場合は、セキュリティー アップデートのインストール ボタンをクリックすると個別にインストール できます。更新の実行中に更新ログを見ることができます。
システムが更新を適用すると、システムを再起動するように勧められます。
個別には再起動しない新しいカーネルまたはシステムサービスが更新に含まれている場合は、特に推奨されます。
無視 をクリックして再起動をキャンセルするか、今すぐ再起動 をクリックしてシステムの再起動を続行します。
システムの再起動後、Web コンソールにログインし、ソフトウェアの更新 ページに移動して、更新が成功したことを確認します。
24.2. Web コンソールで自動ソフトウェア更新の管理
Web コンソールでは、すべての更新またはセキュリティー更新の適用を選択し、自動更新の周期とタイミングを管理することもできます。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は「Web コンソールのインストール」を参照してください。
手順
- RHEL 8 Web コンソールにログインします。詳細は「Web コンソールへのログイン」を参照してください。
- ソフトウェアの更新 をクリックします。
- 設定 表で、編集 ボタンをクリックします。
- 自動更新の種類を一つ選びます。セキュリティー更新プログラムのみ、または すべての更新 プログラムから選択することができます。
- 自動更新の日付を変更するには、ドロップダウンメニューの 毎日 をクリックして、特定の日付を選択します。
- 自動更新の時刻を変更するには、6:00 のフィールドをクリックして、特定の時刻を選択するか、入力します。
- ソフトウェアの自動更新を無効にする場合は、更新なし を選択してください。
24.3. Web コンソールでソフトウェア更新の適用後のオンデマンド再起動の管理
インテリジェントな再起動機能により、ソフトウェアの更新の適用後にシステム全体を再起動する必要があるか、または特定のサービスのみを再起動するだけで十分であるかどうかをユーザーに通知します。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は「Web コンソールのインストール」を参照してください。
手順
- RHEL 8 Web コンソールにログインします。詳細は「Web コンソールへのログイン」を参照してください。
- ソフトウェアの更新 をクリックします。
- システムの更新を適用します。
- 更新が正常に完了したら、Reboot system…、Reboot services… 、または Ignoreをクリックします。
無視することにした場合には、次のいずれかの方法で再起動またはリブートメニューに戻ることができます。
リブート:
- Software Updates ページの Status フィールドにある Reboot system ボタンをクリックします。
- (オプション) ログインしているユーザーへのメッセージを書きます。
- Delay ドロップダウンメニューから、delay を選択します。
- Reboot をクリックします。
サービスの再起動:
Software Updates ページの Status フィールドで Restart services… ボタンをクリックします。
再起動が必要なすべてのサービスのリストが表示されます。
サービスの再起動 をクリックします。
選択した内容に応じて、システムを再起動するか、サービスを再起動します。
24.4. Web コンソールでのカーネルライブパッチを使用したパッチ適用
Web コンソールでは、kpatch
フレームワークを使用して、強制的に再起動せずにカーネルセキュリティーパッチを適用できます。以下の手順は、推奨されるパッチタイプを設定する方法を示しています。
前提条件
- Web コンソールがインストールされており、アクセス可能である。詳細は「Web コンソールのインストール」を参照してください。
手順
- 管理者権限で Web コンソールにログインします。詳細は「Web コンソールへのログイン」を参照してください。
- ソフトウェアの更新 をクリックします。
カーネルパッチ設定のステータスを確認します。
パッチがインストールされていない場合は、Install をクリックします。
カーネルパッチを有効にするには、Enable をクリックします。
- カーネルパッチを適用する場合はチェックを入れます。
現在のカーネルおよび将来のカーネルにパッチを適用するか、現在のカーネルにのみ適用するかどうかを選択します。将来のカーネルのパッチの適用にサブスクライブすることを選択した場合、システムは、今後のカーネルリリースにもパッチを適用します。
- 適用 をクリックします。
検証
Software updates セクションの Settings テーブルで、カーネルパッチが 有効 になったことを確認します。
関連情報
第25章 Web コンソールでサブスクリプションの管理
Web コンソールから Red Hat Enterprise Linux 8 のサブスクリプションを管理します。
Red Hat Enterprise Linux のサブスクリプションを取得するには、Red Hat カスタマーポータル またはアクティベーションキーが必要です。
本章の内容は次のとおりです。
- RHEL 8 Web コンソールを使用したサブスクリプション管理
- Red Hat ユーザー名およびパスワードを使用して、Web コンソールでシステムのサブスクリプション登録
