オンラインネットワーク環境での Satellite Server のインストール
インターネットに接続されたネットワーク内に Red Hat Satellite Server をインストールしてデプロイする
Red Hat Satellite Documentation Team
satellite-doc-list@redhat.com概要
Red Hat ドキュメントへのフィードバック (英語のみ)
Red Hat ドキュメントに対するご意見をお聞かせください。ドキュメントの改善点があればお知らせください。
Bugzilla でチケットを作成することにより、フィードバックを送信できます。
- Bugzilla の Web サイトに移動します。
-
Component フィールドで、
Documentationを使用します。 - Description フィールドに、ドキュメントの改善に関するご意見を記入してください。ドキュメントの該当部分へのリンクも追加してください。
- Submit Bug をクリックします。
第1章 インストールのための環境準備
Satellite をインストールする前に、環境が以下の要件を満たしていることを確認する必要があります。
1.1. システム要件
ネットワーク接続されたベースのオペレーティングシステムには、以下の要件が適用されます。
- x86_64 アーキテクチャー
- Red Hat Enterprise Linux 8 または Red Hat Enterprise Linux 7 Server の最新版。
- 最低 4 コア 2.0 GHz CPU
- Satellite Server が機能するには、最低 20 GB のメモリーが必要です。また、最低 4 GB のスワップ領域が推奨されます。最低値よりも少ないメモリーで実行している Satellite は正常に動作しないことがあります。
- 一意なホスト名 (小文字、数字、ドット (.)、ハイフン (-) を使用できます)
- 現在の Red Hat Satellite サブスクリプション
- 管理ユーザー (root) アクセス
- システム umask 0022
- 完全修飾ドメイン名を使用した完全な正引きおよび逆引きの DNS 解決
Satellite は UTF-8 エンコーディングのみをサポートします。地域が米国で言語が英語の場合、システム全体のロケール設定として en_US.utf-8 を設定します。Red Hat Enterprise Linux でのシステムロケールの設定に関する詳細は、Configuring System Locale guide を参照してください。
Satellite には、カスタマーポータルに Red Hat Satellite Infrastructure サブスクリプションマニフェストが必要です。Satellite では、satellite-capsule-6.x リポジトリーが有効化され、同期されている必要があります。カスタマーポータルで Red Hat サブスクリプションマニフェストを作成、管理、およびエクスポートするには、Subscription Central での 接続された Satellite Server のマニフェストの作成と管理 を参照してください。
Satellite Server および Capsule Server では、ホスト名の短縮名はサポートされません。カスタム証明書を使用する場合には、カスタム証明書の Common Name (CN) は短縮名ではなく完全修飾ドメイン名 (FQDN) である必要があります。これは Satellite のクライアントには適用されません。
Satellite Server をインストールする前に、環境がインストール要件を満たしていることを確認する必要があります。
Satellite Server は、新たにプロビジョニングしたシステムにインストールしておく。Satellite Server が作成するローカルのユーザーとの競合を回避するため、新たにプロビジョニングしたシステムには、以下のユーザーを外部アイデンティティープロバイダーで設定して使用しないようにしてください。
- apache
- foreman
- foreman-proxy
- postgres
- pulp
- puppet
- qdrouterd
- qpidd
- redis
- tomcat
認定ハイパーバイザー
Satellite Server は、Red Hat Enterprise Linux の実行をサポートするハイパーバイザーで稼働する物理システムおよび仮想マシン両方で完全にサポートされます。認定ハイパーバイザーの詳細は、Certified Guest Operating Systems in Red Hat OpenStack Platform, Red Hat Virtualization, Red Hat OpenShift Virtualization and Red Hat Enterprise Linux with KVM を参照してください。
SELinux モード
SELinux は、Enforcing モードまたは Permissive モードのいずれかで有効化されている必要があります。無効化された SELinux でのインストールはサポートされません。
FIPS Mode
FIPS モードで稼働する Red Hat Enterprise Linux システムに、Satellite をインストールできます。Satellite のインストール後に FIPS モードを有効にすることはできません。詳細は、Red Hat Enterprise Linux セキュリティーガイド の FIPS モードが有効な RHEL 8 システムのインストール を参照してください。Red Hat Enterprise Linux 7 システムの FIPS に関する詳細は、Red Hat Enterprise Linux セキュリティーガイド の FIPS モードの有効化 を参照してください。
Satellite は、DEFAULT および FIPS 暗号化ポリシーをサポートしています。FUTURE 暗号化ポリシーは、Satellite および Capsule のインストールではサポートされていません。
Inter-Satellite Synchronization (ISS)
エアギャップされた Satellite Server を使用するシナリオでは、ISS エクスポート同期が機能するために、すべての Satellite Server が同じSatellite バージョン上にある必要があります。ISS Network Sync は、それをサポートするすべての Satellite バージョンで動作します。詳細は、コンテンツ管理ガイド の Satellite Server 間でのコンテンツ同期 を参照してください。
1.2. ストレージ要件
以下の表には、特定のディレクトリーのストレージ要件が詳細に記載されています。これらの値は、想定のユースケースシナリオに基づいており、各環境ごとに異なることがあります。
ランタイムサイズは Red Hat Enterprise Linux 6、7、および 8 のリポジトリーと同期して測定されました。
1.2.1. Red Hat Enterprise Linux 8
表1.1 Satellite Server インストールのストレージ要件
| ディレクトリー | インストールサイズ | ランタイムサイズ |
|---|---|---|
| /var/log | 10 MB | 10 GB |
| /var/lib/pgsql | 100 MB | 20 GB |
| /usr | 5 GB | 適用外 |
| /opt/puppetlabs | 500 MB | 適用外 |
| /var/lib/pulp | 1 MB | 300 GB |
| /var/lib/qpidd | 25 MB |
外部データベースサーバーの場合: インストールサイズが 100 MB でランタイムサイズが 20 GB の /var/lib/pgsql。
パーティションおよびサイズの詳細は、Red Hat Enterprise Linux 8 パーティション設定ガイド を参照してください。
1.2.2. Red Hat Enterprise Linux 7
表1.2 Satellite Server インストールのストレージ要件
| ディレクトリー | インストールサイズ | ランタイムサイズ |
|---|---|---|
| /var/log | 10 MB | 10 GB |
| /var/opt/rh/rh-postgresql12 | 100 MB | 20 GB |
| /usr | 3 GB | 適用外 |
| /opt | 3 GB | 適用外 |
| /opt/puppetlabs | 500 MB | 適用外 |
| /var/lib/pulp | 1 MB | 300 GB |
| /var/lib/qpidd | 25 MB |
外部データベースサーバーの場合: インストールサイズが 100 MB でランタイムサイズが 20 GB の /var/lib/pgsql。
1.3. ストレージのガイドライン
Satellite Server をインストールして効率性を向上させる場合は、以下のガイドラインを考慮してください。
-
/tmpディレクトリーを別のファイルシステムとしてマウントする場合は、/etc/fstabファイルのexecマウントオプションを使用する必要があります。/tmpが、noexecオプションを指定してすでにマウントされている場合は、オプションをexecに変更して、ファイルシステムを再マウントする必要があります。これは、puppetserverサービスが機能するために必要です。 -
Satellite Server データの多くは
/varディレクトリーに格納されるため、LVM ストレージに/varをマウントして、システムがスケーリングできるようにしてください。 -
/var/lib/qpidd/ディレクトリーでは、goferdサービスが管理するコンテンツホスト 1 つに対して使用される容量は 2 MB を少し超えます。たとえば、コンテンツホストの数が 10,000 個の場合、/var/lib/qpidd/に 20 GB のディスク容量が必要になります。 -
/var/lib/pulpディレクトリーには、帯域幅が高く、レイテンシーの低いストレージを使用してください。Red Hat Satellite には I/O を大量に使用する操作が多数あるため、高レイテンシーで低帯域幅のストレージを使用すると、パフォーマンス低下の問題が発生します。インストールに、毎秒 60 - 80 メガバイトのスピードがあることを確認してください。
storage-benchmark スクリプトを使用して、このデータを取得できます。storage-benchmark スクリプトの使用の詳細は、Impact of Disk Speed on Satellite Operations を参照してください。
ファイルシステムのガイドライン
- 入出力レイテンシーが高すぎるため、GFS2 ファイルシステムは使用しないでください。
ログファイルのストレージ
ログファイルは、/var/log/messages/、/var/log/httpd/、および /var/lib/foreman-proxy/openscap/content/ に書き込まれます。logrotate を使用して、これらのファイルのサイズを管理できます。詳細は、Red Hat Enterprise Linux 7 System Administrator's Guide の Log Rotation を参照してください。
ログメッセージに必要なストレージの正確な容量は、インストール環境および設定により異なります。
NFS マウントを使用する場合の SELinux の考慮事項
NFS 共有を使用して /var/lib/pulp ディレクトリーをマウントすると、SELinux は同期プロセスをブロックします。これを避けるには、以下の行を /etc/fstab に追加して、ファイルシステムテーブル内の /var/lib/pulp ディレクトリーの SELinux コンテキストを指定します。
nfs.example.com:/nfsshare /var/lib/pulp nfs context="system_u:object_r:var_lib_t:s0" 1 2
NFS 共有がすでにマウントされている場合は、上記の方法を使用して再マウントし、以下のコマンドを入力します。
# restorecon -R /var/lib/pulp
重複パッケージ
同じパッケージが異なるリポジトリーで重複して存在する場合には、ディスク上に一度しか保存されません。そのため、重複するパッケージを別のリポジトリーに追加するときに必要な追加ストレージが少なくて済みます。ストレージの多くは、/var/lib/pulp/ ディレクトリーにあります。これらのエンドポイントは手動で設定できません。ストレージの問題を回避するために、ストレージが /var ファイルシステムで利用可能であることを確認してください。
ソフトウェアコレクション
ソフトウェアコレクションは、/opt/rh/ ディレクトリーと /opt/theforeman/ ディレクトリーにインストールされます。
/opt ディレクトリーへのインストールには、root ユーザーによる書き込みパーミッションおよび実行パーミッションが必要です。
シンボリックリンク
/var/lib/pulp/ にはシンボリックリンクは使用できません。
同期された RHEL ISO
RHEL コンテンツの ISO を Satellite に同期する予定の場合には、Red Hat Enterprise Linux のすべてのマイナーバージョンも同期することに注意してください。これに対応するため、Satellite に適切なストレージを設定するようにプランニングする必要があります。
1.4. サポート対象オペレーティングシステム
オペレーティングシステムは、ディスク、ローカル ISO イメージ、キックスタート、または Red Hat がサポートする方法であれば他の方法でもインストールできます。Red Hat Satellite Server は、Red Hat Enterprise Linux 8 の最新バージョン、および Satellite Server のインストール時に入手可能な Red Hat Enterprise Linux 7 Server の最新バージョンでサポートされています。EUS または z-stream を含む以前の Red Hat Enterprise Linux バージョンはサポートされません。
以下のオペレーティングシステムはインストーラーでサポートされ、パッケージがあり、Satellite のデプロイ用にテストされています。
表1.3 satellite-installer でサポートされるオペレーティングシステム
| オペレーティングシステム | アーキテクチャー | 注記 |
| Red Hat Enterprise Linux 8 | x86_64 のみ | |
| Red Hat Enterprise Linux 7 | x86_64 のみ |
Satellite をインストールする前に、可能な場合はすべてのオペレーティングシステムの更新を適用してください。
Red Hat Satellite Server には、@Base パッケージグループを含む Red Hat Enterprise Linux インストールが必要です。他のパッケージセットの変更や、サーバーの運用に直接必要でないサードパーティーの設定やソフトウェアは含めないようにしてください。この制限は、ハード化や Red Hat 以外の他社のセキュリティーソフトウェアが該当します。インフラストラクチャーにこのようなソフトウェアが必要な場合は、Satellite Server が完全に機能することを最初に確認し、その後でシステムのバックアップを作成して、Red Hat 以外のソフトウェアを追加します。
新しくプロビジョニングされたシステムに Satellite Server をインストールします。
Red Hat では、このシステムを Satellite Server の実行以外に使用するサポートはしていません。
1.5. サポート対象ブラウザー
Satellite は、最新版の Firefox および Google Chrome ブラウザーをサポートします。
Satellite Web UI とコマンドラインインターフェイスは、英語、ポルトガル語、中国語 (簡体)、中国語 (繁体)、韓国語、日本語、イタリア語、スペイン語、ロシア語、フランス語、ドイツ語に対応しています。
1.6. ポートとファイアウォールの要件
Satellite アーキテクチャーのコンポーネントで通信を行うには、ベースオペレーティングシステム上で、必要なネットワークポートが開放/解放されているようにしてください。また、ネットワークベースのファイアウォールでも、必要なネットワークポートを開放する必要があります。
この情報を使用して、ネットワークベースのファイアウォールを設定してください。クラウドソリューションによっては、ネットワークベースのファイアウォールと同様にマシンが分離されるので、特にマシン間の通信ができるように設定する必要があります。アプリケーションベースのファイアウォールを使用する場合には、アプリケーションベースのファイアウォールで、テーブルに記載のアプリケーションすべてを許可して、ファイアウォールに既知の状態にするようにしてください。可能であれば、アプリケーションのチェックを無効にして、プロトコルをベースにポートの通信を開放できるようにしてください。
統合 Capsule
Satellite Server には Capsule が統合されており、Satellite Server に直接接続されたホストは、以下のセクションのコンテキストでは Satellite のクライアントになります。これには、Capsule Server が実行されているベースオペレーティングシステムが含まれます。
Capsule のクライアント
Satellite と統合された Capsule ではない Capsule のクライアントであるホストには、Satellite Server へのアクセスは必要ありません。Satellite トポロジーとポート接続の図の詳細は、Red Hat Satellite の計画 の Capsule のネットワーク を参照してください。
使用している設定に応じて、必要なポートは変わることがあります。
以下の表は、宛先ポートとネットワークトラフィックの方向を示しています。
表1.4 Satellite Server の受信トラフィック
| 送信先ポート | プロトコル | サービス | ソース | 用途 | 説明 |
| 53 | TCP および UDP | DNS | DSN サーバーおよびクライアント | 名前解決 | DNS (オプション) |
| 67 | UDP | DHCP | クライアント | 動的 IP | DHCP (オプション) |
| 69 | UDP | TFTP | クライアント | TFTP サーバー (オプション) | |
| 443 | TCP | HTTPS | Capsule | Red Hat Satellite API | Capsule からの通信 |
| 443、80 | TCP | HTTPS, HTTP | クライアント | コンテンツの取得 | コンテンツ |
| 443、80 | TCP | HTTPS, HTTP | Capsule | コンテンツの取得 | コンテンツ |
| 443、80 | TCP | HTTPS, HTTP | クライアント | コンテンツホスト登録 | Capsule CA RPM のインストール |
| 443 | TCP | HTTPS | クライアント | コンテンツホスト登録 | 開始 ファクトのアップロード インストールされたパッケージとトレースの送信 |
| 443 | TCP | HTTPS | Red Hat Satellite | コンテンツミラーリング | 管理 |
| 443 | TCP | HTTPS | Red Hat Satellite | Capsule API | スマートプロキシー機能 |
| 5646 | TCP | AMQP | Capsule | Katello Agent | Satellite 上の Qpid ディスパッチルーターへのメッセージの転送 (オプション) |
| 5910 - 5930 | TCP | HTTPS | ブラウザー | コンピュートリソースの仮想コンソール | |
| 8000 | TCP | HTTP | クライアント | プロビジョニングテンプレート | クライアントインストーラー、iPXE または UEFI HTTP ブートのテンプレート取得 |
| 8000 | TCP | HTTPS | クライアント | PXE ブート | インストール |
| 8140 | TCP | HTTPS | クライアント | puppet-agent | クライアントの更新 (オプション) |
