Remediation Playbook を使用したシステムパッチの適用

Red Hat Insights 1-latest

適用可能なアドバイザリーおよび影響を受けるシステムを確認し、Ansible Playbook を使用して修正する方法

Red Hat Customer Content Services

概要

本書は、お使いの環境で適用可能なアドバイザリーおよび影響を受けるシステムを確認し、Ansible Playbook を使用して修正を実行する方法を説明します。
Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、今後の複数のリリースで段階的に用語の置き換えを実施して参ります。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。

第1章 パッチサービスの概要

パッチは、Red Hat のソフトウェアおよび管理の自動化の専門知識を活用して、オープンハイブリッドクラウド全体にわたり Red Hat Enterprise Linux (RHEL) システムに一貫したパッチワークフローを可能にします。Red Hat Satellite、ホスト型 Red Hat Subscription Management (RHSM)、パブリッククラウドなど、すべてのデプロイメントで適用可能なアドバイザリーの単一の正規ビューを提供します。

Insights パッチサービスを使用して、以下を実行します。

  • Insights にチェックインする RHEL システムに適用される Red Hat and Extra Packages for Enterprise Linux (EPEL) アドバイザリーをすべて参照してください。
  • Remediation Playbook を使用して、1 つ以上のアドバイザリーを含むシステムにパッチを適用します。
  • 最後のシステムチェックインの時点で、Red Hat および Red Hat 以外のリポジトリーで利用可能なパッケージの更新を参照してください。ホストは Red Hat Enterprise Linux (RHEL) 7、RHEL 8.6 以降、または RHEL 9 を実行している必要があり、新しい yum/dnf キャッシュを維持する必要があります。
注記

1.1. パッチおよび脆弱性の正誤表の基準

パッチサービスは、さまざまなデータを収集して、システムにとって有意義で実用的なエラータを作成します。Insights クライアントは、チェックインごとに次のデータを収集します。

  • 名前、エポック、バージョン、リリース、およびアーキテクチャーを含む、インストール済みパッケージのリスト (NEVRA)
  • 有効なモジュールのリスト (RHEL 8 以降)
  • 有効なリポジトリーのリストを表示します。
  • yum updateinfo -C または dnf updateinfo -C の出力
  • バージョンロックを使用してシステムからバージョンをリリースする
  • システムアーキテクチャー (例:x86_64)

さらに、Insights for Red Hat Enterprise Linux は、次のデータソースからメタデータを収集します。

  • Red Hat Content Delivery Network (CDN) によって提供される製品リポジトリーからのメタデータ
  • Enterprise Linux (EPEL) リポジトリーの追加パッケージからのメタデータ
  • Red Hat Open Vulnerability and Assessment Language (OVAL) フィード

Insights for Red Hat Enterprise Linux は、システムデータのセットを収集されたエラータおよび脆弱性メタデータと比較して、システムごとに利用可能な更新のセットを生成します。これらの更新には、パッケージの更新、Red Hat errata、Common Vulnerabilities and Exposures (CVE) が含まれます。

関連情報

Common Vulnerabilities and Exposures (CVE) の詳細は、次のリソースを参照してください。

1.2. インベントリーで適用可能なアドバイザリーおよびシステムの確認およびフィルタリング

Red Hat Insights for Red Hat Enterprise Linux にチェックインするシステムに適用可能なすべてのアドバイザリーとインストール済みパッケージを確認できます。

手順

  1. Red Hat Insights for Red Hat Enterprise Linux で、Content > Advisories に移動します。
  2. 検索ボックスを使用して名前でアドバイザリーを検索し、以下のようにアドバイザリーをフィルタリングすることもできます。

    1. タイプ: セキュリティー、バグ修正、強化、不明
    2. 発行日: 過去 7 日、30 日、90 日、前年、または 1 年前よりも前
  3. Content > Patch > Systems に移動して、影響を受けるシステムのうち、該当するアドバイザリーでパッチを適用できるシステムのリストを表示します。検索ボックスを使用して特定のシステムを検索することもできます。
  4. Content > Packages に移動して、環境で利用可能な更新を含むパッケージのリストを表示します。検索ボックスを使用して特定のパッケージを検索することもできます。