- アクティベーションキーを使用してサブスクリプションを登録
前提条件
- サブスクリプションを購入している。
- サブスクリプションの対象となっているシステムが、インターネットに接続している (Web コンソールは Red Hat カスタマーポータルと通信する必要があるため)。
25.1. Web コンソールでサブスクリプションの管理
RHEL 8 Web コンソールは、ローカルシステムにインストールされている Red Hat Subscription Manager を使用するインターフェースを提供します。
Subscription Manager は Red Hat カスタマーポータルに接続し、利用可能な次のものをすべて確認します。
- アクティブなサブスクリプション
- 期限が切れたサブスクリプション
- 更新されたサブスクリプション
Red Hat カスタマーポータルでサブスクリプションを更新したり、別のサブスクリプションを入手したい場合に、Subscription Manager のデータを手動で更新する必要はありません。サブスクリプションマネージャーは、Red Hat カスタマーポータルと自動的に同期します。
25.2. Web コンソールで認証情報を使用してサブスクリプションを登録
RHEL Web コンソールを使用して、新しくインストールされた Red Hat Enterprise Linux をアカウント認証で登録するには、次の手順を使用します。
前提条件
Red Hat カスタマーポータルに有効なユーザーアカウントがある。
「Red Hat アカウントの作成」ページを参照してください。
- RHEL システムに使用するアクティブなサブスクリプションがある。
手順
- RHEL Web コンソールにログインします。詳細は「 Web コンソールへのログイン」を 参照してください。
概要 ページの ヘルス ファイル内の 未登録 の警告をクリックするか、メインメニューの サブスクリプション をクリックして、サブスクリプション情報のあるページに移動します。
.
Overview フィールドの Register をクリックします。
システムの登録 ダイアログボックスで、アカウント情報での登録を選択します。
- ユーザー名を入力します。
- パスワードを入力します。
オプションで、組織名または ID を入力します。
アカウントが Red Hat カスタマーポータルで複数の組織に所属している場合には、組織名または組織 ID を追加する必要があります。組織 ID は、Red Hat の連絡先に問い合わせてください。
- Red Hat Insights にシステムを接続しない場合は、Insights チェックボックスのチェックを外してください。
- 登録 ボタンをクリックします。
この時点で、Red Hat Enterprise Linux システムが正常に登録されました。
25.3. Web コンソールでアクティベーションキーを使用してサブスクリプションを登録
RHEL Web コンソールを使用して、新しくインストールされた Red Hat Enterprise Linux をアクティベーションキーで登録するには、次の手順を使用します。
前提条件
- ポータルにユーザーアカウントがない場合は、ベンダーからアクティベーションキーが提供されます。
手順
- RHEL Web コンソールにログインします。詳細は「 Web コンソールへのログイン」を 参照してください。
概要 ページの ヘルス ファイル内の 未登録 の警告をクリックするか、メインメニューの サブスクリプション をクリックして、サブスクリプション情報のあるページに移動します。
.
Overview フィールドの Register をクリックします。
システムの登録 ダイアログボックスで、アクティベーションキーを使用した登録を選択します。
- キーを入力します。
組織名または ID を入力します。
組織 ID の取得は、Red Hat にお問い合わせください。
- Red Hat Insights にシステムを接続しない場合は、Insights チェックボックスのチェックを外してください。
- 登録 ボタンをクリックします。
この時点で、Red Hat Enterprise Linux システムが正常に登録されました。
第26章 Web コンソールで kdump の設定
RHEL 8 Web コンソールで kdump
設定を指定してテストします。
Web コンソールは、RHEL 8 のデフォルトインストールに含まれており、システムの起動時に kdump
サービスを有効または無効にします。さらには、kdump
に予約メモリーを設定したり、非圧縮または圧縮の形式で vmcore の保存場所を選択したりすることもできます。
26.1. 関連情報
26.2. Web コンソールで kdump メモリーの使用量およびターゲットの場所を設定
以下の手順では、RHEL Web コンソールインターフェースの Kernel Dump
タブを使用して、kdump
カーネルに予約されているメモリー容量を設定する方法を示しています。この手順では、vmcore
ダンプファイルのターゲットの場所を指定する方法と、設定をテストする方法を説明します。
手順
-
Kernel Dump
タブを開き、kdump
サービスを開始します。 -
コマンドラインで
kdump
のメモリー使用量を設定します。 クラッシュダンプの場所
オプションの横にあるリンクをクリックします。ドロップダウンメニューから