| 9090 | TCP | HTTPS | クライアント | OpenSCAP | クライアントの設定 |
| 9090 | TCP | HTTPS | 検出されたノード | 検出 | ホストの検出とプロビジョニング |
| 9090 | TCP | HTTPS | Red Hat Satellite | Capsule API | Capsule の機能 |
Satellite Server に直接接続されたマネージドホストは、統合された Capsule のクライアントとなるため、このコンテキストではクライアントになります。これには、Capsule Server が稼働しているベースオペレーティングシステムが含まれます。
DHCP Capsule は、DHCP IPAM が設定されたサブネット内のホストに対して ICMP ping または TCP Echo 接続の試行を実行し、使用が検討されている IP アドレスが空いているかどうかを確認します。この動作は、satellite-installer --foreman-proxy-dhcp-ping-free-ip=false を使用してオフにできます。
発信トラフィックの一部は Satellite に戻り、内部通信とセキュリティー操作を有効にします。
表1.5 Satellite Server の発信トラフィック
| 送信先ポート | プロトコル | サービス | 宛先 | 用途 | 説明 |
|---|---|---|---|---|---|
| ICMP | ping | クライアント | DHCP | 解放されている IP チェック (オプション) | |
| 7 | TCP | echo | クライアント | DHCP | 解放されている IP チェック (オプション) |
| 22 | TCP | SSH | ターゲットホスト | リモート実行 | ジョブの実行 |
| 22, 16514 | TCP | SSH SSH/TLS | Compute Resource (コンピュートリソース) | libvirt のコンピュートリソースに対する Satellite による通信 | |
| 53 | TCP および UDP | DNS | インターネット上の DNS サーバー | DNS サーバー | DNS レコードの解決 (オプション) |
| 53 | TCP および UDP | DNS | DNS サーバー | --capsule-dns | DNS 競合の検証 (オプション) |
| 53 | TCP および UDP | DNS | DNS サーバー | オーケストレーション | DNS 競合の検証 |
| 68 | UDP | DHCP | クライアント | 動的 IP | DHCP (オプション) |
| 80 | TCP | HTTP | リモートリポジトリー | コンテンツ同期 | リモート YUM リポジトリー |
| 389、636 | TCP | LDAP、LDAPS | 外部 LDAP サーバー | LDAP |
LDAP 認証。外部認証が有効になっている場合にのみ必要です。 |
| 443 | TCP | HTTPS | Satellite | Capsule | Capsule 設定管理 テンプレートの取得 OpenSCAP リモート実行結果のアップロード |
| 443 | TCP | HTTPS | Amazon EC2, Azure, Google GCE | コンピュートリソース | 仮想マシンのインタラクション (クエリー/作成/破棄) (オプション) |
| 443 | TCP | HTTPS | console.redhat.com | Red Hat Cloud プラグイン API 呼び出し | |
| 443 | TCP | HTTPS | cdn.redhat.com | コンテンツ同期 | |
| 443 | TCP | HTTPS | api.access.redhat.com | SOS レポート | Red Hat カスタマーポータル を通じて提出されたサポートケースの支援 (オプション) |
| 443 | TCP | HTTPS | cert-api.access.redhat.com | Telemetry データのアップロードとレポート | |
| 443 | TCP | HTTPS | Capsule | コンテンツのミラーリング | 開始 |
| 443 | TCP | HTTPS | Infoblox DHCP サーバー | DHCP 管理 | DHCP に Infoblox を使用する場合、DHCP リースの管理 (オプション) |
| 623 | クライアント | 電源管理 | BMC のオン/オフ/サイクル/ステータス | ||
| 5000 | TCP | HTTPS | OpenStack Compute Resource | コンピュートリソース | 仮想マシンのインタラクション (クエリー/作成/破棄) (オプション) |
| 5646 | TCP | AMQP | Satellite Server | Katello Agent | Capsule の Qpid ディスパッチルーターへのメッセージの転送 (オプション) |
| 5671 | Qpid | リモートインストール | インストールコマンドのクライアントへの送信 | ||
| 5671 | ディスパッチルーター (ハブ) | リモートインストール | Satellite 上のディスパッチルーターへのメッセージの転送 | ||
| 5671 | Satellite Server | Katello エージェントのリモートインストール | インストールコマンドのクライアントへの送信 | ||
| 5671 | Satellite Server | Katello エージェントのリモートインストール | Satellite 上のディスパッチルーターへのメッセージの転送 | ||
| 5900 – 5930 | TCP | SSL/TLS | ハイパーバイザー | noVNC コンソール | noVNC コンソールの起動 |
| 7911 | TCP | DHCP、OMAPI | DHCP サーバー | DHCP |
DHCP ターゲットは、
ISC と |
| 8443 | TCP | HTTPS | クライアント | 検出 | Capsule は、検出されたホストに再起動コマンドを送信する (オプション) |
| 9090 | TCP | HTTPS | Capsule | Capsule API | Capsule の管理 |
1.7. クライアントから Satellite Server への接続の有効化
Satellite Server の内部 Capsule のクライアントである Capsule とコンテンツホストは、Satellite のホストベースのファイアウォールとすべてのネットワークベースのファイアウォールを介したアクセスを必要とします。
以下の手順を使用して、Satellite のインストール先のシステムでホストベースのファイアウォールを設定し、クライアントからの受信接続を有効にして、これらの設定をシステムの再起動後にも保持する方法について説明します。使用されるポートの詳細は、ポートおよびファイアウォール要件 を参照してください。
手順
クライアントから Satellite の通信用のポートを開放するには、Satellite をインストールするベースオペレーティングシステムで以下のコマンドを入力します。
# firewall-cmd \ --add-port="53/udp" --add-port="53/tcp" \ --add-port="67/udp" \ --add-port="69/udp" \ --add-port="80/tcp" --add-port="443/tcp" \ --add-port="5647/tcp" \ --add-port="8000/tcp" --add-port="9090/tcp" \ --add-port="8140/tcp"
変更を永続化します。
# firewall-cmd --runtime-to-permanent
検証
以下のコマンドを入力します。
# firewall-cmd --list-all
詳細は、Red Hat Enterprise Linux 8 セキュリティーガイド の firewalld の使用および設定 および Red Hat Enterprise Linux 7 セキュリティーガイド の firewalld の概要 を参照してください。
1.8. DNS 解決の検証
完全修飾ドメイン名を使用して完全な正引きおよび逆引き DNS 解決を検証すると、Satellite のインストール中の問題を回避できます。
手順
ホスト名とローカルホストが正しく解決されることを確認します。
# ping -c1 localhost # ping -c1 `hostname -f` # my_system.domain.com
名前解決に成功すると、以下のような出力が表示されます。
# ping -c1 localhost PING localhost (127.0.0.1) 56(84) bytes of data. 64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.043 ms --- localhost ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 0.043/0.043/0.043/0.000 ms # ping -c1 `hostname -f` PING hostname.gateway (XX.XX.XX.XX) 56(84) bytes of data. 64 bytes from hostname.gateway (XX.XX.XX.XX): icmp_seq=1 ttl=64 time=0.019 ms --- localhost.gateway ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 0.019/0.019/0.019/0.000 ms
静的および一時的なホスト名との不一致を避けるには、次のコマンドを入力して、システム上のすべてのホスト名を設定します。
# hostnamectl set-hostname name
詳細は、Red Hat Enterprise Linux 7 Networking Guide の Configuring Host Names Using hostnamectl を参照してください。
Satellite の運用には名前解決が非常に重要です。Satellite が完全修飾ドメイン名を適切に解決できない場合には、コンテンツ管理、サブスクリプション管理、プロビジョニングなどのタスクに失敗します。
第2章 IPv6 ネットワークでの Satellite インストール環境の準備
IPv6 ネットワークで Satellite をインストールして使用できます。IPv6 ネットワークで Satellite をインストールする前に、制限事項と、以下の要件を満たしていることを確認してください。
IPv6 ネットワークにホストをプロビジョニングするには、Satellite のインストール後に、UEFI HTTP ブートプロビジョニング用の Satellite も設定する必要があります。詳細は、「IPv6 ネットワークでの UEFI HTTP ブート向けの Satellite の設定」 を参照してください。
2.1. IPv6 ネットワークでの Satellite インストールの制限事項
IPv6 ネットワークでの Satellite のインストールには、次の制限があります。
- Satellite および Capsule は、IPv6 のみのシステムにインストールでき、デュアルスタックのインストールはサポートしていません。
- Satellite プロビジョニングテンプレートには、PXE と HTTP (iPXE) プロビジョニングでの IPv6 サポートがありますが、テスト済みかつ認定済みのプロビジョニングワークフローは UEFI HTTP ブートプロビジョニングです。この制約は、Satellite を使用してホストをプロビジョニングする場合にのみ適用されます。
2.2. IPv6 ネットワークでの Satellite インストールの要件
IPv6 ネットワークで Satellite をインストールする前に、以下の要件を満たしていることを確認してください。
-
Satellite または Capsule からホストをプロビジョニングする予定の場合には、最新の
grub2パッケージが含まれている Red Hat Enterprise Linux バージョン 7.9 以降に Satellite および Capsules をインストールする必要があります。 - 外部の IPv6 サーバーをマネージド外のサービスとして別にデプロイして GURB2 にクライアントをブートストラップしてから、DHCPv6 を使用するか、IPv6 アドレスを割り当てて IPv 6 ネットワークを設定する必要があります。Red Hat Enterprise Linux (ISC DHCP) の DHCP サーバーには IPv6 レコード管理の統合 API が含まれていないので、DHCP 管理を行う Capsule DHCP プラグインは IPv4 サブネットだけに限定されます。
- 外部の IPv4 HTTP プロキシーサーバーをデプロイする必要があります。これは、Red Hat Content Delivery Network が IPv4 ネットワーク上でのみコンテンツを配信するため、IPv6 ネットワーク上の Satellite にコンテンツを取り込むにはこのプロキシーを使用する必要があるためです。
- この IPv4 HTTP プロキシーサーバーをデフォルトのプロキシーとして使用するように Satellite を設定する必要があります。詳細は、デフォルトの HTTP プロキシーの Satellite への追加 を参照してください。
第3章 Satellite Server のインストール
オンラインネットワークから Satellite Server をインストールする場合は、Red Hat コンテンツ配信ネットワークから直接パッケージと更新を取得できます。
Satellite Server に自己登録することはできません。
以下の手順を使用して、Satellite Server をインストールし、初期設定を実行して、サブスクリプションマニフェストをインポートします。サブスクリプションマニフェストに関する詳細は コンテンツ管理ガイド の Red Hat Subscriptions の管理 を参照してください。
Satellite インストールスクリプトは Puppet をベースとするので、インストールスクリプトを複数回実行すると、手動での設定変更を上書きする可能性がある点に注意してください。これを回避し、今後どの変更を適用するか判断するには、インストールスクリプトの実行時に --noop の引数を使用します。この引数では、実際の変更は加えられません。今後変更される可能性のある内容は /var/log/foreman-installer/satellite.log に書き込まれます。
ファイルは常にバックアップされるため、不要な変更を元に戻すことができます。たとえば、foreman-installer ログで Filebucket に関する以下のようなエントリーが確認できます。
/Stage[main]/Dhcp/File[/etc/dhcp/dhcpd.conf]: Filebucketed /etc/dhcp/dhcpd.conf to puppet with sum 622d9820b8e764ab124367c68f5fa3a1
以前のファイルは以下のように復元できます。
# puppet filebucket -l \ restore /etc/dhcp/dhcpd.conf 622d9820b8e764ab124367c68f5fa3a1
3.1. Red Hat CDN に接続するための HTTP プロキシーの設定
前提条件
ネットワークゲートウェイと HTTP プロキシーは、次のホストへのアクセスを許可する必要があります。
| ホスト名 | ポート | プロトコル |
|---|---|---|
| subscription.rhsm.redhat.com | 443 | HTTPS |
| cdn.redhat.com | 443 | HTTPS |
| *.akamaiedge.net | 443 | HTTPS |
| cert.console.redhat.com (Red Hat Insights を使用している場合) | 443 | HTTPS |
| api.access.redhat.com (Red Hat Insights を使用している場合) | 443 | HTTPS |
| cert-api.access.redhat.com (Red Hat Insights を使用している場合) | 443 | HTTPS |
Satellite Server は、SSL を使用して Red Hat CDN との通信のセキュリティーを確保します。SSL インターセプションプロキシーを使用すると、この通信を干渉します。これらのホストはプロキシーでホワイトリスト化する必要があります。
Red Hat CDN (cdn.redhat.com) で使用されている IP アドレスのリストは、Red Hat カスタマーポータルのナレッジベース記事 Red Hat が公開している CIDR のリスト を参照してください。
HTTP プロキシーを使用して subscription-manager を設定するには、次の手順に従います。
手順
Satellite Server の
/etc/rhsm/rhsm.confファイルで、以下の詳細を記入します。# an http proxy server to use (enter server FQDN) proxy_hostname = myproxy.example.com # port for http proxy server proxy_port = 8080 # user name for authenticating to an http proxy, if needed proxy_user = # password for basic http proxy auth, if needed proxy_password =
3.2. Red Hat サブスクリプション管理への登録
Red Hat サブスクリプション管理にホストを登録すると、ユーザーが利用可能なサブスクリプションにホストを登録して、サブスクリプションのコンテンツを使用できるようになります。これには、Red Hat Enterprise Linux、Red Hat Satellite などのコンテンツが含まれます。Red Hat Enterprise Linux 7 では、Red Hat Software Collections (RHSCL) にアクセスできます。
手順
Red Hat コンテンツ配信ネットワークにシステムを登録します。プロンプトが表示されたら、カスタマーポータルのユーザー名とパスワードを入力します。
# subscription-manager register
このコマンドを実行すると、以下のような出力が表示されます。
# subscription-manager register Username: user_name Password: The system has been registered with ID: 541084ff2-44cab-4eb1-9fa1-7683431bcf9a
3.3. Satellite Infrastructure サブスクリプションのアタッチ
Red Hat カスタマーポータルで SCA を有効にしている場合は、この手順をスキップしてください。subscription-manager を使用して Red Hat Satellite Infrastructure Subscription サブスクリプションを Satellite Server にアタッチする必要はありません。SCA の詳細は、Simple Content Access を参照してください。
Satellite Server の登録後に、サブスクリプションプール ID を特定して、利用可能なサブスクリプションを割り当てる必要があります。Red Hat Satellite Infrastructure サブスクリプションは、Red Hat Satellite および Red Hat Enterprise Linux コンテンツにアクセスできるようになります。Red Hat Enterprise Linux 7 では、Red Hat Software Collections (RHSCL) にアクセスできます。必要なサブスクリプションはこれだけです。
