Red Hat Training
A Red Hat training course is available for Red Hat Satellite
5.3. Red Hat Satellite Capsule Server の設定
前提条件
このタスクを続行するには、次の条件を満たしている必要があります。
- Red Hat Satellite Server をインストールします。
- Satellite Capsule Server として指定されたシステム上の SELinux パーミッションを「enforcing」に設定します。
以下の手順では、Satellite Capsule Server を Red Hat Satellite Server と共に使用するために設定します。Satellite Capsule Server のタイプには以下があります。
- Satellite Capsule Server とスマートプロキシー
- コンテンツノードとしての Satellite Capsule Server
- コンテンツノードとしての Satellite Capsule Server とスマートプロキシー
Satellite Capsule Server を設定するには、以下を実行します。
- Satellite Server 上:
- Satellite Capsule Server 証明書を生成します。
capsule-certs-generate --capsule-fqdn capsule_FQDN --certs-tar ~/capsule.example.com-certs.tar
ここで、capsule_FQDN
は、Satellite Capsule Server の完全修飾ドメイン名 (必須) です。certs-tar
は、生成される tar ファイルの名前で、Satellite Capsule インストーラーが使用する証明書が含まれます。
capsule-certs-generate
を実行すると、以下の出力メッセージが生成されます。To finish the installation, follow these steps: 1. Ensure that the capsule-installer is available on the system. The capsule-installer comes from the katello-installer package and should be acquired through the means that are appropriate to your deployment. 2. Copy ~/capsule.example.com-certs.tar to the capsule system capsule.example.com 3. Run the following commands on the capsule (possibly with the customized parameters, see capsule-installer --help and documentation for more info on setting up additional services): rpm -Uvh http://master.com/pub/katello-ca-consumer-latest.noarch.rpm subscription-manager register --org "ACME_Corporation" capsule-installer --parent-fqdn "sat6.example.com"\ --register-in-foreman "true"\ --foreman-oauth-key "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "~/capsule.example.com-certs.tar"\ --puppet "true"\ --puppetca "true"\ --pulp "true"
- 生成される tarball、capsule.example.com-certs.tar を Satellite Server から Satellite Capsule ホストシステムにコピーします。
- Satellite Capsule Server 上:
- Satellite Capsule Server を Satellite Server に登録します。
# rpm -Uvh http://sat6host.example.redhat.com/pub/katello-ca-consumer-latest.noarch.rpm # subscription-manager register --org "ACME_Corporation" --env [environment]/[content_view_name]
注記
Satellite Capsule Server では Satellite Server からのコンテンツの同期に環境が必要となるため、Satellite Capsule Server を組織に割り当てておく必要があります。環境は組織のみに設定できます。Satellite Capsule Server とそれが管理しているホストとの距離の近さを示すためにロケーションを割り当てることは推奨されますが、これはオプションになります。 - 必要とされる Satellite Capsule Server のタイプに応じて、以下のオプションのいずれかを選択してください。
- オプション 1: Satellite Capsule Server とスマートプロキシー: このオプションでは Satellite Capsule Server をスマートプロキシー機能 (DHCP、DNS、Puppet) と共にインストールします。root ユーザーとして Satellite Capsule Server 上で以下のコマンドを実行します。
# capsule-installer --parent-fqdn "satellite.example.com"\ --register-in-foreman "true"\ --foreman-oauth-key "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "/root/capsule.example.com-certs.tar"\ --puppet "true"\ --puppetca "true"\ --pulp "true" --tftp "true" --dhcp "true"\ --dhcp-interface "virbr1 --dns "true"\ --dns-forwarders "8.8.8.8"\ --dns-forwarders "8.8.4.4"\ --dns-interface "virbr1"\ --dns-zone "example.com"
- オプション 2 - コンテンツノードとしての Satellite Capsule Server とスマートプロキシー: このオプションでは Satellite Capsule Server をすべての機能と共にインストールします。root ユーザーとして Satellite Capsule Server 上で以下のコマンドを実行します。
# capsule-installer --parent-fqdn "sat6.example.com"\ --register-in-foreman "true"\ --foreman-oauth-key "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "/root/capsule.example.com-certs.tar"\ --puppet "true"\ --puppetca "true"\ --pulp "true" --tftp "true" --dhcp "true"\ --dhcp-interface "virbr1 --dns "true"\ --dns-forwarders "8.8.8.8"\ --dns-forwarders "8.8.4.4"\ --dns-interface "virbr1"\ --dns-zone "example.com"