ローカルファイルシステム
を選択し、ダンプを保存するディレクトリーを指定します。または、ドロップダウンから
SSH 経由のリモート
オプションを選択し、SSH プロトコルを使用して、vmcore をリモートマシンに送信します。Server
、ssh key
、Directory
の各フィールドに、リモートマシンのアドレス、ssh キーの場所、およびターゲットディレクトリーを入力します。または、ドロップダウンから
NFS 経由のリモート
オプションを選択し、マウント
フィールドに入力して、NFS プロトコルを使用して vmcore をリモートマシンに送信することもできます。注記圧縮
チェックボックスにチェックマークを入れ、vmcore ファイルのサイズを小さくします。
カーネルをクラッシュして、設定をテストします。
-
Test configuration
をクリックします。 Test kdump settings フィールドで、
Crash system
をクリックします。警告この手順では、カーネルの実行を中断し、システムクラッシュやデータの損失が発生します。
-
第27章 Web コンソールでの仮想マシンの管理
RHEL 8 ホストのグラフィカルインターフェースで仮想マシンを管理するには、RHEL 8 Web コンソールで 仮想マシン ペインを使用できます。

27.1. Web コンソールで仮想マシンの管理の概要
RHEL 8 Web コンソールは、Web ベースのシステム管理インターフェースです。Web コンソールは、その機能の 1 つとして、ホストシステムで仮想マシンをグラフィカルに表示し、その仮想マシンを作成、アクセス、および構成できるようにします。
Web コンソールを使用して RHEL 8 で仮想マシンを管理するには、最初に仮想化用の Web コンソールプラグイン をインストールする必要があります。
次のステップ
- Web コンソールで仮想マシンの管理を有効にする方法は、「Web コンソールの設定による仮想マシンの管理 」を参照してください。
- Web コンソールで使用できる仮想マシン管理アクションの包括的な一覧は、「Web コンソールで利用可能な仮想マシンの管理機能」を参照してください。
- 現在 Web コンソールでは利用できませんが、virt-manager アプリケーションで使用できる機能の一覧は、「仮想マシンマネージャーと Web コンソールで仮想化機能の違い 」を参照してください。
27.2. 仮想マシンを管理するために Web コンソールを設定
Web コンソールの仮想マシン (VM) プラグインをインストールして、RHEL 8 Web コンソールを使用してホストで仮想マシンを管理できるようにしてある。
前提条件
Web コンソールがマシンにインストールされ、有効化さていることを確認してください。
# systemctl status cockpit.socket cockpit.socket - Cockpit Web Service Socket Loaded: loaded (/usr/lib/systemd/system/cockpit.socket [...]
このコマンドが、
Unit cockpit.socket could not be found
を返す場合は、Installing the web console のドキュメントに従って Web コンソール を有効にします。
手順
cockpit-machines
プラグインをインストールします。# yum install cockpit-machines
検証
-
ブラウザに
https://localhost:9090
のアドレスを入力するなどして、Web コンソールにアクセスします。 - ログインします。
インストールに成功すると、仮想マシン が Web コンソールのサイドメニューに表示されます。
27.3. Web コンソールを使用した仮想マシンの名前の変更
仮想マシン (VM) の作成後、競合を回避するために VM の名前を変更するか、ユースケースに基づいて新しい一意の名前を割り当てることをお勧めします。RHEL Web コンソールを使用して VM の名前を変更できます。
前提条件
- Web コンソールの VM プラグインが システムにインストールされている。
- 仮想マシンがシャットダウンしていることを確認します。
手順
仮想マシン インターフェイスで、名前を変更する VM のメニューボタン ⋮ をクリックします。
仮想マシン操作を制御するためのドロップダウンメニューが表示されます。
Rename をクリックします。
「VM の名前の変更」ダイアログが表示されます。
- 新しい名前 フィールドに、VM の名前を入力します。
- Rename をクリックします。
検証
- 新しい VM 名が 仮想マシン インターフェイスに表示されるはずです。
27.4. Web コンソールで利用可能な仮想マシンの管理機能
RHEL 8 Web コンソールを使用すると、システム上の仮想マシンを管理する以下のアクションを実行できます。
表27.1 RHEL 8 Web コンソールで実行できる仮想マシンタスク
タスク | 詳細は、次を参照してください。 |
---|---|
仮想マシンを作成し、ゲストオペレーティングシステムでインストールします。 | |
仮想マシンを削除します。 | |
仮想マシンを起動、シャットダウンし、再起動します。 | Web コンソール で仮想マシンの起動、Web コンソール で 仮想マシンのシャットダウンおよび再起動 |
