RHEL 8 で Web コンソールを使用したシステムの管理

Red Hat Enterprise Linux 8

Red Hat Enterprise Linux 8 で Web コンソールを使用したシステム管理ガイド

Red Hat Customer Content Services

概要

本ガイドは、RHEL 8 の Web コンソールを使用して Linux ベースの物理および仮想システムを管理する方法を説明します。
ここで説明する手順では、管理に使用されるサーバーが Red Hat Enterprise Linux 8 で稼働していることを前提としています。

Red Hat ドキュメントへのフィードバック (英語のみ)

ご意見ご要望をお聞かせください。ドキュメントの改善点はございませんか。改善点を報告する場合は、以下のように行います。

  • 特定の文章に簡単なコメントを記入する場合は、以下の手順を行います。

    1. ドキュメントの表示が Multi-page HTML 形式になっていて、ドキュメントの右上端に Feedback ボタンがあることを確認してください。
    2. マウスカーソルで、コメントを追加する部分を強調表示します。
    3. そのテキストの下に表示される Add Feedback ポップアップをクリックします。
    4. 表示される手順に従ってください。
  • より詳細なフィードバックを行う場合は、Bugzilla のチケットを作成します。

    1. Bugzilla の Web サイトにアクセスします。
    2. Component で Documentation を選択します。
    3. Description フィールドに、ドキュメントの改善に関するご意見を記入してください。ドキュメントの該当部分へのリンクも記入してください。
    4. Submit Bug をクリックします。

第1章 RHEL Web コンソールの使用

Red Hat Enterprise Linux 8 に Web コンソールをインストールし、RHEL 8 Web コンソールで リモートホストを追加し、監視する方法を確認します。

前提条件

  • Red Hat Enterprise Linux 8 をインストールしている。
  • 有効なネットワークがある。
  • 適切なサブスクリプションが割り当てられた登録済みのシステムがある。

    サブスクリプションを取得する場合は、「Web コンソールでサブスクリプションの管理」を参照してください。

1.1. RHEL Web コンソールの概要

RHEL Web コンソールは、ローカルシステムやネットワーク環境にある Linux サーバーを管理および監視するために設計された Red Hat Enterprise Linux 8 の Web ベースのインターフェースです。

cockpit overview page PF4

RHEL Web コンソールは、以下を含むさまざまな管理タスクを可能にします。

  • サービスの管理
  • ユーザーアカウントの管理
  • システムサービスの管理および監視
  • ネットワークインターフェースおよびファイアウォールの設定
  • システムログの確認
  • 仮想マシンの管理
  • 診断レポートの作成
  • カーネルダンプ構成の設定
  • SELinux の構成
  • ソフトウェアの更新
  • システムサブスクリプションの管理

RHEL Web コンソールは、ターミナルと同じシステム API を使用します。ターミナルで実行した操作は、即座に RHEL Web コンソールに反映されます。

ネットワーク環境のシステムのログや、パフォーマンスをグラフで監視できます。さらに、Web コンソールで設定を直接変更したり、ターミナルから設定を変更できます。

1.2. Web コンソールのインストール

Red Hat Enterprise Linux 8 では、多くのインストール方法で、RHEL 8 Web コンソールがデフォルトでインストールされます。

ご使用のシステムがこれに該当しない場合は、cockpit パッケージをインストールし、cockpit.socket サービスを設定して RHEL 8 Web コンソールを有効にします。

手順

  1. cockpit パッケージをインストールします。

    # yum install cockpit
  2. Web サーバーを実行する cockpit.socket サービスを有効にして起動します。

    # systemctl enable --now cockpit.socket
  3. カスタムのファイアウォールプロファイルを使用している場合は、cockpit サービスを firewalld に追加して、ファイアウォールの 9090 ポートを開きます。

    # firewall-cmd --add-service=cockpit --permanent
    # firewall-cmd --reload

検証手順

  1. 以前のインストールと設定を確認するには、Web コンソールを開きます

1.3. Web コンソールへのログイン

システムユーザー名とパスワードを使用して、RHEL Web コンソールに最初にログインするには、この手順の手順に従ってください。

前提条件

  • 以下のブラウザーのいずれかを使用して、Web コンソールを開いている。

    • Mozilla Firefox 52 以上
    • Google Chrome 57 以上
    • Microsoft Edge 16 以上
  • システムユーザーアカウントの認証情報

    RHEL Web コンソールは、/etc/pam.d/cockpit にある特定の PAM スタックを使用します。PAM を使用した認証では、システムのローカルアカウントのユーザー名およびパスワードを使用してログインできます。

手順

  1. Web ブラウザーで Web コンソールを開きます。

    • ローカルの場合 - https://localhost:9090
    • リモートでサーバーのホスト名を使用する場合 - https://example.com:9090
    • リモートでサーバーの IP アドレスを使用する場合 - https://192.0.2.2:9090

      自己署名証明書を使用する場合は、ブラウザーに警告が表示されます。証明書を確認し、セキュリティー例外を許可してから、ログインを続行します。

      コンソールは /etc/cockpit/ws-certs.d ディレクトリーから証明書をロードし、アルファベット順で最後となる .cert 拡張子のファイルを使用します。セキュリティーの例外を承認しなくてもすむように、認証局 (CA) が署名した証明書をインストールします。

  2. ログイン画面で、システムユーザー名とパスワードを入力します。

    cockpit login page PF4

  3. 必要に応じて、特権タスクにパスワードを再使用する オプションをクリックします。

    ログインに使用するユーザーアカウントに sudo 権限がある場合は、ソフトウェアのインストールや SELinux の設定など、Web コンソールで権限が必要となるタスクを実行できます。

  4. ログイン をクリックします。

認証に成功すると、RHEL Web コンソールインターフェースが開きます。

1.4. リモートマシンから Web コンソールへの接続

任意のクライアントオペレーティングシステムから、または携帯電話やタブレットから、Web コンソールインターフェースに接続できます。

前提条件

  • 対応しているインターネットブラウザーを備えたデバイス。以下に例を示します。

    • Mozilla Firefox 52 以上
    • Google Chrome 57 以上
    • Microsoft Edge 16 以上
  • インストールしてアクセス可能な Web コンソールでアクセスする RHEL 8 サーバー。Web コンソールのインストールの詳細は、「RHEL Web コンソールの使用」を参照してください。

手順

  1. Web ブラウザを開きます。
  2. リモートサーバーのアドレスを次のいずれかの形式で入力します。

    1. サーバーのホスト名 (server.hostname.example.com:port_number)
    2. サーバーの IP アドレス (server.IP_address:port_number)
  3. ログインインターフェースが開いたら、RHEL マシンの資格情報でログインします。

1.5. ワンタイムパスワードを使用した Web コンソールへのログイン

システムがワンタイムパスワード (OTP) 設定が有効になっている Identity Management (IdM) ドメインの一部である場合は、OTP を使用して RHEL Web コンソールにログインできます。

重要

ワンタイムパスワードを使用してログインできるのは、お使いのシステムが、OTP 設定が有効な Identity Management (IdM) ドメインの一部である場合のみです。IdM の OTP の詳細は、「Identity Management のワンタイムパスワード」を参照してください。

前提条件

手順

  1. ブラウザーで RHEL Web コンソールを開きます。

    • ローカルの場合 - https://localhost:PORT_NUMBER
    • リモートでサーバーのホスト名を使用する場合 - https://example.com:PORT_NUMBER
    • リモートでサーバーの IP アドレスを使用する場合 - https://EXAMPLE.SERVER.IP.ADDR:PORT_NUMBER

      自己署名証明書を使用する場合は、ブラウザーに警告が表示されます。証明書を確認し、セキュリティー例外を許可してから、ログインを続行します。

      コンソールは /etc/cockpit/ws-certs.d ディレクトリーから証明書をロードし、アルファベット順で最後となる .cert 拡張子のファイルを使用します。セキュリティーの例外を承認しなくてもすむように、認証局 (CA) が署名した証明書をインストールします。

  2. ログイン画面が表示されます。ログイン画面で、システムユーザーの名前とパスワードを入力します。
  3. デバイスでワンタイムパスワードを生成します。
  4. パスワードを確認してから、Web コンソールインターフェースに表示される新規フィールドにワンタイムパスワードを入力します。
  5. Log in をクリックします。
  6. 正常なログインは、Web コンソールインターフェースの Overview ページに移動します。

1.6. Web コンソールを使用したシステムの再起動

Web コンソールを使用して、Web コンソールが接続している RHEL システムを再起動します。

前提条件

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. 概要 をクリックします。
  3. 再起動 ボタンをクリックします。

    cockpit system restart pf4

  4. ユーザーがシステムにログインする場合は、再起動 ダイアログボックスに、再起動する理由を記入します。
  5. 必要に応じて、遅延 ドロップダウンリストで、遅延させる時間を選択します。

    cockpit restart delay pf4

  6. 再起動 をクリックします。

1.7. Web コンソールを使用してシステムのシャットダウン

Web コンソールを使用して、Web コンソールが接続している RHEL システムをシャットダウンします。

前提条件

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. 概要 をクリックします。
  3. 再起動 ドロップダウンリストで、シャットダウン を選択します。

    cockpit system shutdown pf4

  4. システムにログインするユーザーがいる場合は、シャットダウン ダイアログボックスに、シャットダウンの理由を入力します。
  5. 必要に応じて、遅延 ドロップダウンリストで、遅延させる時間を選択します。
  6. シャットダウン をクリックします。

1.8. Web コンソールを使用した時間設定の設定

タイムゾーンを設定し、システム時間を Network Time Protocol (NTP) サーバーに同期できます。(ユーザーがこれを行う理由を追加します)。

前提条件

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. 概要 で現在のシステム時間をクリックします。

    cockpit time settings pf4

  3. 必要に応じて、システム時間の変更 ダイアログボックスで、タイムゾーンを変更します。
  4. 時間の設定 ドロップダウンメニューで、以下のいずれかを選択します。

    手動
    NTP サーバーなしで手動で時間を設定する必要がある場合は、このオプションを使用します。
    NTP サーバーの自動使用
    これはデフォルトのオプションで、設定された NTP サーバーと時間を自動的に同期します。
    特定の NTP サーバーの自動使用
    このオプションは、システムを特定の NTP サーバーと同期する必要がある場合に限り使用してください。サーバーの DNS 名または IP アドレスを指定します。
  5. 変更 をクリックします。

    cockpit time change pf4

検証手順

  • システム タブに表示されるシステム時間を確認します。

1.9. Web コンソールで RHEL 8 システムを IdM ドメインに参加

Web コンソールを使用することで、Red Hat Enterprise Linux 8 システムを Identity Management (IdM) ドメインに参加させることができます。

前提条件

  • IdM ドメインが実行中で参加するクライアントから到達可能
  • IdM ドメインの管理者認証情報がある。

手順

  1. RHEL Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. システム タブを開きます。
  3. ドメイン参加 をクリックします。

    idm cockpit join domain

  4. ドメイン参加 ダイアログボックスの ドメインアドレス フィールドに、IdM サーバーのホスト名を入力します。
  5. 認証 ドロップダウンメニューで、認証にパスワード、またはワンタイムパスワードを使用するかどうかを選択します。

    idm cockpit join psswd

  6. ドメイン管理者名 フィールドで、IdM 管理アカウントのユーザー名を入力します。
  7. 上記の 認証 ドロップダウンリストで選択した内容に応じて、パスワードフィールドにパスワードまたはワンタイムパスワードを追加します。
  8. 参加 をクリックします。

    idm cockpit join

検証手順

  1. システムが IdM ドメインに参加していると、RHEL 8 Web コンソールにエラーが表示されず、システム 画面でドメイン名を確認できます。
  2. ユーザーがドメインのメンバーであることを確認するには、Terminal ページをクリックし、id コマンドを実行します。

    $ id
    euid=548800004(example_user) gid=548800004(example_user) groups=548800004(example_user) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

1.10. SMT を無効にして、Web コンソールを使用した CPU セキュリティー問題を回避

CPU SMT (Simultaneous Multi Threading) を誤用する攻撃が発生した場合に SMT を無効にします。SMT を無効にすると、L1TF や MDS などのセキュリティー脆弱性を軽減できます。

重要

SMT を無効にすると、システムパフォーマンスが低下する可能性があります。

前提条件

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. システム をクリックします。
  3. ハードウェア で、ハードウェア情報をクリックします。

    cockpit smt hardware

  4. CPU セキュリティー で、軽減策 をクリックします。

    このリンクがない場合は、システムが SMT に対応していないため、攻撃を受けません。

  5. CPU セキュリティートグル で、同時マルチスレッドの無効 (nosmt) オプションに切り替えます。

    cockpit smt disable

  6. 保存および再起動 ボタンをクリックします。

システムの再起動後、CPU は SMT を使用しなくなりました。

関連情報

SMT を無効にすることで回避できるセキュリティー攻撃の詳細は、以下を参照してください。

第2章 Web コンソールでホスト名を設定する

RHEL 8 Web コンソールを使用して、Web コンソールが接続しているシステムで、異なる形式のホスト名を設定する方法を学びます。

2.1. ホスト名

ホスト名はシステムを識別します。デフォルトでは、ホスト名は localhost に設定されていますが、変更できます。

ホスト名は、以下の 2 つの部分から構成されます。

ホスト名
システムを識別する一意の名前です。
ドメイン
ネットワーク内でシステムを使用する場合や、IP アドレスではなく名前を使用する場合に、ホスト名の背後にドメインを接尾辞として追加します。

ドメイン名が割り当てられたホスト名は、完全修飾ドメイン名 (FQDN) と呼ばれます。たとえば、mymachine.example.com です。

ホスト名は /etc/hostname ファイルに保存されます。

2.2. Web コンソールで Pretty ホスト名

RHEL Web コンソールで Pretty ホスト名を設定することもできます。Pretty ホスト名は、大文字、スペースなどを含むホスト名です。

Pretty ホスト名は Web コンソールに表示されますが、ホスト名に対応させる必要はありません。

例2.1 Web コンソールでのホスト名の形式

Pretty ホスト名
My machine
ホスト名
mymachine
実際のホスト名 - 完全修飾ドメイン名 (FQDN)
mymachine.idm.company.com

2.3. Web コンソールを使用したホスト名の設定

この手順では、Web コンソールで実際のホスト名または Pretty ホスト名を設定します。

前提条件

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. 概要 をクリックします。
  3. 現在のホスト名の横にある 編集 をクリックします。

    cockpit hostname pf4

  4. ホスト名の変更 ダイアログボックスの Pretty ホスト名 フィールドに、ホスト名を入力します。
  5. 実際のホスト名フィールド は、ドメイン名を Pretty 名に割り当てます。

    ホスト名が Pretty ホスト名と一致しない場合は、実際にホスト名を手動で変更できます。

  6. 変更 をクリックします。

    cockpit hostname change pf4

検証手順

  1. Web コンソールからログアウトします。
  2. ブラウザーのアドレスバーに新規ホスト名のアドレスを入力して、Web コンソールを再度開きます。

    cockpit hostname change verify pf4

第3章 Red Hat Web コンソールアドオン

RHEL 8 Web コンソールでアドオンをインストールし、利用できるアドオンアプリケーションを確認します。

3.1. アドオンのインストール

cockpit パッケージは、デフォルトで Red Hat Enterprise Linux 8 に含まれています。アドオンアプリケーションを使用できるようにするには、個別にインストールする必要があります。

前提条件

  • cockpit パッケージがインストールされ、有効になっている。Web コンソールを最初にインストールする必要がある場合は、インストール のセクションを参照してください。

手順

  • アドオンをインストールします。

    # yum install <add-on>

3.2. RHEL 8 Web コンソールのアドオン

以下の表は、RHEL 8 Web コンソールの利用可能なアドオンアプリケーションの一覧です。

機能名パッケージ名用途

Composer

cockpit-composer

カスタム OS イメージの構築

Dashboard

cockpit-dashboard

単一の UI で複数のサーバーを管理する

Machines

cockpit-machines

libvirt 仮想マシンの管理

PackageKit

cockpit-packagekit

ソフトウェア更新およびアプリケーションインストール (通常はデフォルトでインストールされている)

PCP

cockpit-pcp

永続的かつ、より詳細なパフォーマンスデータ (UI からオンデマンドでインストール)

podman

cockpit-podman

podman コンテナーの管理 (RHEL 8.1 から利用可能)

セッションの録画

cockpit-session-recording

ユーザーセッションの記録および管理

第4章 Web コンソールを使用したシステムパフォーマンスの最適化

選択したタスクに対してシステムのパフォーマンスを最適化する、RHEL 8 Web コンソールでのパフォーマンスプロファイル設定を学びます。

4.1. Web コンソールでのパフォーマンスチューニングオプション

Red Hat Enterprise Linux 8 は、以下のタスクに対してシステムを最適化する複数のパフォーマンスプロファイルを提供します。

  • デスクトップを使用するシステム
  • スループットのパフォーマンス
  • レイテンシーパフォーマンス
  • ネットワークパフォーマンス
  • 電力の低消費
  • 仮想マシン

tuned サービスは、選択したプロファイルに一致するようにシステムオプションを最適化します。

Web コンソールでは、システムが使用するパフォーマンスプロファイルを設定できます。

関連情報

4.2. Web コンソールでのパフォーマンスプロファイルの設定

この手順では、Web コンソールを使用して、選択したタスクのシステムパフォーマンスを最適化します。

前提条件

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. 概要 をクリックします。
  3. パフォーマンスプロファイル フィールドで、現在のパフォーマンスプロファイルをクリックします。

    cockpit performance profile pf4

  4. 必要に応じて、パフォーマンスプロファイルの変更 ダイアログボックスで、プロファイルを変更します。
  5. プロファイルの変更 をクリックします。

    cockpit performance profile change pf4

検証手順

  • Overview タブには、選択したパフォーマンスプロファイルが表示されます。

第5章 Web コンソールでログの確認

RHEL 8 Web コンソールでログへのアクセス、確認、およびフィルタリングの方法を説明します。

5.1. Web コンソールでログの確認

RHEL 8 Web コンソールのログセクションは、journalctl ユーティリティーの UI です。本セクションでは、Web コンソールインターフェースでシステムログにアクセスする方法を説明します。

前提条件

手順

  1. RHEL Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ログ をクリックします。

    cockpit logs new

  3. 一覧からログを確認するログエントリーをクリックして、ログエントリーの詳細を開きます。
注記

Pause ボタンを使用すると、新しいログエントリーが表示されないように一時停止できます。再開すると、Web コンソールは一時停止後に報告されたすべてのログエントリーを読み込みます。