1.3. Insights Remediation Playbook を使用したシステムパッチの適用

以下の手順は、Red Hat Insights for Red Hat Enterprise Linux の Content > Advisories ページにおけるパッチのワークフローについて説明しています。

手順

  1. Red Hat Insights for Red Hat Enterprise Linux で、Content > Advisories に移動します。
  2. 影響を受けるシステムに適用するアドバイザリーをクリックします。アドバイザリーの説明、access.redhat.com でパッケージとエラータを表示するリンク、および影響を受けるシステムのリストが表示されます。各システムに対して適用可能な各タイプのアドバイザリーの合計数 (セキュリティー、バグ修正、機能強化) も表示されます。一括操作として、システムの横にあるオプションメニューをクリックしてから、Apply all applicable advisories をクリックし、一度に適用可能なすべてのアドバイザリーでシステムにパッチを適用します。
  3. または、この特定のアドバイザリーでパッチを適用するシステムを選択し、Remediate をクリックします。
  4. Remediate with Ansible ページでは、既存の Playbook を修正したり、Ansible で修正する新規の Playbook を作成したりすることができます。したがって、ドロップダウンリストから Existing Playbook および Playbook 名を選択し、Next をクリックします。または、Create new Playbook を選択し、Playbook の名前を入力してから Next をクリックします。
  5. その後、アクションおよび解決の概要が表示されます。デフォルトでシステムが自動的に再起動します。この機能を無効にする必要がある場合は、turn off auto reboot と記載されている青いリンクをクリックします。 Submit をクリックします。
  6. 左側のナビゲーションで、Remediations をクリックします。
  7. Playbook 名をクリックして Playbook の詳細を確認することができます。または、Playbook を選択して Download Playbook をクリックします。

以下の手順は、Content > Patch > Systems ページにおけるパッチのワークフローについて説明しています。

  1. System タブをクリックして、影響を受けるシステムのリストを表示します。一括操作として、システムの横にあるオプションメニューをクリックしてから、Apply all applicable advisories をクリックし、一度に適用可能なすべてのアドバイザリーでシステムにパッチを適用します。
  2. または、パッチを適用するシステムをクリックします。システムの詳細、修正に適用可能なアドバイザリーのリスト、アドバイザリーの公開日、タイプ、概要などの追加情報が表示されます。システムに適用するアドバイザリーを選択して、Remediate をクリックします。
  3. Remediate with Ansible ページでは、既存の Playbook の修正または Ansible で修正する Playbook の新規作成のいずれかを行うことができます。したがって、ドロップダウンリストから Existing Playbook と Playbook 名をクリックし、Next を選択します。または、Create new Playbook をクリックして Playbook の名前を入力し、次へをクリックして Next をクリックします。
  4. その後、アクションおよび解決の概要が表示されます。デフォルトでシステムが自動的に再起動します。この機能を無効にする必要がある場合は、turn off auto reboot と記載されている青いリンクをクリックします。 Submit をクリックします。
  5. 左側のナビゲーションで、Remediations をクリックします。
  6. Playbook 名をクリックして Playbook の詳細を確認することができます。または、Playbook を選択して Download Playbook をクリックします。

    重要

    推奨されるアクションおよび Playbook を確認してテストします。適切な場合は、Red Hat ソフトウェアを実行しているシステムにデプロイします。Red Hat は、これらの推奨事項や Playbook に関連する結果については一切責任を負いかねます。

1.4. 通知およびインテグレーションの有効化

パッチサービスが問題を検出してアドバイザリーを生成するたびに、Red Hat Hybrid Cloud Console の通知サービスを有効にして通知を送信できます。通知サービスを使用すると、Red Hat Insights for Red Hat Enterprise Linux ダッシュボードでアドバイザリーを継続的にチェックする必要がなくなります。

たとえば、パッチサービスがアドバイザリーを生成するたびに電子メールメッセージを自動的に送信するように通知サービスを設定できます。

通知サービスを有効にするには、以下の 3 つの主要なステップが必要です。

  • まず、組織管理者は Notifications-administrator ロールを持つユーザーアクセスグループを作成し、そのグループにアカウントメンバーを追加します。
  • 次に、通知管理者が通知サービス内のイベントの動作グループを設定します。動作グループは、通知ごとに配信方法を指定します。たとえば、動作グループは、メール通知をすべてのユーザーに送信するか、組織管理者にのみ送信するかを指定できます。
  • 最後に、イベントからメール通知を受信するユーザーは、各イベントの個別メールを受け取るようにユーザー設定を行う必要があります。

