Red Hat Training
A Red Hat training course is available for Red Hat Satellite
第9章 エラータの管理
Red Hat では、品質管理およびリリースプロセスの一部として、お客様に Red Hat RPM の公式リリースのアップデートを提供しています。Red Hat では、アップデートを説明するアドバイザリーと共に、関連パッケージのグループを エラータ にコンパイルします。アドバイザリーには以下の 3 種類があります (重要度の高い順)。
- セキュリティーアドバイザリー
- パッケージで見つかったセキュリティー問題の修正を説明。セキュリティー問題の重大度のレベルは、低、中、重要、重大に分かれています。
- バグ修正アドバイザリー
- パッケージのバグ修正を説明。
- 製品の機能強化アドバイザリー
- パッケージに追加された機能強化および新機能を説明。
Red Hat Satellite 6 は、リポジトリーを Red Hat の Content Delivery Network (CDN) と同期する際にこれらのエラータ情報をインポートします。Red Hat Satellite 6 ではエラータを検証しフィルタリングするためのツールも提供しており、アップデートの管理が正確にできます。このようにして、関連のあるアップデートを選択し、コンテンツビューから選択したコンテンツホストに伝達することができます。
エラータには、それらに含まれる最も重要なアドバイザリータイプに応じてラベルが付けられます。そのため、製品の機能強化アドバイザリー というラベルが付けられたエラータには機能強化の更新のみが含まれ、バグ修正アドバイザリー エラータにはバグ修正と機能強化の両方が含まれ、セキュリティーアドバイザリー にはこれら 3 つのタイプが含まれる場合があります。
Red Hat Satellite では、エラータと利用可能なコンテンツホストとの関係を表す 2 つのキーワードがあります。
- 適用可能
- エラータは 1 つ以上のコンテンツホストに適用されます。つまり、コンテンツホストにあるパッケージが更新されます。「適用可能」なエラータは、コンテンツホストがアクセスできる段階にはありません。
- インストール可能
- エラータは 1 つ以上のコンテンツホストに適用され、コンテンツホストで利用可能になっています。インストール可能なエラータはコンテンツホストのライフサイクル環境とコンテンツビューに存在しますが、インストールはされていません。このため、エラータは、コンテンツホストを管理するパーミッションがあるものの、より高いレベルでのエラータ管理の権限がないユーザーによるインストールが可能になっています。
本章では、エラータの管理方法とシステムへの適用方法を説明します。
Satellite Server に登録したホストに katello-agent パッケージをインストールします。このパッケージは、エラータ管理に必要なサービスを提供します。
9.1. コンテンツビューによるエラータ管理
Red Hat Satellite 6 では、エラータを管理して適用するために多様な方法を提供しています。「コンテンツフィルター」で説明したように、コンテンツビューとコンテンツフィルターを使用してエラータを制限できます。フィルターには以下のものがあります。
- ID: リポジトリーに許可するエラータを選択するフィルターを作成します。
- 日付の範囲: 日付の範囲を定義して、その範囲内にリリースされたエラータを組み込みます。
- タイプ: バグ修正、機能強化、セキュリティーなどのエラータのタイプを選択して組み込みます。
ここでは例として、特定日より後のエラータを除外するコンテンツフィルターを作成します。これにより、アプリケーションライフサイクルの実稼働システムがある時点まで最新に保たれたことになります。その後にこのフィルターの開始日を変更し、テスト環境に新たなエラータを導入します。こうすることで、新パッケージにアプリケーションライフサイクルとの互換性があるかどうかをテストすることができます。
コンテンツフィルターの作成方法は 「コンテンツフィルターの作成」 を参照してください。
コンテンツビューにエラータを追加したら、これをシステムに適用することができます。Red Hat Satellite 6 に登録した各システムにはエラータ管理画面があり、複数のエラータをシステムに適用することができます。Red Hat Satellite 6 にはエラータを検索、レビューして、複数のシステムに適用するエラータ管理機能もあります。
9.2. 利用可能なエラータの検出
以下の手順では、利用可能なエラータを表示し、フィルターする方法や、選択したアドバイザリーのメタデータを表示する方法を説明します。
- コンテンツ > エラータ に移動して、利用可能なエラータの一覧を表示します。
ページ上部のフィルターツールを使用して、表示されるエラータの数を制限します。