時間、優先順位、または識別子でログをフィルタリングできます。詳細は 「Web コンソールでのログのフィルタリング」 を参照してください。

5.2. Web コンソールでのログのフィルタリング

本セクションでは、Web コンソールでログエントリーをフィルタリングする方法を説明します。

前提条件

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ログ をクリックします。
  3. デフォルトでは、Web コンソールには最新のログエントリーが表示されます。別の時間範囲でフィルタリングするには、Time ドロップダウンメニューの現在の日付をクリックして、希望するオプションを選択します。

    cockpit logs time new

  4. 重大度ログの一覧は、デフォルトで エラー以上のレベル が表示されます。優先度のフィルタリングを変更するには、ドロップダウンメニューの エラー以上のレベル をクリックして、優先度を選択します。

    cockpit logs priority

  5. デフォルトでは、Web コンソールにはすべての識別子のログが表示されます。特定のサービスのログをフィルタリングするには、All ドロップダウンメニューをクリックして、識別子を選択します。

    cockpit logs identifier

  6. ログエントリーを開くには、選択したログをクリックします。

第6章 Web コンソールでユーザーアカウントの管理

RHEL Web コンソールは、システムユーザーアカウントの追加、編集、および削除を行うインターフェースを提供します。

本セクションの内容を読むと、以下を理解できます。

  • 既存のアカウントが存在する場所
  • 新規アカウントの追加方法
  • パスワードの有効期限の設定方法
  • ユーザーセッションを終了する方法および時期

前提条件

6.1. Web コンソールで管理されるシステムユーザーアカウント

RHEL Web コンソールに表示されているユーザーアカウントでは、以下が可能になります。

  • システムにアクセスする際にユーザーを認証する
  • システムへのアクセス権を設定する

RHEL Web コンソールは、システムに存在するすべてのユーザーアカウントを表示します。そのため、最初に Web コンソールにログインした直後は、ユーザーアカウントが少なくとも 1 つ表示されます。

RHEL Web コンソールにログインしたら、以下の操作を実行できます。

  • 新規ユーザーアカウントの作成
  • パラメーターの変更
  • アカウントのロック
  • ユーザーセッションの終了

6.2. Web コンソールで新規アカウントの追加

RHEL Web コンソールを使用して、ユーザーアカウントをシステムに追加し、アカウントに管理者権限を設定する場合は、以下の手順に従います。

前提条件

手順

  1. RHEL Web コンソールにログインします。
  2. アカウント をクリックします。
  3. 新規アカウントの作成 をクリックします。

    cockpit create new account pf4

  4. フルネーム フィールドにユーザーの氏名を入力します。

    RHEL Web コンソールは、入力した氏名からユーザー名が自動的に作成され、ユーザー名 フィールドに入力されます。名前の頭文字と、苗字で構成される命名規則を使用しない場合は、入力されたユーザー名を変更します。

  5. パスワード/確認 フィールドにパスワードを入力し、再度パスワードを入力します。フィールドの下にあるカラーバーは、入力したパスワードの強度を表し、弱いパスワードは使用できないようにします。

    cockpit user accounts pf4

  6. 作成 をクリックして設定を保存し、ダイアログボックスを閉じます。
  7. 新規作成したアカウントを選択します。
  8. ロール で、サーバー管理者 を選択します。

cockpit terminate session pf4

これで アカウント 設定に新規アカウントが表示され、認証情報を使用してシステムに接続できるようになりました。

6.3. Web コンソールでパスワード有効期限の強制

デフォルトでは、ユーザーアカウントのパスワードに期限はありません。パスワードの有効期限を設定するには、管理者が、定義した日数後にシステムパスワードが期限切れになるように設定します。

パスワードが期限切れになると、次回のログイン時にパスワードの変更が要求されます。

手順

  1. RHEL 8 Web コンソールインターフェースへログインします。
  2. アカウント をクリックします。
  3. パスワードの有効期限を設定するユーザーアカウントを選択します。
  4. ユーザーアカウントの設定でパスワードを失効しないをクリックします。
  5. パスワードの有効期限ダイアログボックスで、Require password change every… days を選択し、パスワードの期限が切れる日数を示した、正の整数を入力します。

    cockpit password expiration

  6. 変更 をクリックします。

設定を確認するには、アカウント設定を開きます。RHEL 8 Webコンソールには、有効期限を表すリンクが表示されます。

cockpit password expiration date

6.4. Web コンソールでユーザーセッションの終了

ユーザーがシステムにログインすると、ユーザーセッションが作成されます。ユーザーセッションを終了すると、ユーザーはシステムからログアウトされます。

これは、システムのアップグレードなどの、設定変更の影響を受ける管理タスクを実行する必要がある場合に便利です。

RHEL 8 Web コンソールの各ユーザーアカウントで、現在使用している Web コンソールセッション以外のセッションすべてを終了できます。これにより、管理者がシステムからログアウトしないようにします。

手順

  1. RHEL 8 Web コンソールにログインします。
  2. アカウント をクリックします。
  3. セッションを終了するユーザーアカウントをクリックします。
  4. セッションの終了 ボタンをクリックします。

    cockpit password expiration date Terminate Session ボタンが無効になっている場合は、ユーザーがシステムにログインしていません。

RHEL Web コンソールはセッションを終了します。

第7章 Web コンソールでのサービスの管理

RHEL 8 Web コンソールインターフェースでシステムサービスを管理する方法を説明します。サービスをアクティブまたは非アクティブにしたり、サービスを再起動または再読み込みしたり、自動起動を管理したりできます。

7.1. Web コンソールでのシステムサービスのアクティブ化または非アクティブ化

この手順では、Web コンソールインターフェースを使用して、システムサービスをアクティブまたは非アクティブにします。

前提条件

手順

名前または説明でサービスをフィルタリングできます。また、サービスの自動起動を有効、無効、または静的なものでフィルタリングできます。インターフェースには、サービスの現在の状態と最近のログが表示されます。

  1. 管理者権限で RHEL Web コンソールにログインしている。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. 左側の Web コンソールメニューで サービス をクリックします。
  3. サービス のデフォルトタブは システムサービス です。ターゲット、ソケット、タイマー、またはパスを管理する場合は、上部のメニューのそれぞれのタブに切り替えます。

    cockpit system services pf4

  4. サービス設定を開くには、一覧から選択したサービスをクリックします。状態 列を選択すると、アクティブまたは非アクティブのサービスを確認できます。
  5. サービスをアクティブ化または非アクティブ化します。

    • 非アクティブなサービスをアクティブにするには、スタート ボタンをクリックします。

      cockpit service start pf4

    • アクティブなサービスを非アクティブにするには、停止 ボタンをクリックします。

      cockpit service stop pf4

7.2. Web コンソールでシステムサービスの再起動

この手順では、Web コンソールインターフェースを使用してシステムサービスを再起動します。

前提条件

手順

名前または説明でサービスをフィルタリングできます。また、サービスの自動起動を有効、無効、または静的なものでフィルタリングできます。インターフェースには、サービスの現在の状態と最近のログが表示されます。

  1. 管理者権限で RHEL Web コンソールにログインしている。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. 左側の Web コンソールメニューで サービス をクリックします。
  3. サービス のデフォルトタブは システムサービス です。ターゲット、ソケット、タイマー、またはパスを管理する場合は、上部のメニューのそれぞれのタブに切り替えます。

    cockpit system services pf4

  4. サービス設定を開くには、一覧から選択したサービスをクリックします。
  5. サービスを再起動するには、再起動 ボタンをクリックします。

    cockpit service restart pf4

第8章 Web コンソールを使用したネットワークボンディングの設定

RHEL 8 Web コンソールでネットワークボンディングがどのように機能し、ネットワークボンディングの設定方法を確認します。

注記

RHEL 8 Web コンソールは、NetworkManager サービスに構築されます。

詳細は「NetworkManager を使用したネットワーク管理の開始」を参照してください。

前提条件

8.1. ネットワークボンディングについて

ネットワークボンディングは、スループットや冗長性が高い論理インターフェースを提供するために、ネットワークインターフェースを結合または集約する方法です。

active-backupbalance-tlb、および balance-alb の各モードは、ネットワークスイッチの特定の設定を必要としません。しかし、その他のボンディングモードでは、スイッチがリンクを集約するように設定する必要があります。たとえば、Cisco スイッチでは、モード 0、2、および 3 の EtherChannel が必要です。ただし、モード 4 の場合は、LACP (Link Aggregation Control Protocol) と EtherChannel が必要です。

詳細は、スイッチおよび Linux Ethernet Bonding Driver HOWTO のドキュメントを参照してください。

重要

特定のネットワークボンディング機能 (例: fail-over メカニズム) は、ネットワークスイッチなしでのダイレクトケーブル接続に対応していません。詳細は、ナレッジベースのソリューション「ボンディングは、クロスオーバーケーブルを使用したダイレクトコレクションをサポートしますか?」を参照してください。

8.2. ボンディングモード

RHEL 8 では、複数のモードオプションがあります。各モードオプションは、特定の負荷分散とフォールトトレランスを特徴としています。ボンディングインターフェースの動作は、モードによって異なります。ボンディングモードは、フォールトトレランス、負荷分散、またはその両方を提供します。

ロードバランスモード

  • ラウンドロビン - 最初に利用可能なインターフェースから最後のインターフェースへ、パケットを送信します。

フォールトトレランスモード

  • アクティブバックアップ - プライマリーインターフェースが失敗した場合にのみ、いずれかのバックアップインターフェースがそれを置き換えます。アクティブインターフェースが使用する MAC アドレスだけが表示されます。
  • ブロードキャスト - すべての送信は、すべてのインターフェースで行われます。

    注記

    ブロードキャストは、ボンディングされたすべてのインターフェースのネットワークトラフィックを大幅に増やします。

フォールトトレランスおよび負荷分散モード

  • XOR - 宛先 MAC アドレスは、モジュロハッシュを持つインターフェース間で均等に分散されます。そして、各インターフェースは、同じ MAC アドレスのグループを提供します。
  • 802.3ad - IEEE 802.3ad 動的リンクアグリゲーションのポリシーを設定します。同一の速度とデュプレックス設定を共有するアグリゲーショングループを作成します。アクティブなアグリゲーターのすべてのインターフェースで送受信を行います。

    注記

    このモードには、802.3ad コンプライアントのスイッチが必要です。

  • 適応送信の負荷分散 - 発信トラフィックは、各インターフェースの現在の負荷に従って分散されます。受信トラフィックは、現在のインターフェースにより受信されます。受信しているインターフェースが失敗すると、別のインターフェースが、失敗したインターフェースの MAC アドレスを引き継ぎます。
  • 適応負荷分散 - IPv4 トラフィック用の送受信負荷分散が含まれます。

    受信ロードバランスは、アドレス解決プロトコル (ARP) ネゴシエーションにより行われるため、ボンディングの設定で リンク監視ARP に設定する必要があります。

8.3. Web コンソールを使用した新規ボンドの追加

Web コンソールを使用して、2 つ以上のネットワークインターフェースでアクティブバックアップボンディングを設定します。

その他の ネットワークボンディングモード も同様に設定できます。

前提条件

  • サーバーに、2 つ以上のネットワークカードがインストールされている。
  • ネットワークカードがスイッチに接続されている。

手順

  1. Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ネットワーキング を開きます。
  3. ボンディングの追加 ボタンをクリックします。
  4. ボンディング設定 ダイアログボックスで、新しいボンディングの名前を入力します。
  5. メンバーフィールドで、ボンディングのメンバーであるインターフェースを選択します。
  6. [任意] MAC ドロップダウンリストで、このインターフェースに使用される MAC アドレスを選択します。

    MAC フィールドを空のままにすると、ボンドはドロップダウンリストに一覧表示されるアドレスのいずれかを取得します。

  7. モードドロップダウンリストで、モードを選択します。

    詳細は「ネットワークボンディングモード」を参照してください。

  8. Active Backup を選択した場合は、プライマリーインターフェースを選択します。

    cockpit bond backup

  9. Link Monitoring ドロップダウンメニューの MII オプションはそのままにしておきます。

    適応ロードバランスモードのみが、このオプションを ARP に切り替える必要があります。

  10. ミリ秒の値を含む 監視間隔接続遅延切断遅延はそのままにします。これをトラブルシューティング目的で変更します。
  11. 適用 をクリックします。

    cockpit bond add

ボンディングが正しく機能していることを確認するには、Networking セクションに移動して、インターフェース テーブルの 送信 および 受信 の列にネットワークアクティビティーが表示されるかどうかを確認します。

cockpit bond added

8.4. Web コンソールを使用したボンドへのインターフェースの追加

ネットワークボンディングには複数のインターフェースを含めることができ、いつでも追加/削除することができます。

既存のボンディングにネットワークインターフェースを追加する方法を説明します。

前提条件

手順

  1. Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ネットワーキング を開きます。
  3. イターフェース テーブルで、設定するボンディングをクリックします。
  4. ボンディング設定画面で、メンバー (インターフェース) の表をスクロールします。
  5. + アイコンをクリックします。
  6. ドロップダウンリストでインターフェースを選択してクリックします。

    cockpit bond add interface

RHEL 8 Web コンソールは、インターフェースをボンディングに追加します。

8.5. Web コンソールを使用したボンディングからインターフェースの削除または無効化

ネットワークボンディングには複数のインターフェースを追加できます。デバイスを変更する必要がある場合は、ボンディングから特定のインターフェースを削除または無効にできます。これにより、残りのアクティブなインターフェースと動作するようになります。

ボンディングに含まれるインターフェースの使用を停止するには、以下を行います。

  • ボンディングからインターフェースを削除します。
  • インターフェースを一時的に無効にします。インターフェースはボンディングの一部のままになりますが、ボンディングは再び有効にするまで使用されません。

前提条件

手順

  1. RHEL Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ネットワーキング を開きます。
  3. 設定するボンディングをクリックします。
  4. ボンディング設定画面で、ポート (インターフェース) の表をスクロールします。
  5. インターフェースを選択し、削除または無効化します。

    • - アイコンをクリックしてインターフェースを削除します。
    • オン/オフボタンをオフにします。

    cockpit bond remove interface

選択に基づいて、Web コンソールはボンディングからインターフェースを削除または無効化し、スタンドアロンインターフェースとして Networking セクションに戻ることができます。

8.6. Web コンソールでのボンディングの削除または無効化

Web コンソールを使用してネットワークボンディングを削除または無効化します。ボンディングを無効にすると、インターフェースはボンディングに残りますが、ボンディングはネットワークトラフィックに使用されません。

前提条件

  • Web コンソールには既存のボンディングがあります。

手順

  1. Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ネットワーキング を開きます。
  3. 削除するボンディングをクリックします。
  4. ボンディング設定画面では、ON/OFF ボタンでボンディングを無効にするか、削除 ボタンをクリックして、ボンドを永続的に削除します。

    cockpit bond remove

Networking に戻り、ボンディングのすべてのインターフェースがスタンドアロンインターフェースであることを確認します。

第9章 Web コンソールを使用したネットワークチームの設定

ネットワークボンディングの仕組み、ネットワークチームとネットワークボンディングの違い、および Web コンソールの設定の可能性を学びます。

さらに、以下に関するガイドラインを見つけることができます。

  • 新規ネットワークチームの追加
  • 既存のネットワークチームへの新規インターフェースの追加
  • 既存のネットワークチームからのインターフェースの削除
  • ネットワークチームの削除

前提条件

9.1. ネットワークチーミングの理解

ネットワークチーミングとは、ネットワークインターフェースを統合または集約し、より高いスループットまたは冗長性のある論理インターフェースを提供する機能です。

ネットワークチーミングでは、カーネルドライバーを使用してパケットフローの高速処理や、他のタスク用のユーザー空間ライブラリーおよびサービスを実装します。これにより、ネットワークチーミングは、負荷分散および冗長性の要件に対して、簡単に拡張可能でスケーラブルなソリューションとなります。

ネットワークチーミングでは、ポート という用語は スレーブ としても知られています。NetworkManager サービスでは ポート という用語が好まれますが、teamd サービスの スレーブ は、チームを作成するインターフェースを指します。

重要

特定のネットワークチーミング機能 (例: フェイルオーバーメカニズム) は、ネットワークスイッチのないダイレクトケーブル接続に対応していません。詳細は、「ボンディングは、クロスオーバーケーブルを使用したダイレクトコレクションをサポートしますか?」を参照してください。

9.2. ネットワークチーミングとボンディング機能の比較

ネットワークチームおよびネットワークボンディングでサポートされている機能について説明します。

機能ネットワークボンドネットワークチーム

ブロードキャストの Tx ポリシー

はい

はい

ラウンドロビンの Tx ポリシー

はい

はい

アクティブバックアップの Tx ポリシー

はい

はい

LACP (802.3ad) への対応

あり (アクティブのみ)

はい

ハッシュベースの Tx ポリシー

はい

はい

ユーザーによるハッシュ機能の設定

いいえ

はい

Tx 負荷分散への対応 (TLB)

はい

はい

LACP ハッシュポートの選択

はい

はい

LACP 対応の負荷分散

いいえ

はい

Ethtool リンク監視

はい

はい

ARP リンク監視

はい

はい

NS/NA (IPv6) リンク監視

いいえ

はい

ポートのアップ/ダウンの遅延

はい

はい

ポートの優先度および持続性 (スティッキネス) (「プライマリー」のオプション強化)

いいえ

はい

ポートごとに個別のリンク監視の設定

いいえ

はい

複数のリンク監視の設定

限定的

はい

ロックなしの Tx/Rx パス

なし (rwlock)

あり (RCU)

VLAN への対応

はい

はい

ユーザー空間のランタイム制御

限定的

はい

ユーザー空間での論理

いいえ

はい

拡張性

困難

容易

モジュラー設計

いいえ

はい

パフォーマンスのオーバーヘッド

非常に低い

D-Bus インターフェース

いいえ

はい

複数デバイスのスタッキング

はい

はい

LLDP を使用したゼロ設定

いいえ

(計画中)

NetworkManager への対応

はい

はい

9.3. Web コンソールを使用した新規チームの追加

Web コンソールを使用して、複数のネットワークインターフェースに新しいアクティブなバックアップネットワークチームを設定します。

前提条件

  • サーバーに複数のネットワークカードがインストールされている。
  • ネットワークカードがスイッチに接続されている。

手順

  1. Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ネットワーキング タブに移動します。
  3. チームの追加 ボタンをクリックします。
  4. チーム設定 領域で、新規チームのパラメーターを設定します。