メールメッセージの送信に加え、他の方法でイベントデータを送信するように通知サービスを設定できます。

  • 認証済みクライアントを使用して Red Hat Insights API にイベントデータをクエリーする。
  • Webhook を使用して受信要求を受け入れるサードパーティーのアプリケーションにイベントを送信する。
  • Splunk などのアプリケーションと通知を統合して、パッチアドバイザリーをアプリケーションダッシュボードにルーティングする

関連情報

第2章 Red Hat Hybrid Cloud Console でのシステムへのパッチの適用

Red Hat Insights パッチアプリケーションは、スケジュールされたパッチ適用サイクルをサポートします。テスト環境でシステムのグループを更新するパッチテンプレートを作成し、同じパッチテンプレートを使用して実稼働環境のシステムを別の日に更新できます。

2.1. パッチテンプレートの仕組み

Red Hat Insights パッチアプリケーションは、スケジュールされたパッチ適用サイクルをサポートします。テスト環境でシステムのグループを更新するパッチテンプレートを作成し、同じパッチテンプレートを使用して実稼働環境のシステムを別の日に更新できます。

パッチテンプレートを使用して、システムに適用されるアドバイザリーの範囲を制限する基準を入力します。たとえば、テンプレートを作成して、現在のパッチ適用サイクルの日付まで公開されていた、該当するアドバイザリーのみを表示できます。テンプレートを作成したら、ウィザードを使用してシステムを追加し、パッチ適用サイクルの日付を選択します。パッチテンプレートへのシステムの追加が完了したら、選択したシステムグループのインストール可能なアドバイザリーをすべて修正できます。

システムにすでにパッチテンプレートが適用されている場合、別のパッチテンプレートを適用すると、既存のテンプレートがオーバーライドされます。システムは一度に 1 つのパッチテンプレートのみを持つことができます。

修復に関する詳細は、Red Hat Insights 修復ガイド を参照してください。

注記

割り当てたシステムにパッチテンプレートを適用すると、それらのシステムに該当する、最近公開されたアドバイザリーは表示されなくなります。Red Hat Hybrid Cloud Console の通知を使用すると、インフラストラクチャーに影響を与える可能性のある新しく公開されたアドバイザリーを確実に把握できます。

Red Hat Hybrid Cloud Console の通知の詳細は、Red Hat Hybrid Cloud Console での通知の設定 を参照してください。

パッチテンプレートは、ホストの yum/dnf 操作には影響しませんが、Red Hat Insights でパッチステータスレポートを絞り込むことができます。テンプレートを使用して、簡単なパッチサイクルの Remediation Playbook を作成できます。

2.2. パッチテンプレートの作成

パッチテンプレートを作成すると、システムに適用されるアドバイザリーの範囲を制限できます。たとえば、現在のパッチ適用サイクルの日付以降に公開されたアドバイザリーを無視することができます。

前提条件

  • Red Hat Hybrid Cloud Console に組織管理者としてログインしている。

手順

  1. 左側のメニューを使用して、Content > Patch > Templates に移動します。
  2. Create a template をクリックします。Create patch template ウィザードが開き、Create content template ページが表示されます。
  3. 日付アイコンをクリックして、パッチテンプレートの日付を選択します。パッチテンプレートは、選択した日付までに公開されたアドバイザリーを適用します。Next をクリックします。
  4. Name フィールドにテンプレートの一意の名前を入力します。
  5. オプション: Description フィールドにテンプレートの説明を追加します。
  6. Next をクリックします。Apply to systems ページが表示されます。
  7. Optional: テンプレートに割り当てるシステムを選択し、Next をクリックします。Review ページが表示されます。
  8. テンプレート情報を確認します。確認が終了したら、Submit をクリックします。

テンプレートの作成が終了したら数分後に、システムはインストール可能なアドバイザリーのリストを更新します。更新時間は、インストール内のシステムの数によって異なります。