注記
設定が成功したら、root ユーザーとして Satellite Capsule Server 上で以下のコマンドを実行します。
# echo $?
このコマンドは、成功を示す「0」を戻すはずです。そうでない場合は、
/var/log/kafo
を調べて失敗の原因をデバッグします。/var/log/kafo
は、capsule-certs-generate
および capsule-installer
コマンドで生成される出力のログファイルです。
また Satellite Capsule Server は、Satellite Server のユーザーインターフェースの インフラストラクチャー → Capsule の下に表示されるはずです。
結果:
Satellite Capsule Server が設定され、Satellite Server に登録されます。
14370%2C+Installation+Guide-6.0-107-10-2014+08%3A54%3A44Red+Hat+Satellite+6Docs+Install+Guideバグを報告する
5.3.1. カスタムサーバー証明書を使用した Red Hat Satellite Capsule Server の設定
katello-installer
には、サーバー SSL 証明書とサブサービスの認証に使用されるクライアント証明書の両方に使用されるデフォルトの CA が付属します。これらの証明書はカスタム証明書に置き換えることができます。
カスタム CA 証明書を使用できるように Satellite Capsule Server を設定する場合には、以下の 2 つのケースがあります。
capsule-certs-generate
が初回に実行される場合capsule-certs-generate
がすでに実行されている場合
手順5.2 capsule-certs-generate の初回実行時のカスタムサーバー証明書の設定
- Red Hat Satellite Server で以下のコマンドを実行します。
capsule-certs-generate --capsule-fqdn "$CAPSULE"\ --certs-tar "~/$CAPSULE-certs.tar"\ --server-cert ~/path/to/server.crt\ --server-cert-req ~/path/to/server.crt.req\ --server-key ~/path/to/server.key\ --server-ca-cert ~/cacert.crt
ここで、capsule_FQDN
は、Satellite Capsule Server の完全修飾ドメイン名 (必須) です。certs-tar
は、生成される tar ファイルの名前で、Satellite Capsule インストーラーが使用する証明書が含まれます。server-cert
は、証明書の認証局によって署名 (または自己署名) された証明書へのパスです。server-cert-req
は、証明書を作成するために使用された証明書署名要求ファイルへのパスです。server-key
は、証明書に署名するために使用される秘密鍵です。server-ca-cert
~/path/to/cacert.crt は、このシステム上の CA 証明書へのパスです。
- 生成される tarball、capsule.example.com-certs.tar を Satellite Server から Satellite Capsule ホストシステムにコピーします。
- Satellite Capsule Server 上:
- Satellite Capsule Server を Satellite Server に登録します。
# rpm -Uvh http://sat6host.example.redhat.com/pub/katello-ca-consumer-latest.noarch.rpm # subscription-manager register --org "ACME_Corporation" --env [environment]/[content_view_name]
注記
Satellite Capsule Server では Satellite Server からのコンテンツの同期に環境が必要となるため、Satellite Capsule Server を組織に割り当てておく必要があります。環境は組織のみに設定できます。Satellite Capsule Server とそれが管理しているホストとの距離の近さを示すためにロケーションを割り当てることは推奨されますが、これはオプションになります。 - 必要とされる Satellite Capsule Server のタイプに応じて、以下のオプションのいずれかを選択してください。
- オプション 1: Satellite Capsule Server とスマートプロキシー: このオプションでは Satellite Capsule Server をスマートプロキシー機能 (DHCP、DNS、Puppet) と共にインストールします。root ユーザーとして Satellite Capsule Server 上で以下のコマンドを実行します。
# capsule-installer --parent-fqdn "satellite.example.com"\ --register-in-foreman "true"\ --foreman-oauth-key "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "/root/capsule.example.com-certs.tar"\ --puppet "true"\ --puppetca "true"\ --pulp "true" --tftp "true" --dhcp "true"\ --dhcp-interface "virbr1 --dns "true"\ --dns-forwarders "8.8.8.8"\ --dns-forwarders "8.8.4.4"\ --dns-interface "virbr1"\ --dns-zone "example.com"
- オプション 2 - コンテンツノードとしての Satellite Capsule Server: このオプションでは Satellite Capsule Server を、コンテンツ管理機能および Puppet マスターと共にインストールします。root ユーザーとして、Satellite Capsule Server 上で以下のコマンドを実行します。
# capsule-installer --parent-fqdn "sat6.example.com"\ --register-in-foreman "true"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "~/capsule.example.com-certs.tar"\ --puppet "false"\ --puppetca "false"\ --pulp "true"
- オプション 3 - コンテンツノードとしての Satellite Capsule Server とスマートプロキシー: このオプションでは Satellite Capsule Server をすべての機能と共にインストールします。root ユーザーとして Satellite Capsule Server 上で以下のコマンドを実行します。