    1. チームデバイスの名前を Name フィールドに追加します。
    2. ポート フィールドで、チームに追加するネットワークインターフェースをすべて選択します。
    3. ランナー ドロップダウンメニューで、ランナーを選択します。
    4. リンク監視 ドロップダウンメニューで、リンク監視を選択します。

      1. Ethtool を選択した場合には、リンク遅延とリンクダウン遅延を設定します。
      2. ARP Ping または NSNA Ping を選択し、さらに ping の間隔と ping ターゲットを設定します。
  5. 適用 をクリックします。

    cockpit network team settings

検証手順

  1. Networking タブに移動し、Interfaces テーブルの Sending 列および Receiving 列にネットワークアクティビティーが表示されるかどうかを確認します。

    cockpit network team activity

9.4. Web コンソールを使用したチームへの新規インターフェースの追加

ネットワークチームには複数のインターフェースを含めることができ、いつでもインターフェースを追加または削除できます。次のセクションでは、既存のチームに新しいネットワークインターフェースを追加する方法を説明します。

前提条件

  • ネットワークチームが設定されている。

手順

  1. Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ネットワーク タブに切り替えます。
  3. インターフェース テーブルで、設定するチームをクリックします。
  4. チーム設定画面で、ポート テーブルまでスクロールします。
  5. + アイコンをクリックします。
  6. ドロップダウンリストから、追加するインターフェースを選択します。

    cockpit network team add interface

RHEL 8 Web コンソールは、インターフェースをチームに追加します。

9.5. Web コンソールを使用したチームからインターフェースの削除または無効化

ネットワークチームには複数のインターフェースを追加できます。デバイスを変更する必要がある場合は、ネットワークチームから特定のインターフェースを削除または無効にできます。これにより、残りのアクティブなインターフェースと動作するようになります。

チームに含まれるインターフェースの使用を停止する場合は、以下のいずれかの方法で行います。

  • チームからのインターフェースの削除
  • インターフェースを一時的に無効その後、インターフェースはチームの一部として残りますが、再度有効にするまで使用されません。

前提条件

  • 複数のインターフェースを持つネットワークチームがホストに存在する。

手順

  1. RHEL Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ネットワーク タブに切り替えます。
  3. 設定するチームをクリックします。
  4. チーム設定ウィンドウで、ポート (インターフェース) の表をスクロールします。
  5. インターフェースを選択し、削除または無効化します。

    1. ON/OFF ボタンを Off に切り替えてインターフェースを無効にします。
    2. - アイコンをクリックしてインターフェースを削除します。

      cockpit team remove interface

選択に応じて、Web コンソールはインターフェースを削除または無効にします。インターフェースを削除すると、ネットワーク でスタンドアロンインターフェースとして利用できます。

9.6. Web コンソールでのチームの削除または無効化

Web コンソールを使用してネットワークチームを削除または無効化します。チームのみを無効にする場合、チーム内のインターフェースはそのまま残りますが、ネットワークトラフィックには使用されません。

前提条件

  • ネットワークチームがホストに設定されている。

手順

  1. Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ネットワーク タブに切り替えます。
  3. 削除または無効にするチームをクリックします。
  4. 選択したチームを削除または無効にします。

    1. 削除 ボタンをクリックすると、チームを削除できます。
    2. ON/OFF スイッチを無効な位置に移動すると、チームを無効にできます。

      cockpit team remove

検証手順

  • チームを削除した場合には、ネットワーク に移動して、チームからのすべてのインターフェースがスタンドアロンインターフェースとして一覧表示されていることを確認します。

第10章 Web コンソールでネットワークブリッジの設定

ネットワークブリッジは、同じ範囲の IP アドレスを持つ 1 つのサブネットに、複数のインタフェースを接続するのに使用します。

前提条件

10.1. Web コンソールでブリッジの追加

Web コンソールを使用して、複数のネットワークインターフェースにソフトウェアブリッジを作成します。

手順

  1. RHEL Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ネットワーキング を開きます。
  3. ブリッジの追加 ボタンをクリックします。

    cockpit add bridge

  4. ブリッジ設定 ダイアログボックスで、新しいブリッジの名前を入力します。
  5. ポート フィールドで、1 つのサブネットに設定するインターフェースを選択します。
  6. 必要に応じて、スパニング ツリープロトコル (STP) を選択し、ブリッジループおよびブロードキャストの蓄積をしないようにします。

    強い希望がない場合は、事前定義された値をそのまま使用します。

    cockpit bridge add interfaces

  7. 作成 をクリックします。

ブリッジが正常に作成されると、Web コンソールの ネットワーキング セクションに新しいブリッジが表示されます。新たに作成されたブリッジの行で、送信受信 の値を確認します。

cockpit bridge interface

ブリッジを介して送受信されていない場合は、接続が正常に動作していないため、ネットワーク設定を調整する必要があります。

10.2. Web コンソールで静的 IP アドレスの設定

システムの IP アドレスは、DHCP サーバーによりプールから自動的に割り当てられるか、手動で割り当てることができます。手動で割り当てた IP アドレスは、DHCP サーバー設定の影響を受けません。

RHEL Web コンソールを使用して、ネットワークブリッジの静的 IPv4 アドレスを設定する方法を説明します。

手順

  1. RHEL Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ネットワーキング セクションを開きます。
  3. 静的な IP アドレスを設定するインターフェースをクリックします。

    cockpit network interfaces

  4. インターフェースの詳細画面で、IPv4 設定をクリックします。

    cockpit ipv4

  5. IPv4 のセッティング ダイアログボックスの アドレス ドロップダウンリストで、手作業 を選択します。

    cockpit ipv4 settings

  6. 適用 をクリックします。
  7. アドレス フィールドに、IP アドレス、ネットマスク、およびゲートウェイを入力します。

    cockpit ipv4 settings addresses

  8. 適用 をクリックします。

この時点で、IP アドレスが設定され、インターフェースでは静的な新しい IP アドレスが使用されます。

cockpit ipv4 settings static

10.3. Web コンソールでブリッジからインターフェースを削除

ネットワークブリッジには複数のインターフェースを追加できます。インターフェースは、ブリッジから削除できます。削除した各インターフェースは、自動的にスタンドアロンインターフェースに変更します。

RHEL 8 システムで作成したソフトウェアブリッジからネットワークインターフェースを削除する方法を説明します。

前提条件

  • システムで複数のインターフェースを持つブリッジがある。

手順

  1. RHEL Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ネットワーキング を開きます。
  3. 設定するブリッジを選択します。

    cockpit network interfaces

  4. ブリッジ設定画面で、ポート (インターフェース) の表をスクロールします。

    cockpit bridge remove interface

  5. インターフェースを選択して、- アイコンをクリックします。

RHEL 8 Web コンソールでは、ブリッジからインターフェースが削除され、スタンドアロンインターフェースの ネットワーキング セクションに戻ると確認できます。

10.4. Web コンソールでブリッジの削除

RHEL Web コンソールで、ソフトウェアのネットワークブリッジを削除できます。ブリッジに含まれるすべてのネットワークインターフェースが、自動的にスタンドアロンインターフェースに変更されます。

前提条件

  • システムにブリッジがある。

手順

  1. RHEL Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ネットワーキング セクションを開きます。
  3. 設定するブリッジを選択します。

    cockpit network interfaces

  4. ブリッジ設定画面で、ポートの表をスクロールします。

    cockpit bridge remove interface

  5. 削除 をクリックします。

この段階では、ネットワーキング に戻り、ネットワークインターフェースがすべて インターフェース タブに表示されていることを確認します。ブリッジの一部になっていたインターフェースが、非アクティブになっている場合があります。そのインターフェースを手動でアクティブにし、ネットワークパラメーターを設定できます。

cockpit bridge delete settings

第11章 Web コンソールで VLAN の設定

VLAN (仮想 LAN) は、1 つの物理イーサネットインターフェースに作成した仮想ネットワークです。各 VLAN には、固有の正の整数が表示され、スタンドアロンインターフェースとして機能する ID により定義されます。

RHEL Web コンソールで VLAN を作成する方法を説明します。

前提条件

  • RHEL 8 Web コンソールがインストールされ、有効になっている。

    詳細は「Web コンソールのインストール」を参照してください。

  • システムでネットワークインターフェースを使用する。

手順

  1. RHEL Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ネットワーキング を開きます。
  3. VLAN の追加 ボタンをクリックします。

    cockpit add vlan

  4. VLAN 設定 ダイアログボックスでは、VLAN を作成する物理インターフェースを選択します。
  5. VLAN ID を入力するか、事前定義の数値を使用します。
  6. 名前 フィールドに、親インターフェースおよび VLAN ID で構成されている事前定義名が表示されます。この名前が必要ない場合は、そのままにしておきます。

    cockpit vlan settings

  7. 適用 をクリックします。

新しい VLAN が作成されました。VLAN をクリックして、ネットワーク設定を構成する必要があります。

cockpit vlans

第12章 Web コンソールのリッスンポートの設定

RHEL Web コンソールを使用して新しいポートを許可するか、または既存のポートを変更する方法を説明します。

前提条件

12.1. アクティブな SELinux があるシステムで新しいポートを許可

選択したポートで Web コンソールがリッスンできるようにします。

前提条件

手順

  • SELinux の他の部分で定義されていないポートの場合は、次のコマンドを実行します。

    $ sudo semanage port -a -t websm_port_t -p tcp PORT_NUMBER
  • SELinux の他の部分で既に定義されているポートの場合は、次のコマンドを実行します。

    $ sudo semanage port -m -t websm_port_t -p tcp PORT_NUMBER

変更はすぐに有効になります。

12.2. firewalld を使用したシステムでの新規ポートの許可

Web コンソールが新規ポートで接続を受信しるようにします。

前提条件

手順

  1. 新しいポート番号を追加するには、次のコマンドを実行します。

    $ sudo firewall-cmd --permanent --service cockpit --add-port=PORT_NUMBER/tcp
  2. cockpit サービスから古いポート番号を削除するには、次のコマンドを実行します。

    $ sudo firewall-cmd --permanent --service cockpit --remove-port=OLD_PORT_NUMBER/tcp
重要

--permanent オプションなしで firewall-cmd --service cockpit --add-port=PORT_NUMBER/tcp を実行するだけで、次回の firewalld の再読み込みまたはシステムの再起動で変更が取り消されます。

12.3. Web コンソールポートの変更

ポート 9090 でデフォルトの転送制御プロトコル (TCP) を別のポートに変更します。

前提条件

手順

  1. 以下のいずれかの方法でリッスンポートを変更します。

    1. systemctl edit cockpit.socket コマンドの使用

      1. 次のコマンドを実行します。

        $ sudo systemctl edit cockpit.socket

        これにより、/etc/systemd/system/cockpit.socket.d/override.conf ファイルが作成されます。

      2. override.conf の内容を変更するか、以下の形式で新しいコンテンツを追加します。

        [Socket]
        ListenStream=
        ListenStream=PORT_NUMBER
    2. または、上記の内容を /etc/systemd/system/cockpit.socket.d/listen.conf ファイルに追加します。

      cockpit.socket.d. ディレクトリーがない場合は、listen.conf ファイルを作成します。

  2. 変更を有効にするには、次のコマンドを実行します。

    $ sudo systemctl daemon-reload
    $ sudo systemctl restart cockpit.socket

    前の手順で systemctl edit cockpit.socket を使用していた場合は、systemctl daemon-reload を実行する必要はありません。

検証手順

  • 変更が成功したことを確認するには、新しいポートで Web コンソールへの接続を試行します。

第13章 Web コンソールを使用したファイアウォールの管理

ファイアウォールは、外部からの不要なトラフィックからマシンを保護する方法です。ファイアウォールルールセットを定義することで、ホストマシンに着信ネットワークトラフィックを制御できます。このようなルールは、着信トラフィックを分類して、拒否または許可するために使用されます。

前提条件

  • RHEL 8 Web コンソールで、firewalld サービスが設定されている。

    firewalld サービスの詳細は「firewalld の使用」を参照してください。

13.1. Web コンソールを使用したファイアウォールの実行

本セクションでは、Web コンソールを使用して、RHEL 8 システムのファイアウォールをどこでどのように実行するかを説明します。

注記

RHEL 8 Web コンソールで、firewalld サービスが設定されている。

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ネットワーキング セクションを開きます。
  3. ファイアウォール セクションの オン をクリックして、ファイアウォールを実行します。

    cockpit fw

    ファイアウォール ボックスが表示されない場合は、管理者権限で Web コンソールにログインしてください。

この時点で、ファイアウォールは実行しています。

ファイアウォールルールを設定するには、「Web コンソールを使用してファイアウォールでサービスを有効化」を参照してください。

13.2. Web コンソールでファイアウォールの停止

本セクションでは、Web コンソールの RHEL 8 システムファイアウォールをどこでどのように停止するかを説明します。

注記

RHEL 8 Web コンソールで、firewalld サービスが設定されている。

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ネットワーキング セクションを開きます。
  3. ファイアウォール セクションの オフ をクリックして、ファイアウォールを停止します。

    cockpit fw

    ファイアウォール ボックスが表示されない場合は、管理者権限で Web コンソールにログインしてください。

この段階では、ファイアウォールは停止しており、システムは保護されていません。

13.3. firewalld

firewalld は、D-Bus インターフェースを使用して、動的にカスタマイズできるホストベースのファイアウォールを提供するファイアウォールサービスデーモンです。ルールが変更するたびに、ファイアウォールデーモンを再起動しなくても、ルールの作成、変更、および削除を動的に可能にします。

firewalld は、ゾーン および サービス の概念を使用して、トラフィック管理を簡素化します。ゾーンは、事前定義したルールセットです。ネットワークインターフェースおよびソースをゾーンに割り当てることができます。許可されているトラフィックは、コンピューターが接続するネットワークと、このネットワークが割り当てられているセキュリティーレベルに従います。ファイアウォールサービスは、特定のサービスに着信トラフィックを許可するのに必要なすべての設定を扱う事前定義のルールで、ゾーンに適用されます。

サービスは、ネットワーク接続に 1 つ以上の ポート または アドレス を使用します。ファイアウォールは、ポートに基づいて接続のフィルターを設定します。サービスに対してネットワークトラフィックを許可するには、そのポートを 開く 必要があります。firewalld は、明示的に開いていないポートのトラフィックをすべてブロックします。trusted などのゾーンでは、デフォルトですべてのトラフィックを許可します。

関連情報

  • man ページの firewalld(1)

13.4. ゾーン

firewalld は、インターフェースに追加する信頼レベルと、そのネットワークのトラフィックに従って、複数のネットワークを複数のゾーンに分類できます。接続は、1 つのゾーンにしか指定できませんが、ゾーンは多くのネットワーク接続に使用できます。

NetworkManager は、firewalld にインターフェースのゾーンを通知します。以下を使用して、ゾーンをインターフェースに割り当てることができます。

  • NetworkManager
  • firewall-config ツール
  • firewall-cmd コマンドラインツール
  • RHEL Web コンソール

後者の 3 つは、適切な NetworkManager 設定ファイルの編集のみを行います。Web コンソールを使用してインターフェースのゾーンを変更する (firewall-cmd または firewall-config) と、リクエストが NetworkManager に転送され、⁠firewalld では処理されません。

事前定義したゾーンは /usr/lib/firewalld/zones/ ディレクトリーに保存され、利用可能なネットワークインターフェースに即座に適用されます。このファイルは、修正しないと /etc/firewalld/zones/ ディレクトリーにコピーされません。事前定義したゾーンのデフォルト設定は以下のようになります。

block
IPv4 の場合は icmp-host-prohibited メッセージ、IPv6 の場合は icmp6-adm-prohibited メッセージで、すべての着信ネットワーク接続が拒否されます。システムで開始したネットワーク接続のみが可能です。
dmz
公開アクセスは可能ですが、内部ネットワークへのアクセスに制限がある非武装地帯にあるコンピューター向けです。選択した着信接続のみが許可されます。
drop
着信ネットワークパケットは、通知なしで遮断されます。発信ネットワーク接続だけが可能です。
external
マスカレードをルーター用に特別に有効にした外部ネットワークでの使用向けです。自分のコンピューターを保護するため、ネットワーク上の他のコンピューターを信頼しません。選択した着信接続のみが許可されます。
home
そのネットワークでその他のコンピューターをほぼ信頼できる自宅での使用向けです。選択した着信接続のみが許可されます。
internal
そのネットワークでその他のコンピューターをほぼ信頼できる内部ネットワーク向けです。選択した着信接続のみが許可されます。
public
そのネットワークでその他のコンピューターを信頼できないパブリックエリア向けです。選択した着信接続のみが許可されます。
trusted
すべてのネットワーク接続が許可されます。
work
そのネットワークで、その他のコンピューターをほぼ信頼できる職場での使用向けです。選択した着信接続のみが許可されます。

このゾーンのいずれかを デフォルト ゾーンに設定できます。インターフェース接続を NetworkManager に追加すると、デフォルトゾーンに割り当てられます。firewalld のデフォルトゾーンは、インストール時に public ゾーンに設定されます。デフォルトゾーンは変更できます。

注記

ネットワークゾーン名は、分かりやすく、ユーザーが妥当な決定をすばやく下せるような名前が付けられています。セキュリティー問題を回避するために、ニーズおよびリスク評価に合わせて、デフォルトゾーンの設定の見直しを行ったり、不要なサービスを無効にしてください。

関連情報

  • man ページの firewalld.zone(5)

13.5. Web コンソールのゾーン

重要

ファイアウォールゾーンは、RHEL 8.1.0 ベータ版に新たに追加されました。

Red Hat Enterprise Linux Web コンソールは、firewalld サービスの主な機能を実装し、以下を可能にします。

  • 事前定義したファイアウォールゾーンを特定のインターフェースまたは IP アドレスの範囲に追加します。
  • サービスを選択して、有効なサービスの一覧にゾーンを設定できます。
  • 有効なサービスの一覧からサービスを削除して、サービスを無効にすることもできます。
  • インターフェースからゾーンの削除

13.6. Web コンソールでゾーンの有効化

Web コンソールでは、特定のインターフェースまたは IP アドレスの範囲に対して、事前定義のファイアウォールゾーンおよび既存のファイアウォールゾーンを適用できます。本セクションは、インターフェースでゾーンを有効にする方法を説明します。