さまざまなコンソールを使用して仮想マシンに接続し、操作します。 | |
仮想マシンに関するさまざまな情報を表示します。 | |
仮想マシンに割り当てられたホストメモリーを調整します。 | |
仮想マシンのネットワーク接続を管理します。 | |
ホストで利用可能な仮想マシンストレージを管理し、仮想ディスクを仮想マシンに割り当てます。 | |
仮想マシンの仮想 CPU 設定を構成します。 | |
VMのライブマイグレーション | |
仮想マシンの名前変更 | |
ホストと仮想マシン間のファイルの共有 | |
ホストデバイスの管理 |
27.5. 仮想マシンマネージャーと Web コンソールでの仮想化機能の相違点
仮想マシンマネージャー (virt-manager) は、RHEL 8 で対応していますが、非推奨になっています。後続の主要なリリースでは、Web コンソールがその代替となる予定です。したがって、GUI で仮想化を管理する場合は、Web コンソールを使用することが推奨されます。
ただし、RHEL 8 では、virt-manager またはコマンドラインでのみ実行可能な仮想マシン管理タスクがあります。次の表は、virt-manager で使用でき、RHEL 8.0 Web コンソールでは使用できない機能を示しています。
この機能は、RHEL 8 の後続のマイナーバージョンで利用可能な場合は、「Web コンソールのサポート」の列に、最小バージョンの RHEL 8 が表示されます。
表27.2 RHEL 8.0 の Web コンソールを使用して実行できない仮想マシンの管理タスク
タスク | Web コンソールでのサポートが導入されました。 | CLI を使用した代替方法 |
---|---|---|
ホストの起動時に起動する仮想マシンを設定 | RHEL 8.1 |
|
仮想マシンの一時停止 | RHEL 8.1 |
|
中断している仮想マシンの再開 | RHEL 8.1 |
|
ファイルシステムディレクトリーストレージプールの作成 | RHEL 8.1 |
|
NFS ストレージプールの作成 | RHEL 8.1 |
|
物理ディスクデバイスのストレージプールの作成 | RHEL 8.1 |
|
LVM ボリュームグループストレージプールの作成 | RHEL 8.1 |
|
パーティションベースのストレージプールの作成 | 現在利用不可 |
|
GlusterFS ベースのストレージプールの作成 | 現在利用不可 |
|
SCSI デバイスを使用した vHBA ベースのストレージプールの作成 | 現在利用不可 |
|
マルチパスベースのストレージプールの作成 | 現在利用不可 |
|
RBD ベースのストレージプールの作成 | 現在利用不可 |
|
ストレージボリュームの新規作成 | RHEL 8.1 |
|
新しい仮想ネットワークの追加 | RHEL 8.1 |
|
仮想ネットワークの削除 | RHEL 8.1 |
|
ホストマシンのインターフェースから仮想マシンへのブリッジを作成 | 現在利用不可 |
|
スナップショットの作成 | 現在利用不可 |
|
スナップショットへの復帰 | 現在利用不可 |
|
スナップショットの削除 | 現在利用不可 |
|
仮想マシンのクローン作成 | RHEL 8.4 |
|
仮想マシンの別のホストマシンへの移行 | RHEL 8.5 |
|
ホストデバイスの仮想マシンへの割り当て | RHEL 8.5 |
|
仮想マシンからのホストデバイスの削除 | RHEL 8.5 |
|
関連情報
第28章 Web コンソールでリモートシステムの管理
リモートシステムに接続し、RHEL 8 Web コンソールで管理します。
次の章で以下を説明します。
- 接続したシステムで最適なトポロジー
- リモートシステムを追加および削除する方法
- リモートシステム認証に SSH 鍵を使用する時、理由、および方法
前提条件
- リモートシステムで、SSH サービスが開いている。
28.1. Web コンソールのリモートシステムマネージャー
ネットワークでリモートシステムを管理する RHEL 8 Web コンソールを使用する場合は、接続したサーバーのトポロジーを考慮する必要があります。
最適なセキュリティーを確保するために、Red Hat では、次の接続設定が推奨されます。
- Web コンソールを使用して、システム 1 台を要塞ホストとして使用します。要塞ホストは、開いている HTTPS ポートを使用するシステムです。
- その他のすべてのシステムは SSH を介して通信します。
要塞ホストで Web インターフェースを使用して、デフォルト設定でポート 22 を使用して、SSH プロトコルを介して他のすべてのシステムに到達できます。
28.2. Web コンソールへのリモートシステムの追加
本セクションでは、他のシステムをユーザー名とパスワードに接続する方法を説明します。
前提条件
- 管理者権限で Web コンソールにログインしている。詳細は「Web コンソールへのログイン」を参照してください。
手順
RHEL 8 Web コンソールで、Overview ページの左上にある
username@hostname
をクリックします。ドロップダウンメニューで、Add new host ボタンをクリックします。
- 新規ホストの追加 ダイアログボックスで、追加するホストを指定します。
(オプション)接続するアカウントのユーザー名を追加します。
リモートシステムのユーザーアカウントを使用できます。ただし、管理者権限なしでユーザーアカウントの認証情報を使用すると、管理タスクを実行できません。