- 調べるリポジトリーをリストから選択します。デフォルトでは すべてのリポジトリー が選択されます。
- 適用可能 チェックボックスがデフォルトで選択され、選択されたリポジトリーに適用可能なエラータだけが表示されます。インストール可能 チェックボックスを選択すると、インストール可能のマークが付いたエラータのみが表示されます。
- エラータの表を検索するには、以下の形式で 検索 フィールドにクエリーを入力します。
parameter operator value検索に使用できるパラメーターの一覧は表9.1「エラータ検索で利用できるパラメーター」を参照してください。適用可能な演算子の一覧は『Red Hat Satelliteの管理』の「詳細な検索に対してサポートされる演算子」を参照してください。入力時に自動サジェスト機能が利用できます。and 演算子と or 演算子を使用してクエリーを組み合わせることもできます。たとえば、kernel パッケージに関するセキュリティーアドバイザリーのみを表示するには、以下を入力します。
type = security and package_name = kernel
Enter を押して検索を開始します。
調べるエラータの Errata ID をクリックします。
- 詳細 タブには、更新されたパッケージの説明や、更新によって提供される重要な修正および機能強化が記載されています。
- コンテンツホスト タブでは、「複数システムへのエラータの適用」で説明したように、選択したコンテンツホストにエラータを適用できます。
- リポジトリー タブには、エラータが含まれているリポジトリーの一覧が表示されます。リポジトリーはフィルターを使用して環境やコンテンツビューで絞り込むことができ、リポジトリー名で検索できます。
表9.1 エラータ検索で利用できるパラメーター
| パラメーター | 説明 | 例 |
|---|---|---|
|
bug |
Bugzilla 番号での検索。 |
bug = 1172165 |
|
cve |
CVE 番号での検索。 |
cve = CVE-2015-0235 |
|
id |
エラータ ID での検索。自動サジェストシステムにより、入力時に利用可能な ID の一覧が表示されます。 |
id = RHBA-2014:2004 |
|
issued |
発行日による検索。正確な日付 (「Feb16,2015」など) を指定したり、キーワード (「Yesterday」、「1 hour ago」など) を使用したりできます。時間の範囲は、「<」演算子と「>」演算子を使用して指定できます。 |
issued < "Jan 12,2015" |
|
package |
完全なパッケージビルド名による検索。自動サジェストシステムにより、入力時に利用可能なパッケージの一覧が表示されます。 |
package = glib2-2.22.5-6.el6.i686 |
|
package_name |
パッケージ名による検索。自動サジェストシステムにより、入力時に利用可能なパッケージの一覧が表示されます。 |
package_name = glib2 |
|
severity |
セキュリティー更新によって修正される問題の重大度による検索。Critical、Important、または Moderate を指定します。 |
severity = Critical |
|
title |
アドバイザリーのタイトルによる検索。 |
title ~ openssl |
|
type |
アドバイザリーのタイプによる検索。security、bugfix、または enhancement を指定します。 |
type = bugfix |
|
updated |
最新更新日による検索。 |
updated = "6 days ago" |
9.3. 個別システムへのエラータの適用
この手順では、エラータをシステムに適用します。これは「アクティベーションキーの使用」からの続きで、テスト用 Red Hat Enterprise Linux 7 システムをご自分の Satellite サーバーに登録していることを前提としています。この例では、以下のエラータを適用します。
Errata ID: RHSA-2016:0008 Title: Moderate: openssl security update Type: security Severity: Moderate Issued: 2016-01-07 Updated: 2016-01-07 Description: OpenSSL is a toolkit that implements the Secure Sockets Layer (SSL v2/v3) and Transport Layer Security (TLS v1) protocols, as well as a full-strength, general purpose cryptography library.