Red Hat Satellite Infrastructure は、Satellite (以前は Smart Management と呼ばれていました) を提供するすべてのサブスクリプションに含まれています。詳細は、Red Hat ナレッジベース の Satellite Infrastructure サブスクリプション MCT3718 MCT3719 を参照してください。
サブスクリプションがシステムに割り当てられていない場合には、利用可能として分類されます。利用可能な Satellite サブスクリプションが見つからない場合は、Red Hat ナレッジベースソリューション Red Hat Subscription Manager に登録されているクライアントが使用したサブスクリプションを把握するにはどうすればよいですか? を参照してスクリプトを実行し、サブスクリプションが別のシステムで使用されているかどうかを確認します。
手順
Satellite Infrastructure サブスクリプションのプール ID を特定します。
# subscription-manager list --all --available --matches 'Red Hat Satellite Infrastructure Subscription'
このコマンドを実行すると、以下のような出力が表示されます。
Subscription Name: Red Hat Satellite Infrastructure Subscription Provides: Red Hat Satellite Red Hat Software Collections (for RHEL Server) Red Hat CodeReady Linux Builder for x86_64 Red Hat Ansible Engine Red Hat Enterprise Linux Load Balancer (for RHEL Server) Red Hat Red Hat Software Collections (for RHEL Server) Red Hat Enterprise Linux Server Red Hat Satellite Capsule Red Hat Enterprise Linux for x86_64 Red Hat Enterprise Linux High Availability for x86_64 Red Hat Satellite Red Hat Satellite 5 Managed DB Red Hat Satellite 6 Red Hat Discovery SKU: MCT3719 Contract: 11878983 Pool ID: 8a85f99968b92c3701694ee998cf03b8 Provides Management: No Available: 1 Suggested: 1 Service Level: Premium Service Type: L1-L3 Subscription Type: Standard Ends: 03/04/2020 System Type: Physical- サブスクリプションプール ID を書き留めます。上記の例と、実際のサブスクリプションプール ID は異なります。
Satellite Server が実行されているベースオペレーティングシステムに、Satellite Infrastructure サブスクリプションを割り当てます。SCA が Satellite Server で有効になっている場合は、この手順をスキップできます。
# subscription-manager attach --pool=pool_idこのコマンドを実行すると、以下のような出力が表示されます。
Successfully attached a subscription for: Red Hat Satellite Infrastructure Subscription
オプション: Satellite Infrastructure サブスクリプションが割り当てられていることを確認します。
# subscription-manager list --consumed
3.4. リポジトリーの設定
この手順を使用して、Satellite Server のインストールに必要なリポジトリーを有効にします。インストールするオペレーティングシステムおよびバージョンを利用可能なリストから選択します。
3.4.1. Red Hat Enterprise Linux 8
すべてのリポジトリーを無効にします。
# subscription-manager repos --disable "*"
以下のリポジトリーを有効にします。
# subscription-manager repos --enable=rhel-8-for-x86_64-baseos-rpms \ --enable=rhel-8-for-x86_64-appstream-rpms \ --enable=satellite-6.11-for-rhel-8-x86_64-rpms \ --enable=satellite-maintenance-6.11-for-rhel-8-x86_64-rpms
モジュールを有効にします。
# dnf module enable satellite:el8
注記モジュール
satellite:el8を有効にすると、postgresql:10およびruby:2.5との競合について警告が表示されます。これは、これらのモジュールが Red Hat Enterprise Linux 8 でデフォルトのモジュールバージョンに設定されているためです。モジュールsatellite:el8には、モジュールpostgresql:12およびruby:2.7への依存関係があり、satellite:el8モジュールで有効になります。これらの警告はインストールプロセスの失敗の原因にはならないため、安全に無視できます。Red Hat Enterprise Linux 8 のモジュールとライフサイクルストリームの詳細については、Red Hat Enterprise Linux Application Streams Life Cycle を参照してください。
3.4.2. Red Hat Enterprise Linux 7
すべてのリポジトリーを無効にします。
# subscription-manager repos --disable "*"
以下のリポジトリーを有効にします。
# subscription-manager repos --enable=rhel-7-server-rpms \ --enable=rhel-server-rhscl-7-rpms \ --enable=rhel-7-server-ansible-2.9-rpms \ --enable=rhel-7-server-satellite-6.11-rpms \ --enable=rhel-7-server-satellite-maintenance-6.11-rpms
Red Hat Virtualization (RHV) がホストする仮想マシンとして、Satellite Server をインストールする場合は、Red Hat Common リポジトリーを有効にして、RHV ゲストエージェントとドライバーもインストールする必要があります。詳細は、仮想マシン管理ガイド の Red Hat Enterprise Linux へのゲストエージェントとドライバーのインストール を参照してください。
3.5. Satellite Server パッケージのインストール
3.5.1. Red Hat Enterprise Linux 8
手順
すべてのパッケージを更新します。
# dnf update
Satellite Server パッケージをインストールします。
# dnf install satellite
3.5.2. Red Hat Enterprise Linux 7
すべてのパッケージを更新します。
# yum update
Satellite Server パッケージをインストールします。
# yum install satellite
3.6. chronyd とシステムクロックの同期
時間のずれを最小限に抑えるには、Satellite Server をインストールするベースオペレーティングシステムのシステムクロックを Network Time Protocol (NTP) サーバーと同期する必要があります。ベースオペレーティングシステムのクロックが正しく設定されていない場合には、証明書の検証に失敗する可能性があります。
chrony スイートの詳細は、Red Hat Enterprise Linux 8 基本的なシステム設定 の Chrony スイートを使用した NTP の設定 および Red Hat Enterprise Linux 7 システム管理者のガイド の chrony スイートを使用した NTP の設定 を参照してください。
手順
chronyパッケージをインストールします。# yum install chrony
chronydサービスを起動して、有効にします。# systemctl start chronyd # systemctl enable chronyd
3.7. ベースオペレーティングシステムへの SOS パッケージのインストール
ベースオペレーティングシステムに sos パッケージをインストールし、Red Hat Enterprise Linux システムから設定および診断情報を取得できるようにします。このパッケージを使用すると、Red Hat テクニカルサポートへのサービスリクエストの起票時に必要な初期システム分析を提示できます。sos の使用方法に関する詳細は、カスタマーポータルのナレッジベースソリューション What is a sosreport and how to create one in Red Hat Enterprise Linux 4.6 and later? を参照してください。
手順
sos パッケージをインストールします。
# yum install sos
3.8. Satellite Server の設定
satellite-installer インストールスクリプトを使用して Satellite Server をインストールします。
この手法では、1 つまたは複数のコマンドオプションを指定して、インストールスクリプトを実行します。コマンドオプションは、対応するデフォルトの初期設定オプションを上書きし、Satellite 応答ファイルに記録されます。必要なオプションの設定に、必要に応じてスクリプトは何回でも実行することができます。
Satellite インストーラーの実行時に使用するオプションによっては、設定が完了するのに数分かかることがあります。
3.8.1. Satellite インストールの設定
初期設定の手順では、組織、ロケーション、ユーザー名、およびパスワードが作成されます。初期設定後に、必要に応じて追加の組織とロケーションを作成できます。初期設定では、PostgreSQL データベースも同じサーバーにインストールします。
インストールプロセスの完了には、数十分かかることがあります。システムにリモートで接続する場合は、リモートシステムから切断された場合にインストールの進捗を確認できるよう、通信セッションの一時中断または再接続を許可できる tmux などのユーティリティーを使用してください。インストールコマンドを実行しているシェルへの接続が切断された場合は、/var/log/foreman-installer/satellite.log のログを参照してプロセスが正常に完了したかどうかを確認します。
留意事項
-
satellite-installer --scenario satellite --helpコマンドを使用して、利用可能なオプションとすべてのデフォルト値を表示します。値を指定しない場合は、デフォルト値が使用されます。 -
--foreman-initial-organizationオプションに、意味を持つ値を指定します。たとえば、会社名を指定できます。値に一致する内部ラベルが作成されますが、このラベルは後で変更できません。値を指定しない場合は、ラベルが Default_Organization の Default Organization という名前の組織が作成されます。組織名は変更できますが、ラベルは変更できません。 -
リモート実行は、コンテンツホスト上のパッケージを管理するための主要な方法です。リモート実行 SSH の代わりに非推奨の Katello Agent を使用する場合は、
-foreman-proxy-content-enable-katello-agent=trueオプションを使用して有効にします。Satellite Server と同様に、Capsule Server でも同じオプションが与えられるべきです。 -
デフォルトでは、インストーラーが設定するすべての設定ファイルが Puppet によって管理されます。
satellite-installerを実行すると、Puppet が管理するファイルに手動で加えられた変更が初期値で上書きされます。Satellite Server は、デフォルトでは、サービスとして実行している Puppet エージェントを使用してインストールされます。必要に応じて、--puppet-runmode=noneオプションを使用して、Satellite Server で Puppet エージェントを無効にできます。 -
DNS ファイルと DHCP ファイルを手動で管理する場合には、
--foreman-proxy-dns-managed=falseオプションと--foreman-proxy-dhcp-managed=falseオプションを使用して、各サービスに関連するファイルが Puppet で管理されないようにします。他のサービスにカスタム設定を適用する方法は、Satellite へのカスタム設定の適用 を参照してください。
手順
使用する追加オプションを指定し、以下のコマンドを入力します。
# satellite-installer --scenario satellite \ --foreman-initial-organization "My_Organization" \ --foreman-initial-location "My_Location" \ --foreman-initial-admin-username admin_user_name \ --foreman-initial-admin-password admin_password
このスクリプトは、進捗を表示し、
/var/log/foreman-installer/satellite.logにログを記録します。
3.9. Red Hat サブスクリプションマニフェストの Satellite Server へのインポート
以下の手順を使用して、Red Hat サブスクリプションマニフェストを Satellite Server にインポートします。
前提条件
- カスタマーポータルから Red Hat サブスクリプションマニフェストファイルをエクスポートしている。詳細は、Using Red Hat Subscription Management の Creating and Managing Manifests を参照してください。
手順
- Satellite Web UI で、コンテキストが、使用する組織に設定されていることを確認します。
- Satellite Web UI で、Content > Subscriptions に移動し、Manage Manifest をクリックします。
- マニフェストの管理ウィンドウで、参照 をクリックします。
- Red Hat サブスクリプションマニフェストファイルが保存されている場所に移動し、Open をクリックします。マニフェストの管理ウィンドウが自動的に終了しない場合は、終了 をクリックしてサブスクリプションウィンドウに戻ります。
CLI 手順
Red Hat サブスクリプションマニフェストファイルをクライアントから Satellite Server にコピーします。
$ scp ~/manifest_file.zip root@satellite.example.com:~/.
Satellite Server に
rootユーザーとしてログインし、Red Hat サブスクリプションマニフェストファイルをインポートします。# hammer subscription upload \ --file ~/manifest_file.zip \ --organization "My_Organization"
リポジトリーを有効にし、Red Hat コンテンツをインポートすることができるようになりました。詳細は、コンテンツ管理ガイド の コンテンツのインポート を参照してください。
第4章 Satellite Server での追加設定の実行
4.1. Satellite Server での Red Hat Insights の使用
Red Hat Insights を使用すると、セキュリティー違反、パフォーマンスの低下、および安定性の消失に関連するシステムとダウンタイムを診断できます。ダッシュボードを使用して、安定性、セキュリティー、およびパフォーマンスの主要なリスクを素早く特定できます。また、カテゴリー別に分類したり、影響度および解決方法の詳細を表示したり、影響を受けたシステムを調べたりすることができます。
サブスクリプションマニフェストに Red Hat Insights のエンタイトルメントを追加する必要がない点に注意してください。Satellite および Red Hat Insights の詳細は、Red Hat Insights on Satellite Red Hat Enterprise Linux (RHEL) を参照してください。
Satellite Server を保守し、Satellite で発生する可能性のある問題を監視および診断する能力を向上させるには、Satellite Server に Red Hat Insights をインストールし、Satellite Server を Red Hat Insights に登録します。
insights-client のスケジューリング
Satellite に insights-client.timer を設定することで、デフォルトの insights-client 実行スケジュールを変更できる点に留意してください。詳細は、Red Hat Insights のクライアント設定ガイド の insights-client スケジュールの変更 を参照してください。
手順
Satellite Server で Red Hat Insights をインストールするには、以下のコマンドを入力します。
# satellite-maintain packages install insights-client
Satellite Server を Red Hat Insights に登録するには、以下のコマンドを入力します。
# satellite-installer --register-with-insights
4.2. Red Hat Insights への登録の無効化
Satellite のインストールまたはアップグレード後に、必要に応じて Red Hat Insights の登録または登録解除を選択できます。たとえば、オフライン環境で Satellite を使用する必要がある場合は、Satellite Server から insights-client の登録を解除できます。
前提条件
- Satellite を Red Hat カスタマーポータルに登録している。
手順
オプション: Satellite Server から Red Hat Insights の登録を解除するには、以下のコマンドを入力します。
# insights-client --unregister
オプション: Satellite Server を Red Hat Insights に登録するには、以下のコマンドを入力します。
# satellite-installer --register-with-insights
4.3. Satellite Client 6 リポジトリーの有効化
Satellite Client 6 のリポジトリーは、Satellite Server に登録されているクライアント向けの katello-agent、katello-host-tools および puppet パッケージを提供します。ホストの管理に必要な各 Red Hat Enterprise Linux バージョンのリポジトリーを有効にする必要があります。Satellite Client 6 リポジトリーを有効にするオペレーティングシステムのバージョンに応じて、以下の手順に進んでください。
4.3.1. Red Hat Enterprise Linux 9 & Red Hat Enterprise Linux 8
Satellite Web UI の代わりに CLI を使用するには、Red Hat Enterprise Linux バージョンに関連する手順を参照してください。