ローカルシステムと同じ認証情報を使用する場合は、ログインするたびに、Web コンソールがリモートシステムを自動的に認証します。したがって、複数のマシンで同じ認証情報を使用すると、潜在的なセキュリティーリスクになります。
- (オプション) Color フィールドをクリックして、システムの色を変更します。
Add をクリックします。
新規ホストが
username@hostname
ドロップダウンメニューのホスト一覧に表示されます。
Web コンソールは、リモートシステムのログインに使用するパスワードを保存しないため、システムが再起動するたびに再度ログインする必要があります。次回のログイン時に、接続されていないリモートシステムのメイン画面 にある ログイン ボタンをクリックして、ログインダイアログを開きます。
28.3. Web コンソールでリモートホストの削除
本セクションでは、Web コンソールから他のシステムを削除する方法を説明します。
前提条件
リモートシステムが追加されている。
詳細は、「Web コンソールへのリモートシステムの追加」 を参照してください。
管理者権限で Web コンソールにログインしている。
詳細は「Web コンソールへのログイン」を参照してください。
手順
- RHEL {ProdductNumber}の Web コンソールにログインします。
Overview ページの左上にある
username@hostname
をクリックします。サーバーの編集 アイコンをクリックします。
Web コンソールからホストを削除するには、ホスト名の横にある赤いマイナス記号ボタンをクリックします。現在接続しているホストを削除できないことに注意してください。
その結果、サーバーは Web コンソールから削除されます。
28.4. 新規ホストの ssh ログインの有効化
新規ホストを追加する場合は、ssh キーを使用してログインすることもできます。システムに ssh キーがすでにある場合には、Web コンソールは既存のキーを使用します。それ以外の場合は、Web コンソールはキーを作成できます。
前提条件
管理者権限で Web コンソールにログインしている。
詳細は「Web コンソールへのログイン」を参照してください。
手順
RHEL 8 Web コンソールで、Overview ページの左上にある
username@hostname
をクリックします。ドロップダウンメニューで、Add new host ボタンをクリックします。
- 新規ホストの追加 ダイアログボックスで、追加するホストを指定します。
接続するアカウントのユーザー名を追加します。
リモートシステムのユーザーアカウントを使用できます。ただし、管理者権限なしでユーザーアカウントの認証情報を使用すると、管理タスクを実行できません。
- (オプション) Color フィールドをクリックして、システムの色を変更します。
Add をクリックします。
パスワードの入力を求める新しいダイアログウィンドウが表示されます。
- ユーザーアカウントのパスワードを入力します。
Ssh キーがすでにある場合は、Authorize ssh キー を確認します。
Create a new SSH key を確認し、 SSH キーがない場合は承認します。Web コンソールはこれを作成します。
- SSH 鍵のパスワードを追加します。
- パスワードを確認します。
ログイン をクリックします。
新規ホストが
username@hostname
ドロップダウンメニューのホスト一覧に表示されます。
検証手順
- ログアウトします。
- 再度ログインします。
- Not connected to host 画面で ログイン をクリックします。
認証オプションとして SSH キー を選択します。
- キーパスワードを入力します。
- Log in をクリックします。
第29章 IdM ドメインで RHEL 8 Web コンソールにシングルサインオンを設定
RHEL 8 Web コンソールでの Identity Management (IdM) が提供する SSO (シングルサインオン) 認証を使用する方法を学びます。
利点:
- IdM ドメインの管理者は、RHEL 8 Web コンソールを使用して、ローカルマシンを管理できます。
- IdM ドメインで Kerberos チケットを使用すると、Web コンソールにアクセスする際にログイン認証情報を指定する必要がなくなりました。
- IdM ドメインが認識しているすべてのホストは、RHEL 8 Web コンソールのローカルインスタンスから SSH 経由でアクセスできます。
- 証明書設定は必須ではありません。コンソールの Web サーバーでは、IdM 認証局が発行した証明書に自動的に切り替わり、ブラウザーに許可されます。
本章は、RHEL Web コンソールにログインするために SSO を設定する手順を説明します。
RHEL 8 Web コンソールを使用して IdM ドメインにマシンを追加します。
詳細は「 Web コンソールで IdM ドメインに RHEL 8 システムを参加させる 」を参照してください。
認証に Kerberos を使用する場合は、マシンで Kerberos チケットを取得する必要があります。
詳細は「 Kerberos 認証を使用して Web コンソールにログイン 」を参照してください。
IdM サーバーの管理者が、任意のホストで任意のコマンドを実行できます。