# capsule-installer --parent-fqdn "sat6.example.com"\ --register-in-foreman "true"\ --foreman-oauth-key "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "/root/capsule.example.com-certs.tar"\ --puppet "true"\ --puppetca "true"\ --pulp "true" --tftp "true" --dhcp "true"\ --dhcp-interface "virbr1 --dns "true"\ --dns-forwarders "8.8.8.8"\ --dns-forwarders "8.8.4.4"\ --dns-interface "virbr1"\ --dns-zone "example.com"
手順5.3 capsule-certs-generate 実行後のカスタムサーバー証明書の設定
Satellite Server にカスタムサーバー証明書を使用する場合、同じカスタムサーバー証明書を Satellite Capsule Server にデプロイする必要があります。各 Satellite Capsule Server で以下の手順を実行する必要があります。
- カスタムサーバー証明書をベースとして新規の証明書を生成します。
capsule-certs-generate --capsule-fqdn "satcapsule.example.com"\ --certs-tar "~/$CAPSULE-certs.tar"\ --server-cert ~/path/to/server.crt\ --server-cert-req ~/path/to/server.crt.req\ --server-key ~/path/to/server.key\ --server-ca-cert ~/cacert.crt\ --certs-update-server --certs-update-server-ca
- 生成される tarball、capsule.example.com-certs.tar を Satellite Server から Satellite Capsule ホストシステムにコピーします。
- Satellite Capsule Server で、証明書を更新するために capsule-installer コマンドを再実行します。必要とされる Satellite Capsule Server のタイプに応じて、以下のオプションのいずれかを選択します。
- オプション 1: Satellite Capsule Server とスマートプロキシー: このオプションでは Satellite Capsule Server をスマートプロキシー機能 (DHCP、DNS、Puppet) と共にインストールします。root ユーザーとして Satellite Capsule Server 上で以下のコマンドを実行します。
# capsule-installer --parent-fqdn "satellite.example.com"\ --register-in-foreman "true"\ --foreman-oauth-key "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "/root/capsule.example.com-certs.tar"\ --puppet "true"\ --puppetca "true"\ --pulp "true" --tftp "true" --dhcp "true"\ --dhcp-interface "virbr1 --dns "true"\ --dns-forwarders "8.8.8.8"\ --dns-forwarders "8.8.4.4"\ --dns-interface "virbr1"\ --dns-zone "example.com"
- オプション 2 - コンテンツノードとしての Satellite Capsule Server: このオプションでは Satellite Capsule Server を、コンテンツ管理機能および Puppet マスターと共にインストールします。root ユーザーとして、Satellite Capsule Server 上で以下のコマンドを実行します。
# capsule-installer --parent-fqdn "sat6.example.com"\ --register-in-foreman "true"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "~/capsule.example.com-certs.tar"\ --puppet "false"\ --puppetca "false"\ --pulp "true"
- オプション 3 - コンテンツノードとしての Satellite Capsule Server とスマートプロキシー: このオプションでは Satellite Capsule Server をすべての機能と共にインストールします。root ユーザーとして Satellite Capsule Server 上で以下のコマンドを実行します。
# capsule-installer --parent-fqdn "sat6.example.com"\ --register-in-foreman "true"\ --foreman-oauth-key "xmmQCGYdkoCRcbviGfuPdX7ZiCsdExf --foreman-oauth-secret "w5ZDpyPJ24eSBNo53AFybcnqoDYXgLUA"\ --pulp-oauth-secret "doajBEXqNcANy93ZbciFyysWaiwt6BWU"\ --certs-tar "/root/capsule.example.com-certs.tar"\ --puppet "true"\ --puppetca "true"\ --pulp "true" --tftp "true" --dhcp "true"\ --dhcp-interface "virbr1 --dns "true"\ --dns-forwarders "8.8.8.8"\ --dns-forwarders "8.8.4.4"\ --dns-interface "virbr1"\ --dns-zone "example.com"
重要
Red Hat Satellite Server と Red Hat Satellite Capsule Server の両方で同じカスタムサーバー証明書を使用し、2 つのホスト間の信頼関係が維持されるようにします。
14370%2C+Installation+Guide-6.0-107-10-2014+08%3A54%3A44Red+Hat+Satellite+6Docs+Install+Guideバグを報告する