手順
- Satellite Web UI で、コンテンツ > Red Hat リポジトリー に移動します。
- Available Repositories ペインで、Recommended Repositories を有効にして、リポジトリーのリストを取得します。
- Red Hat Satellite Client 6 for RHEL 9 x86_64 (RPMs) または Red Hat Satellite Client 6 for RHEL 8 x86_64 (RPMs) をクリックして、リポジトリーセットをデプロイします。
x86_64 アーキテクチャーの場合、+ アイコンをクリックしてリポジトリーを有効にします。
Satellite Client 6 の項目が表示されていない場合は、カスタマーポータルから取得した Red Hat サブスクリプションマニフェストにその項目が含まれないことが原因として考えられます。この問題を修正するには、カスタマーポータルにログインし、これらのリポジトリーを追加し、Red Hat サブスクリプションマニフェストをダウンロードして、Satellite にインポートします。詳細は、コンテンツの管理 の Red Hat サブスクリプションの管理 を参照してください。
ホストで実行している Red Hat Enterprise Linux の各サポート対象メジャーバージョンに対して Satellite Client 6 リポジトリーを有効にします。Red Hat リポジトリーの有効後に、このリポジトリーの製品が自動的に作成されます。
Red Hat Enterprise Linux 9 の CLI 手順
hammer repository-set enableコマンドを使用して、Satellite Client 6 リポジトリーを有効化します。# hammer repository-set enable \ --basearch="x86_64" \ --name "Red Hat Satellite Client 6 for RHEL 9 x86_64 (RPMs)" \ --organization "My_Organization" \ --product "Red Hat Enterprise Linux for x86_64"
Red Hat Enterprise Linux 8 の CLI 手順
hammer repository-set enableコマンドを使用して、Satellite Client 6 リポジトリーを有効化します。# hammer repository-set enable \ --basearch="x86_64" \ --name "Red Hat Satellite Client 6 for RHEL 8 x86_64 (RPMs)" \ --organization "My_Organization" \ --product "Red Hat Enterprise Linux for x86_64"
4.3.2. Red Hat Enterprise Linux 7 & Red Hat Enterprise Linux 6
Red Hat Enterprise Linux 6 のリポジトリーを有効にするには、Red Hat Enterprise Linux 延長ライフサイクルサポート (ELS) アドオン サブスクリプションが必要です。詳細については、Red Hat Enterprise Linux 延長ライフサイクルサポート (ELS) アドオン ガイドを参照してください。
Satellite Web UI の代わりに CLI を使用するには、Red Hat Enterprise Linux バージョンに関連する手順を参照してください。
手順
- Satellite Web UI で、コンテンツ > Red Hat リポジトリー に移動します。
- Available Repositories ペインで、Recommended Repositories を有効にして、リポジトリーのリストを取得します。
Available Repositories ペインで、Satellite Client 6 (for RHEL 7 Server) (RPMs) または Satellite Client 6 (for RHEL 6 Server - ELS) (RPMs) をクリックしてリポジトリーセットをデプロイします。
Satellite Client 6 の項目が表示されていない場合は、カスタマーポータルから取得した Red Hat サブスクリプションマニフェストにその項目が含まれないことが原因として考えられます。この問題を修正するには、カスタマーポータルにログインし、これらのリポジトリーを追加し、Red Hat サブスクリプションマニフェストをダウンロードして、Satellite にインポートします。詳細は、コンテンツの管理 の Red Hat サブスクリプションの管理 を参照してください。
- x86_64 アーキテクチャーの場合、+ アイコンをクリックしてリポジトリーを有効にします。ホストで実行している Red Hat Enterprise Linux の各サポート対象メジャーバージョンに対して Satellite Client 6 リポジトリーを有効にします。Red Hat リポジトリーの有効後に、このリポジトリーの製品が自動的に作成されます。
Red Hat Enterprise Linux 7 の CLI 手順
hammer repository-set enableコマンドを使用して、Satellite Client 6 リポジトリーを有効化します。# hammer repository-set enable \ --basearch="x86_64" \ --name "Red Hat Satellite Client 6 (for RHEL 7 Server) (RPMs)" \ --organization "My_Organization" \ --product "Red Hat Enterprise Linux Server"
Red Hat Enterprise Linux 6 の CLI 手順
hammer repository-set enableコマンドを使用して、Satellite Client 6 リポジトリーを有効化します。# hammer repository-set enable \ --basearch="x86_64" \ --name "Red Hat Satellite Client 6 (for RHEL 6 Server - ELS) (RPMs)" \ --organization "My_Organization" \ --product "Red Hat Enterprise Linux Server - Extended Life Cycle Support"
4.4. Satellite クライアント 6 のリポジトリーの同期
本セクションを使用して、Red Hat コンテンツ配信ネットワーク (CDN) から Satellite に Satellite Client 6 リポジトリーを同期します。このリポジトリーは、Satellite Server に登録したクライアントに katello-agent、katello-host-tools、および puppet パッケージを提供します。Satellite Client 6 リポジトリーを同期するオペレーティングシステムのバージョンに応じて、以下の手順に進んでください。
4.4.1. Red Hat Enterprise Linux 9 & Red Hat Enterprise Linux 8
Satellite Web UI の代わりに CLI を使用するには、Red Hat Enterprise Linux バージョンに関連する手順を参照してください。
手順
- Satellite Web UI で、Content > Sync Status に移動します。
- Red Hat Enterprise Linux for x86_64 製品の横にある矢印をクリックして、利用可能なコンテンツを表示します。
- Red Hat Satellite Client 6 for RHEL 9 x86_64 RPMs または Red Hat Satellite Client 6 for RHEL 8 x86_64 RPMs (該当する方) を選択します。
- Synchronize Now をクリックします。
Red Hat Enterprise Linux 9 の CLI 手順
hammer repository synchronizeコマンドを使用して、Satellite Client 6 リポジトリーを同期します。# hammer repository synchronize \ --name "Red Hat Satellite Client 6 for RHEL 9 x86_64 RPMs" \ --organization "My_Organization" \ --product "Red Hat Enterprise Linux for x86_64"
Red Hat Enterprise Linux 8 の CLI 手順
hammer repository synchronizeコマンドを使用して、Satellite Client 6 リポジトリーを同期します。# hammer repository synchronize \ --name "Red Hat Satellite Client 6 for RHEL 8 x86_64 RPMs" \ --organization "My_Organization" \ --product "Red Hat Enterprise Linux for x86_64"
4.4.2. Red Hat Enterprise Linux 7 & Red Hat Enterprise Linux 6
Red Hat Enterprise Linux 6 のリポジトリーを同期するには、Red Hat Enterprise Linux 延長ライフサイクルサポート (ELS) アドオン サブスクリプションが必要です。詳細については、Red Hat Enterprise Linux 延長ライフサイクルサポート (ELS) アドオン ガイドを参照してください。
Satellite Web UI の代わりに CLI を使用するには、Red Hat Enterprise Linux バージョンに関連する手順を参照してください。
手順
- Satellite Web UI で、Content > Sync Status に移動します。
- Red Hat Enterprise Linux Server または Red Hat Enterprise Linux Server - Extended Life Cycle Support 製品 (該当する方) の横にある矢印をクリックして、利用可能なコンテンツを表示します。
- お使いのオペレーティングシステムのバージョンに応じて、Red Hat Satellite Client 6 (for RHEL 7 Server) RPMs x86_64 または Red Hat Satellite Client 6 for RHEL 6 Server - ELS RPMs x86_64 を選択します。
- Synchronize Now をクリックします。
Red Hat Enterprise Linux 7 の CLI 手順
hammer repository synchronizeコマンドを使用して、Satellite Client 6 リポジトリーを同期します。# hammer repository synchronize \ --async \ --name "Red Hat Satellite Client 6 for RHEL 7 Server RPMs x86_64" \ --organization "My_Organization" \ --product "Red Hat Enterprise Linux Server"
Red Hat Enterprise Linux 6 の CLI 手順
hammer repository synchronizeコマンドを使用して、Satellite Client 6 リポジトリーを同期します。# hammer repository synchronize \ --async \ --name "Red Hat Satellite Client 6 for RHEL 6 Server - ELS RPMs x86_64" \ --organization "My_Organization" \ --product "Red Hat Enterprise Linux Server - Extended Life Cycle Support"
4.5. IPv6 ネットワークでの UEFI HTTP ブート向けの Satellite の設定
以下の手順を使用して、UEFI HTTP ブートプロビジョニングで IPv6 ネットワークのホストをプロビジョニングするように Satellite を設定します。
前提条件
- クライアントが DHCP および HTTP サーバーにアクセスできることを確認します。
- クライアントが DHCP の要求と応答を送受信できるように、クライアントが UDP ポート 67 および 68 にアクセス可能であることを確認します。
- Satellite および Capsule からファイルおよびキックスタートテンプレートをダウンロードできるように、クライアントに対して TCP ポート 8000 が解放してあることを確認します。
- ホストプロビジョニングインターフェイスサブネットに HTTP ブート Capsule、テンプレート Capsule セットがあることを確認します。詳細は、プロビジョニング ガイドの Satellite Server へのサブネットの追加 を参照してください。
- Satellite Web UI で、Administer > Settings > Provisioning に移動し、Token duration の設定が 0 に設定されていないことを確認します。Satellite は、DHCPv6 サービスがマネージド外であるため、リモートの IPv6 アドレスでネットワークから起動するクライアントを特定できないので、プロビジョニングトークンは有効化しておく必要があります。
手順
- インストーラーでの DHCP 管理を無効にするか、使用しないようにします。
- IPv6 サブネットが Satellite で作成されている場合にはすべて、DHCP Capsule を空白に設定します。
- オプション: ホストおよび DHCP サーバーがルーターで隔てられている場合は、DHCP リレーエージェントを設定し、DHCP サーバーを指定しておく。
プロビジョニング元の Satellite または Capsule で、
grub2-efiパッケージを最新版に更新します。# satellite-maintain packages update grub2-efi
- Red Hat Enterprise Linux 8 キックスタートリポジトリーを同期します。
4.6. HTTP プロキシーを使用した Satellite Server の設定
以下の手順を使用して、HTTP プロキシーで Satellite を設定します。
4.6.1. デフォルトの HTTP プロキシーの Satellite への追加
ネットワークで HTTP プロキシーを使用している場合は、Red Hat コンテンツ配信ネットワーク (CDN) または別のコンテンツソースへの要求送信に HTTP プロキシーを使用するように Satellite Server を設定できます。ネットワークの変更が原因で接続が失われるのを回避するために、可能な限り IP の代わりに FQDN を使用します。
以下の手順では、Satellite のコンテンツダウンロード専用のプロキシーを設定します。Satellite Web UI の代わりに CLI を使用する場合は、CLI 手順 を参照してください。
手順
- Satellite Web UI で、Infrastructure > HTTP Proxies に移動します。
- 新しい HTTP プロキシー をクリックします。
- 名前 フィールドで、HTTP プロキシーの名前を入力します。
-
Url フィールドで、
https://proxy.example.com:8080の形式で HTTP プロキシーの URL を入力します。 - オプション: 認証が必要な場合には、Username フィールドに認証に使用するユーザー名を入力します。
- オプション: 認証が必要な場合には、Password フィールドに認証に使用するパスワードを入力します。
- プロキシーへの接続をテストするには、テスト接続 ボタンをクリックします。
- Submit をクリックします。
- Satellite Web UI で、Administer > Settings に移動して、Content タブをクリックします。
- 作成した HTTP プロキシーに Default HTTP Proxy 設定を指定します。
CLI 手順
http_proxy、https_proxyおよびno_proxy変数が設定されていないことを確認します。# unset http_proxy # unset https_proxy # unset no_proxy
HTTP プロキシーエントリーを Satellite に追加します。
# hammer http-proxy create --name=myproxy \ --url http://myproxy.example.com:8080 \ --username=proxy_username \ --password=proxy_password
Satellite がデフォルトでこの HTTP プロキシーを使用するように設定します。
# hammer settings set --name=content_default_http_proxy --value=myproxy
4.6.2. カスタムポートでの Satellite へのアクセスを確保するように SELinux を設定する手順
SELinux は、特定のポートへの Red Hat Satellite および Subscription Manager へのアクセスのみを保証します。HTTP キャッシュの場合には、TCP ポートは 8080、8118、8123、および 10001-10010 を使用できます。SELinux タイプが http_cache_port_t のポートを使用する場合には、以下の手順を実行してください。
手順
Satellite で以下のコマンドを実行して、SELinux で HTTP キャッシュに許可されているポートを確認します。
# semanage port -l | grep http_cache http_cache_port_t tcp 8080, 8118, 8123, 10001-10010 [output truncated]以下のコマンドを実行して、SELinux が HTTP キャッシュにポート (たとえば、8088) を許可するよう設定します。
# semanage port -a -t http_cache_port_t -p tcp 8088
4.6.3. 全 Satellite HTTP 要求での HTTP プロキシーの使用
Satellite Server は、HTTP および HTTPS をブロックするファイアウォールの内側に設定する必要がある場合に、コンピュートリソースなどの外部システムとの通信に使用するプロキシーを設定してください。
プロビジョニングにコンピュートリソースを使用し、コンピュートリソースと、異なる HTTP プロキシーを併用する場合には、コンピュートリソースに設定したプロキシーではなく、Satellite 通信すべてに設定したプロキシーが優先されます。
手順
- Satellite Web UI で、Administer > Settings に移動します。
- HTTP(S) プロキシー 行で、隣接する Value 列を選択し、プロキシー URL を入力します。
- チェックのアイコンをクリックして変更を保存します。
CLI 手順
以下のコマンドを入力します。
# hammer settings set --name=http_proxy --value=Proxy_URL
4.6.4. プロキシー化された要求を受信しないようにホストを除外する手順
Satellite HTTP または HTTPS 要求に HTTP プロキシーを使用する場合は、プロキシー経由で通信しないように、特定のホストを除外できます。
手順
- Satellite Web UI で、Administer > Settings に移動します。
- HTTP(S) proxy except hosts の行で、隣接する Value の列を選択して、プロキシー要求から除外する、1 つまたは複数のホストの名前を入力します。
