Remediations から Ansible Playbook を使用したシステムパッチの適用

Red Hat Insights 2023

適用可能なアドバイザリーおよび影響を受けるシステムを確認し、Ansible Playbook を使用して修正する方法

Red Hat Customer Content Services

概要

本書は、お使いの環境で適用可能なアドバイザリーおよび影響を受けるシステムを確認し、Ansible Playbook を使用して修正を実行する方法を説明します。
Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、今後の複数のリリースで段階的に用語の置き換えを実施して参ります。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。

第1章 パッチサービスの概要

パッチは、Red Hat のソフトウェアおよび管理の自動化の専門知識を活用して、オープンハイブリッドクラウド全体にわたり Red Hat Enterprise Linux (RHEL) システムに一貫したパッチワークフローを可能にします。Red Hat Satellite、ホスト型 Red Hat Subscription Management (RHSM)、パブリッククラウドなど、すべてのデプロイメントで適用可能なアドバイザリーの単一の正規ビューを提供します。

パッチを使用すると、以下が可能になります。

  • Insights にチェックインする RHEL システムに適用される Red Hat and Extra Packages for Enterprise Linux (EPEL) アドバイザリーをすべて参照してください。
  • Ansible Playbook を Remediations で使用して、アドバイザリーのあるシステムにパッチを適用します。
  • 最後のシステムチェックインの時点で、Red Hat および Red Hat 以外のリポジトリーで利用可能なパッケージの更新を参照してください。ホストは、Red Hat Enterprise Linux 7、Red Hat Enterprise Linux 8.6 以降、または Red Hat Enterprise Linux 9 を実行している必要があり、新しい yum/dnf キャッシュを維持する必要があります。
注記

1.1. パッチおよび脆弱性の正誤表の基準

パッチサービスは、さまざまなデータを収集して、システムにとって有意義で実用的なエラータを作成します。Insights クライアントは、チェックインごとに次のデータを収集します。

  • 名前、エポック、バージョン、リリース、およびアーキテクチャーを含む、インストール済みパッケージのリスト (NEVRA)
  • 有効なモジュールのリスト (RHEL 8 以降)
  • 有効なリポジトリーの一覧を表示します。
  • yum updateinfo -C または dnf updateinfo -C の出力
  • バージョンロックを使用してシステムからバージョンをリリースする
  • システムアーキテクチャー (例:x86_64)

さらに、Insights for Red Hat Enterprise Linux は、次のデータソースからメタデータを収集します。

  • Red Hat Content Delivery Network (CDN) によって提供される製品リポジトリーからのメタデータ
  • Enterprise Linux (EPEL) リポジトリーの追加パッケージからのメタデータ
  • Red Hat Open Vulnerability and Assessment Language (OVAL) フィード

Insights for Red Hat Enterprise Linux は、システムデータのセットを収集されたエラータおよび脆弱性メタデータと比較して、システムごとに利用可能な更新のセットを生成します。これらの更新には、パッケージの更新、Red Hat errata、Common Vulnerabilities and Exposures (CVE) が含まれます。

関連情報

Common Vulnerabilities and Exposures (CVE) の詳細については、次のリソースを参照してください。

第2章 インベントリーで適用可能なアドバイザリーおよびシステムの確認およびフィルタリング

Red Hat Insights for Red Hat Enterprise Linux にチェックインするシステムに適用可能なすべてのアドバイザリーとインストール済みパッケージを確認できます。

手順

  1. Red Hat Hybrid Cloud コンソール で、Red Hat Enterprise Linux > Patch > Advisory に移動します。

  2. 検索ボックスを使用して名前でアドバイザリーを検索し、以下のようにアドバイザリーをフィルタリングすることもできます。

    1. タイプ: セキュリティー、バグ修正、強化、不明
    2. 発行日: 過去 7 日、30 日、90 日、前年、または 1 年前よりも前
  3. Red Hat Enterprise Linux > Patch > Systems に移動して、影響を受けるシステムで、該当するアドバイザリーでパッチを適用できるシステムの一覧を表示します。検索ボックスを使用して特定のシステムを検索することもできます。
  4. Red Hat Enterprise Linux > Patch > Patch packages に移動して、環境で利用可能な更新を含むパッケージのリストを表示します。検索ボックスを使用して特定のパッケージを検索することもできます。