詳細は「 IdM サーバーのドメイン管理者への管理者 sudo アクセスの有効化」 を参照してください。
前提条件
RHEL Web コンソールが RHEL 8 システムにインストールされている。
詳細は「Web コンソールのインストール」を参照してください。
RHEL Web コンソールを使用して IdM クライアントがシステムにインストールされている。
詳細は「Identity Management クライアントのインストール」を参照してください。
29.1. Web コンソールを使用した RHEL 8 システムの IdM ドメインへの参加
Web コンソールを使用して、Red Hat Enterprise Linux 8 システムを Identity Management(IdM)ドメインに参加させることができます。
前提条件
- IdM ドメインが実行中で参加するクライアントから到達可能
- IdM ドメインの管理者認証情報がある。
手順
RHEL Web コンソールにログインします。
詳細は「Web コンソールへのログイン」を参照してください。
- システム タブを開きます。
ドメイン参加 をクリックします。
- ドメイン参加 ダイアログボックスの ドメインアドレス フィールドに、IdM サーバーのホスト名を入力します。
認証 ドロップダウンメニューで、認証にパスワード、またはワンタイムパスワードを使用するかどうかを選択します。
- ドメイン管理者名 フィールドで、IdM 管理アカウントのユーザー名を入力します。
- 上記の 認証 ドロップダウンリストで選択した内容に応じて、パスワードフィールドにパスワードまたはワンタイムパスワードを追加します。
参加 をクリックします。
検証手順
- システムが IdM ドメインに参加していると、RHEL 8 Web コンソールにエラーが表示されず、システム 画面でドメイン名を確認できます。
ユーザーがドメインのメンバーであることを確認するには、Terminal ページをクリックし、
id
コマンドを実行します。$ id euid=548800004(example_user) gid=548800004(example_user) groups=548800004(example_user) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
29.2. Kerberos 認証を使用して Web コンソールにログイン
次の手順は、Kerberos 認証を使用するように RHEL 8 システムを設定する方法を説明します。
SSO を使用した場合は、通常、Web コンソールに管理者権限がありません。これは、パスワードがない sudo を設定した場合に限り機能します。Web コンソールは、対話的に sudo パスワードを要求しません。
前提条件
稼働中で、会社の環境で到達可能な IdM ドメイン
詳細は「 Web コンソールで IdM ドメインに RHEL 8 システムを参加させる」を参照してください。
リモートシステムで、RHEL Web コンソールで接続して管理する
cockpit.socket
サービスを有効にしている。詳細は「Web コンソールのインストール」を参照してください。
-
システムが、SSSD クライアントが管理する Kerberos チケットを使用しない場合は、
kinit
ユーティリティーを使用して手動でチケットを要求してみる。
手順
https://dns_name:9090
から、RHEL Web コンソールにログインします。
この時点で、RHEL Web コンソールへの接続に成功しており、設定を開始できます。
29.3. 管理者の sudo で IdM サーバーのドメイン管理者にアクセス可能に
次の手順は、ドメイン管理者が、Identity Management (IdM) ドメイン内のホストでコマンドを実行できるようにする手順を説明します。
これを可能にするために、IdM サーバーのインストール時に自動的に作成された admins ユーザーグループに sudo がアクセスできるようにします。
グループで ipa-advise
スクリプトを実行すると、admins グループに追加したすべてのユーザーに sudo アクセスが付与されます。
前提条件
- サーバーが、IdM 4.7.1 以降を実行している。
手順
- IdM サーバーに接続します。
ipa-advise スクリプトを実行します。
$ ipa-advise enable-admins-sudo | sh -ex
admins グループが、IdM ドメインのすべてのマシンの管理者権限を有している場合は、コンソールにエラーが表示されません。
第30章 集中管理ユーザー向けに Web コンソールを使用したスマートカード認証の設定
RHEL Web コンソールでスマートカード認証を集中管理しているユーザーに設定します。
- ID 管理
- Identity Management を使用してフォレスト間の信頼に接続する Active Directory
Smart card authentication does not elevate administrative privileges yet and the web console opens in the web browser in the read-only mode.
You can run administrative commands in the built-in terminal with `sudo`.