- チェックのアイコンをクリックして変更を保存します。
CLI 手順
以下のコマンドを入力します。
# hammer settings set --name=http_proxy_except_list --value=[hostname1.hostname2...]
4.6.5. HTTP プロキシーのリセット
現在の HTTP プロキシーの設定をリセットする場合には、Default HTTP Proxy 設定を解除します。
手順
- Satellite Web UI で、Administer > Settings に移動して、Content タブをクリックします。
- Default HTTP Proxy の設定を no global default に指定します。
CLI 手順
content_default_http_proxyの設定を空の文字列に設定します。# hammer settings set --name=content_default_http_proxy --value=""
4.7. マネージドホスト上での電源管理の有効化
Intelligent Platform Management Interface (IPMI) または類似するプロトコルを使用してマネージドホストで電源管理タスクを実行するには、Satellite Server でベースボード管理コントローラー (BMC) モジュールを有効にする必要があります。
前提条件
- すべてのマネージドホストには、BMC タイプのネットワークインターフェイスが必要である。Satellite Server はこの NIC を使用して、適切な認証情報をホストに渡します。詳細は、Managing Hosts ガイドの Adding a Baseboard Management Controller (BMC) Interface を参照してください。
手順
BMC を有効にするには、以下のコマンドを入力します。
# satellite-installer --foreman-proxy-bmc "true" \ --foreman-proxy-bmc-default-provider "freeipmi"
4.8. Satellite Server での DNS、DHCP および TFTP の設定
DNS、DHCP および TFTP サービスを Satellite Server で設定するには、お使いの環境に適したオプションを指定して satellite-installer コマンドを使用します。設定可能なオプションの全リストを表示するには、satellite-installer --scenario satellite --help コマンドを入力します。
設定を変更するには、satellite-installer コマンドを再び実行する必要があります。コマンドは複数回実行でき、実行するたびにすべての設定ファイルが変更された値で更新されます。
代わりに外部の DNS、DHCP および TFTP サービスを使用するには、5章外部サービスでの Satellite Server の設定 を参照してください。
Multihomed DHCP の詳細の追加
マルチホーム DHCP を使用する場合は、インストーラーに通知する必要があります。
前提条件
以下の情報が利用可能であることを確認する。
- DHCP IP アドレス範囲
- DHCP ゲートウェイ IP アドレス
- DHCP ネームサーバー IP アドレス
- DNS 情報
- TFTP サーバー名
- ネットワークの変更の場合は、可能な限り、IP アドレスの代わりに FQDN を使用します。
- ネットワーク管理者に連絡して正しい設定が行われていることを確認する。
手順
お使いの環境に適したオプションで、
satellite-installerコマンドを入力してください。以下の例では、完全なプロビジョニングサービスの設定を示しています。# satellite-installer --scenario satellite \ --foreman-proxy-dns true \ --foreman-proxy-dns-managed true \ --foreman-proxy-dns-interface eth0 \ --foreman-proxy-dns-zone example.com \ --foreman-proxy-dns-reverse 2.0.192.in-addr.arpa \ --foreman-proxy-dhcp true \ --foreman-proxy-dhcp-managed true \ --foreman-proxy-dhcp-interface eth0 \ --foreman-proxy-dhcp-additional-interfaces eth1 \ --foreman-proxy-dhcp-additional-interfaces eth2 \ --foreman-proxy-dhcp-range "192.0.2.100 192.0.2.150" \ --foreman-proxy-dhcp-gateway 192.0.2.1 \ --foreman-proxy-dhcp-nameservers 192.0.2.2 \ --foreman-proxy-tftp true \ --foreman-proxy-tftp-managed true \ --foreman-proxy-tftp-servername 192.0.2.3
プロンプトに表示される satellite-installer コマンドの進行状況を監視できます。/var/log/foreman-installer/satellite.log でログを表示できます。/etc/foreman-installer/scenarios.d/satellite-answers.yaml ファイルで、使用されている設定 (initial_admin_password パラメーターなど) を表示できます。
DHCP、DNS および TFTP サービスの設定に関する情報は、プロビジョニング ガイドの ネットワークサービスの設定 セクションを参照してください。
4.9. マネージド外ネットワークに対する DNS、DHCP、および TFTP の無効化
TFTP、DHCP および DNS サービスを手動で管理する場合には、Satellite がオペレーティングシステム上でこれらのサービスを管理しないようにし、オーケストレーションを無効にして、DHCP および DNS バリデーションエラーを回避する必要があります。ただし、Satellite ではオペレーティングシステムのバックエンドサービスは削除されません。
手順
Satellite Server で以下のコマンドを入力します。
# satellite-installer --foreman-proxy-dhcp false \ --foreman-proxy-dns false \ --foreman-proxy-tftp false
- Satellite Web UI で、インフラストラクチャー > Capsule に移動し、サブネットを選択します。
- Capsules タブで、DHCP Capsule、TFTP Capsule、および 逆引き DNS Capsule を選択します。
- Satellite Web UI で、インフラストラクチャー > ドメイン に移動し、ドメインを選択します。
- DNS Capsule フィールドの内容を消去します。
オプション: サードパーティーが提供する DHCP サービスを使用する場合は、以下のオプションを渡すように DHCP サーバーを設定します。
Option 66: IP address of Satellite or Capsule Option 67: /pxelinux.0DHCP オプションの詳細は RFC 2132 を参照してください。
Satellite は、Capsule が該当するサブネットとドメインに設定されていない場合にオーケストレーションを実行しません。Capsule の関連付けを有効または無効にした場合に、想定のレコードと設定ファイルが存在しないと、既存のホストのオーケストレーションコマンドが失敗することがあります。オーケストレーションを有効にするために Capsule を関連付ける場合は、今後、ホストの削除に失敗しないように、既存の Satellite ホストに対して必要な DHCP レコード、DNS レコード、TFTP ファイルが所定の場所にあることを確認します。
4.10. Satellite Server での送信メールの設定
Satellite Server からメールメッセージを送信するには、SMTP サーバーまたは sendmail コマンドのいずれかを使用できます。
前提条件
-
スパム対策保護またはグレイリスティング機能を備えた SMTP サーバーの一部で、問題が発生することが知られています。このようなサービスでの送信メールの設定には、リレー用に Satellite Server に vanilla SMTP サービスをインストールして設定するか、代わりに
sendmailコマンドを使用します。
手順
- Satellite Web UI で、Administer > Settings に移動します。
Email タブをクリックして、希望する配信方法に一致する設定オプションを設定します。変更は即座に反映されます。
以下の例は、SMTP サーバーを使用する場合の設定オプションの例を示しています。
表4.1 配信方法に SMTP サーバーを使用する例
名前 値例 配信方法
SMTP
SMTP アドレス
smtp.example.com
SMTP 認証
ログイン
SMTP HELO/EHLO ドメイン
example.com
SMTP パスワード
パスワード
SMTP ポート
25
SMTP ユーザー名
user@example.com
SMTP ユーザー名とSMTP パスワードでは、SMTP サーバーのログイン認証情報を指定します。以下の例では、gmail.com が SMTP サーバーとして使用されています。
表4.2 gmail.com を SMTP サーバーとして使用する例
名前 値例 配信方法
SMTP
SMTP アドレス
smtp.gmail.com
SMTP 認証
plain
SMTP HELO/EHLO ドメイン
smtp.gmail.com
SMTP enable StartTLS auto
あり
SMTP パスワード
パスワード
SMTP ポート
587
SMTP ユーザー名
user@gmail.com
以下の例では、
sendmailコマンドが配信方法として使用されています。表4.3 配信方法に sendmail を使用する例
名前 値例 配信方法
Sendmail
Sendmail の場所
/usr/sbin/sendmail
Sendmail の引数
-i
セキュリティー上の理由から、Sendmail の場所と Sendmail 引数の設定はどちらも読み取り専用であり、
/etc/foreman/settings.yamlでのみ設定できます。現在、両方の設定をsatellite-installerで設定することはできません。詳細は、sendmail 1 の man ページを参照してください。
TLS 認証を使用する SMTP サーバーで電子メールを送信する場合は、以下のいずれかの手順を実行してください。
SMTP サーバーの CA 証明書を信頼済みとしてマークします。このようにマークするには、Satellite Server で以下のコマンドを実行します。
# cp mailca.crt /etc/pki/ca-trust/source/anchors/ # update-ca-trust enable # update-ca-trust
ここで、
mailca.crtは SMTP サーバーの CA 証明書です。-
または、Satellite Web UI で、
SMTP enable StartTLS autoオプションをNoに設定します。
-
Test email をクリックしてユーザーのメールアドレスにテストメッセージを送信し、設定が機能していることを確認します。メッセージの送信に失敗した場合、Satellite Web UI はエラーを表示します。詳細については、
/var/log/foreman/production.logのログを確認してください。
個別ユーザーまたはユーザーグループに対するメール通知の設定に関する詳細は、Administering Red Hat Satellite の Configuring Email Notifications を参照してください。
4.11. Satellite 向けの別の CNAME の設定
Satellite 向けに別の CNAME を設定できます。これは、Satellite に接続するクライアントシステムとは別のドメイン名で、Satellite Web インターフェイスをデプロイする場合に便利です。新規証明書をホストにもう一度デプロイしなくてもいいように、Capsule をインストールして Satellite にホストを登録する前に、別の CNAME 設定を事前に計画しておく必要があります。
4.11.1. 別の CNAME を使用した Satellite の設定
以下の手順を使用して、別の CNAME で Satellite を設定します。デフォルトの Satellite 証明書のユーザーとカスタム証明書のユーザーでは、手順が異なることに留意してください。
デフォルトの Satellite 証明書を使用する場合
デフォルトの Satellite 証明書で Satellite をインストールし、別の CNAME で Satellite を設定する場合には、Satellite で以下のコマンドを入力して、追加の CNAME で新たにデフォルトの Satellite SSL 証明書を生成します。
# satellite-installer --certs-cname alternate_fqdn --certs-update-server-
Satellite をインストールしていない場合には、
satellite-installerコマンドに--certs-cname alternate_fqdnオプションを追加して Satellite を別の CNAME でインストールしてください。
カスタム証明書を使用する場合
カスタム証明書で Satellite を使用する場合は、カスタム証明書の作成時に、別の CNAME レコードをカスタム証明書に追加します。詳細は、Satellite Server 向けのカスタム SSL 証明書の作成 を参照してください。
4.11.2. ホストが別の Satellite CNAME を使用してコンテンツを管理する設定
Satellite が別の CNAME で設定されている場合には、コンテンツ管理にもう 1 つの Satellite CNAME を使用するようにホストを設定できます。これには、ホストがもう 1 つの Satellite CNAME を参照するように設定してから、Satellite に登録する必要があります。この設定は、ブートストラップスクリプトを使用するか、手動で実行できます。
ブートストラップスクリプトを使用したホストの設定
ホストで --server alternate_fqdn.example.com オプションを指定してブートストラップスクリプトを実行し、ホストを別の Satellite CNAME に登録します。
# ./bootstrap.py --server alternate_fqdn.example.comホストの手動設定
ホストで /etc/rhsm/rhsm.conf ファイルを編集して、以下のように別のホスト名を参照するように hostname および baseurl 設定を更新します。
[server] # Server hostname: hostname = alternate_fqdn.example.com content omitted [rhsm] # Content base URL: baseurl=https://alternate_fqdn.example.com/pulp/content/
これで、subscription-manager でホストを登録できました。
4.12. カスタムの SSL 証明書を使用した Satellite Server の設定
デフォルトでは、Red Hat Satellite は自己署名の SSL 証明書を使用して、Satellite Server、外部の Capsule Server および全ホストの間で暗号化した通信ができるようにします。Satellite の自己署名証明書を使用できない場合には、外部の認証局 (CA) で署名した SSL 証明書を使用するように Satellite Server を設定できます。
カスタム SSL 証明書を使用して Red Hat Satellite を設定する場合は、次の要件を満たす必要があります。
- SSL 証明書には、Privacy-Enhanced Mail (PEM) エンコードを使用する必要があります。
- Satellite Server と Capsule Server の両方に同じ SSL 証明書を使用しないでください。
- Satellite Server と Capsule Server の証明書には同じ CA が署名する必要があります。
- SSL 証明書は CA 証明書であってはなりません。
- SSL 証明書には、共通名 (CN) と一致するサブジェクト代替名 (SAN) エントリーが含まれている必要があります。
- SSL 証明書は、鍵用途エクステンションを使用した鍵暗号化が許可されている必要があります。
- SSL 証明書は、CN に短縮名を使用することはできません。
- 秘密鍵にパスフレーズを設定しないでください。
カスタムの証明書で Satellite Server を設定するには、以下の手順を実行します。
- 「Satellite Server 向けのカスタム SSL 証明書の作成」
- 「カスタムの SSL 証明書の Satellite Server へのデプロイ」
- 「ホストへの カスタム SSL 証明書のデプロイ」
- Satellite Server に外部の Capsule Server を登録した場合には、カスタムの SSL 証明書を使用して設定します。詳細は、Capsule Server のインストールの カスタム SSL 証明書を使用した Capsule Server の設定 を参照してください。
4.12.1. Satellite Server 向けのカスタム SSL 証明書の作成
この手順を使用して、Satellite Server 用にカスタムの SSL 証明書を作成します。Satellite Server 用のカスタムの SSL 証明書がある場合にはこの手順は省略してください。
手順
ソースの証明書ファイルすべてを保存するには、
rootユーザーだけがアクセスできるディレクトリーを作成します。# mkdir /root/satellite_cert
証明書署名要求 (CSR) に署名する秘密鍵を作成します。
秘密鍵は暗号化する必要がないことに注意してください。パスワードで保護された秘密鍵を使用する場合は、秘密鍵のパスワードを削除します。
この Satellite Server の秘密鍵がすでにある場合は、この手順を省略します。
# openssl genrsa -out
/root/satellite_cert/satellite_cert_key.pem4096CSR 用の
/root/satellite_cert/openssl.cnf設定ファイルを作成して、以下のコンテンツを追加します。[ req ] req_extensions = v3_req distinguished_name = req_distinguished_name x509_extensions = usr_cert prompt = no [ req_distinguished_name ] CN = satellite.example.com [ v3_req ] basicConstraints = CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection subjectAltName = @alt_names [ usr_cert ] basicConstraints=CA:FALSE nsCertType = client, server, email keyUsage = nonRepudiation, digitalSignature, keyEncipherment extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection nsComment = "OpenSSL Generated Certificate" subjectKeyIdentifier=hash authorityKeyIdentifier=keyid,issuer [ alt_names ] DNS.1 = satellite.example.com
CSR を生成します。
# openssl req -new \ -key /root/satellite_cert/satellite_cert_key.pem \ 1 -config /root/satellite_cert/openssl.cnf \ 2 -out /root/satellite_cert/satellite_cert_csr.pem 3
認証局 (CA) に証明書署名要求を送信します。Satellite Server と Capsule Server の証明書には同じ CA が署名する必要があります。
要求を送信する場合は、証明書の有効期限を指定してください。証明書要求の送信方法にはさまざまなものがあるため、推奨される方法について CA にお問い合わせください。要求すると、CA バンドルと署名済み証明書を別々のファイルで受け取ることになります。
4.12.2. カスタムの SSL 証明書の Satellite Server へのデプロイ
この手順を使用して、Satellite Server が、認証局で署名されたカスタムの SSL 署名書を使用するように設定します。katello-certs-check コマンドは、入力した証明書ファイルを検証して、Satellite Server にカスタムの SSL 証明書をデプロイするのに必要なコマンドを返します。
SSL 証明書や .tar バンドルを /tmp や /var/tmp ディレクトリーに保存しないでください。オペレーティングシステムは、これらのディレクトリーからファイルを定期的に削除します。その結果、機能の有効化または Satellite Server のアップグレード中に、satellite-installer の実行が失敗します。
手順
カスタムの SSL 証明書入力ファイルを検証します。
katello-certs-checkコマンドが正しく実行されるには、証明書のコモンネーム (CN) が Satellite Server の FQDN と一致する必要があることに注意してください。# katello-certs-check \ -c /root/satellite_cert/satellite_cert.pem \ 1 -k /root/satellite_cert/satellite_cert_key.pem \ 2 -b /root/satellite_cert/ca_cert_bundle.pem 3
このコマンドに成功すると、2 つの