第3章 Remediations から Ansible Playbook を使用したシステムパッチの適用

以下の手順では、Advisories タブを使用したパッチのワークフローを示しています。

手順

  1. Red Hat Hybrid Cloud コンソール で、Red Hat Enterprise Linux > Patch > Advisory に移動します。
  2. 影響を受けるシステムに適用するアドバイザリーをクリックします。アドバイザリーの説明、access.redhat.com でパッケージとエラータを表示するリンク、および影響を受けるシステムの一覧が表示されます。各システムに対して適用可能な各タイプのアドバイザリーの合計数 (セキュリティー、バグ修正、機能強化) も表示されます。一括操作として、システムの横にあるオプションメニューをクリックしてから、Apply all applicable advisories をクリックし、一度に適用可能なすべてのアドバイザリーでシステムにパッチを適用します。
  3. または、この特定のアドバイザリーでパッチを適用するシステムを選択し、Remediate をクリックします。
  4. Remediate with Ansible ページでは、既存の Playbook を修正したり、Ansible で修正する新規の Playbook を作成したりすることができます。したがって、ドロップダウンリストから Existing Playbook および Playbook 名を選択し、Next をクリックします。または、Create new Playbook を選択し、Playbook の名前を入力してから Next をクリックします。
  5. その後、アクションおよび解決の概要が表示されます。デフォルトでシステムが自動的に再起動します。この機能を無効にする必要がある場合は、turn off auto reboot と記載されている青いリンクをクリックします。 Submit をクリックします。
  6. 左側のナビゲーションで、Remediations をクリックします。
  7. Playbook 名をクリックして Playbook の詳細を確認することができます。または、Playbook を選択して Download Playbook をクリックします。

以下の手順は、System タブを使用したパッチのワークフローを示しています。

  1. System タブをクリックして、影響を受けるシステムの一覧を表示します。一括操作として、システムの横にあるオプションメニューをクリックしてから、Apply all applicable advisories をクリックし、一度に適用可能なすべてのアドバイザリーでシステムにパッチを適用します。
  2. または、パッチを適用するシステムをクリックします。システムの詳細、修正に適用可能なアドバイザリーの一覧、アドバイザリーの公開日、タイプ、概要などの追加情報が表示されます。システムに適用するアドバイザリーを選択して、Remediate をクリックします。
  3. Remediate with Ansible ページでは、既存の Playbook の修正または Ansible で修正する Playbook の新規作成のいずれかを行うことができます。したがって、ドロップダウンリストから Existing Playbook と Playbook 名をクリックし、Next を選択します。または、Create new Playbook をクリックして Playbook の名前を入力し、次へをクリックして Next をクリックします。
  4. その後、アクションおよび解決の概要が表示されます。デフォルトでシステムが自動的に再起動します。この機能を無効にする必要がある場合は、turn off auto reboot と記載されている青いリンクをクリックします。 Submit をクリックします。
  5. 左側のナビゲーションで、Remediations をクリックします。

  6. Playbook 名をクリックして Playbook の詳細を確認することができます。または、Playbook を選択して Download Playbook をクリックします。

    重要

    推奨されるアクションおよび Playbook を確認してテストします。適切な場合は、Red Hat ソフトウェアを実行しているシステムにデプロイします。Red Hat は、これらの推奨事項や Playbook に関連する結果については一切責任を負いかねます。

第4章 通知およびインテグレーションの有効化

パッチサービスが問題を検出してアドバイザリーを生成するたびに、Red Hat Hybrid Cloud Console の通知サービスを有効にして通知を送信できます。通知サービスを使用すると、Red Hat Insights for Red Hat Enterprise Linux ダッシュボードでアドバイザリーを継続的にチェックする必要がなくなります。

たとえば、パッチサービスがアドバイザリーを生成するたびに電子メールメッセージを自動的に送信するように通知サービスを設定できます。

通知サービスを有効にするには、以下の 3 つの主要なステップが必要です。

  • まず、組織管理者は Notifications-administrator ロールを持つユーザーアクセスグループを作成し、そのグループにアカウントメンバーを追加します。
  • 次に、通知管理者が通知サービス内のイベントの動作グループを設定します。動作グループは、通知ごとに配信方法を指定します。たとえば、動作グループは、メール通知をすべてのユーザーに送信するか、組織管理者にのみ送信するかを指定できます。
  • 最後に、イベントからメール通知を受信するユーザーは、各イベントの個別メールを受け取るようにユーザー設定を行う必要があります。

メールメッセージの送信に加え、他の方法でイベントデータを送信するように通知サービスを設定できます。

  • 認証済みクライアントを使用して Red Hat Insights API にイベントデータをクエリーする
  • Webhook を使用して受信要求を受け入れるサードパーティーのアプリケーションにイベントを送信する
  • Splunk などのアプリケーションと通知を統合して、パッチアドバイザリーをアプリケーションダッシュボードにルーティングする

関連情報

Red Hat ドキュメントへのフィードバック (英語のみ)

当社のドキュメントに関するご意見やご感想をお寄せください。フィードバックを提供するには、ドキュメントのテキストを強調表示し、コメントを追加してください。

前提条件

  • Red Hat カスタマーポータルにログインしている。
  • Red Hat カスタマーポータルで、Multi-page HTML 形式でドキュメントを表示している。

手順

フィードバックを提供するには、以下の手順を実施します。

  1. ドキュメントの右上隅にある Feedback ボタンをクリックして、既存のフィードバックを確認します。

    注記

    フィードバック機能は、Multi-page HTML 形式でのみ有効です。

  2. フィードバックを提供するドキュメントのセクションを強調表示します。

  3. ハイライトされたテキスト近くに表示される Add Feedback ポップアップをクリックします。

    ページの右側のフィードバックセクションにテキストボックスが表示されます。

  4. テキストボックスにフィードバックを入力し、Submit をクリックします。

    ドキュメントに関する問題が作成されます。

  5. 問題を表示するには、フィードバックビューで問題リンクをクリックします。

法律上の通知

Copyright © 2023 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.