前提条件

手順

  1. 管理者権限で Web コンソールにログインしている。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ネットワーキング をクリックします。
  3. ファイアウォール ボックスタイトルをクリックします。

    cockpit fw

    ファイアウォール ボックスが表示されない場合は、管理者権限で Web コンソールにログインしてください。

  4. ファイアウォール セクションの サービスの追加 をクリックします。
  5. ゾーンの追加 ボタンをクリックします。
  6. ゾーンの追加 ダイアログボックスで、信頼レベル スケールからゾーンを選択します。

    firewalld サービスで事前定義しているすべてのゾーンを確認できます。

  7. インターフェース で、選択したゾーンが適用されるインターフェースを選択します。
  8. 許可されたサービス で、ゾーンを適用するかどうかを選択できます。

    • サブネット全体
    • または、以下の形式の IP アドレスの範囲

      • 192.168.1.0
      • 192.168.1.0/24
      • 192.168.1.0/24, 192.168.1.0
  9. ゾーンの追加 ボタンをクリックします。

    cockpit fw zones add

アクティブなゾーン で、設定を検証します。

cockpit fw zones active

13.7. Web コンソールを使用してファイアウォールでサービスを有効化

デフォルトでは、サービスはデフォルトのファイアウォールゾーンに追加されます。他のネットワークインターフェースで別のファイアウォールゾーンも使用する場合は、最初にゾーンを選択してから、そのサービスをポートとともに追加する必要があります。

RHEL 8 Web コンソールは、事前定義の firewalld サービスを表示し、アクティブなファイアウォールゾーンに追加できます。

重要

RHEL 8 Web コンソールで、firewalld サービスが設定されている。

また、Web コンソールは、Web コンソールに追加されていない一般的な firewalld ルールを許可しません。

前提条件

手順

  1. 管理者権限で RHEL Web コンソールにログインしている。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ネットワーキング をクリックします。
  3. ファイアウォール ボックスタイトルをクリックします。

    cockpit fw

    ファイアウォール ボックスが表示されない場合は、管理者権限で Web コンソールにログインしてください。

  4. ファイアウォール セクションの サービスの追加 をクリックします。

    cockpit add service

  5. サービスの追加 ダイアログボックスで、サービスを追加するゾーンを選択します。

    サービスの追加 ダイアログボックスには、システムに複数のアクティブなゾーンが含まれている場合に限り、アクティブなファイアウォールゾーンの一覧が含まれます。

    システムがゾーンを 1 つだけ使用している場合は、ダイアログボックスにゾーン設定が含まれません。

  6. サービスの追加 ダイアログボックスで、ファイアウォールで有効にするサービスを見つけます。
  7. 必要なサービスを有効にします。

    cockpit fw add jabber

  8. サービスの追加 をクリックします。

これにより、RHEL 8 Web コンソールのサービスが、許可されたサービス の一覧に表示されます。

13.8. Web コンソールでカスタムポートの設定

Web コンソールでは、以下を追加できます。

本セクションでは、カスタムポートを設定したサービスを追加する方法を説明します。

前提条件

手順

  1. 管理者権限で RHEL Web コンソールにログインしている。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ネットワーキング をクリックします。
  3. ファイアウォール ボックスタイトルをクリックします。

    cockpit fw

    ファイアウォール ボックスが表示されない場合は、管理者権限で Web コンソールにログインしてください。

  4. ファイアウォール セクションの サービスの追加 をクリックします。

    cockpit add service

  5. サービスの追加 ダイアログボックスで、サービスを追加するゾーンを選択します。

    サービスの追加 ダイアログボックスには、システムに複数のアクティブなゾーンが含まれている場合に限り、アクティブなファイアウォールゾーンの一覧が含まれます。

    システムがゾーンを 1 つだけ使用している場合は、ダイアログボックスにゾーン設定が含まれません。

  6. ポートの追加 ダイアログボックスで、カスタムポート ラジオボタンをクリックします。
  7. TCP フィールドおよび UDP フィールドに、例に従ってポートを追加します。以下の形式でポートを追加できます。

    • ポート番号 (22など)
    • ポート番号の範囲 (5900-5910 など)
    • エイリアス (nfs、rsync など)
    注記

    各フィールドには、複数の値を追加できます。値はコンマで区切り、スペースは使用しないでください (例:8080,8081,http)。

  8. TCP フィールドまたは UDP フィールド、もしくはその両方にポート番号を追加したら、名前 フィールドのサービス名を確認します。

    名前 フィールドには、このポートを予約しているサービスの名前が表示されます。このポートが無料で、サーバーがこのポートで通信する必要がない場合は、名前を書き換えることができます。

  9. 名前 フィールドに、定義されたポートを含むサービスの名前を追加します。
  10. ポートの追加 ボタンをクリックします。

    cockpit ports define

設定を確認するには、ファイアウォールページ に移動し、許可されたサービス の一覧でサービスを見つけます。

cockpit ports http

13.9. Web コンソールを使用したゾーンの無効化

本セクションは、Web コンソールを使用してファイアウォール設定のファイアウォールゾーンを無効にする方法を説明します。

前提条件

手順

  1. 管理者権限で RHEL Web コンソールにログインしている。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ネットワーキング をクリックします。
  3. ファイアウォール ボックスタイトルをクリックします。

    cockpit fw

    ファイアウォール ボックスが表示されない場合は、管理者権限で Web コンソールにログインしてください。

  4. アクティブなゾーン の表で、削除するゾーンの 削除 アイコンをクリックします。

    cockpit fw zones remove

これでゾーンが無効になり、そのゾーンに設定されたオープンなサービスおよびポートがインターフェースに含まれなくなります。

第14章 Web コンソールでパーティションの管理

Web コンソールを使用して、RHEL 8 でファイルシステムを管理する方法を説明します。

利用可能なファイルシステムの詳細は、「利用可能なファイルシステムの概要」を参照してください。

14.1. ファイルシステムでフォーマットされたパーティションを Web コンソールに表示

Web コンソールの ストレージ セクションには、ファイルシステム テーブルで使用可能なファイルシステムがすべて表示されます。

本セクションでは、Web コンソールに表示されるファイルシステムでフォーマットされたパーティションの一覧に移動します。

前提条件

  • cockpit-storaged パッケージがシステムにインストールされている。
  • Web コンソールがインストールされており、アクセス可能である。

    詳細は「Web コンソールのインストール」を参照してください。

手順

  1. RHEL Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ストレージ タブをクリックします。

Filesystems テーブルでは、ファイルシステムでフォーマットされ利用可能なすべてのパーティションと、その名前、サイズ、および各パーティションで利用可能な容量を確認できます。

cockpit filesystems tab

14.2. Web コンソールでパーティションの作成

新しいパーティションを作成するには、以下を行います。

  • 既存のパーティションテーブルを使用する
  • パーティションを作成する

cockpit partitions

前提条件

  • cockpit-storaged パッケージがシステムにインストールされている。
  • Web コンソールがインストールされており、アクセス可能である。

    詳細は「Web コンソールのインストール」を参照してください。

  • 未フォーマットのボリュームが、ストレージ タブの その他のデバイス テーブルに表示されるシステムに接続されている。

手順

  1. RHEL Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ストレージ タブをクリックします。
  3. 他のデバイス テーブルで、パーティションを作成するボリュームをクリックします。
  4. コンテンツ セクションで、パーティションの作成 ボタンをクリックします。
  5. パーティションの作成 ダイアログボックスで、新しいパーティションのサイズを選択します。
  6. 削除 ドロップダウンメニューから、以下を選択します。

    • 既存のデータを上書きしない - RHEL Web コンソールは、ディスクヘッダーのみを書き換えます。このオプションの利点は、フォーマットの速度です。
    • 既存のデータをゼロで上書きする  - RHEL Web コンソールは、ディスク全体をゼロで書き直します。このプログラムはディスク全体を調べるため、このオプションを使用すると遅くなりますが、安全性は高まります。ディスクにデータが含まれていて、上書きする必要がある場合は、このオプションを使用します。
  7. 種類 ドロップダウンメニューで、ファイルシステムを選択します。

    • XFS ファイルシステムは大規模な論理ボリュームをサポートし、オンラインの物理ドライブを停止せずに、既存のファイルシステムの拡大および縮小を行うことができます。別のストレージの使用を希望しない場合は、このファイルシステムを選択したままにしてください。
    • ext4 ファイルシステムは以下に対応します。

      • 論理ボリューム
      • オンラインの物理ドライブを停止せずに切り替え
      • ファイルシステムの拡張
      • ファイルシステムの縮小

    追加オプションは、LUKS (Linux Unified Key Setup) によって行われるパーティションの暗号化を有効にすることです。これにより、パスフレーズでボリュームを暗号化できます。

  8. 名前 フィールドに、論理ボリューム名を入力します。
  9. マウント ドロップダウンメニューで、カスタム を選択します。

    デフォルト オプションでは、システムを次回起動したときにファイルシステムがマウントされているとは限りません。

  10. マウントポイント フィールドに、マウントパスを追加します。
  11. 起動時にマウント を選択します。
  12. パーティションの作成 ボタンをクリックします。

    cockpit partition creating

    ボリュームのサイズや、選択するオプションによって、フォーマットに数分かかることがあります。

    フォーマットが完了したら、ファイルシステム タブで、フォーマットした論理ボリュームの詳細を表示できます。

パーティションが正常に追加されたことを確認するには、ストレージ タブに切り替えて、ファイルシステム テーブルを確認します。

cockpit filesystems part

14.3. Web コンソールでパーティションの削除

この段落は、手順モジュールの紹介 (手順の簡単な説明) です。

前提条件

手順

  1. RHEL Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ストレージ タブをクリックします。
  3. ファイルシステム テーブルで、パーティションを削除するボリュームを選択します。
  4. コンテンツ セクションで、削除するパーティションをクリックします。

    cockpit filesystem list

  5. パーティションがロールダウンし、削除 ボタンをクリックできます。

    cockpit partition delete

    パーティションをマウントして使用しないでください。

パーティションが正常に削除されたことを確認するには、ストレージ タブに切り替えて、コンテンツ テーブルを確認します。

14.4. Web コンソールでのファイルシステムのマウントとマウント解除

RHEL システムでパーティションを使用できるようにするには、パーティションにファイルシステムをデバイスとしてマウントする必要があります。

注記

ファイルシステムのマウントを解除することもできます。アンマウントすると RHEL システムはその使用を停止します。ファイルシステムのマウントを解除すると、デバイスを削除 (delete または remove) または再読み込みできるようになります。

前提条件

  • cockpit-storaged パッケージがシステムにインストールされている。
  • Web コンソールがインストールされており、アクセス可能である。

    詳細は「Web コンソールのインストール」を参照してください。

  • ファイルシステムのマウントを解除する場合は、システムがパーティションに保存されているファイル、サービス、またはアプリケーションを使用しないようにする。

手順

  1. RHEL Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ストレージ タブをクリックします。
  3. ファイルシステム テーブルで、パーティションを削除するボリュームを選択します。
  4. コンテンツ セクションで、ファイルシステムをマウントまたはマウント解除するパーティションをクリックします。
  5. マウント ボタンまたはアンマウント ボタンをクリックします。

    cockpit partitions mount

この時点で、ファイルシステムはアクションに従ってマウントまたはマウント解除されています。

第15章 Web コンソールで NFS マウントの管理

RHEL 8 Web コンソールを使用すると、ネットワークファイルシステム (NFS) プロトコルを使用して、リモートディレクトリーをマウントできます。

NFS を使用すると、ネットワークに置かれたリモートディレクトリーに到達してマウントし、ディレクトリーが物理ドライブに置かれているかのようにファイルを操作できます。

前提条件

  • RHEL 8 Web コンソールがインストールされている。

    詳細は「Web コンソールのインストール」を参照してください。

  • cockpit-storaged パッケージがシステムにインストールされている。
  • NFS サーバー名または IP アドレス
  • リモートサーバーのディレクトリーのパス

15.1. Web コンソールで NFS マウントの接続

NFS を使用して、リモートディレクトリーをファイルシステムに接続します。

前提条件

  • NFS サーバー名または IP アドレス
  • リモートサーバーのディレクトリーのパス

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ストレージ をクリックします。
  3. NFS マウント セクションで + をクリックします。

    cockpit nfs plus

  4. NFS の新規マウント ダイアログボックスに、リモートサーバーのサーバー名または IP アドレスを入力します。
  5. サーバーのパス フィールドに、マウントするディレクトリーのパスを入力します。
  6. ローカルマウントポイント フィールドに、ローカルシステムでディレクトリーを検索するパスを入力します。
  7. 起動時にマウント を選択します。ローカルシステムを再起動すると、ディレクトリーに到達可能になります。
  8. コンテンツを変更しない場合は、必要に応じて、読み取り専用でマウント を選択します。

    cockpit new nfs mount

  9. Add をクリックします。

この時点で、マウントしたディレクトリーを開いて、コンテンツにアクセスできることを確認できます。

cockpit nfs mounted

接続をトラブルシューティングするには、カスタムのマウントオプション で調整できます。

15.2. Web コンソールで NFS マウントオプションのカスタマイズ

既存の NFS マウントを編集し、カスタムのマウントオプションを追加します。

カスタムのマウントオプションは、タイムアウトの制限を変更したり、認証を設定するなどの NFS マウントの接続をトラブルシュートしてパラメーターを変更するのに役に立ちます。

前提条件

  • NFS マウントが追加されている。

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ストレージ をクリックします。
  3. 調整する NFS マウントをクリックします。
  4. リモートディレクトリーをマウントしている場合は、アンマウント をクリックします。

    カスタムのマウントオプションの設定時には、ディレクトリーをマウントできません。それ以外の場合は、Web コンソールが設定を保存しないため、エラーが発生します。

    cockpit nfs unmount

  5. 編集 をクリックします。

    cockpit nfs edit

  6. NFS マウント ダイアログボックスで、カスタムのマウントオプション を選択します。
  7. マウントオプションを、コンマで区切って入力します。以下に例を示します。

    • nfsvers=4 - NFS プロトコルのバージョン番号
    • soft - NFS 要求のタイムアウト後に復元する種類
    • sec=krb5 - NFS サーバーのファイルが、Kerberos 認証により保護されます。NFS のクライアントとサーバーの両方で Kerberos 認証に対応する必要があります。

    cockpit nfs custom option

    NFS マウントオプションの一覧は、コマンドラインで man nfs を実行します。

  8. 適用 をクリックします。
  9. マウント をクリックします。

マウントしたディレクトリーを開き、コンテンツがアクセスできることを確認できます。

cockpit nfs mounted

第16章 Web コンソールで独立したディスクの冗長アレイを管理

RAID (Redundant Arrays of Independent Disks) は、1 つのストレージに複数のディスクを配置する方法を示します。RAID は、ディスク障害に対して、ディスクに保存されているデータを保護します。

RAID は、次のデータ配信ストラテジーを使用します。

  • ミラーリング - データは、2 つの異なる場所にコピーします。片方のディスクに障害が発生しても、コピーがあるため、データが失われることはありません。
  • ストライピング -  データが均等に分散されています。

保護レベルは、RAID レベルにより異なります。

RHEL Web コンソールは、次の RAID レベルに対応します。

  • RAID 0 (ストライプ)
  • RAID 1 (ミラー)
  • RAID 4 (専用パリティー)
  • RAID 5 (分散パリティー)
  • RAID 6 (ダブル分散パリティー)
  • RAID 10 (ミラーのストライプ)

RAID でディスクを使用する前に、以下を行う必要があります。

  • RAID を作成します。
  • ファイルシステムでフォーマットします。
  • RAID をサーバーにマウントします。

前提条件

16.1. Web コンソールで RAID の作成

RHEL 8 Web コンソールで RAID を設定します。

前提条件

  • システムに接続している物理ディスク。各 RAID レベルで必要なディスク容量は異なります。

手順

  1. RHEL 8 Web コンソールを開きます。
  2. ストレージ をクリックします。
  3. RAID Devices ボックスの + アイコンをクリックします。

    cockpit raid add

  4. RAID デバイスの作成 ダイアログボックスで、新しい RAID の名前を入力します。
  5. RAID レベル ドロップダウンリストで、使用する RAID レベルを選択します。
  6. チャンクサイズ ドロップダウンリストに事前定義されている値は変更しません。

    チャンクサイズ 値は、データの書き込みに使用する各ブロックのサイズを指定します。チャンクサイズが 512 KiB の場合、システムは最初の 512 KiB を最初のディスクに書き込み、次の 512 KiB を次のディスクに書き込み、その次の 512 KiB をその次のディスクに書き込みます。RAID に 3 つのディスクがある場合は、4 つ目の 512 KiB が最初のディスクに再度書き込まれます。

  7. RAID に使用するディスクを選択します。

    cockpit raid create

  8. 作成 をクリックします。

ストレージ セクションの RAID デバイス ボックスに新しい RAID が表示され、それをフォーマットできます。

cockpit raid created

Web コンソールで新しい RAID をフォーマットおよびマウントする方法は、以下から選択できるようになりました。

16.2. Web コンソールで RAID のフォーマット

RHEL 8 Web インターフェースで作成された新しいソフトウェアの RAID デバイスをフォーマットします。

前提条件

  • 物理ディスクが接続され、RHEL 8 から確認できる。
  • RAID が追加されている。
  • RAID に使用するファイルシステムを検討する。
  • パーティションテーブルの作成を検討する。

手順

  1. RHEL 8 Web コンソールを開きます。
  2. ストレージ をクリックします。
  3. RAID デバイス ボックスで、フォーマットする RAID をクリックして選択します。
  4. RAID の詳細画面で、コンテンツ までスクロールします。
  5. 新規作成した RAID をクリックします。

    cockpit raid unrecognized

  6. フォーマット ボタンをクリックします。
  7. 削除 ドロップダウンリストで、以下を選択します。

    • 既存のデータを上書きしない - RHEL Web コンソールは、ディスクヘッダーのみを書き換えます。このオプションの利点は、フォーマットの速度です。
    • 既存のデータをゼロで上書きする  - RHEL Web コンソールは、ディスク全体をゼロで書き直します。このプログラムはディスク全体を調べるため、このオプションを使用すると遅くなります。RAID にデータが含まれていて、書き換える必要がある場合は、このオプションを使用します。
  8. 強い希望がない場合は、種類 ドロップダウンリストで、XFS ファイルシステムを選択します。
  9. ファイルシステムの名前を入力します。
  10. マウント ドロップダウンリストで、カスタム を選択します。

    デフォルト オプションでは、システムを次回起動したときにファイルシステムがマウントされているとは限りません。

  11. マウントポイント フィールドに、マウントパスを追加します。
  12. 起動時にマウント を選択します。 cockpit raid format
  13. フォーマット ボタンをクリックします。