前提条件
スマートカード認証を使用するシステムは、Active Directory または Identity Management ドメインのメンバーである必要があります。
Web コンソールを使用して RHEL 8 システムをドメインに参加させる方法は「Web コンソールで RHEL 8 システムを IdM ドメインに参加」を参照してください。
スマートカード認証に使用される証明書は、Identity Management または Active Directory の特定のユーザーに関連付けられている必要があります。
Identity Management のユーザーと証明書の関連付けの詳細は、Adding a certificate to a user entry in the IdM Web UIまたはAdding a certificate to a user entry in the IdM CLIを参照してください。
30.1. 集中管理ユーザーのスマートカード認証
スマートカードは、カードに保存されている証明書を使用して個人認証を提供できる物理デバイスです。個人認証とは、ユーザーパスワードと同じ方法でスマートカードを使用できることを意味します。
秘密鍵と証明書の形式で、スマートカードにユーザーの認証情報を保存できます。特別なソフトウェアおよびハードウェアを使用して、そのソフトウェアにアクセスします。スマートカードをリーダーまたは USB ソケットに挿入して、パスワードを入力する代わりに、スマートカードの PIN コードを入力します。
Identity Management (IdM) では、以下によるスマートカード認証に対応しています。
- IdM 認証局が発行するユーザー証明書。詳細は、「スマートカード認証用の Identity Management の設定」を参照してください。
- Active Directory Certificate Service (ADCS) 認証局が発行するユーザー証明書。詳細は「IdM でスマートカード認証用に ADCS が発行した証明書の設定」を参照してください。
スマートカード認証の使用を開始する場合は、ハードウェア要件「 Smart Card support in RHEL8+ 」を参照してください。
30.2. スマートカードを管理および使用するツールのインストール
スマートカードを設定するには、証明書を生成し、スマートカードに保存するツールが必要になります。
以下を行う必要があります。
-
証明書管理に役立つ
gnutls-utils
パッケージをインストールする。 -
スマートカードと連携するライブラリーおよびユーティリティーのセットを提供する
opensc
パッケージをインストールします。 -
スマートカードリーダーと通信する
pcscd
サービスを開始する。
手順
opensc
パッケージおよびgnutls-utils
パッケージをインストールします。# dnf -y install opensc gnutls-utils
pcscd
サービスを開始します。# systemctl start pcscd
pcscd
サービスが稼働していることを確認します。
30.3. スマートカードでの証明書の保存
本セクションでは、設定に役立つ pkcs15-init
によるスマートカードの設定を説明します。
- スマートカードの消去
- 新しい PIN およびオプションの PIN ブロック解除キー (PUK) の設定
- スマートカードでの新規スロットの作成
- スロットへの証明書、秘密鍵、および公開鍵の保存
- スマートカード設定のロック (一部のスマートカードではこのタイプのファイナライズが必要になります)
前提条件
pkcs15-init
ツールを含むopensc
パッケージがインストールされている。詳細は「スマートカードの管理および使用ツールのインストール」を参照してください。
- カードがリーダーに挿入され、コンピューターに接続されている。
-
スマートカードに保存する秘密鍵、公開鍵、および証明書がある。この手順では、
testuser.key
、testuserpublic.key
、およびtestuser.crt
は、秘密鍵、公開鍵、および証明書に使用される名前です。 - 現在のスマートカードユーザー PIN およびセキュリティーオフィス PIN (SO-PIN)
手順
スマートカードを消去して PIN で自身を認証します。
$ pkcs15-init --erase-card --use-default-transport-keys Using reader with a card: Reader name PIN [Security Officer PIN] required. Please enter PIN [Security Officer PIN]:
カードが削除されました。
スマートカードを初期化し、ユーザー PIN と PUK を設定します。また、セキュリティーオフィス PIN と PUK を設定します。
$ pkcs15-init --create-pkcs15 --use-default-transport-keys \ --pin 963214 --puk 321478 --so-pin 65498714 --so-puk 784123 Using reader with a card: Reader name
pcks15-init
ツールは、スマートカードに新しいスロットを作成します。スロットのラベルと認証 ID を設定します。
$ pkcs15-init --store-pin --label testuser \ --auth-id 01 --so-pin 65498714 --pin 963214 --puk 321478 Using reader with a card: Reader name
ラベルは人間が判読できる値に設定されます (この場合は
testuser
)。auth-id
は 16 進数の値である必要があります。この場合、01
に設定されます。スマートカードの新しいスロットに秘密鍵を保存し、ラベルを付けます。
$ pkcs15-init --store-private-key testuser.key --label testuser_key \ --auth-id 01 --id 01 --pin 963214 Using reader with a card: Reader name