satellite-installerコマンドが返されます。1 つは、Satellite Server に証明書をデプロイするのに使用する必要があります。katello-certs-checkの出力例Validation succeeded. To install the Red Hat Satellite Server with the custom certificates, run: satellite-installer --scenario satellite \ --certs-server-cert "/root/satellite_cert/satellite_cert.pem" \ --certs-server-key "/root/satellite_cert/satellite_cert_key.pem" \ --certs-server-ca-cert "/root/satellite_cert/ca_cert_bundle.pem" To update the certificates on a currently running Red Hat Satellite installation, run: satellite-installer --scenario satellite \ --certs-server-cert "/root/satellite_cert/satellite_cert.pem" \ --certs-server-key "/root/satellite_cert/satellite_cert_key.pem" \ --certs-server-ca-cert "/root/satellite_cert/ca_cert_bundle.pem" \ --certs-update-server --certs-update-server-ca/root/ssl-buildにアクセスしたり変更したりしないでください。要件に合わせて
katello-certs-checkコマンドの出力から、satellite-installerコマンドを入力し、カスタムの SSL 証明書で新しい Satellite をインストールするか、現在実行中の Satellite の証明書を更新します。実行するコマンドが不明な場合には、
/etc/foreman-installer/scenarios.d/.installedが存在するかをチェックし、Satellite がインストールされていることが確認できます。ファイルが存在する場合には、2 番目のsatellite-installerコマンドを実行すると証明書が更新されます。重要証明書をデプロイした後、
satellite-installerには証明書アーカイブファイルが必要になります。変更したり削除したりしないでください。Satellite Server のアップグレード時などに必要です。-
Satellite Server にネットワークでアクセスできるコンピューターで、この URL (
https://satellite.example.com) に移動します。 - ブラウザーで、証明書の詳細を表示して、デプロイした証明書を確認します。
4.12.3. ホストへの カスタム SSL 証明書のデプロイ
Satellite Server がカスタムの SSL 証明書を使用する用に設定した後に、Satellite Server に登録されている全ホストに katello-ca-consumer パッケージもインストールする必要があります。
手順
各ホストに
katello-ca-consumerパッケージをインストールします。# yum localinstall \ http://satellite.example.com/pub/katello-ca-consumer-latest.noarch.rpm
4.13. Satellite での外部データベースの使用
Red Hat Satellite のインストールプロセスの一部として、satellite-installer コマンドは PostgreSQL のデータベースを Satellite と同じサーバー上にインストールします。Satellite のデプロイメントによっては、デフォルトのローカルにあるデータベースの代わりに外部データベースを使用すると、サーバーの負荷が軽減される場合があります。
Red Hat では、外部データベースのメンテナンスのサポートやそのためのツールは提供していません。これにはバックアップ、アップグレード、データベースのチューニングが含まれます。外部データベースをサポートし、管理する自社のデータベース管理者が必要です。
Satellite 用に外部データベースを作成して使用するには、以下の手順を実行します。
- 「外部データベース用のホストの準備」。外部データベースをホストする Red Hat Enterprise Linux 8 サーバーまたは Red Hat Enterprise Linux 7 サーバーを準備します。
- 「PostgreSQL のインストール」。Satellite、Candlepin、Pulp のデータベースを使用して PostgreSQL を準備し、それらを所有する専用ユーザーを配置します。
-
「外部データベースを使用するための Satellite Server の設定」。新規データベースを参照するように
satellite-installerのパラメーターを編集し、satellite-installerを実行します。
4.13.1. 外部データベースとして PostgreSQL を使用する際の注意点
Foreman、Katello、および Candlepin は PostgreSQL データベースを使用します。PostgreSQL を外部データベースとして使用する場合は、以下の情報を参照してお使いの Satellite 設定にこのオプションが適しているかどうかを判別してください。Satellite は PostgreSQL バージョン 12 をサポートします。
外部 PostgreSQL の利点
- Satellite 上の空きメモリーと空き CPU が増えます。
-
PostgreSQL データベースで
shared_buffersを高い値に設定しても、Satellite 上の他のサービスの妨げるリスクがありません。 - Satellite 操作にマイナスの影響をもたらすことなく PostgreSQL サーバーのシステムを調整する柔軟性が得られます。
外部 PostgreSQL のマイナス点
- デプロイメントの複雑性が増し、問題解決がより困難になります。
- 外部 PostgreSQL サーバーの場合は、パッチおよびメンテナンス対象に新たなシステムが加わることになります。
- Satellite または PostgreSQL データベースサーバーのいずれかにハードウェアまたはストレージ障害が発生すると、Satellite が機能しなくなります。
- Satellite Server とデータベースサーバーの間でレイテンシーが発生すると、パフォーマンスに影響が出ます。
お使いの Satellite 上の PostgreSQL データベースが原因でパフォーマンスの低下が生じている可能性がある場合は、Satellite 6: How to enable postgres query logging to detect slow running queries を参照して時間のかかっているクエリーがあるかどうか判定します。1 秒以上かかるクエリーがある場合は、通常、大規模インストールのパフォーマンスが原因であることが多く、外部データベースに移行しても問題解決が期待できません。時間のかかっているクエリーがある場合は、Red Hat サポートチームまでお問い合わせください。
4.13.2. 外部データベース用のホストの準備
新しくプロビジョニングされたシステムを最新の Red Hat Enterprise Linux 8 サーバーまたは Red Hat Enterprise Linux 7 サーバーにインストールし、外部データベースをホストします。
Red Hat Software Collections および Red Hat Enterprise Linux のサブスクリプションでは、外部データベースと Satellite を併用する場合に、正しいサービスレベルアグリーメントが提供されません。外部データベースに使用するベースオペレーティングシステムにも、Satellite サブスクリプションをアタッチする必要があります。
前提条件
- 準備されたホストは、Satellite の Storage Requirements を満たしている必要があります。
手順
- Attaching the Satellite Infrastructure Subscription の手順に従い、サーバーに Satellite サブスクリプションをアタッチします。
すべてのリポジトリーを無効にし、以下のリポジトリーのみを有効にします。
Red Hat Enterprise Linux 7 の場合:
# subscription-manager repos --disable '*' # subscription-manager repos --enable=rhel-server-rhscl-7-rpms \ --enable=rhel-7-server-rpms --enable=rhel-7-server-satellite-6.11-rpms
Red Hat Enterprise Linux 8 の場合:
# subscription-manager repos --disable '*' # subscription-manager repos \ --enable=satellite-6.11-for-rhel-8-x86_64-rpms \ --enable=rhel-8-for-x86_64-baseos-rpms \ --enable=rhel-8-for-x86_64-appstream-rpms
Red Hat Enterprise Linux 8 で、以下のモジュールを有効にします。
# dnf module enable satellite:el8
注記モジュール
satellite:el8を有効にすると、postgresql:10およびruby:2.5との競合について警告が表示されます。これは、これらのモジュールが Red Hat Enterprise Linux 8 でデフォルトのモジュールバージョンに設定されているためです。モジュールsatellite:el8には、モジュールpostgresql:12およびruby:2.7への依存関係があり、satellite:el8モジュールで有効になります。これらの警告はインストールプロセスの失敗の原因にはならないため、安全に無視できます。Red Hat Enterprise Linux 8 のモジュールとライフサイクルストリームの詳細については、Red Hat Enterprise Linux Application Streams Life Cycle を参照してください。
4.13.3. PostgreSQL のインストール
インストール可能な PostgreSQL は、内部データベースのインストール中に satellite-installer ツールでインストールされたものと同じバージョンの PostgreSQL のみになります。PostgreSQL は、Red Hat Enterprise Linux 8 リポジトリーまたは Red Hat Enterprise Linux Server 7 リポジトリーを使用してインストールできます。Satellite は PostgreSQL バージョン 12 をサポートします。
4.13.3.1. Red Hat Enterprise Linux 8 への PostgreSQL のインストール
手順
PostgreSQL をインストールするには、以下のコマンドを入力します。
# dnf install postgresql-server postgresql-evr
PostgreSQL を初期化するには、以下のコマンドを入力します。
# postgresql-setup initdb
/var/lib/pgsql/data/postgresql.confファイルで以下を行います。# vi /var/lib/pgsql/data/postgresql.conf
#を削除して、着信接続をリッスンするようにします。listen_addresses = '*'
/var/lib/pgsql/data/pg_hba.confファイルを編集します。# vi /var/lib/pgsql/data/pg_hba.conf
以下の行をファイルに追加します。
host all all Satellite_ip/24 md5PostgreSQL サービスを起動し、有効にするには、以下のコマンドを実行します。
# systemctl start postgresql # systemctl enable postgresql
外部 PostgreSQL サーバーで postgresql ポートを開きます。
# firewall-cmd --add-service=postgresql # firewall-cmd --runtime-to-permanent
postgresユーザーに切り替え、PostgreSQL クライアントを起動します。$ su - postgres -c psql
3 つのデータベースと専用のロールを作成します。1 つは Satellite 用、1 つは Candlepin 用、もう 1 つは Pulp 用です。
CREATE USER "foreman" WITH PASSWORD 'Foreman_Password'; CREATE USER "candlepin" WITH PASSWORD 'Candlepin_Password'; CREATE USER "pulp" WITH PASSWORD 'Pulpcore_Password'; CREATE DATABASE foreman OWNER foreman; CREATE DATABASE candlepin OWNER candlepin; CREATE DATABASE pulpcore OWNER pulp;
postgresユーザーをログアウトします。# \q
Satellite Server から、データベースにアクセスできることをテストします。接続に成功した場合には、コマンドは
1を返します。# PGPASSWORD='Foreman_Password' psql -h postgres.example.com -p 5432 -U foreman -d foreman -c "SELECT 1 as ping" # PGPASSWORD='Candlepin_Password' psql -h postgres.example.com -p 5432 -U candlepin -d candlepin -c "SELECT 1 as ping" # PGPASSWORD='Pulpcore_Password' psql -h postgres.example.com -p 5432 -U pulp -d pulpcore -c "SELECT 1 as ping"
4.13.3.2. Red Hat Enterprise Linux 7 への PostgreSQL のインストール
手順
PostgreSQL をインストールするには、以下のコマンドを入力します。
# yum install rh-postgresql12-postgresql-server \ rh-postgresql12-syspaths \ rh-postgresql12-postgresql-evr
PostgreSQL を初期化するには、以下のコマンドを入力します。
# postgresql-setup initdb
/var/opt/rh/rh-postgresql12/lib/pgsql/data/postgresql.confファイルを編集します。# vi /var/opt/rh/rh-postgresql12/lib/pgsql/data/postgresql.conf
#を削除して、着信接続をリッスンするようにします。listen_addresses = '*'
/var/opt/rh/rh-postgresql12/lib/pgsql/data/pg_hba.confファイルを編集します。# vi /var/opt/rh/rh-postgresql12/lib/pgsql/data/pg_hba.conf
以下の行をファイルに追加します。
host all all Satellite_ip/24 md5PostgreSQL サービスを起動し、有効にするには、以下のコマンドを実行します。
# systemctl start postgresql # systemctl enable postgresql
外部 PostgreSQL サーバーで postgresql ポートを開きます。
# firewall-cmd --add-service=postgresql # firewall-cmd --runtime-to-permanent
postgresユーザーに切り替え、PostgreSQL クライアントを起動します。$ su - postgres -c psql
3 つのデータベースと専用のロールを作成します。1 つは Satellite 用、1 つは Candlepin 用、もう 1 つは Pulp 用です。
CREATE USER "foreman" WITH PASSWORD 'Foreman_Password'; CREATE USER "candlepin" WITH PASSWORD 'Candlepin_Password'; CREATE USER "pulp" WITH PASSWORD 'Pulpcore_Password'; CREATE DATABASE foreman OWNER foreman; CREATE DATABASE candlepin OWNER candlepin; CREATE DATABASE pulpcore OWNER pulp;
postgresユーザーをログアウトします。# \q
Satellite Server から、データベースにアクセスできることをテストします。接続に成功した場合には、コマンドは
1を返します。# PGPASSWORD='Foreman_Password' psql -h postgres.example.com -p 5432 -U foreman -d foreman -c "SELECT 1 as ping" # PGPASSWORD='Candlepin_Password' psql -h postgres.example.com -p 5432 -U candlepin -d candlepin -c "SELECT 1 as ping" # PGPASSWORD='Pulpcore_Password' psql -h postgres.example.com -p 5432 -U pulp -d pulpcore -c "SELECT 1 as ping"
4.13.4. 外部データベースを使用するための Satellite Server の設定
satellite-installer コマンドを使用して Satellite が外部の PostgreSQL データベースに接続するように設定します。
前提条件
- Red Hat Enterprise Linux サーバーに PostgreSQL データベースをインストールおよび設定していること。
手順
Satellite の外部データベースを設定するには以下のコマンドを入力します。
satellite-installer --scenario satellite \ --foreman-db-host postgres.example.com \ --foreman-db-password Foreman_Password \ --foreman-db-database foreman \ --foreman-db-manage false \ --katello-candlepin-db-host postgres.example.com \ --katello-candlepin-db-name candlepin \ --katello-candlepin-db-password Candlepin_Password \ --katello-candlepin-manage-db false \ --foreman-proxy-content-pulpcore-manage-postgresql false \ --foreman-proxy-content-pulpcore-postgresql-host postgres.example.com \ --foreman-proxy-content-pulpcore-postgresql-db-name pulpcore \ --foreman-proxy-content-pulpcore-postgresql-password Pulpcore_Password --foreman-proxy-content-pulpcore-postgresql-user pulp
これらの外部データベースに対して Secure Sockets Layer (SSL) プロトコルを有効にするには、次のオプションを追加します。
--foreman-db-sslmode verify-full --foreman-db-root-cert <path_to_CA> --katello-candlepin-db-ssl true --katello-candlepin-db-ssl-verify true --katello-candlepin-db-ssl-ca <path_to_CA> --foreman-proxy-content-pulpcore-postgresql-ssl true --foreman-proxy-content-pulpcore-postgresql-ssl-root-ca <path_to_CA>
4.14. 事前定義済みプロファイルを使用した Satellite Server の調整
Satellite のデプロイメントに 5000 台を超えるホストが含まれる場合には、事前定義済みの tuning プロファイルを使用して Satellite のパフォーマンスを向上できます。
Capsule では tuning プロファイルを使用できない点に注意してください。
Satellite が管理するホストの数と利用可能なハードウェアリソースに応じて、プロファイルの 1 つを選択できます。
tuning プロファイルは、/usr/share/foreman-installer/config/foreman.hiera/tuning/sizes ディレクトリーにあります。
--tuning オプションを指定して satellite-installer コマンドを実行した場合には、デプロイメント設定が以下の順番で Satellite Server に適用されます。
-
/usr/share/foreman-installer/config/foreman.hiera/tuning/common.yamlファイルで定義したデフォルトの tuning プロファイル -
/usr/share/foreman-installer/config/foreman.hiera/tuning/sizes/ディレクトリーで定義され、デプロイメントに適用する tuning プロファイル -
オプション:
/etc/foreman-installer/custom-hiera.yamlファイルを設定した場合、Satellite はこれらの設定を適用します。
/etc/foreman-installer/custom-hiera.yaml ファイルで定義した設定は、tuning プロファイルで定義した設定を上書きすることに注意してください。