    フォーマットに使用されるオプションや、RAID のサイズによって、フォーマットに数分かかることがあります。

    成功すると、ファイルシステム タブに、フォーマットされた RAID の詳細が表示されます。

    cockpit raid formatted

  14. RAID を使用する場合は、マウント をクリックします。

この時点で、システムが、マウントされてフォーマットされた RAID を使用します。

16.3. Web コンソールで RAID のパーティションテーブルを作成

RHEL 8 Web インターフェースに作成した新しいソフトウェア RAID デバイスで、パーティションテーブルを有する RAID をフォーマットします。

RAID は、その他のストレージデバイスとしてフォーマットする必要があります。2 つのオプションがあります。

  • パーティションを使用せずに RAID デバイスをフォーマットする
  • パーティションを有するパーティションテーブルを作成する

前提条件

  • 物理ディスクが接続され、RHEL 8 から確認できる。
  • RAID が追加されている。
  • RAID に使用するファイルシステムを検討する。
  • パーティションテーブルの作成を検討する。

手順

  1. RHEL 8 Web コンソールを開きます。
  2. ストレージ をクリックします。
  3. RAID デバイス ボックスで、編集する RAID を選択します。
  4. RAID の詳細画面で、コンテンツ までスクロールします。
  5. 新規作成した RAID をクリックします。

    cockpit raid unrecognized

  6. パーティションテーブルの作成 ボタンをクリックします。
  7. 削除 ドロップダウンリストで、以下を選択します。

    • 既存のデータを上書きしない - RHEL Web コンソールは、ディスクヘッダーのみを書き換えます。このオプションの利点は、フォーマットの速度です。
    • 既存のデータをゼロで上書きする  - RHEL Web コンソールは、ディスク全体をゼロで書き直します。このプログラムは RAID 全体を調べるため、このオプションを使用すると遅くなります。ディスクにデータが含まれていて、上書きする必要がある場合は、このオプションを使用します。
  8. パーティション構成 ドロップダウンメニューから、以下を選択します。

    • 最新のシステムとの互換性があり、ハードディスクが 2TB よりも大きい (GPT) - GUID パーティションテーブルは、4 つ以上のパーティションがある大規模 RAID の最新の推奨パーティションシステムです。
    • すべてのシステムおよびデバイスとの互換性あり (MBR) - マスターブートレコードは、サイズが 2TB までのディスクで動作します。MBR は、最大で 4 つのプライマリーパーティションに対応します。

      cockpit raid partition table

  9. フォーマット をクリックします。

この段階で、パーティションテーブルが作成されているため、パーティションを作成できます。

パーティションの作成方法は「Web コンソールで RAID にパーティションを作成」を参照してください。

16.4. Web コンソールで RAID にパーティションを作成

既存のパーティションテーブルにパーティションを作成します。

前提条件

手順

  1. RHEL 8 Web コンソールを開きます。
  2. ストレージ をクリックします。
  3. RAID デバイス ボックスで、編集する RAID をクリックします。
  4. RAID の詳細画面で、コンテンツ までスクロールします。
  5. 新規作成した RAID をクリックします。
  6. パーティションの作成 をクリックします。
  7. パーティションの作成 ダイアログボックスで、最初のパーティションのサイズを設定します。
  8. 削除 ドロップダウンリストで、以下を選択します。

    • 既存のデータを上書きしない - RHEL Web コンソールは、ディスクヘッダーのみを書き換えます。このオプションの利点は、フォーマットの速度です。
    • 既存のデータをゼロで上書きする  - RHEL Web コンソールは、ディスク全体をゼロで書き直します。このプログラムは RAID 全体を調べるため、このオプションを使用すると遅くなります。ディスクにデータが含まれていて、上書きする必要がある場合は、このオプションを使用します。
  9. 強い希望がない場合は、種類 ドロップダウンリストで、XFS ファイルシステムを選択します。
  10. ファイルシステムの名前を入力します。名前にスペースは使用しないでください。
  11. マウント ドロップダウンリストで、カスタム を選択します。

    デフォルト オプションでは、システムを次回起動したときにファイルシステムがマウントされているとは限りません。

  12. マウントポイント フィールドに、マウントパスを追加します。
  13. 起動時にマウント を選択します。
  14. パーティションの作成 をクリックします。

    cockpit raid partition create

フォーマットに使用されるオプションや、RAID のサイズによって、フォーマットに数分かかることがあります。

問題なく終了したら、引き続きその他のパーティションを作成します。

この時点で、システムが、マウントされてフォーマットされた RAID を使用します。

16.5. Web コンソールで RAID にボリュームグループを作成

ソフトウェア RAID からボリュームグループを構築

前提条件

  • フォーマットまたはマウントされていない RAID デバイス

手順

  1. RHEL 8 Web コンソールを開きます。
  2. ストレージ をクリックします。
  3. ボリュームグループ ボックスで + アイコンをクリックします。
  4. ボリュームグループの作成 ダイアログボックスで、新しいボリュームグループの名前を入力します。
  5. ディスク リストで、RAID デバイスを選択します。

    一覧に RAID が表示されない場合は、システムから RAID のマウントを解除します。RAID デバイスは、RHEL 8 システムでは使用できません。

    cockpit raid vg

  6. 作成 をクリックします。

新しいボリュームグループが作成され、引き続き論理ボリュームを作成できます。

cockpit raid vg created

第17章 Web コンソールで LVM 論理ボリュームの設定

Red Hat Enterprise Linux 8 は、LVM 論理ボリュームマネージャーを作成します。Red Hat Enterprise Linux 8 をインストールする場合は、インストール時に自動的に作成される LVM にインストールされます。

cockpit lvm rhel

このスクリーンショットは、インストール時に自動的に作成された RHEL 8 Web コンソールに存在する 2 つの論理ボリュームを有する RHEL 8 システムのクリーンインストールを示しています。

論理ボリュームの詳細は、以下のセクションを参照してください。

前提条件

  • RHEL 8 Web コンソールがインストールされている。

    詳細は「Web コンソールのインストール」を参照してください。

  • cockpit-storaged パッケージがシステムにインストールされている。
  • 物理ドライブ、RAID デバイス、または論理ボリュームを作成できるその他のブロックデバイスの種類。

17.1. Web コンソールの論理ボリュームマネージャー

RHEL 8 Web コンソールは、LVM ボリュームグループおよび論理ボリュームを作成するグラフィカルインターフェースを提供します。

ボリュームグループは、物理ボリュームと論理ボリュームとの間に層を作成します。これにより、論理ボリューム自体には影響を与えずに物理ボリュームを追加または削除できます。ボリュームグループは、そのグループに含まれるすべての物理ドライブの容量を、1 つのドライブの容量として表示します。

Web コンソールのボリュームグループに物理ドライブを参加させることができます。

論理ボリュームは、1 つの物理ドライブとして動作し、システムのボリュームグループに構築されます。

論理ボリュームの主な利点は以下のようになります。

  • 物理ドライブに使用されるパーティションシステムよりも優れた柔軟性
  • 複数の物理ドライブを 1 つのボリュームに接続する機能
  • 再起動せずに、オンラインボリュームの容量を拡張 (拡大) または減少 (縮小) する可能性
  • スナップショットを作成する機能

関連情報

17.2. Web コンソールでボリュームグループの作成

1 つ以上の物理ドライブまたは他のストレージデバイスからボリュームグループを作成します。

論理ボリュームは、ボリュームグループから作成されます。各ボリュームグループに、複数の論理ボリュームを追加できます。

詳細は「ボリュームグループ」を参照してください。

前提条件

  • ボリュームグループを作成する物理ドライブ、またはその他の種類のストレージデバイス。

手順

  1. RHEL 8 Web コンソールにログインします。
  2. ストレージ をクリックします。
  3. ボリュームグループ ボックスの + アイコンをクリックします。

    cockpit adding volume groups

  4. 名前 フィールドに、グループの名前 (スペースなし) を入力します。
  5. ボリュームグループを作成するために組み合わせるドライブを選択します。

    cockpit create volume group

    期待したとおりにデバイスが表示されない場合があります。RHEL Web コンソールは、未使用のブロックデバイスのみを表示します。使用済みのデバイスとは、以下のようなデバイスを指します。

    • ファイルシステムでフォーマットしたデバイス
    • 別のボリュームグループの物理ボリューム
    • 別のソフトウェアの RAID デバイスのメンバーになる物理ボリューム

      デバイスが表示されない場合は、フォーマットして空にして、未使用にします。

  6. 作成 をクリックします。

Web コンソールは、ボリュームグループ セクションにボリュームグループを追加します。グループをクリックすると、ボリュームグループから割り当てた論理ボリュームを作成できます。

cockpit volume group

17.3. Web コンソールで論理ボリュームの作成

LVM 論理ボリュームを作成します。

前提条件

手順

  1. RHEL 8 Web コンソールにログインします。
  2. ストレージ をクリックします。
  3. 論理ボリュームを作成するボリュームグループをクリックします。
  4. 新規論理ボリュームの作成 をクリックします。
  5. 名前 フィールドに、新しい論理ボリュームの名前 (スペースなし) を入力します。
  6. 目的 ドロップダウンメニューで、ファイルシステム用ブロックデバイス を選択します。

    この構成では、ボリュームグループに含まれるすべてのドライブの容量の合計に等しい最大ボリュームサイズを持つ論理ボリュームを作成できます。

    cockpit lv block dev

  7. 論理ボリュームのサイズを定義します。以下を検討してください。

    • この論理ボリュームを使用するシステムにどのぐらいの容量が必要か
    • 作成する論理ボリュームの数

    領域をすべて使用する必要はありません。必要な場合は、後で論理ボリュームを大きくすることができます。

    cockpit lv size

  8. 作成 をクリックします。

設定を確認するには、論理ボリュームをクリックして、詳細を確認してください。

cockpit lv details

この段階では、論理ボリュームが作成され、フォーマット処理でファイルシステムを作成してマウントする必要があります。

17.4. Web コンソールで論理ボリュームのフォーマット

論理ボリュームは物理ドライブとして動作します。論理ボリュームを使用するには、ファイルシステムでフォーマットする必要があります。

警告

論理ボリュームをフォーマットすると、ボリュームのデータがすべて消去されます。

選択するファイルシステムにより、論理ボリュームに使用できる設定パラメーターが決まります。たとえば、XFS ファイルシステムの中には、ボリュームの縮小に対応しないものもあります。詳細は「Web コンソールで論理ボリュームのサイズを変更」を参照してください。

次の手順では、論理ボリュームをフォーマットする手順を説明します。

前提条件

手順

  1. RHEL Web コンソールにログインします。
  2. ストレージ をクリックします。
  3. 論理ボリュームを置いたボリュームグループをクリックします。
  4. 論理ボリュームをクリックします。
  5. 認識されないデータ タブをクリックします。

    cockpit lv details

  6. フォーマット をクリックします。
  7. 削除 ドロップダウンメニューから、以下を選択します。

    • 既存のデータを上書きしない - RHEL Web コンソールは、ディスクヘッダーのみを書き換えます。このオプションの利点は、フォーマットの速度です。
    • 既存のデータをゼロで上書きする  - RHEL Web コンソールは、ディスク全体をゼロで書き直します。このプログラムはディスク全体を調べるため、このオプションを使用すると遅くなります。ディスクにデータが含まれていて、上書きする必要がある場合は、このオプションを使用します。
  8. 種類 ドロップダウンメニューで、ファイルシステムを選択します。

    • XFS ファイルシステムは大規模な論理ボリュームをサポートし、オンラインの物理ドライブを停止せずに、既存のファイルシステムの拡大および縮小を行うことができます。別のストレージの使用を希望しない場合は、このファイルシステムを選択したままにしてください。

      XFS は、XFS ファイルシステムでフォーマットしたボリュームサイズを縮小することには対応していません。

    • ext4 ファイルシステムは以下に対応します。

      • 論理ボリューム
      • オンラインの物理ドライブを停止せずに切り替え
      • ファイルシステムの拡張
      • ファイルシステムの縮小

    LUKS (Linux Unified Key Setup) 暗号を使用したバージョンも選択できます。パスフレーズを使用してボリュームの暗号化を行えます。

  9. 名前 フィールドに、論理ボリューム名を入力します。
  10. マウント ドロップダウンメニューで、カスタム を選択します。

    デフォルト オプションでは、システムを次回起動したときにファイルシステムがマウントされているとは限りません。

  11. マウントポイント フィールドに、マウントパスを追加します。
  12. 起動時にマウント を選択します。

    cockpit lv format

  13. フォーマット をクリックします。

    ボリュームのサイズや、選択するオプションによって、フォーマットに数分かかることがあります。

    フォーマットが完了したら、ファイルシステム タブで、フォーマットした論理ボリュームの詳細を表示できます。

    cockpit lv formatted

  14. 論理ボリュームを使用するには、マウント をクリックします。

この時点で、システムは、マウントされてフォーマットされた論理ボリュームを使用します。

17.5. Web コンソールで論理ボリュームのサイズを変更

RHEL 8 Web コンソールで論理ボリュームを拡張または縮小する方法を説明します。

論理ボリュームのサイズを変更できるかどうかは、使用しているファイルシステムの種類に依存します。ほとんどのファイルシステムは、ボリュームをオンライン (停止) せずに拡張 (拡大) できます。

論理ボリュームに、縮小に対応するファイルシステムが含まれる場合は、論理ボリュームのサイズを縮小することもできます。これは、たとえば、ext3 または ext4 のファイルシステムでも利用できます。

警告

GFS2 または XFS のファイルシステムを含むボリュームを減らすことはできません。

前提条件

  • 論理ボリュームのサイズ変更に対応するファイルシステムを含む既存の論理ボリューム。

手順

次の手順は、ボリュームをオフラインにすることなく、論理ボリュームを大きくする手順を説明します。

  1. RHEL Web コンソールにログインします。
  2. ストレージ をクリックします。
  3. 論理ボリュームを置いたボリュームグループをクリックします。
  4. 論理ボリュームをクリックします。
  5. ボリューム タブで、増加 をクリックします。
  6. 論理ボリュームの増加 ダイアログボックスで、ボリューム領域を調整します。

    cockpit lv grow

  7. 増加 をクリックします。

LVM は、システムを停止せずに、論理ボリュームを拡大します。

第18章 Web コンソールでシン論理ボリュームの設定

シンプロビジョニングの論理ボリュームを使用すると、実際に論理ボリュームに含まれている容量よりも、指定したアプリケーションやサーバーにより多くの領域を割り当てることができます。

詳細は「シンプロビジョニングされた論理ボリューム (シンボリューム)」を参照してください。

以下のセクションでは、次のことを説明します。

前提条件

  • RHEL 8 Web コンソールがインストールされている。

    詳細は「Web コンソールのインストール」を参照してください。

  • cockpit-storaged パッケージがシステムにインストールされている。
  • ボリュームグループを作成する物理ドライブ、またはその他の種類のストレージデバイス。

18.1. Web コンソールでシン論理ボリュームにプールを作成

シンプロビジョニングされたボリューム用のプールを作成します。

手順

  1. RHEL 8 Web コンソールにログインします。
  2. ストレージ をクリックします。
  3. シンボリュームを作成するボリュームグループをクリックします。
  4. 新規論理ボリュームの作成 をクリックします。
  5. 名前 フィールドに、シンボリュームの新しいプールの名前 (スペースなし) を入力します。
  6. 目的 ドロップダウンメニューで、シンプロビジョニングされたボリューム用プール を選択します。この設定により、シンボリュームを作成できます。

    cockpit lv thin pool add

  7. シンボリュームのプールのサイズを定義します。以下を検討してください。

    • このプールで必要なシンボリュームの数
    • 各シンボリュームの予想サイズ

    領域をすべて使用する必要はありません。必要な場合は、後でプールを大きくできます。

    cockpit lv thin pool size

  8. 作成 をクリックします。

    シンボリューム用のプールが作成され、シンボリュームを作成できます。

18.2. Web コンソールで論理ボリュームの作成

プールにシン論理ボリュームを作成します。複数のシンボリュームを追加でき、各シンボリュームは、シンボリュームのプールと同じ大きさにできます。

重要

シンボリュームを使用する場合は、論理ボリュームの物理的な空き容量を定期的に確認する必要があります。

前提条件

手順

  1. RHEL 8 Web コンソールにログインします。
  2. ストレージ をクリックします。
  3. シンボリュームを作成するボリュームグループをクリックします。
  4. 必要なプールをクリックします。
  5. シンボリュームの作成 をクリックします。

    cockpit lv pool tab

  6. シンボリュームの作成 ダイアログボックスで、シンボリュームの名前 (スペースなし) を入力します。
  7. シンボリュームのサイズを定義します。

    cockpit lv thin size

  8. 作成 をクリックします。

この段階で、シン論理ボリュームが作成されているため、それをフォーマットする必要があります。

18.3. Web コンソールで論理ボリュームのフォーマット

論理ボリュームは物理ドライブとして動作します。論理ボリュームを使用するには、ファイルシステムでフォーマットする必要があります。

警告

論理ボリュームをフォーマットすると、ボリュームのデータがすべて消去されます。

選択するファイルシステムにより、論理ボリュームに使用できる設定パラメーターが決まります。たとえば、XFS ファイルシステムの中には、ボリュームの縮小に対応しないものもあります。詳細は「Web コンソールで論理ボリュームのサイズを変更」を参照してください。

次の手順では、論理ボリュームをフォーマットする手順を説明します。

前提条件

手順

  1. RHEL Web コンソールにログインします。
  2. ストレージ をクリックします。
  3. 論理ボリュームを置いたボリュームグループをクリックします。
  4. 論理ボリュームをクリックします。
  5. 認識されないデータ タブをクリックします。

    cockpit lv details

  6. フォーマット をクリックします。
  7. 削除 ドロップダウンメニューから、以下を選択します。

    • 既存のデータを上書きしない - RHEL Web コンソールは、ディスクヘッダーのみを書き換えます。このオプションの利点は、フォーマットの速度です。
    • 既存のデータをゼロで上書きする  - RHEL Web コンソールは、ディスク全体をゼロで書き直します。このプログラムはディスク全体を調べるため、このオプションを使用すると遅くなります。ディスクにデータが含まれていて、上書きする必要がある場合は、このオプションを使用します。
  8. 種類 ドロップダウンメニューで、ファイルシステムを選択します。

    • XFS ファイルシステムは大規模な論理ボリュームをサポートし、オンラインの物理ドライブを停止せずに、既存のファイルシステムの拡大および縮小を行うことができます。別のストレージの使用を希望しない場合は、このファイルシステムを選択したままにしてください。