Web UI をご利用の場合
ホスト > コンテンツホスト に移動して、テストするシステムをクリックします。エラータ タブに移動します。「コンテンツフィルターの作成」で設定したフィルターにより、セキュリティーエラータの一覧が表示されます。
OpenSSL のエラータを適用していきます。検索ボックスに title ~ openssl と入力します。これでタイトルに openssl が含まれるエラータが検索されます。RHSA-2016:0008 エラータを選択し、選択を適用 をクリックします。確認メッセージが表示されるので、適用 をクリックします。
Satellite Server は、選択したエラータに関連する全パッケージの更新タスクを開始します。タスクが完了すると、更新されたパッケージとその新バージョンの一覧が 詳細 セクションに表示されます。以下は例となります。
1:openssl-1.0.1e-51.el7_2.2.x86_64 1:openssl-libs-1.0.1e-51.el7_2.2.x86_64
クライアントシステムにログインし、エラータの更新を確認します。
[root@client ~]# yum list openssl openssl-libs
CLI をご利用の場合
クライアントシステムの OpenSSL エラータを一覧表示します。
# hammer host errata list \ --host client.example.com \ --search "title ~ openssl" \ --organization "ACME"
クライアントシステムに最新のエラータを適用します。Errata ID を使用して適用するエラータを特定します。
# hammer host errata apply \ --host client.danssat.net \ --errata-ids RHSA-2016:0008 \ --organization "ACME"
クライアントシステムにログインし、エラータの更新を確認します。
[root@client ~]# yum list openssl openssl-libs
9.4. 複数システムへのエラータの適用
Red Hat Satellite 6 Web UI には、複数のシステムを確認してそれらにエラータを適用するエラータ管理システムがあります。この例では、「個別システムへのエラータの適用」と同じエラータ (RHSA-2016:0008) を使用します。
Web UI をご利用の場合
コンテンツ > エラータ に移動すると、同期リポジトリーからの全エラータが表示されます。また、コンテンツホスト数 では、各エラータの適用およびインストールが可能な登録済みホストの数が表示されます。
このツールを使用して、OpenSSL エラータを 1 つシステムに適用します。検索ボックスに title ~ openssl と入力すると、OpenSSL に関連する全エラータが表示されます。これにはバグ修正や機能拡張が含まれますが、「コンテンツフィルターの作成」でフィルターを作成しているため、Satellite Server はこれらのエラータをテストシステムにインストールできないことに注意してください。
最新の OpenSSL エラータをクリックします。この例では RHSA-2016:0008 になります。
このエラータの 詳細 画面が表示され、エラータが解決する問題の説明が提示されます。
コンテンツホスト のサブタブに移動すると、このエラータが適用可能な全システム一覧が表示されます。「エラータが現在ホストのライフサイクル環境でインストール可能なコンテンツホストのみを表示します。」を選択し、エラータのインストール可能なシステムのみを表示します。
テストシステムを選択して、ホストに適用 をクリックします。エラータのインストールに関する確認画面が表示されます。確定します をクリックします。
Satellite Server は、選択した各システムでエラータのパッケージ更新を開始します。タスクが完了したら、クライアントシステムにログインしてエラータ更新を確認します。
[root@client ~]# yum list openssl openssl-libs
CLI をご利用の場合
CLI には Web UI と同じツールがあるわけではありませんが、同様の手順を CLI コマンドで使用することができます。
全 OpenSSL エラータを一覧表示します。
# hammer erratum list --search "title ~ openssl" --organization "ACME"
インストール可能なエラータに限定するようにします。
# hammer erratum list \ --errata-restrict-installable true \ --search "title ~ openssl" --organization "ACME"
このエラータの詳細を表示します。
# hammer erratum info --id RHSA-2016:0008
このエラータを適用可能なシステムを一覧表示します。
# hammer host list \ --search "applicable_errata = RHSA-2016:0008" \ --organization "ACME"
エラータを 1 つのシステムに適用します。
# hammer host errata apply \ --host client.example.com \ --errata-ids RHSA-2016:0008
各クライアントシステムに以下のコマンドを実行します。実行する際は、--host を、各システムの名前に変更します。
# for HOST in `hammer \
--csv --csv-separator "|" host list \
--search "applicable_errata = RHSA-2016:0008" \
--organization "ACME" | tail -n+2 | awk \
-F "|" '{ print $2 }'` ; do echo \
"== Applying to $HOST ==" ; hammer host errata apply \
--host $HOST --errata-ids RHSA-2016:0008 ; doneこのコマンドは、RHSA-2016:0008 を適用できるホストをすべて特定し、このエラータを各ホストに適用します。
クライアントシステムにログインし、エラータの更新を確認します。
[root@client ~]# yum list openssl openssl-libs
9.5. エラータ通知のサブスクライブ
『Red Hat Satellite の管理』の「電子メール通知の設定」で説明されているように、Satellite ユーザーへのメール通知を設定できます。コンテンツビューのプロモート時や、リポジトリーの同期後に、適用可能およびインストール可能なエラータの概要を受けとることができます。
9.6. 本章のまとめ
本章では、Red Hat Satellite 6 でエラータを管理してシステムに適用する方法を説明しました。
次章では、Red Hat Satellite 6 におけるコンテナー管理を説明します。