したがって、tuning プロファイルを適用する前に、/usr/share/foreman-installer/config/foreman.hiera/tuning/common.yaml のデフォルトの tuning プロファイルに定義されている設定、適用する tuning プロファイル、および /etc/foreman-installer/custom-hiera.yaml ファイルを比較して、重複する設定内容を /etc/foreman-installer/custom-hiera.yaml ファイルから削除する必要があります。
- default
管理対象ホスト数: 0 – 5000
RAM: 20G
CPU コア数: 4
- medium
管理対象ホスト数: 5001 – 10000
RAM: 32G
CPU コア数: 8
- large
管理対象ホスト数: 10001 – 20000
RAM: 64G
CPU コア数: 16
- extra-large
管理対象ホスト数: 20001 – 60000
RAM: 128G
CPU コア数: 32
- extra-extra-large
マネージドホスト数: 60000+
RAM: 256G
CPU コア数: 48+
手順
オプション: Satellite Server で、
custom-hiera.yamlファイルを設定した場合、/etc/foreman-installer/custom-hiera.yamlファイルをcustom-hiera.originalにバックアップします。/etc/foreman-installer/custom-hiera.yamlファイルが破損した場合には、バックアップファイルを使用して、ファイルを元の状態に戻します。# cp /etc/foreman-installer/custom-hiera.yaml \ /etc/foreman-installer/custom-hiera.original
-
オプション: Satellite Server で
custom-hiera.yamlファイルを設定した場合、/usr/share/foreman-installer/config/foreman.hiera/tuning/common.yamlのデフォルト tuning プロファイルの定義と、/usr/share/foreman-installer/config/foreman.hiera/tuning/sizes/に適用する tuning プロファイルを確認します。/etc/foreman-installer/custom-hiera.yamlファイルの設定内容と比較して、/etc/foreman-installer/custom-hiera.yamlファイルで重複設定を削除します。 適用するプロファイルに対して、
--tuningオプションを指定してsatellite-installerコマンドを入力します。たとえば、medium tuning プロファイル設定を適用するには、以下のコマンドを入力します。# satellite-installer --tuning medium
第5章 外部サービスでの Satellite Server の設定
Satellite Server で DNS、DHCP、および TFTP サービスを設定しない場合は、外部 DNS、DHCP、および TFTP サービスと連携させる Satellite Server の設定のセクションを使用します。
5.1. 外部 DNS を使用した Satellite Server の設定
外部 DNS を使用して Satellite Server を設定できます。Satellite Server は nsupdate ユーティリティー−を使用して、リモートサーバーで DNS レコードを更新します。
変更を永続的に保存するには、お使いの環境に適したオプションを指定して、satellite-installer コマンドを入力する必要があります。
前提条件
- 外部 DNS サーバーが設定されている必要がある。
- このガイドは、既存のインストールがあることを前提としています。
手順
外部 DNS サーバーの
/etc/rndc.keyファイルを Satellite Server にコピーします。# scp root@dns.example.com:/etc/rndc.key /etc/foreman-proxy/rndc.key所有者、パーミッション、SELinux コンテキストを設定します。
# restorecon -v /etc/foreman-proxy/rndc.key # chown -v root:foreman-proxy /etc/foreman-proxy/rndc.key # chmod -v 640 /etc/foreman-proxy/rndc.key
nsupdateユーティリティーをテストするには、ホストをリモートで追加します。# echo -e "server DNS_IP_Address\n \ update add aaa.example.com 3600 IN A Host_IP_Address\n \ send\n" | nsupdate -k /etc/foreman-proxy/rndc.key # nslookup aaa.example.com DNS_IP_Address # echo -e "server DNS_IP_Address\n \ update delete aaa.example.com 3600 IN A Host_IP_Address\n \ send\n" | nsupdate -k /etc/foreman-proxy/rndc.key
satellite-installerコマンドを入力して、以下の永続的な変更を/etc/foreman-proxy/settings.d/dns.ymlファイルに加えます。# satellite-installer --foreman-proxy-dns=true \ --foreman-proxy-dns-managed=false \ --foreman-proxy-dns-provider=nsupdate \ --foreman-proxy-dns-server="DNS_IP_Address" \ --foreman-proxy-keyfile=/etc/foreman-proxy/rndc.key- Satellite Web UI で、Infrastructure > Capsules に移動します。
- Satellite Server を見つけて、Actions 列のリストから Refresh を選択します。
- DNS サービスに適切なサブネットとドメインを関連付けます。
5.2. 外部 DHCP を使用した Satellite Server の設定
外部の DHCP で Satellite Server を設定するには、以下の手順を実行します。
5.2.1. Satellite Server を使用するための外部 DHCP サーバーの設定
Red Hat Enterprise Linux を実行する外部の DHCP サーバーを Satellite Server で使用できるように設定するには、ISC DHCP Service と、Berkeley Internet Name Domain (BIND) またはそのユーティリティーパッケージをインストールする必要があります。また、DHCP 設定とリースフィアルを Satellite Server と共有する必要があります。この手順の例では、分散型の Network File System (NFS) プロトコルを使用して DHCP 設定とリースファイルを共有します。
外部の DHCP サーバーとして dnsmasq を使用する場合には、dhcp-no-override の設定を有効にします。Satellite は grub2/ サブディレクトリーの配下にある TFTP サーバーに設定ファイルを作成するので、この設定を必ず有効にしてください。dhcp-no-override 設定が無効な場合には、クライアントは root ディからブートローダーと設定をフェッチするのでエラーが発生する可能性があります。
手順
Red Hat Enterprise Linux ホストに、ホストのバージョンに応じて、ISC DHCP Service と、BIND パッケージまたはそのユーティリティーパッケージをインストールします。
Red Hat Enterprise Linux 7 ホストの場合:
# yum install dhcp bind
Red Hat Enterprise Linux 8 ホストの場合:
# yum install dhcp-server bind-utils
セキュリティートークンを生成します。
# dnssec-keygen -a HMAC-MD5 -b 512 -n HOST omapi_key
上記のコマンドを実行すると、2 つのファイルで設定されるキーペアが現在のディレクトリーに作成されます。
キーからシークレットハッシュをコピーします。
# grep ^Key Komapi_key.+*.private | cut -d ' ' -f2
すべてのサブネットの
dhcpd設定ファイルを編集し、キーを追加します。以下に例を示します。# cat /etc/dhcp/dhcpd.conf default-lease-time 604800; max-lease-time 2592000; log-facility local7; subnet 192.168.38.0 netmask 255.255.255.0 { range 192.168.38.10 192.168.38.100; option routers 192.168.38.1; option subnet-mask 255.255.255.0; option domain-search "virtual.lan"; option domain-name "virtual.lan"; option domain-name-servers 8.8.8.8; } omapi-port 7911; key omapi_key { algorithm HMAC-MD5; secret "jNSE5YI3H1A8Oj/tkV4...A2ZOHb6zv315CkNAY7DMYYCj48Umw=="; }; omapi-key omapi_key;
option routersの値は、外部の DHCP サービスと使用する Satellite または Capsule IP アドレスに置き換える点に注意してください。- キーファイルが作成されたディレクトリーから、2 つのキーファイルを削除します。
Satellite Server で各サブネットを定義します。定義済みのサブネットに DHCP Capsule は設定しないでください。
競合を回避するには、リースと予約範囲を別に設定します。たとえば、リース範囲を 192.168.38.10 から 192.168.38.100 に設定した場合には、Satellite Web UI で予約範囲を 192.168.38.101 から 192.168.38.250 に設定します。
DHCP サーバーに外部アクセスできるように、ファイアウォールを設定します。
# firewall-cmd --add-service dhcp \ && firewall-cmd --runtime-to-permanent
Satellite Server で
foremanユーザーの UID と GID を指定します。# id -u foreman 993 # id -g foreman 990
DHCP サーバーで、1 つ前の手順で定義した ID と同じ
foremanユーザーとグループを作成します。# groupadd -g 990 foreman # useradd -u 993 -g 990 -s /sbin/nologin foreman
設定ファイルにアクセスできるように、読み取りおよび実行フラグを復元します。
# chmod o+rx /etc/dhcp/ # chmod o+r /etc/dhcp/dhcpd.conf # chattr +i /etc/dhcp/ /etc/dhcp/dhcpd.conf
DHCP サービスを起動します。
# systemctl start dhcpd
NFS を使用して DHCP 設定ファイルおよびリースファイルをエクスポートします。
# yum install nfs-utils # systemctl enable rpcbind nfs-server # systemctl start rpcbind nfs-server nfs-lock nfs-idmapd
NFS を使用してエクスポートする DHCP 設定ファイルとリースファイルのディレクトリーを作成します。
# mkdir -p /exports/var/lib/dhcpd /exports/etc/dhcp
作成したディレクトリーにマウントポイントを作成するには、以下の行を
/etc/fstabファイルに追加します。/var/lib/dhcpd /exports/var/lib/dhcpd none bind,auto 0 0 /etc/dhcp /exports/etc/dhcp none bind,auto 0 0
/etc/fstabのファイルシステムをマウントします。# mount -a
/etc/exportsに以下の行があることを確認します。/exports 192.168.38.1(rw,async,no_root_squash,fsid=0,no_subtree_check) /exports/etc/dhcp 192.168.38.1(ro,async,no_root_squash,no_subtree_check,nohide) /exports/var/lib/dhcpd 192.168.38.1(ro,async,no_root_squash,no_subtree_check,nohide)
入力する IP アドレスは、外部 DHCP サービスで使用する Satellite または Capsule IP アドレスを指定する点に注意してください。
NFS サーバーをリロードします。
# exportfs -rva
ファイアウォールで DHCP omapi ポート 7911 を設定します。
# firewall-cmd --add-port=7911/tcp # firewall-cmd --runtime-to-permanent
オプション: NFS に外部からアクセスできるようにファイアウォールを設定します。クライアントは NFSv3 を使用して設定します。
# firewall-cmd --zone public --add-service mountd \ && firewall-cmd --zone public --add-service rpc-bind \ && firewall-cmd --zone public --add-service nfs \ && firewall-cmd --runtime-to-permanent
5.2.2. 外部 DHCP サーバーを使用した Satellite Server の設定
外部 DHCP サーバーを使用した Satellite Server を設定できます。
前提条件
- 外部の DHCP サーバーを設定し、Satellite Server と DHCP 設定ファイルとリースファイルを共有していることを確認する。詳細は、「Satellite Server を使用するための外部 DHCP サーバーの設定」 を参照してください。
手順
nfs-utilsユーティリティーをインストールします。# yum install nfs-utils
NFS 用の DHCP ディレクトリーを作成します。
# mkdir -p /mnt/nfs/etc/dhcp /mnt/nfs/var/lib/dhcpd
ファイルの所有者を変更します。
# chown -R foreman-proxy /mnt/nfs
NFS サーバーとの通信とリモートプロシージャコール (RPC: Remote Procedure Call) 通信パスを検証します。
# showmount -e DHCP_Server_FQDN # rpcinfo -p DHCP_Server_FQDN
/etc/fstabファイルに以下の行を追加します。DHCP_Server_FQDN:/exports/etc/dhcp /mnt/nfs/etc/dhcp nfs ro,vers=3,auto,nosharecache,context="system_u:object_r:dhcp_etc_t:s0" 0 0 DHCP_Server_FQDN:/exports/var/lib/dhcpd /mnt/nfs/var/lib/dhcpd nfs ro,vers=3,auto,nosharecache,context="system_u:object_r:dhcpd_state_t:s0" 0 0
/etc/fstabでファイルシステムをマウントします。# mount -a
foreman-proxyユーザーがネットワークで共有したファイルにアクセスできることを確認するには、DHCP 設定ファイルとリースファイルを表示します。# su foreman-proxy -s /bin/bash bash-4.2$ cat /mnt/nfs/etc/dhcp/dhcpd.conf bash-4.2$ cat /mnt/nfs/var/lib/dhcpd/dhcpd.leases bash-4.2$ exit
satellite-installerコマンドを入力して、以下の永続的な変更を/etc/foreman-proxy/settings.d/dhcp.ymlファイルに加えます。# satellite-installer --foreman-proxy-dhcp=true \ --foreman-proxy-dhcp-provider=remote_isc \ --foreman-proxy-plugin-dhcp-remote-isc-dhcp-config /mnt/nfs/etc/dhcp/dhcpd.conf \ --foreman-proxy-plugin-dhcp-remote-isc-dhcp-leases /mnt/nfs/var/lib/dhcpd/dhcpd.leases \ --foreman-proxy-plugin-dhcp-remote-isc-key-name=omapi_key \ --foreman-proxy-plugin-dhcp-remote-isc-key-secret=jNSE5YI3H1A8Oj/tkV4...A2ZOHb6zv315CkNAY7DMYYCj48Umw== \ --foreman-proxy-plugin-dhcp-remote-isc-omapi-port=7911 \ --enable-foreman-proxy-plugin-dhcp-remote-isc \ --foreman-proxy-dhcp-server=DHCP_Server_FQDNforeman-proxyサービスを再起動します。# systemctl restart foreman-proxy
- Satellite Web UI で、Infrastructure > Capsules に移動します。
- Satellite Server を見つけて、Actions 列のリストから Refresh を選択します。
- DHCP サービスに適切なサブネットとドメインを関連付けます。
5.3. 外部 TFTP での Satellite Server の設定
外部 TFTP サービスを使用して Satellite Server を設定できます。
手順
NFS 用に TFTP ディレクトリーを作成します。
# mkdir -p /mnt/nfs/var/lib/tftpboot
/etc/fstabファイルで以下の行を追加します。TFTP_Server_IP_Address:/exports/var/lib/tftpboot /mnt/nfs/var/lib/tftpboot nfs rw,vers=3,auto,nosharecache,context="system_u:object_r:tftpdir_rw_t:s0" 0 0/etc/fstabのファイルシステムをマウントします。# mount -a
satellite-installerコマンドを入力して、以下の永続的な変更を/etc/foreman-proxy/settings.d/tffp.ymlファイルに加えます。# satellite-installer --foreman-proxy-tftp=true \ --foreman-proxy-tftp-root /mnt/nfs/var/lib/tftpboot
DHCP サービスとは異なるサーバーで TFTP サービスを実行している場合は、TFTP サービスを実行するサーバーの FQDN または IP アドレスに、
tftp_servername設定を更新します。# satellite-installer --foreman-proxy-tftp-servername=TFTP_Server_FQDN- Satellite Web UI で、Infrastructure > Capsules に移動します。
- Satellite Server を見つけて、Actions 列のリストから Refresh を選択します。
- TFTP サービスに適切なサブネットとドメインを関連付けます。
5.4. 外部 IdM DNS を使用した Satellite Server の設定
Satellite Server がホストの DNS レコードを追加する時には、まずどの Capsule が対象のドメインに DNS を提供しているかを判断します。次に、デプロイメントに使用する DNS サービスを提供するように設定された Capsule と通信し、レコードを追加します。ホストはこのプロセスには関与しません。そのため、IdM サーバーを使用して管理するドメインに DNS サービスを提供するように設定された Satellite または Capsule に IdM クライアントをインストールし、設定する必要があります。
Satellite Server は、 Red Hat Identity Management (IdM) サーバーを使用して DNS サービスを提供するように設定できます。Red Hat Identity Management の詳細は、Linux Domain Identity, Authentication, and Policy Guide を参照してください。
Red Hat Identity Management (IdM) サーバーを使用して DNS サービスを提供するように Satellite Server を設定するには、以下の手順のいずれかを使用します。
内部 DNS サービスに戻すには、次の手順を使用します。
DNS の管理に、Satellite Server を使用する必要はありません。Satellite のレルム登録機能を使用しており、プロビジョニングされたホストが自動的に IdM に登録されている場合は、ipa-client-install スクリプトでクライアント用に DNS レコードが作成されます。外部の IdM DNS とレルム登録を同時に使用して、Satellite Server を設定することはできません。レルム登録の設定に関する詳細は、Administering Red Hat Satellite ガイドの External Authentication for Provisioned Hosts を参照してください。
5.4.1. GSS-TSIG 認証を使用した動的 DNS 更新の設定