      XFS は、XFS ファイルシステムでフォーマットしたボリュームサイズを縮小することには対応していません。

    • ext4 ファイルシステムは以下に対応します。

      • 論理ボリューム
      • オンラインの物理ドライブを停止せずに切り替え
      • ファイルシステムの拡張
      • ファイルシステムの縮小

    LUKS (Linux Unified Key Setup) 暗号を使用したバージョンも選択できます。パスフレーズを使用してボリュームの暗号化を行えます。

  9. 名前 フィールドに、論理ボリューム名を入力します。
  10. マウント ドロップダウンメニューで、カスタム を選択します。

    デフォルト オプションでは、システムを次回起動したときにファイルシステムがマウントされているとは限りません。

  11. マウントポイント フィールドに、マウントパスを追加します。
  12. 起動時にマウント を選択します。

    cockpit lv format

  13. フォーマット をクリックします。

    ボリュームのサイズや、選択するオプションによって、フォーマットに数分かかることがあります。

    フォーマットが完了したら、ファイルシステム タブで、フォーマットした論理ボリュームの詳細を表示できます。

    cockpit lv formatted

  14. 論理ボリュームを使用するには、マウント をクリックします。

この時点で、システムは、マウントされてフォーマットされた論理ボリュームを使用します。

第19章 Web コンソールでボリュームグループの物理ドライブを変更

RHEL 8 Web コンソールを使用して、ボリュームグループのドライブを変更します。

物理ドライブを変更するには、次の手順に従ってください。

前提条件

  • RHEL 8 Web コンソールがインストールされている。

    詳細は「Web コンソールのインストール」を参照してください。

  • cockpit-storaged パッケージがシステムにインストールされている。
  • 古いまたは不具合がある物理ドライブを交換するための新しい物理ドライブ。
  • この設定には、物理ドライブがボリュームグループに編成されていることが必要になります。

19.1. Web コンソールでボリュームグループに物理デバイスを追加

RHEL 8 Web コンソールを使用すると、既存の論理ボリュームに新しい物理ドライブ、またはその他のタイプのボリュームを追加できます。

前提条件

  • ボリュームグループが作成されている。
  • マシンに新しいドライブが接続されている。

手順

  1. RHEL 8 Web コンソールにログインします。
  2. ストレージ をクリックします。
  3. ボリュームグループ ボックスで、物理ボリュームを追加するボリュームグループをクリックします。
  4. 物理ボリューム ボックスで、+ アイコンをクリックします。

    cockpit lv disk add

  5. ディスクの追加 ダイアログボックスでドライブを選択し、追加 をクリックします。

    cockpit lv disk selected

これにより、RHEL 8 Web コンソールは物理ボリュームを追加します。これは、物理ボリューム セクションで表示でき、論理ボリュームが、ドライブへの書き込みをすぐに開始できます。

19.2. Web コンソールでボリュームグループから物理ドライブを削除

論理ボリュームに複数の物理ドライブが含まれている場合は、オンラインの物理ドライブのいずれかを削除できます。

システムは、削除時に、削除するドライブから全てのデータを自動的に別のデバイスに移動します。これには少し時間がかかる場合があります。

Web コンソールは、物理ドライブを削除するための十分な容量があるかどうかを検証します。

前提条件

  • 複数の物理ドライブが接続するボリュームグループ

手順

次の手順は、RHEL Web コンソールでシステムを停止させずにボリュームグループからドライブを削除する方法を説明します。

  1. RHEL 8 Web コンソールにログインします。
  2. ストレージ をクリックします。
  3. 論理ボリュームがあるボリュームグループをクリックします。
  4. 物理ボリューム セクションで、推奨されるボリュームを見つけます。
  5. - アイコンをクリックします。

    ディスクを削除するための十分な容量が論理ボリュームにあるかどうかを RHEL 8 Web コンソールが検証します。容量が十分ではない場合は、ディスクを削除できず、最初に別のディスクを追加する必要があります。詳細は「Web コンソールでボリュームグループに物理デバイスを追加」を参照してください。

    cockpit lv disk remove

これにより、RHEL 8 Web コンソールは、システムを停止せずに作成した論理ボリュームから物理ボリュームを削除できます。

第20章 Web コンソールで Virtual Data Optimizer ボリュームの管理

RHEL 8 Web コンソールを使用して、VDO (Virtual Data Optimizer) を設定します。

以下の方法について説明します。

  • VDO ボリュームの作成
  • VDO ボリュームのフォーマット
  • VDO ボリュームの拡張

前提条件

  • RHEL 8 Web コンソールをインストールし、アクセスできる。

    詳細は「Web コンソールのインストール」を参照してください。

  • cockpit-storaged パッケージがシステムにインストールされている。

20.1. Web コンソールでの VDO ボリューム

Red Hat Enterprise Linux 8 では、Virtual Data Optimizer (VDO) がサポートされます。

VDO は、以下を組み合わせたブロック仮想化テクノロジーです。

圧縮
詳細は「VDO で圧縮の有効化または無効化」を参照してください。
重複排除
詳細は「VDO で圧縮の有効化または無効化」を参照してください。
シンプロビジョニング
詳細は「シンプロビジョニングされた論理ボリューム (シンボリューム)」を参照してください。

このような技術を使用して、VDO は、以下を行います。

  • ストレージ領域をインラインに保存します。
  • ファイルを圧縮します。
  • 重複を排除します。
  • 物理ストレージまたは論理ストレージが提供するサイズよりも多くの仮想領域を割り当てることができます。
  • 拡大して仮想ストレージを拡張できます。

VDO は、さまざまなタイプのストレージに作成できます。RHEL 8 Web コンソールでは、以下に VDO を設定できます。

  • LVM

    注記

    シンプロビジョニングされたボリュームに VDO を設定することはできません。

  • 物理ボリューム
  • ソフトウェア RAID

ストレージスタックにおける VDO の配置の詳細は、「システム要件」を参照してください。

関連情報

20.2. Web コンソールで VDO ボリュームの作成

RHEL Web コンソールで VDO ボリュームを作成します。

前提条件

  • VDO の作成元となる物理ドライブ、LVM、または RAID

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ストレージ をクリックします。
  3. VDO デバイス ボックスの + アイコンをクリックします。

    cockpit adding vdo

  4. 名前 フィールドに、VDO ボリュームの名前 (スペースなし) を入力します。
  5. 使用するドライブを選択します。
  6. 論理サイズ バーに、VDO ボリュームのサイズを設定します。10 回以上拡張できますが、VDO ボリュームを作成する目的を検討してください。

    • アクティブな仮想マシンまたはコンテナーストレージの場合は、使用する論理のサイズを、ボリュームの物理サイズの 10 倍になるようにします。
    • オブジェクトストレージの場合は、使用する論理のサイズを、ボリュームの物理サイズの 3 倍になるようにします。

    詳細は「VDO のデプロイメント」を参照してください。

  7. インデックスメモリー バーで、VDO ボリュームにメモリーを割り当てます。

    VDO システム要件の詳細は「システム要件」を参照してください。

  8. 圧縮 オプションを選択します。このオプションを使用すると、さまざまなファイル形式を効率的に減らすことができます。

    詳細は「VDO で圧縮の有効化または無効化」を参照してください。

  9. 重複排除 オプションを選択します。

    このオプションは、重複ブロックのコピーを削除して、ストレージリソースが使用されなくなるようにします。詳細は「VDO で圧縮の有効化または無効化」を参照してください。

  10. 必要に応じて、512 バイトのブロックサイズを必要とするアプリケーションで VDO ボリュームを使用する場合は、512 バイトのエミュレーションを使用 を選択します。これにより、VDO ボリュームのパフォーマンスは低下しますが、その必要はほとんどありません。不明な場合は、無効にします。
  11. 作成 をクリックします。

    cockpit create vdo dialog

VDO ボリュームの作成プロセスに成功すると、ストレージ セクションに新しい VDO ボリュームが表示され、ファイルシステムでフォーマットできます。

cockpit vdo created

20.3. Web コンソールで VDO ボリュームのフォーマット

VDO ボリュームは物理ドライブとして動作します。論理ボリュームを使用するには、ファイルシステムでフォーマットする必要があります。

警告

VDO をフォーマットすると、ボリュームのデータがすべて消去されます。

次の手順では、VDO ボリュームをフォーマットする手順を説明します。

前提条件

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ストレージ をクリックします。
  3. VDO ボリュームをクリックします。
  4. 認識されないデータ タブをクリックします。
  5. フォーマット をクリックします。

    cockpit vdo format

  6. 削除 ドロップダウンメニューから、以下を選択します。

    既存データを上書きしない
    RHEL Web コンソールは、ディスクヘッダーのみを書き換えます。このオプションの利点は、フォーマットの速度です。
    既存のデータをゼロで上書きする
    RHEL Web コンソールは、ディスク全体をゼロで書き直します。このプログラムはディスク全体を調べるため、このオプションを使用すると遅くなります。ディスクにデータが含まれていて、書き直す必要がある場合は、このオプションを使用します。
  7. 種類 ドロップダウンメニューで、ファイルシステムを選択します。

    • XFS ファイルシステムは大規模な論理ボリュームをサポートし、オンラインの物理ドライブを停止せずに、既存のファイルシステムの拡大および縮小を行うことができます。別のストレージの使用を希望しない場合は、このファイルシステムを選択したままにしてください。

      XFS は、ボリュームの縮小に対応していません。したがって、XFS でフォーマットしたボリュームを縮小することはできません。

    • ext4 ファイルシステムは論理ボリュームをサポートし、オンラインの物理ドライブを停止せずに、既存のファイルシステムの拡大および縮小を行うことができます。

    LUKS (Linux Unified Key Setup) 暗号を使用したバージョンも選択できます。パスフレーズを使用してボリュームの暗号化を行えます。

  8. 名前 フィールドに、論理ボリューム名を入力します。
  9. マウント ドロップダウンメニューで、カスタム を選択します。

    デフォルト オプションでは、システムを次回起動したときにファイルシステムがマウントされているとは限りません。

  10. マウントポイント フィールドに、マウントパスを追加します。
  11. 起動時にマウント を選択します。

    cockpit lv format

  12. フォーマット をクリックします。

    フォーマットに使用されるオプションや、ボリュームのサイズによって、フォーマットに数分かかることがあります。

    成功すると、ファイルシステム タブに、フォーマットされた VDO ボリュームの詳細が表示されます。

    cockpit vdo formatted

  13. VDO ボリュームを使用するには、マウント をクリックします。

この時点で、システムが、マウントされてフォーマットされた VDO ボリュームを使用します。

20.4. Web コンソールで VDO ボリュームの拡張

RHEL 8 Web コンソールで VDO ボリュームを拡張します。

前提条件

  • cockpit-storaged パッケージがシステムにインストールされている。
  • VDO ボリュームが作成されている。

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ストレージ をクリックします。
  3. VDO デバイス で、VDO ボリュームをクリックします。

    cockpit vdo created

  4. VDO ボリュームの詳細で、増加 ボタンをクリックします。
  5. VDO の論理サイズを増加 ダイアログボックスで、VDO ボリュームの論理サイズを増やします。

    cockpit vdo grow done

    スクリーンショットの論理ボリュームの元のサイズは 6 GB でした。RHEL Web コンソールでは、ボリュームのサイズを 10 倍以上まで増やし、圧縮と重複排除により適切に動作させることができます。

  6. 増加 をクリックします。

VDO の拡張プロセスに成功したら、VDO ボリュームの詳細で新しいサイズを確認できます。

cockpit vdo grow details

第21章 RHEL Web コンソールで LUKS パスワードを使用したデータのロック

Web コンソールの ストレージ タブでは、作成、ロック、ロック解除、サイズ変更、または LUKS (Linux Unified Key Setup) バージョン 2 形式を使用した暗号化デバイスを設定できます。

この新しいバージョンの LUKS は、以下を提供します。

  • より柔軟なロック解除ポリシー
  • より強力な暗号化
  • 今後の変更との互換性の高さ

前提条件

  • RHEL 8 Web コンソールがインストールされている。

    詳細は「Web コンソールのインストール」を参照してください。

  • cockpit-storaged パッケージがシステムにインストールされている。

21.1. LUKS ディスクの暗号化

LUKS (Linux Unified Key Setup-on-disk-format) は、ブロックデバイスを暗号化でき、暗号化したデバイスの管理を簡素化するツールセットを提供します。LUKS を使用すれば、複数のユーザー鍵が、パーティションのバルク暗号化に使用されるマスター鍵を複号できるようになります。

RHEL は、LUKS を使用してブロックデバイスの暗号化を行います。デフォルトではインストール時に、ブロックデバイスを暗号化するオプションが指定されていません。ディスクを暗号化するオプションを選択すると、コンピューターを起動するたびにパスフレーズの入力が求められます。このパスフレーズは、パーティションの複号に用いられるバルク暗号化鍵の「ロックを解除」します。デフォルトのパーティションテーブルの変更を選択すると、暗号化するパーティションを選択できます。この設定は、パーティションテーブル設定で行われます。

LUKS の機能

  • LUKS は、ブロックデバイス全体を暗号化するため、脱着可能なストレージメディアやノート PC のディスクドライブといった、モバイルデバイスのコンテンツを保護するのに適しています。
  • 暗号化されたブロックデバイスの基本的な内容は任意であり、スワップデバイスの暗号化に役立ちます。また、とりわけデータストレージ用にフォーマットしたブロックデバイスを使用する特定のデータベースに関しても有用です。
  • LUKS は、既存のデバイスマッパーのカーネルサブシステムを使用します。
  • LUKS は、パラフレーズの強化を提供し、辞書攻撃から保護します。
  • LUKS デバイスには複数のキースロットが含まれ、ユーザーはこれを使用してバックアップキーやパスフレーズを追加できます。

LUKS が 行わない こと

  • LUKS などのディスク暗号化ソリューションは、システムの停止時にしかデータを保護しません。システムの電源がオンになり、LUKS がディスクを復号すると、そのディスクのファイルは、通常、そのファイルにアクセスできるすべてのユーザーが使用できます。
  • LUKS は、多くのユーザーが、同じデバイスにアクセスする鍵をそれぞれ所有することが必要となるシナリオには適していません。LUKS1 形式は鍵スロットを 8 個提供し、LUKS2 形式は鍵スロットを最大 32 個提供します。
  • LUKS は、ファイルレベルの暗号化を必要とするアプリケーションには適していません。

暗号化

LUKS に使用されるデフォルトの暗号は aes-xts-plain64 です。LUKS のデフォルトの鍵サイズは 512 ビットです。Anaconda (XTS モード) を使用した LUKS のデフォルトの鍵サイズは 512 ビットです。利用可能な暗号は以下のとおりです。

  • AES (Advanced Encryption Standard) - FIPS PUB 197
  • Twofish (128 ビットブロック暗号)
  • Serpent

21.2. Web コンソールで LUKS パスフレーズの設定

システムの既存の論理ボリュームに暗号化を追加する場合は、ボリュームをフォーマットすることでしか実行できません。

前提条件

  • Web コンソールがインストールされており、アクセス可能である。

    詳細は「Web コンソールのインストール」を参照してください。

  • cockpit-storaged パッケージがシステムにインストールされている。
  • 暗号化なしで、既存の論理ボリュームを利用できます。

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ストレージ をクリックします。
  3. フォーマットするストレージデバイスを選択します。
  4. メニューアイコンをクリックし、フォーマット オプションを選択します。
  5. データの暗号化 を選択して、ストレージデバイスの暗号化をアクティベートします。

    cockpit encryption

  6. 新しいパスフレーズを設定し、確認します。
  7. (必要に応じて) さらなる暗号化オプションを変更します。
  8. フォーマット設定の最終処理
  9. フォーマット をクリックします。

21.3. Web コンソールで LUKS パスフレーズの変更

Web コンソールで、暗号化されたディスクまたはパーティションで LUKS パスフレーズを変更します。

前提条件

  • Web コンソールがインストールされており、アクセス可能である。

    詳細は「Web コンソールのインストール」を参照してください。

  • cockpit-storaged パッケージがシステムにインストールされている。

手順

  1. Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ストレージ をクリックします。
  3. ドライブテーブルで、暗号化されたデータがあるディスクを選択します。
  4. コンテンツ で、暗号化されたパーティションを選択します。
  5. 暗号化 をクリックします。
  6. キー テーブルで、ペンアイコンをクリックします。

    cockpit luks change

  7. パスフレーズの変更 ダイアログウィンドウで、以下を行います。

    1. 現在のパスフレーズを入力します。
    2. 新しいパスフレーズを入力します。
    3. 新しいパスフレーズを確認します。

      cockpit change passphrase menu

  8. 保存 をクリックします。

第22章 Web コンソールで Tang 鍵を使用した自動アンロックの設定

Tang サーバーが提供する鍵を使用して、LUKS で暗号化したストレージデバイスの自動ロック解除を設定します。

前提条件

  • RHEL 8 Web コンソールがインストールされている。

    詳細は「Web コンソールのインストール」を参照してください。

  • cockpit-storaged パッケージがシステムにインストールされている。
  • cockpit.socket サービスがポート 9090 で実行されている。
  • clevis パッケージ、tang パッケージ、および clevis-dracut パッケージがインストールされている。
  • Tang サーバーが実行している。

手順

  1. Web ブラウザーに以下のアドレスを入力して、RHEL Web コンソールを開きます。

    https://localhost:9090

    リモートシステムに接続する際に、localhost の部分をリモートサーバーのホスト名または IP アドレスに置き換えます。

  2. 認証情報を指定して、ストレージ をクリックします。暗号化したデバイスを選択し、コンテンツ暗号化 をクリックします。
  3. Keys セクションの + をクリックして Tang キーを追加します。

    RHEL Web コンソール - 暗号化
  4. Tang サーバーのアドレスと、LUKS で暗号化したデバイスのロックを解除するパスワードを指定します。Add をクリックして確定します。

    RHEL Web コンソール - Tang 鍵の追加
  5. 以下のダイアログウインドウは、鍵ハッシュが一致することを確認するコマンドを提供します。RHEL 8.2 では、tang-show-keys スクリプトが導入され、ポート 7500 で実行している Tang サーバーで以下のコマンドを使用して鍵ハッシュを取得できます。

    # tang-show-keys 7500
    3ZWS6-cDrCG61UPJS2BMmPU4I54

    RHEL 8.1 以前では、以下のコマンドを使用して鍵ハッシュを取得します。

    # curl -s localhost:7500/adv | jose fmt -j- -g payload -y -o- | jose jwk use -i- -r -u verify -o- | jose jwk thp -i-
    3ZWS6-cDrCG61UPJS2BMmPU4I54
  6. Web コンソールと前述のコマンドの出力のキーハッシュが同じ場合は、Trust key をクリックします。