関連情報

2.3. 既存のパッチテンプレートの編集

パッチテンプレートを編集して、パッチテンプレートの名前または説明を更新したり、次のパッチ適用サイクルの新しい日付を設定したり、システムを追加または削除したりできます。

前提条件

  • パッチテンプレートがすでに作成済みである。
  • Red Hat Hybrid Cloud Console に組織管理者としてログインしている。

手順

  1. 左側のメニューを使用して、Content > Patch > Templates に移動します。利用可能なパッチテンプレートの一覧が表示されます。
  2. 編集するパッチテンプレートを見つけます。
  3. テンプレートを含む行の右端にあるメニューボタンをクリックします。ポップアップメニューが表示されます。
  4. Edit template を選択します。Edit template ウィザードが開き、Edit content template ページが表示されます。
  5. オプション: パッチテンプレートの日付を編集します。Next をクリックします。Edit template details ページが表示されます。
  6. オプション: テンプレートの名前と説明を編集します。Next をクリックします。Apply to systems ページが表示されます。
  7. テンプレートに割り当てられたシステムを追加または削除してから、Next をクリックします。Review ページが表示されます。
  8. 更新されたテンプレート情報を確認します。確認が終了したら、Submit をクリックします。

パッチテンプレートの日付を編集したり、割り当てられたシステムをテンプレートに追加または削除した場合に、システムはインストール可能なアドバイザリーのリストを数分以内に更新します。更新時間は、インストール内のシステムの数によって異なります。

2.4. パッチテンプレートへのシステムの追加または削除

パッチテンプレートにシステムを追加したり、テンプレートからシステムを削除したりするには、Edit template ウィザードを使用します。

前提条件

  • パッチテンプレートがすでに作成済みである。
  • Red Hat Hybrid Cloud Console に組織管理者としてログインしている。

手順

  1. 左側のメニューを使用して、Content > Patch > Templates に移動します。利用可能なパッチテンプレートの一覧が表示されます。
  2. 編集するパッチテンプレートを見つけます。
  3. テンプレートを含む行の右端にあるメニューボタンをクリックします。ポップアップメニューが表示されます。
  4. Edit template を選択します。Edit template ウィザードが開き、Edit content template ページが表示されます。
  5. オプション: パッチテンプレートの日付を編集します。
  6. Next をクリックします。Edit template details ページが表示されます。
  7. オプション: テンプレートの名前と説明を編集します。
  8. Next をクリックします。Apply to systems ページが表示されます。
  9. テンプレートに割り当てられたシステムを追加または削除してから、Next をクリックします。Review ページが表示されます。
  10. 更新されたテンプレート情報を確認します。確認が終了したら、Submit をクリックします。

システムは、数分以内にインストール可能なアドバイザリーの一覧を更新します。更新時間は、インストール内のシステムの数によって異なります。

2.5. 選択したシステムへの既存のパッチテンプレートの適用

リストから選択した個々のシステムに既存のパッチテンプレートを適用できます。

前提条件

  • パッチテンプレートがすでに作成済みである。
  • Red Hat Hybrid Cloud Console に組織管理者としてログインしている。

手順

  1. 左側のメニューを使用して、Content > Patch > Systems に移動します。利用可能なシステムのリストが表示されます。
  2. パッチテンプレートを適用するシステムを選択します。
  3. Remediate ボタンと Export アイコンの横にあるその他のオプションメニューをクリックします。
  4. Assign to a template を選択します。Apply template ダイアログボックスが表示されます。
  5. Select an existing template をクリックし、ドロップダウンリストからテンプレートを選択します。
  6. Apply template をクリックして、選択したシステムにテンプレートを適用します。

選択したシステムが数分以内に更新されます。更新時間は、インストール内のシステムの数によって異なります。

2.6. パッチテンプレートの削除

1 つ以上のシステムを別のパッチテンプレートに割り当てる場合や、作成日が現在のパッチテンプレートの範囲外にあるパッチと更新をシステムが受信できるようにする場合は、パッチテンプレートを削除することができます。

前提条件

  • パッチテンプレートがすでに作成済みである。
  • テンプレートにシステムが割り当てられている。
  • Red Hat Hybrid Cloud Console に組織管理者としてログインしている。