RFC3645 で定義されている秘密鍵トランザクション (GSS-TSIG) 技術の一般的なセキュリティーサービスアルゴリズムを使用するように IdM サーバーを設定できます。IdM サーバーが GSS-TSIG 技術を使用するように設定するには、Satellite Server のベースオペレーティングシステムに IdM クライアントをインストールする必要があります。
前提条件
- IdM サーバーがデプロイされ、ホストベースのファイアウォールが正確に設定されている。詳細は Linux Domain Identity, Authentication, and Policy Guide の Port Requirements を参照してください。
- IdM サーバーの管理者に問い合わせて、IdM サーバーでゾーンを作成するパーミッションが割り当てられた、IdM サーバーのアカウントを取得する。
- 応答ファイルのバックアップを作成する必要があります。応答ファイルが破損した場合に、元の状態に戻せるように、バックアップを使用できます。詳細は、Satellite Server の設定 を参照してください。
手順
GSS-TSIG 認証で動的 DNS 更新を設定するには、以下の手順を実行します。
IdM サーバーでの Kerberos プリンシパルの作成
IdM 管理者から取得したアカウントの Kerberos チケットを取得します。
# kinit idm_userIdM サーバーでの認証に使用する Satellite Server の新規 Kerberos プリンシパルを作成します。
# ipa service-add capsule/satellite.example.com
IdM クライアントのインストールおよび設定
デプロイメントの DNS サービスを管理する Satellite または Capsule のベースオペレーティングシステムで
ipa-clientパッケージをインストールします。# satellite-maintain packages install ipa-client
インストールスクリプトとそれに続くプロンプトを実行して、IdM クライアントを設定します。
# ipa-client-install
Kerberos チケットを取得します。
# kinit admin
既存の
keytabを削除します。# rm /etc/foreman-proxy/dns.keytab
このシステムの
keytabを取得します。# ipa-getkeytab -p capsule/satellite.example.com@EXAMPLE.COM \ -s idm1.example.com -k /etc/foreman-proxy/dns.keytab
注記サービス中の元のシステムと同じホスト名を持つスタンバイシステムに keytab を追加する際には、
rオプションを追加します。これにより、新規の認証情報が生成されることを防ぎ、元のシステムの認証情報が無効になります。dns.keytabファイルのグループと所有者をforeman-proxyに設定します。# chown foreman-proxy:foreman-proxy /etc/foreman-proxy/dns.keytab
オプション:
keytabファイルが有効であることを確認するには、以下のコマンドを入力します。# kinit -kt /etc/foreman-proxy/dns.keytab \ capsule/satellite.example.com@EXAMPLE.COM
IdM Web UI での DNS ゾーンの設定
管理するゾーンを作成して、設定します。
- Network Services > DNS > DNS Zones に移動します。
-
Add を選択し、ゾーン名を入力します。(例:
example.com) - Add and Edit をクリックします。
設定タブをクリックして BIND update policy ボックスで、以下のようにセミコロン区切りのエントリーを追加します。
grant capsule/047satellite.example.com@EXAMPLE.COM wildcard * ANY;- Dynamic update を True に設定します。
- Allow PTR sync を有効にします。
- Save をクリックして、変更を保存します。
逆引きゾーンを作成して設定します。
- Network Services > DNS > DNS Zones に移動します。
- Add をクリックします。
- Reverse zone IP network を選択して、CIDR 形式でネットワークアドレスを追加し、逆引き参照を有効にします。
- Add and Edit をクリックします。
Settings タブの BIND update policy ボックスで、以下のようにセミコロン区切りのエントリーを追加します。
grant capsule\047satellite.example.com@EXAMPLE.COM wildcard * ANY;- Dynamic update を True に設定します。
- Save をクリックして、変更を保存します。
ドメインの DNS サービスを管理する Satellite または Capsule Server の設定
satellite-installerコマンドを使用して、ドメインの DNS サービスを管理するように Satellite または Capsule を設定します。Satellite で以下のコマンドを入力します。
satellite-installer --scenario satellite \ --foreman-proxy-dns=true \ --foreman-proxy-dns-managed=false \ --foreman-proxy-dns-provider=nsupdate_gss \ --foreman-proxy-dns-server="idm1.example.com" \ --foreman-proxy-dns-tsig-principal="capsule/satellite.example.com@EXAMPLE.COM" \ --foreman-proxy-dns-tsig-keytab=/etc/foreman-proxy/dns.keytab
Capsule で、以下のコマンドを実行します。
satellite-installer --scenario capsule \ --foreman-proxy-dns=true \ --foreman-proxy-dns-managed=false \ --foreman-proxy-dns-provider=nsupdate_gss \ --foreman-proxy-dns-server="idm1.example.com" \ --foreman-proxy-dns-tsig-principal="capsule/satellite.example.com@EXAMPLE.COM" \ --foreman-proxy-dns-tsig-keytab=/etc/foreman-proxy/dns.keytab
satellite-installer コマンドを実行して Capsule 設定に変更を加えた後に、Satellite Web UI で変更のある Capsule ごとに設定を更新する必要があります。
Satellite Web UI での設定更新
- Satellite Web UI で、Infrastructure > Capsules に移動し、Satellite Server を見つけて、Actions 列のリストから Refresh を選択します。
ドメインを設定します。
- Satellite Web UI で、Infrastructure > Domains に移動し、ドメイン名を選択します。
- ドメイン タブで、DNS Capsule が、サブネットが接続されている Capsule に設定されていることを確認します。
サブネットを設定します。
- Satellite Web UI で、Infrastructure > Subnets に移動し、サブネット名を選択します。
- Subnet タブで、IPAM を None に設定します。
- Domains タブで、IdM サーバーを使用して管理するドメインを選択します。
- Capsules タブで、Reverse DNS Capsule が、サブネットが接続されている Capsule に設定されていることを確認します。
- Submit をクリックして変更を保存します。
5.4.2. TSIG 認証を使用した動的 DNS 更新の設定
IdM サーバーが DNS (TSIG) テクノロジーの秘密鍵トランザクション認証を使用するように設定できます。このテクノロジーは、認証に rndc.key キーファイルを使用します。TSIG プロトコルについては RFC2845 に定義されています。
前提条件
- IdM サーバーがデプロイされ、ホストベースのファイアウォールが正確に設定されている。詳細は Linux Domain Identity, Authentication, and Policy Guide の Port Requirements を参照してください。
-
IdM サーバーで
root権限を取得する必要があります。 - デプロイメントに DNS サービスを提供するように Satellite Server または Capsule Server が設定されていることを確認する。
- デプロイメントの DNS サービスを管理する Satellite または Capsule のいずれかのベースオペレーティングシステムで DNS 、DHCP および TFTP サービスを設定する必要がある。
- 応答ファイルのバックアップを作成しておく。応答ファイルが破損した場合に、元の状態に戻せるように、バックアップを使用できます。詳細は、Satellite Server の設定 を参照してください。
手順
TSIG 認証で動的 DNS 更新を設定するには、以下の手順を実行します。
IdM サーバーの DNS ゾーンに対する外部更新の有効化
IdM サーバーで、以下の内容を
/etc/named.confファイルの先頭に追加します。######################################################################## include "/etc/rndc.key"; controls { inet _IdM_Server_IP_Address_ port 953 allow { _Satellite_IP_Address_; } keys { "rndc-key"; }; }; ########################################################################namedサービスをリロードして、変更を有効にします。# systemctl reload named
IdM Web UI で、Network Services > DNS > DNS Zones に移動して、ゾーンの名前をクリックします。Settings タブで、以下の変更を適用します。
BIND update policyボックスで以下の内容を追加します。grant "rndc-key" zonesub ANY;
- Dynamic update を True に設定します。
- Update をクリックして変更を保存します。
IdM サーバーから Satellite Server のベースオペレーティングシステムに
/etc/rndc.keyファイルをコピーします。以下のコマンドを入力します。# scp /etc/rndc.key root@satellite.example.com:/etc/rndc.keyrndc.keyファイルに適切な所有者、パーミッション、SELinux コンテキストを設定するには、以下のコマンドを入力します。# restorecon -v /etc/rndc.key # chown -v root:named /etc/rndc.key # chmod -v 640 /etc/rndc.key
foreman-proxyユーザーは、手動でnamedグループに割り当てます。通常、satellite-installer はforeman-proxyユーザーがnamedUNIX グループに所属させますが、今回のシナリオでは、Satellite でユーザーとグループを管理していないので、foreman-proxyユーザーをnamedグループに手作業で割り当てる必要があります。# usermod -a -G named foreman-proxy
Satellite Server で以下の
satellite-installerコマンドを入力して、Satellite が外部の DNS サーバーを使用するように設定します。# satellite-installer --scenario satellite \ --foreman-proxy-dns=true \ --foreman-proxy-dns-managed=false \ --foreman-proxy-dns-provider=nsupdate \ --foreman-proxy-dns-server="IdM_Server_IP_Address" \ --foreman-proxy-keyfile=/etc/rndc.key \ --foreman-proxy-dns-ttl=86400
IdM サーバーの DNS ゾーンに対する外部更新のテスト
Satellite Server 上の
/etc/rndc.keyファイルのキーが IdM サーバーで使用されているキーファイルと同じであることを確認します。key "rndc-key" { algorithm hmac-md5; secret "secret-key=="; };Satellite Server で、ホストのテスト DNS エントリーを作成します。(例:
192.168.25.1の IdM サーバーに、192.168.25.20の A レコードを指定したtest.example.comホストなど)# echo -e "server 192.168.25.1\n \ update add test.example.com 3600 IN A 192.168.25.20\n \ send\n" | nsupdate -k /etc/rndc.keySatellite Server で、DNS エントリーをテストします。
# nslookup test.example.com 192.168.25.1 Server: 192.168.25.1 Address: 192.168.25.1#53 Name: test.example.com Address: 192.168.25.20- IdM Web UI でエントリーを参照するために、Network Services > DNS > DNS Zones に移動します。ゾーンの名前をクリックし、名前でホストを検索します。
正常に解決されたら、テスト DNS エントリーを削除します。
# echo -e "server 192.168.25.1\n \ update delete test.example.com 3600 IN A 192.168.25.20\n \ send\n" | nsupdate -k /etc/rndc.keyDNS エントリーが削除されたことを確認します。
# nslookup test.example.com 192.168.25.1レコードが正常に削除されている場合は、上記の
nslookupコマンドが失敗し、SERVFAILエラーメッセージを返します。
5.4.3. 内部 DNS サービス使用への復元
Satellite Server および Capsule Server を DNS プロバイダーとして使用するように戻すことができます。外部の DNS を設定する前に作成した応答ファイルのバックアップを使用するか、応答ファイルのバックアップを作成します。アンサーファイルに関する詳細は、Satellite Server の設定 を参照してください。
手順
ドメインの DNS サーバーを管理するように設定する Satellite または Capsule Server で、以下の手順を実行します。
DNS サーバーとしての Satellite または Capsule の設定
外部の DNS を設定する前に応答ファイルのバックアップを作成済みの場合には、応答ファイルを復元して、
satellite-installerコマンドを入力します。# satellite-installer
応答ファイルの適切なバックアップがない場合には、ここで応答ファイルのバックアップを作成します。応答ファイルを使用せずに Satellite または Capsule を DNS サーバーとして設定するには、Satellite と Capsule で、以下の
satellite-installerコマンドを入力します。# satellite-installer \ --foreman-proxy-dns=true \ --foreman-proxy-dns-managed=true \ --foreman-proxy-dns-provider=nsupdate \ --foreman-proxy-dns-server="127.0.0.1"
詳細は、Configuring DNS, DHCP, and TFTP on Capsule Server を参照してください。
satellite-installer コマンドを実行して Capsule 設定に変更を加えた後に、Satellite Web UI で変更のある Capsule ごとに設定を更新する必要があります。
Satellite Web UI での設定更新
- Satellite Web UI で、Infrastructure > Capsules に移動します。
- 更新する各 Capsule で、Actions リストから Refresh を選択します。
ドメインを設定します。
- Satellite Web UI で、Infrastructure > Domains に移動し、設定するドメイン名をクリックします。
- ドメイン タブで、DNS Capsule を、サブネットの接続先の Capsule に設定します。
サブネットを設定します。
- Satellite Web UI で、Infrastructure > Subnets に移動し、サブネット名を選択します。
- Subnet タブで、IPAM を DHCP または Internal DB に設定します。
- Domains タブで、Satellite または Capsule で管理するドメインを選択します。
- Capsules タブで、Reverse DNS Capsule を、サブネットの接続先の Capsule に設定します。
- Submit をクリックして変更を保存します。
付録A Red Hat Satellite へのカスタム設定の適用
satellite-installer を使用して初めて Satellite をインストールし、設定する場合には、--foreman-proxy-dns-managed=false と --foreman-proxy-dhcp-managed=false のインストーラーフラグを使用して、DNS および DHCP 設定ファイルが Puppet で管理されないように指定してください。これらのフラグがインストーラーの初回実行時に指定されていない場合には、アップグレードの目的で再実行する場合など、インストーラーを再実行すると、手動で変更した内容がすべて上書きされます。変更が上書きされた場合には、復元の手順を実行して手動の変更を復元する必要があります。詳細は、Puppet 実行で上書きされた手動変更の復元 を参照してください。
カスタム設定に利用可能なすべてのインストーラーフラグを表示するには、satellite-installer --scenario satellite --full-help を実行します。Puppet クラスには、Satellite インストーラーに公開されていないものもあります。これらのクラスを手動で管理して、インストーラーが値を上書きしないようにするには、設定ファイル /etc/foreman-installer/custom-hiera.yaml にエントリーを追加して設定値を指定します。この設定ファイルは YAML 形式で、<puppet class>::<parameter name>: <value> という形式を 1 行あたり 1 エントリーで記入します。このファイルで指定した設定値は、インストーラーを再起動しても維持されます。
一般的な例を示します。
Apache で ServerTokens ディレクティブが製品名のみを返すように設定するには、以下のようにします。
apache::server_tokens: Prod
Apache サーバー署名をオフにするには、以下のようにします。
apache::server_signature: Off
Satellite インストーラー用の Puppet モジュールは、/usr/share/foreman-installer/modules に保存されています。クラス、パラメーター、および値を調べるには、.pp ファイル (例: moduleName/manifests/example.pp) を確認してください。別の方法では、grep コマンドでキーワード検索を実行します。
値の設定によっては、Red Hat Satellite のパフォーマンスや機能に影響が出る意図しない結果がもたらされる場合があります。設定を適用する前に変更の影響を考慮して、実稼働以外の環境で最初に変更をテストしてください。実稼働以外の Satellite 環境がない場合は、Satellite インストーラーを --noop と --verbose のオプションを追加して実行します。変更によって問題が発生する場合は、該当箇所を custom-hiera.yaml から削除し、Satellite インストーラーを再実行します。特定の値を変更することが安全かどうかを確認する場合は、Red Hat サポートにお問い合わせください。
付録B Puppet 実行で上書きされた手動変更の復元
Puppet 実行で手動による設定が上書きされた場合でも、ファイルを元の状態に戻すことができます。以下の例では、Puppet 実行で上書きされた DHCP 設定ファイルを復元します。
手順
復元するファイルをコピーします。こうすることで、アップグレードに必要な変更があるか、ファイル間で比較できます。これは DNS や DHCP サービスでは一般的ではありません。
# cp /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.backup
ログファイルを確認して、上書きされたファイルの md5sum をメモします。以下に例を示します。
# journalctl -xe ... /Stage[main]/Dhcp/File[/etc/dhcp/dhcpd.conf]: Filebucketed /etc/dhcp/dhcpd.conf to puppet with sum 622d9820b8e764ab124367c68f5fa3a1 ...
上書きされたファイルを復元します。
# puppet filebucket restore --local --bucket \ /var/lib/puppet/clientbucket /etc/dhcp/dhcpd.conf \ 622d9820b8e764ab124367c68f5fa3a1
- バックアップしたファイルと復元されたファイルを比べます。復元されたファイルに、アップグレードに必要な変更を追加します。