    RHEL Web コンソール - Tang 鍵の確認
  7. 初期ブートシステムでディスクバインディングを処理できるようにするには、左側のナビゲーションバーの下部にある Terminal をクリックし、次のコマンドを入力します。

    # yum install clevis-dracut
    # dracut -fv --regenerate-all

検証手順

  1. 新規に追加された Tang キーが Keyserver タイプの Keys セクションに一覧表示されていることを確認します。

    RHEL Web コンソール - キーサーバーキーが一覧表示されます。
  2. バインディングが初期ブートで使用できることを確認します。次に例を示します。

    # lsinitrd | grep clevis
    clevis
    clevis-pin-sss
    clevis-pin-tang
    clevis-pin-tpm2
    -rwxr-xr-x   1 root     root         1600 Feb 11 16:30 usr/bin/clevis
    -rwxr-xr-x   1 root     root         1654 Feb 11 16:30 usr/bin/clevis-decrypt
    ...
    -rwxr-xr-x   2 root     root           45 Feb 11 16:30 usr/lib/dracut/hooks/initqueue/settled/60-clevis-hook.sh
    -rwxr-xr-x   1 root     root         2257 Feb 11 16:30 usr/libexec/clevis-luks-askpass

関連情報

第23章 Web コンソールでソフトウェア更新の管理

RHEL 8 Web コンソールでソフトウェア更新を管理する方法と、その更新を自動化する方法。

Web コンソールのソフトウェア更新モジュールは、yum ユーティリティーに基づいています。yum を使用したソフトウェアの更新の詳細は、「パッケージの確認と更新」を参照してください。

23.1. Web コンソールでの手動ソフトウェア更新の管理

本セクションでは、Web コンソールを使用してソフトウェアを手動で更新する方法を説明します。

前提条件

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ソフトウェアの更新 をクリックします。

    最後のチェックが行われてから 24時間以上経っている場合は、利用可能な更新の一覧が自動的に更新されます。更新を発生させるには、更新の確認 ボタンをクリックします。

  3. 更新を適用します。

    1. 利用可能なアップデートをすべてインストールするには、すべてのアップデートをインストール ボタンをクリックします。

      cockpit install all updates

    2. セキュリティー更新プログラムがある場合は、セキュリティーアップデートのインストール ボタンをクリックすると個別にインストールできます。

      cockpit install security updates

      更新の実行中に更新ログを見ることができます。

  4. システムが更新を適用すると、システムを再起動するように勧められます。

    個別には再起動しない新しいカーネルまたはシステムサービスが更新に含まれている場合は、特に推奨されます。

  5. 無視 をクリックして再起動をキャンセルするか、今すぐ再起動 をクリックしてシステムの再起動を続行します。

    システムの再起動後、Web コンソールにログインし、ソフトウェアの更新 ページに移動して、更新が成功したことを確認します。

23.2. Web コンソールで自動ソフトウェア更新の管理

Web コンソールでは、すべての更新またはセキュリティー更新の適用を選択し、自動更新の周期とタイミングを管理することもできます。

前提条件

手順

  1. RHEL 8 Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. ソフトウェアの更新 をクリックします。
  3. セキュリティー更新のみを自動的に適用する場合は、ドロップダウンメニューの すべてのアップデートを適用します をクリックして、セキュリティーアップデートを適用します を選択します。
  4. 自動更新の日付を変更するには、ドロップダウンメニューの 毎日 をクリックして、特定の日付を選択します。
  5. 自動更新の時間を変更するには、ドロップダウンメニューの 6:00 をクリックして、特定の時間を選択します。

    cockpit automatic updates

  6. 自動ソフトウェア更新を無効にする場合は、自動アップデート の横にあるスイッチをクリックして、無効な位置に移動します。

    cockpit disabled auto updates

第24章 Web コンソールでサブスクリプションの管理

Web コンソールから Red Hat Enterprise Linux 8 のサブスクリプションを管理します。

Red Hat Enterprise Linux のサブスクリプションを取得するには、Red Hat カスタマーポータル またはアクティベーションキーが必要です。

本章の内容は次のとおりです。

  • RHEL 8 Web コンソールを使用したサブスクリプション管理
  • Red Hat ユーザー名およびパスワードを使用して、Web コンソールでシステムのサブスクリプション登録
  • アクティベーションキーを使用してサブスクリプションを登録

前提条件

  • サブスクリプションを購入している。
  • サブスクリプションの対象となっているシステムが、インターネットに接続している (Web コンソールは Red Hat カスタマーポータルと通信する必要があるため)。

24.1. Web コンソールでサブスクリプションの管理

RHEL 8 Web コンソールは、ローカルシステムにインストールされている Red Hat Subscription Manager を使用するインターフェースを提供します。

Subscription Manager は Red Hat カスタマーポータルに接続し、利用可能な次のものをすべて確認します。

  • アクティブなサブスクリプション
  • 期限が切れたサブスクリプション
  • 更新されたサブスクリプション

Red Hat カスタマーポータルでサブスクリプションを更新したり、別のサブスクリプションを入手したい場合に、Subscription Manager のデータを手動で更新する必要はありません。サブスクリプションマネージャーは、Red Hat カスタマーポータルと自動的に同期します。

24.2. Web コンソールで認証情報を使用してサブスクリプションを登録

RHEL 8 Web コンソールを使用して、新たにインストールした Red Hat Enterprise Linux を登録するには、以下の手順に従います。

前提条件

  • Red Hat カスタマーポータルに有効なユーザーアカウントがある。

    「Red Hat アカウントの作成」ページを参照してください。

  • RHEL システムに使用するアクティブなサブスクリプションがある。

手順

  1. 検索フィールドに「subscription」と入力して、Enter キーを押します。

    cockpit subscription icon

    RHEL 8 Web コンソールにログインすることもできます。詳細は「Web コンソールへのログイン」を参照してください。

  2. 特権タスク用の polkit 認証ダイアログで、ダイアログに表示されているユーザー名のパスワードを入力します。

    cockpit subscription password

  3. 認証 をクリックします。
  4. サブスクリプション ダイアログボックスの 登録 をクリックします。

    cockpit subscription notregistered

  5. カスタマーポータルの認証情報を入力します。

    cockpit subscription register cred

  6. 組織の名前を入力してください。

    Red Hat カスタマーポータルにアカウントが複数ある場合は、組織名または組織 ID を追加する必要があります。組織 ID は、Red Hat の連絡先に問い合わせてください。

  7. 登録 ボタンをクリックします。

この時点で、Red Hat Enterprise Linux 8 システムが正常に登録されました。

cockpit subscription registered

24.3. Web コンソールでアクティベーションキーを使用してサブスクリプションを登録

Red Hat Enterprise Linux のサブスクリプションを登録するには、以下を行います。

前提条件

  • ポータルにユーザーアカウントがない場合は、ベンダーからアクティベーションキーが提供されます。

手順

  1. 検索フィールドに「subscription」と入力して、Enter キーを押します。

    cockpit subscription icon

    RHEL 8 Web コンソールにログインすることもできます。詳細は「Web コンソールへのログイン」を参照してください。

  2. 認証ダイアログで、システムのインストール時に作成したシステムのユーザー名およびパスワードを追加します。

    cockpit subscription password

  3. 認証 をクリックします。
  4. サブスクリプション ダイアログボックスの 登録 をクリックします。

    cockpit subscription notregistered

  5. 登録フォームにアクティベーションキーを入力します。
  6. 組織の名前を入力してください。

    Red Hat カスタマーポータルにアカウントが複数ある場合は、組織名または組織 ID を追加する必要があります。

    組織 ID は、Red Hat の連絡先に問い合わせてください。

    cockpit subscription register key

  7. 登録 ボタンをクリックします。

これで、RHEL 8 システムが正常に登録されました。

cockpit subscription registered

第25章 Web コンソールで kdump の設定

RHEL 8 Web コンソールで kdump 設定を設定してテストします。

Web コンソールは、Red Hat Enterprise Linux 8 のデフォルトインストールに含まれており、システムの起動時に kdump サービスを有効または無効にできます。さらには、kdump に予約メモリーを設定したり、非圧縮または圧縮の形式で vmcore の保存場所を選択したりすることもできます。

前提条件

25.1. Web コンソールで kdump メモリーの使用量およびターゲットの場所を設定

以下の手順は、Red Hat Enterprise Linux Web コンソールインターフェースで Kernel Dump タブを使用して、kdump カーネル用に予約されたメモリー容量を設定する方法を説明します。この手順では、vmcore ダンプファイルのターゲットの場所を指定する方法と、設定をテストする方法を説明します。

前提条件

手順

  1. Kernel Dump タブを開き、kdump サービスを開始します。
  2. コマンドラインkdump のメモリー使用量を設定します。
  3. クラッシュダンプの場所 オプションの横にあるリンクをクリックします。

    Web コンソールの初期画面
  4. ドロップダウンメニューから ローカルファイルシステム を選択し、ダンプを保存するディレクトリーを指定します。

    Web コンソールの crashdump ターゲット
    • または、ドロップダウンから SSH 経由のリモート オプションを選択し、SSH プロトコルを使用して、vmcore をリモートマシンに送信します。

      Serverssh keyDirectory の各フィールドに、リモートマシンのアドレス、ssh キーの場所、およびターゲットディレクトリーを入力します。

    • または、ドロップダウンから NFS 経由のリモート オプションを選択し、マウント フィールドに入力して、NFS プロトコルを使用して vmcore をリモートマシンに送信することもできます。

      注記

      圧縮 チェックボックスにチェックマークを入れ、vmcore ファイルのサイズを小さくします。

  5. カーネルをクラッシュして、設定をテストします。

    Web コンソールテスト kdump config
    警告

    この手順では、カーネルの実行を中断し、システムクラッシュやデータの損失が発生します。

関連情報

第26章 Web コンソールで仮想マシンの管理

RHEL 8 Web コンソールで仮想マシンを管理し、仮想化管理機能を確認します。

RHEL 8 ホストのグラフィカルインターフェースで仮想マシンを管理する場合は、RHEL 8 Web コンソール仮想マシン ペインを使用できます。

Web コンソールの概要

26.1. Web コンソールで仮想マシンの管理の概要

RHEL 8 Web コンソールは、Web ベースのシステム管理インターフェースです。Web コンソールは、その機能の 1 つとして、ホストシステムで仮想マシンをグラフィカルに表示し、その仮想マシンを作成、アクセス、および構成できるようにします。

Web コンソールを使用して RHEL 8 で仮想マシンを管理するには、最初に、仮想化用の Web コンソールプラグインをインストールする必要があります。

次のステップ

ただし、RHEL 8 では、virt-manager またはコマンドラインのいずれか一方からしかアクセスできない機能もあります。詳細は「Web コンソールで仮想マシンの管理の概要」を参照してください。

仮想マシンマネージャーの詳細は、RHEL 7 のドキュメント を参照してください。

= 仮想マシンを管理するために Web コンソールを設定

Web コンソールの仮想マシン (VM) プラグインをインストールして、RHEL 8 Web コンソールを使用してホストで仮想マシンを管理できるようにしてある。

前提条件

  • Web コンソールがマシンにインストールされ、有効化さていることを確認してください。

    # systemctl status cockpit.socket
    cockpit.socket - Cockpit Web Service Socket
    Loaded: loaded (/usr/lib/systemd/system/cockpit.socket
    [...]

    このコマンドが、Unit cockpit.socket could not be found を返す場合は、『Web コンソールのインストール』に従って Web コンソール を有効にします。

手順

  • cockpit-machines プラグインをインストールします。

    # yum install cockpit-machines

検証

  • インストールに成功すると、仮想マシン が Web コンソールのサイドメニューに表示されます。

    cockpit での仮想マシン情報

関連情報

= Web コンソールで利用可能な仮想マシンの管理機能

RHEL 8 Web コンソールを使用して、以下の操作を実行して、システム上の仮想マシンを管理できます。

表26.1 RHEL 8 Web コンソールで実行できる仮想マシンタスク

タスク詳細は、次を参照してください。

仮想マシンを作成し、ゲストオペレーティングシステムでインストールします。

Web コンソールで仮想マシンの作成、およびゲストのオペレーティングシステムのインストール

仮想マシンを削除します。

Web コンソールでの仮想マシンの削除

仮想マシンを起動、シャットダウンし、再起動します。

「Web コンソールで仮想マシンの起動」「Web コンソールで仮想マシンのシャットダウンおよび再起動」を参照してください。

さまざまなコンソールを使用して仮想マシンに接続し、操作します。

Web コンソールで仮想マシンとの相互作用

仮想マシンに関するさまざまな情報を表示します。

Web コンソールで仮想マシン情報の表示

仮想マシンに割り当てられたホストメモリーを調整します。

Web コンソールで仮想マシンのメモリーの追加と削除

仮想マシンのネットワーク接続を管理します。

Web コンソールで仮想マシンのネットワークインターフェースの管理

ホストで利用可能な仮想マシンストレージを管理し、仮想ディスクを仮想マシンに割り当てます。

Web コンソールで仮想マシン用のストレージの管理

仮想マシンの仮想 CPU 設定を構成します。

Web コンソールで仮想 CPU の管理

= 仮想マシンマネージャーと Web コンソールでの仮想化機能の相違点

仮想マシンマネージャー (virt-manager) は、RHEL 8 で対応していますが、非推奨になっています。後続の主要なリリースでは、Web コンソールがその代替となる予定です。したがって、GUI で仮想化を管理する場合は、Web コンソールを使用することが推奨されます。

ただし、RHEL 8 では、virt-manager またはコマンドラインでのみ実行可能な仮想マシン管理タスクがあります。次の表は、virt-manager で使用でき、RHEL 8.0 Web コンソールでは使用できない機能を示しています。

この機能は、RHEL 8 の後続のマイナーバージョンで利用可能な場合は、「Web コンソールのサポート」の列に、最小バージョンの RHEL 8 が表示されます。

表26.2 RHEL 8.0 の Web コンソールを使用して実行できない仮想マシンの管理タスク

タスクWeb コンソールでのサポートが導入されました。CLI を使用した代替方法

ホストの起動時に起動する仮想マシンを設定

RHEL 8.1

virsh autostart

仮想マシンの一時停止

RHEL 8.1

virsh suspend

中断している仮想マシンの再開

RHEL 8.1

virsh resume

ファイルシステムディレクトリーストレージプールの作成

RHEL 8.1

virsh pool-define-as

NFS ストレージプールの作成

RHEL 8.1

virsh pool-define-as

物理ディスクデバイスのストレージプールの作成

RHEL 8.1

virsh pool-define-as

LVM ボリュームグループストレージプールの作成

RHEL 8.1

virsh pool-define-as

パーティションベースのストレージプールの作成

現在利用不可

virsh pool-define-as

GlusterFS ベースのストレージプールの作成

現在利用不可

virsh pool-define-as

SCSI デバイスを使用した vHBA ベースのストレージプールの作成

現在利用不可

virsh pool-define-as

マルチパスベースのストレージプールの作成

現在利用不可

virsh pool-define-as

RBD ベースのストレージプールの作成

現在利用不可

virsh pool-define-as

ストレージボリュームの新規作成

RHEL 8.1

virsh vol-create

新しい仮想ネットワークの追加

RHEL 8.1

virsh net-create または virsh net-define

仮想ネットワークの削除

RHEL 8.1

virsh net-undefine

ホストマシンのインターフェースから仮想マシンへのブリッジを作成

現在利用不可

virsh iface-bridge

スナップショットの作成

現在利用不可

virsh snapshot-create-as

スナップショットへの復帰

現在利用不可

virsh snapshot-revert

スナップショットの削除

現在利用不可

virsh snapshot-delete

仮想マシンのクローン作成

現在利用不可

virt-clone

仮想マシンの別のホストマシンへの移行

現在利用不可

virsh migrate

関連情報

Web コンソールでリモートシステムの管理

リモートシステムに接続し、RHEL 8 Web コンソールで管理します。

次の章で以下を説明します。

  • 接続したシステムで最適なトポロジー
  • Dashboard の概要
  • リモートシステムを追加および削除する方法
  • リモートシステム認証に SSH 鍵を使用する時、理由、および方法

前提条件

  • リモートシステムで、SSH サービスが開いている。

= Web コンソールのリモートシステムマネージャー

ネットワークでリモートシステムを管理する RHEL 8 Web コンソールを使用する場合は、接続したサーバーのトポロジーを考慮する必要があります。

最適なセキュリティーを確保するために、Red Hat では、次の接続設定が推奨されます。

  • Web コンソールを使用して、システム 1 台を要塞ホストとして使用します。要塞ホストは、開いている HTTPS ポートを使用するシステムです。
  • その他のすべてのシステムは SSH を介して通信します。

要塞ホストで Web インターフェースを使用して、デフォルト設定でポート 22 を使用して、SSH プロトコルを介して他のすべてのシステムに到達できます。

RHEL Cockpit ManagingSystems 484190 0119

= Web コンソールへのリモートシステムの追加

ここでは、Web コンソールに置いたダッシュボードのユーザー名およびパスワードを使用して、別のシステムに接続する方法を説明します。

ダッシュボードは、リモートシステムを追加、接続、および削除できるリモートサーバー管理を行うためのツールです。

ダッシュボードは、各リモートシステムのグラフや状態を表示します。

ダッシュボードに、リモートシステムを 20 台まで追加できます。

cockpit dashboard

前提条件

  • Web インターフェースが実行しているシステムに、cockpit-dashboard パッケージがインストールされている。

    $ sudo yum install cockpit-dashboard

    cockpit-dashboard パッケージは、リモートシステム管理で、RHEL 8 Web コンソールを拡張します。

  • 管理者権限で Web コンソールにログインしている。

    詳細は「Web コンソールへのログイン」を参照してください。

手順

  1. RHEL 8 Web コンソールで、ダッシュボード に移動します。
  2. ダッシュボード で、サーバーの追加 アイコンをクリックします。

    cockpit add server icon

  3. ダッシュボードへのマシンの追加 ダイアログボックスで、リモートシステムのホスト名または IP アドレスを入力します。
  4. 必要に応じて、 フィールドをクリックして、ダッシュボードにあるシステムの色を変更します。
  5. Add をクリックします。
  6. (<サーバー名> へのログイン ダイアログボックスで、リモートシステムの認証情報を入力します。