手順

  1. 左側のメニューを使用して、Content > Patch > Templates に移動します。利用可能なパッチテンプレートの一覧が表示されます。
  2. 削除するパッチテンプレートを見つけます。
  3. テンプレートを含む行の右端にあるメニューボタンをクリックします。ポップアップメニューが表示されます。
  4. Remove patch template を選択します。

テンプレートを削除した後に数分後に、システムはインストール可能なアドバイザリーのリストを更新します。更新時間は、インストール内のシステムの数によって異なります。

2.7. 選択したシステムへの新しいパッチテンプレートの適用

リストから個々のシステムを選択した後、選択したシステムに適用する新しいパッチテンプレートを作成できます。

前提条件

  • パッチテンプレートがすでに作成済みである。
  • Red Hat Hybrid Cloud Console に組織管理者としてログインしている。

手順

  1. 左側のメニューを使用して、Content > Patch > Systems に移動します。利用可能なシステムのリストが表示されます。
  2. 新しいパッチテンプレートを作成するシステムを選択します。
  3. Remediate ボタンと Export アイコンの横にあるその他のオプション (3 つの点) メニューをクリックします。
  4. Assign to a template を選択します。Apply template ダイアログボックスが表示されます。
  5. Create ボタンをクリックします。Create content template ウィザードが開き、Define template content ページが表示されます。
  6. 日付アイコンをクリックします。その日までに公開されたすべてのインストール可能なアドバイザリーを適用する日付を選択し、Next をクリックします。Details ページが表示されます。
  7. Name フィールドにテンプレートの一意の名前を入力します。
  8. オプション: Description フィールドにテンプレートの説明を追加します。
  9. Next をクリックします。Apply to systems ページが表示され、選択したシステムのリストが表示されます。

    注記

    システムにすでにパッチテンプレートが割り当てられている場合は、新しいパッチテンプレートが以前のテンプレートをオーバーライドします。

  10. Next をクリックします。Review ページが表示されます。
  11. テンプレート情報を確認します。確認が終了したら、Submit をクリックします。

選択したシステムが数分以内に更新されます。更新時間は、インストール内のシステムの数によって異なります。

2.8. 選択したシステムからのパッチテンプレートの削除

リストからシステムを選択し、適用されたパッチテンプレートをそれらのシステムから削除できます。システムからテンプレートを削除しても、テンプレートは削除されません。

前提条件

  • パッチテンプレートがすでに作成済みである。
  • パッチテンプレートがインストール内のシステムに適用されている。
  • Red Hat Hybrid Cloud Console に組織管理者としてログインしている。

手順

  1. 左側のメニューを使用して、Content > Patch > Systems に移動します。利用可能なシステムのリストが表示されます。リストの Template 列に、パッチテンプレートを適用したシステムとテンプレートの名前が表示されます。
  2. 新しいパッチテンプレートを作成するシステムを選択します。
  3. Remediate ボタンと Export アイコンの横にあるその他のオプション (3 つの点) メニューをクリックします。
  4. Remove from a template を選択します。Remove systems from a patch template ダイアログボックスが表示されます。
  5. Remove ボタンをクリックします。成功メッセージが表示されます。

選択したシステムの Template 列に No template というステータスが表示されます。更新時間は、インストール内のシステムの数によって異なります。

Red Hat ドキュメントへのフィードバック (英語のみ)

Red Hat ドキュメントに関するフィードバックをお寄せください。いただいたご要望に迅速に対応できるよう、できるだけ詳細にご記入ください。

前提条件

  • Red Hat カスタマーポータルにログインしている。

手順

フィードバックを送信するには、以下の手順を実施します。

  1. Create Issue にアクセスします。
  2. Summary テキストボックスに、問題または機能拡張に関する説明を入力します。
  3. Description テキストボックスに、問題または機能拡張のご要望に関する詳細を入力します。
  4. Reporter テキストボックスに、お客様のお名前を入力します。
  5. Create ボタンをクリックします。

これによりドキュメントに関するチケットが作成され、適切なドキュメントチームに転送されます。フィードバックの提供にご協力いただきありがとうございました。

法律上の通知

Copyright © 2024 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.