注記--id
に指定する値は、秘密鍵と証明書を保存する際に同じである必要があります。--id
の値を指定しないと、ツールによりより複雑な値が計算されるため、独自の値の定義が容易になります。スマートカードの新しいスロットに証明書を保存し、ラベル付けします。
$ pkcs15-init --store-certificate testuser.crt --label testuser_crt \ --auth-id 01 --id 01 --format pem --pin 963214 Using reader with a card: Reader name
(オプション) スマートカードの新しいスロットに公開鍵を保存し、ラベルを付けます。
$ pkcs15-init --store-public-key testuserpublic.key --label testuserpublic_key --auth-id 01 --id 01 --pin 963214 Using reader with a card: Reader name
注記公開鍵が秘密鍵または証明書に対応している場合は、その秘密鍵または証明書と同じ ID を指定する必要があります。
(オプション) スマートカードの中には、設定をロックしてカードを最終処理する必要があるものもあります。
$ pkcs15-init -F
この段階では、スマートカードには、新たに作成されたスロットに証明書、秘密鍵、および公開鍵が含まれます。ユーザーの PIN と PUK、およびセキュリティー担当者の PIN と PUK も作成しました。
30.4. Web コンソールのスマートカード認証の有効化
Web コンソールでスマートカード認証を使用できるようにするには、cockpit.conf
ファイルでスマートカード認証を有効にします。
また、同じファイルでパスワード認証を無効にすることもできます。
前提条件
RHEL Web コンソールがインストールされている。
詳細は「Web コンソールのインストール」を参照してください。
手順
管理者権限で RHEL Web コンソールにログインしている。
詳細は「Web コンソールへのログイン」を参照してください。
- Terminal をクリックします。
/etc/cockpit/cockpit.conf
でClientCertAuthentication
をyes
に設定します。[WebService] ClientCertAuthentication = yes
必要に応じて、以下のようにして
cockpit.conf
でパスワードベースの認証を無効にします。[Basic] action = none
この設定ではパスワード認証が無効になり、常にスマートカードを使用する必要があります。
Web コンソールを再起動して、
cockpit.service
が変更を受け入れることを確認します。# systemctl restart cockpit
30.5. スマートカードを使用して Web コンソールへのログイン
スマートカードを使用して、Web コンソールにログインできます。
前提条件
- 有効な証明書が、Active Directory または Identity Management ドメインで作成されたユーザーアカウントに関連付けられているスマートカードに保存されている。
- スマートカードのロックを解除するピン。
- スマートカードがリーダーに追加されている。
手順
Web ブラウザーを開き、アドレスバーに Web コンソールのアドレスを追加します。
ブラウザーは、スマートカードに保存されている証明書を PIN で保護するよう要求します。
- Password Required ダイアログボックスで PIN を入力し、OK をクリックします。
- User Identification Request ダイアログボックスで、スマートカードに保存されている証明書を選択します。
Remember this decision を選択します。
次回、このウィンドウが開きません。
- OK をクリックします。
これで接続され、Web コンソールがそのコンテンツを表示します。
30.6. DoS 攻撃を防ぐためのユーザーセッションおよびメモリーの制限
証明書認証は、別のユーザーの権限を借用する攻撃者に対して Web サーバー cockpit-ws
のインスタンスを分離して孤立させることで保護されます。ただし、これによりサービス拒否攻撃 (DoS) 攻撃が発生する可能性があります。リモートの攻撃者は大量の証明書を作成し、異なる証明書を使用してそれぞれ cockpit-ws
に多数の HTTPS 要求を送信することができます。
この DoS を防ぐために、これらの Web サーバーインスタンスの共同リソースは制限されます。デフォルトでは、接続数に制限され、メモリー使用量の制限は 200 スレッドと、75% (ソフト) または 90% (ハード) のメモリーに設定されます。
以下の手順では、接続およびメモリーの数を制限することで、リソースの保護を説明します。
手順
端末で
system-cockpithttps.slice
設定ファイルを開きます。# systemctl edit system-cockpithttps.slice
TasksMax
を 100 に、CPUQuota
を 30% に制限します。[Slice] # change existing value TasksMax=100 # add new restriction CPUQuota=30%
変更を適用するには、システムを再起動します。
# systemctl daemon-reload # systemctl stop cockpit
これで、新しいメモリーとユーザーセッションの制限により、Web サーバー cockpit-ws
が DoS 攻撃から保護されるようになりました。
30.7. 関連情報
- スマートカード認証用の Identity Management の設定
- IdM でスマートカード認証用に ADCS が発行する証明書の設定
- ローカル証明書のスマートカードへの設定およびインポート。:context: system-management-using-the-RHEL-8-web-console