    リモートシステムのユーザーアカウントを使用できます。ただし、管理者権限を持たないユーザーアカウントの認証情報を使用している場合は、管理タスクを実行できません。

    ローカルシステムと同じ認証情報を使用する場合は、ログインするたびに、Web コンソールがリモートシステムを自動的に認証します。したがって、複数のマシンで同じ認証情報を使用すると、潜在的なセキュリティーリスクになります。

    cockpit add server passwd

  7. ログイン をクリックします。

ログインに成功すると、ダッシュボードは一覧に新しい項目を追加します。接続を検証する場合は、システムをクリックし、Web コンソールですべての詳細を表示します。

注記

Web コンソールは、リモートシステムのログインに使用するパスワードを保存しないため、システムが再起動するたびに再度ログインする必要があります。ログインダイアログを開くには、接続が切断されたリモートシステムのメイン画面にある トラブルシュート ボタンをクリックします。

cockpit cannot connect screen

Web コンソールでリモートホストの削除

本セクションでは、Web コンソールにあるダッシュボードから、その他のシステムを削除する方法を説明します。

前提条件

手順

  1. RHEL 8 Web コンソールにログインします。
  2. ダッシュボード をクリックします。
  3. サーバーの編集 アイコンをクリックします。

    cockpit edit server icon

  4. ダッシュボード からサーバーを削除するには、赤色の 削除 をクリックします。

    cockpit remove server

これにより、サーバーは ダッシュボード から削除されます。

= Web コンソールでリモート管理に SSH を設定

RHEL 8 Web コンソールは、SSH 鍵による認証をサポートします。これには、次の利点があります。

  • サーバ間の通信のセキュリティーが強化されます。
  • 認証情報を繰り返し入力するのを回避します。
重要

SSH 鍵を使用すると、パスワードを使用せずに認証が行われるため、読み取り専用アクセスまたはパスワードを使用しない sudo にのみ機能します。管理タスクを実行するには、管理者権限を持つシステムアカウントの認証情報を使用します。

Web コンソールで SSH 鍵を使用して認証を設定する場合は、以下を行います。

  • 接続したリモートシステムに公開鍵をコピーします。
  • RHEL 8 Web コンソールが実行しているシステムの秘密鍵にパスを設定します。
  • Web コンソールからログアウトし、認証変更を確実にするために再ログインします。

前提条件

  • 実行している Web コンソールでシステムに保存した SSH 鍵。鍵が 1 つもない場合は、次のコマンドを使用します。

    $ ssh-keygen
  • 生成された SSH 鍵のパスワード
  • ~/.ssh/id_rsa.pub ファイルの内容がクリップボードにコピーされている。

手順

リモートシステムに SSH 公開鍵をコピーするには、以下を行います。

  1. Web コンソールを開きます。
  2. ダッシュボード をクリックします。
  3. 公開鍵を追加するリモートシステムを選択します。
  4. システム設定で、アカウント に進みます。
  5. 公開鍵を割り当てるユーザーアカウントを選択します。
  6. 承認された公開 SSH 鍵 設定で、+ ボタンをクリックします。

    cockpit account

  7. 公開鍵の追加 ダイアログボックスに、クリップボードにコピーした公開鍵を貼り付けます。
  8. 鍵の追加 をクリックします。

この時点では、ユーザーアカウントに新しい公開鍵が割り当てられているのを確認できます。

cockpit ssh pub key

SSH の秘密鍵のパスを設定するには、以下を行います。

  1. 右上の設定に移動します。
  2. ドロップダウンメニューで、認証 を選択します。

    cockpit ssh auth

  3. Web コンソールが、使用する秘密鍵への正しいパスを使用していることを確認します。

    デフォルトでは、Web コンソールは、秘密鍵の次のパスを使用します。

    ~/.ssh/id_rsa
    ~/.ssh/id_dsa
    ~/.ssh/id_ed25519
    ~/.ssh/id_ecdsa

    別のキーを使用するには、手動でパスを追加します。

  4. オン/オフ ボタンで鍵を有効にします。

    鍵を有効にすると、パスワードダイアログが開きます。

  5. SSH 鍵のパスワードを入力します。

    cockpit add key password

  6. ロック解除キー をクリックします。

    詳細 タブで、証明書の所有者とフィンガープリントを確認できます。

  7. 閉じる をクリックします。

RHEL 8 Web コンソールは現在、両側に SSH 鍵を使用しています。ただし、システムは、元の認証情報を使用しています。

認証設定を変更するには、以下を行います。

  1. Web コンソールからログアウトします。

    Web コンソールにログインし直すと、リモートシステムの前に赤い三角のアイコンが表示されます。

  2. Web コンソールに接続するシステムをクリックします。

    画面には、ボタンが 2 つあります。再接続トラブルシュート です。

  3. トラブルシュート ボタンをクリックします。

    ログインダイアログが表示されます。

    cockpit add server using available credentials

  4. 認証 ドロップダウンメニューで、利用可能な認証情報の使用 を選択します。

Web コンソールは、SSH 鍵で保護された新しい接続を作成します。これは、Web コンソールログインと、端末アクセスに有効です。

= IdM ドメインで RHEL 8 Web コンソールにシングルサインオンを設定

RHEL 8 Web コンソールでの Identity Management (IdM) が提供する SSO (シングルサインオン) 認証を使用する方法を学びます。

利点:

  • IdM ドメインの管理者は、RHEL 8 Web コンソールを使用して、ローカルマシンを管理できます。
  • IdM ドメインで Kerberos チケットを使用すると、Web コンソールにアクセスする際にログイン認証情報を指定する必要がなくなりました。
  • IdM ドメインが認識しているすべてのホストは、RHEL 8 Web コンソールのローカルインスタンスから SSH 経由でアクセスできます。
  • 証明書設定は必須ではありません。コンソールの Web サーバーでは、IdM 認証局が発行した証明書に自動的に切り替わり、ブラウザーに許可されます。

本章は、RHEL Web コンソールにログインするために SSO を設定する手順を説明します。

  1. RHEL 8 Web コンソールを使用して IdM ドメインにマシンを追加します。

    詳細は 「Web コンソールで仮想マシンの管理の概要」 を参照してください。

  2. 認証に Kerberos を使用する場合は、マシンで Kerberos チケットを取得する必要があります。

    詳細は 「Web コンソールで仮想マシンの管理の概要」 を参照してください。

  3. IdM マスターサーバーの管理者が、任意のホストで任意のコマンドを実行できます。

    詳細は 「Web コンソールで仮想マシンの管理の概要」 を参照してください。

前提条件

= Web コンソールで RHEL 8 システムを IdM ドメインに参加

Web コンソールを使用することで、Red Hat Enterprise Linux 8 システムを Identity Management (IdM) ドメインに参加させることができます。

前提条件

  • IdM ドメインが実行中で参加するクライアントから到達可能
  • IdM ドメインの管理者認証情報がある。

手順

  1. RHEL Web コンソールにログインします。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. システム タブを開きます。
  3. ドメイン参加 をクリックします。

    idm cockpit join domain

  4. ドメイン参加 ダイアログボックスの ドメインアドレス フィールドに、IdM サーバーのホスト名を入力します。
  5. 認証 ドロップダウンメニューで、認証にパスワード、またはワンタイムパスワードを使用するかどうかを選択します。

    idm cockpit join psswd

  6. ドメイン管理者名 フィールドで、IdM 管理アカウントのユーザー名を入力します。
  7. 上記の 認証 ドロップダウンリストで選択した内容に応じて、パスワードフィールドにパスワードまたはワンタイムパスワードを追加します。
  8. 参加 をクリックします。

    idm cockpit join

検証手順

  1. システムが IdM ドメインに参加していると、RHEL 8 Web コンソールにエラーが表示されず、システム 画面でドメイン名を確認できます。
  2. ユーザーがドメインのメンバーであることを確認するには、Terminal ページをクリックし、id コマンドを実行します。

    $ id
    euid=548800004(example_user) gid=548800004(example_user) groups=548800004(example_user) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

= Kerberos 認証を使用して Web コンソールにログイン

次の手順は、Kerberos 認証を使用するように RHEL 8 システムを設定する方法を説明します。

重要

SSO を使用した場合は、通常、Web コンソールに管理者権限がありません。これは、パスワードがない sudo を設定した場合に限り機能します。Web コンソールは、対話的に sudo パスワードを要求しません。

前提条件

  • 稼働中で、会社の環境で到達可能な IdM ドメイン

    詳細は 「Web コンソールで仮想マシンの管理の概要」 を参照してください。

  • リモートシステムで、RHEL Web コンソールで接続して管理する cockpit.socket サービスを有効にしている。

    詳細は「Web コンソールのインストール」を参照してください。

  • システムが、SSSD クライアントが管理する Kerberos チケットを使用しない場合は、kinit ユーティリティーを使用して手動でチケットを要求してみる。

手順

https://dns_name:9090 から、RHEL Web コンソールにログインします。

この時点で、RHEL Web コンソールへの接続に成功しており、設定を開始できます。

idm cockpit logging done

= 管理者の sudo で IdM サーバーのドメイン管理者にアクセス可能に

次の手順は、ドメイン管理者が、Identity Management (IdM) ドメイン内のホストでコマンドを実行できるようにする手順を説明します。

これを可能にするために、IdM サーバーのインストール時に自動的に作成された admins ユーザーグループに sudo がアクセスできるようにします。

グループで ipa-advise スクリプトを実行すると、admins グループに追加したすべてのユーザーに sudo アクセスが付与されます。

前提条件

  • サーバーが、IdM 4.7.1 以降を実行している。

手順

  1. IdM サーバーに接続します。
  2. ipa-advise スクリプトを実行します。

    $ ipa-advise enable-admins-sudo | sh -ex

admins グループが、IdM ドメインのすべてのマシンの管理者権限を有している場合は、コンソールにエラーが表示されません。

= 集中管理ユーザー向けに Web コンソールを使用したスマートカード認証の設定

RHEL 8 Web コンソールでスマートカード認証を集中管理しているユーザーに設定します。

  • ID 管理
  • Identity Management を使用してフォレスト間の信頼に接続する Active Directory
重要
Smart card authentication does not elevate administrative privileges yet and the web console opens in the web browser in the read-only mode.
You can run administrative commands in the built-in terminal with `sudo`.

前提条件

  • スマートカード認証を使用するシステムは、Active Directory または Identity Management ドメインのメンバーである必要があります。

    Web コンソールを使用して RHEL 8 システムをドメインに参加させる方法は「Web コンソールで RHEL 8 システムを IdM ドメインに参加」を参照してください。

  • スマートカード認証に使用される証明書は、Identity Management または Active Directory の特定のユーザーに関連付けられている必要があります。

    Identity Management のユーザーと証明書の関連付けの詳細は、「IdM のユーザーエントリーへの証明書の追加」を参照してください。

= 集中管理ユーザーのスマートカード認証

スマートカードは、カードに保存されている証明書を使用して個人認証を提供できる物理デバイスです。個人認証とは、ユーザーパスワードと同じ方法でスマートカードを使用できることを意味します。

秘密鍵と証明書の形式で、スマートカードにユーザーの認証情報を保存できます。特別なソフトウェアおよびハードウェアを使用して、そのソフトウェアにアクセスします。スマートカードをリーダーまたは USB ソケットに挿入して、パスワードを入力する代わりに、スマートカードの PIN コードを入力します。

Identity Management (IdM) では、以下によるスマートカード認証に対応しています。

注記

スマートカード認証の使用を開始する場合は、ハードウェア要件「Smart Card support in RHEL8」を参照してください。

= スマートカードを管理および使用するツールのインストール

スマートカードを設定するには、証明書を生成し、スマートカードに保存するツールが必要になります。

以下を行う必要があります。

  • 証明書管理に役立つ gnutls-utils パッケージをインストールする。
  • スマートカードと連携するライブラリーおよびユーティリティーのセットを提供する opensc パッケージをインストールします。
  • スマートカードリーダーと通信する pcscd サービスを開始する。

手順

  1. opensc パッケージおよび gnutls-utils パッケージをインストールします。

    # dnf -y install opensc gnutls-utils
  2. pcscd サービスを開始します。

    # systemctl start pcscd

pcscd サービスが稼働していることを確認します。

= スマートカードでの証明書の保存

本セクションでは、設定に役立つ pkcs15-init によるスマートカードの設定を説明します。

  • スマートカードの消去
  • 新しい PIN およびオプションの PIN ブロック解除キー (PUK) の設定
  • スマートカードでの新規スロットの作成
  • スロットへの証明書、秘密鍵、および公開鍵の保存
  • スマートカード設定のロック (一部のスマートカードではこのタイプのファイナライズが必要になります)

前提条件

  • pkcs15-init ツールを含む opensc パッケージがインストールされている。

    詳細は「スマートカードを管理および使用するツールのインストール」を参照してください。

  • カードがリーダーに挿入され、コンピューターに接続されている。
  • スマートカードに保存する秘密鍵、公開鍵、および証明書がある。この手順では、testuser.keytestuserpublic.key、および testuser.crt は、秘密鍵、公開鍵、および証明書に使用される名前です。
  • 現在のスマートカードユーザー PIN およびセキュリティーオフィス PIN (SO-PIN)

手順

  1. スマートカードを消去して PIN で自身を認証します。

    $ pkcs15-init --erase-card --use-default-transport-keys
    Using reader with a card: Reader name
    PIN [Security Officer PIN] required.
    Please enter PIN [Security Officer PIN]:

    カードが削除されました。

  2. スマートカードを初期化し、ユーザー PIN と PUK を設定します。また、セキュリティーオフィス PIN と PUK を設定します。

    $ pkcs15-init --create-pkcs15 --use-default-transport-keys \
        --pin 963214 --puk 321478 --so-pin 65498714 --so-puk 784123
    Using reader with a card: Reader name

    pcks15-init ツールは、スマートカードに新しいスロットを作成します。

  3. スロットのラベルと認証 ID を設定します。

    $ pkcs15-init --store-pin --label testuser \
        --auth-id 01 --so-pin 65498714 --pin 963214 --puk 321478
    Using reader with a card: Reader name

    ラベルは人間が判読できる値に設定されます (この場合は testuser)。auth-id は 16 進数の値である必要があります。この場合、01 に設定されます。

  4. スマートカードの新しいスロットに秘密鍵を保存し、ラベルを付けます。

    $ pkcs15-init --store-private-key testuser.key --label testuser_key \
        --auth-id 01 --id 01 --pin 963214
    Using reader with a card: Reader name

--id に指定する値は、秘密鍵と証明書を保存する際に同じである必要があります。--id の値を指定しないと、ツールによりより複雑な値が計算されるため、独自の値の定義が容易になります。

  1. スマートカードの新しいスロットに証明書を保存し、ラベル付けします。

    $ pkcs15-init --store-certificate testuser.crt --label testuser_crt \
        --auth-id 01 --id 01 --format pem --pin 963214
    Using reader with a card: Reader name
  2. (オプション) スマートカードの新しいスロットに公開鍵を保存し、ラベルを付けます。

    $ pkcs15-init --store-public-key testuserpublic.key
        --label testuserpublic_key --auth-id 01 --id 01 --pin 963214
    Using reader with a card: Reader name

公開鍵が秘密鍵または証明書に対応している場合は、その秘密鍵または証明書と同じ ID を指定する必要があります。

  1. (オプション) スマートカードの中には、設定をロックしてカードを最終処理する必要があるものもあります。

    $ pkcs15-init -F

    この段階では、スマートカードには、新たに作成されたスロットに証明書、秘密鍵、および公開鍵が含まれます。ユーザーの PIN と PUK、およびセキュリティー担当者の PIN と PUK も作成しました。

Web コンソールのスマートカード認証の有効化

Web コンソールでスマートカード認証を使用できるようにするには、cockpit.conf ファイルでスマートカード認証を有効にします。

また、同じファイルでパスワード認証を無効にすることもできます。

前提条件

手順

  1. 管理者権限で RHEL Web コンソールにログインしている。

    詳細は「Web コンソールへのログイン」を参照してください。

  2. Terminal をクリックします。
  3. /etc/cockpit/cockpit.confClientCertAuthenticationyes に設定します。

    [WebService]
    ClientCertAuthentication = yes
  4. 必要に応じて、以下のようにして cockpit.conf でパスワードベースの認証を無効にします。

    [Basic]
    action = none

    この設定ではパスワード認証が無効になり、常にスマートカードを使用する必要があります。

  5. Web コンソールを再起動して、cockpit.service が変更を受け入れることを確認します。

    # systemctl restart cockpit

= スマートカードを使用して Web コンソールへのログイン

本セクションでは、Web コンソールへのログインにスマートカードを使用する方法を説明します。

前提条件

  • 有効な証明書が、Active Directory または Identity Management ドメインで作成されたユーザーアカウントに関連付けられているスマートカードに保存されている。
  • スマートカードのロックを解除するピン。
  • スマートカードがリーダーに追加されている。

手順

  1. Web ブラウザーを開き、アドレスバーに Web コンソールのアドレスを追加します。

    ブラウザーは、スマートカードに保存されている証明書を PIN で保護するよう要求します。

  2. Password Required ダイアログボックスで PIN を入力し、OK をクリックします。
  3. User Identification Request ダイアログボックスで、スマートカードに保存されている証明書を選択します。
  4. Remember this decision を選択します。

    次回、このウィンドウが開きません。

  5. OK をクリックします。

これで接続され、Web コンソールがそのコンテンツを表示します。

= DoS 攻撃を防ぐためのユーザーセッションおよびメモリーの制限

証明書認証は、別のユーザーの権限を借用する攻撃者に対して Web サーバー cockpit-ws のインスタンスを分離して孤立させることで保護されます。ただし、これによりサービス拒否攻撃 (DoS) 攻撃が発生する可能性があります。リモートの攻撃者は大量の証明書を作成し、異なる証明書を使用してそれぞれ cockpit-ws に多数の HTTPS 要求を送信することができます。

この DoS を防ぐために、これらの Web サーバーインスタンスの共同リソースは制限されます。デフォルトでは、接続数に制限され、メモリー使用量の制限は 200 スレッドと、75% (ソフト) または 90% (ハード) のメモリーに設定されます。

以下の手順では、接続およびメモリーの数を制限することで、リソースの保護を説明します。

手順

  1. 端末で system-cockpithttps.slice 設定ファイルを開きます。

    # systemctl edit system-cockpithttps.slice
  2. TasksMax100 に、CPUQuota30% に制限します。

    [Slice]
    # change existing value
    TasksMax=100
    # add new restriction
    CPUQuota=30%
  3. 変更を適用するには、システムを再起動します。

    # systemctl daemon-reload
    # systemctl stop cockpit

これで、新しいメモリーとユーザーセッションの制限により、Web サーバー cockpit-ws が DoS 攻撃から保護されるようになりました。

== 関連情報

法律上の通知

Copyright © 2020 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.

このページには機械翻訳が使用されている場合があります (詳細はこちら)。