Subscription Asset Manager の使用方法

Red Hat Subscription Management 1

ローカルサブスクリプションサービスのデプロイと管理

エディッション 1.3

Red Hat Subscription Management Documentation Team

rhsm-docs@redhat.com

概要

本ガイドでは、Red Hat Subscription Asset Manager のインストールと使用方法について説明しています。

前書き

Red Hat Subscription Asset Manager は、インフラストラクチャー内のシステムに割り当てられたサブスクリプションのローカル管理を実行します。

本ガイドは、ソフトウェアサブスクリプションの明確なレポート体制と制御を必要とする Linux 管理者を対象としています。Red Hat サブスクリプションツールの概念と構造、Subscription Asset Manager のインストールおよび設定方法、さらにシステムにサブスクリプションを割り当て更新する方法について説明します。

第1章オンプレミスのサブスクリプション管理

サブスクリプション管理アプリケーションは、組織で利用可能な全サブスクリプションの一覧、その組織内の全システムの一覧のメンテナンスを行ないます。さらに重要なのは、どのサブスクリプションがどのシステムにアタッチするというマッピングも実行します。

IT ハードウェアは管理や明確なインベントリー管理も必要で、それらのマシンにインストールされたソフトウェアも管理と明確なインベントリー管理が必要になります。インベントリー とは、単にどのソフトウェアが どこに インストールされており、いくつの コピーが実際に使用されているかを追跡することを意味します。

IT 管理者は、ソフトウェアに関して正確な報告をするプレッシャーに直面しています。米国のサーベンス・オクスリー法のような政府による規制だけでなく、PCI-DSS (Payment Card Industry Data Security Standard) や SAS-70 などの重要な業界標準の証明書を取得するプレッシャーに直面しています。一般に、このソフトウェアアセットの報告は、ソフトウェアライセンス管理 と呼ばれています。Red Hat のサブスクリプションモデルではこれを サブスクリプション管理 と呼びます。

サブスクリプション管理は、使用可能な製品のサブスクリプションと、そのサブスクリプションが割り当てられている IT インフラストラクチャーの構成要素との間の関係を構築します。

サブスクリプション管理は、無料でオープンなソフトウェアに対する Red Hat のコミットメントの下で、ソフトウェアやシステムインベントリーの監視に役立つツールを提供し、IT 管理者にメリットをもたらすことに重点を置いてます。サブスクリプション管理により、製品へのアクセスを強制したり、制限することは ありません。

1.1. Subscription Asset Manager の定義

サブスクリプションを割り当てて、コンテンツを配信する最も簡単な方法は、ローカルシステムを Red Hat がホストしているサブスクリプションおよびコンテンツネットワークに直接接続することです。ただし、大規模な環境や非常にセキュリティーレベルの高い環境などでは、このホスト型の方法はふさわしくありません。

このようなインフラストラクチャーでは、アカウントサブスクリプションのサブセットをオンプレミスのアプリケーションに割り当てることができます。オンプレミスアプリケーションは、サブスクリプションとシステムインベントリーをローカルで管理します。この方法では、帯域幅が減らされるのでパフォーマンス上のメリットがあります。また、管理者はローカルで柔軟にサブスクリプション管理を行うことができるため、管理上でも多大なメリットをもたらします。

Subscription Asset Manager がそのオンプレミスのサブスクリプション管理アプリケーションになります。これは、以下の 2 つのバックエンド管理機能を実行します。

サブスクリプションサービスとしてサブスクリプションを割り当てます。
Red Hat コンテンツ配信ネットワークのリアルタイムプロキシとして機能します。

サブスクリプションサービスとして、Subscription Asset Manager はシステム登録を処理 (システムがコンテンツにアクセス可能であることを検証) します。また、システムで利用可能な製品についての情報を提供し、アカウント全体のサブスクリプションの総合リストと残りの数量を処理します。

Subscription Asset Manager は、Red Hat のホスト型コンテンツ配信ネットワークに接続するローカルシステムのプロキシサーバーとして機能します。リクエスト時にシステムにコンテンツを配信する最終的な責任は、Red Hat のホスト型サービスにあります。

図1.1 ホスト型コンテンツ配信とオンプレミスのサブスクリプションサービス

サブスクリプションサービスまたはコンテンツ配信、またはその両方に対して、管理者がローカルでなんらかの制御を必要とする場合もあります。サブスクリプション管理フレームワークの各コンポーネントは、独立したクライアント設定を持つ独立したアプリケーションであるため、さまざまなソースを使用できます。

サブスクリプション管理アプリケーションを使用すると、管理者はネットワークの状態やマシンの物理的な位置に基づいて設定を制御し、パフォーマンスを向上させることができます。

すべての Red Hat Enterprise Linux サブスクリプションには、サブスクリプションの設定を管理する以下のツールが含まれます。

ローカルシステムを管理する Red Hat Subscription Manager クライアントツール
カスタマーポータルからグローバルでシステムを管理する Customer Portal Subscription Management
システムをローカルで管理する Subscription Asset Manager

1.2. ワークフローとユースケース

Subscription Asset Manager は、システムへのサブスクリプションのアタッチにおける別の管理方法を提供し、システムのプロビジョニングと更新方法でオプションが得られます。

1.2.1. サブスクリプションの直接割り当て

Red Hat ホスト型サービスは、全システムが単一プールにあるフラットで未定義の構造です。これは便利な場合もありますが、システムが異なる組織部門、物理的な場所、およびコンテンツストリームに緩やかにまたは厳密に関連付けられているという実際の IT 環境にある構造が失われます。Subscription Asset Manager を使用すると組織的構造が導入され、管理者は (サブスクリプション用に) ローカルの組織と (コンテンツストリーム用に) 環境を作成し、実際の設定を反映した方法でシステムを配置することが可能になります。

1.2.1.1. 環境: 小規模企業から大企業までのローカル定義の構造

Subscription Asset Manager は、サブスクリプションサービスとコンテンツサービスに体制を導入し、管理者は実際のインフラストラクチャー構造を反映する方法でこれらのシステムが設計できます。

サブスクリプションは、組織ごとにグループ化され、これがトップレベルの階層になります。各組織は、Customer Portal Subscription Management への個別のサブスクリプションアプリケーションのエントリーを表します。

各組織内ではシステムをグループ化し、更新、アクセス制御、コンテンツ管理のためにシステムを組織化することが可能です。

サブスクリプションインベントリーに組織的な構造を導入すると、Subscription Asset Manager でアカウントのサブスクリプションとシステムについての情報がより分かりやすく提示できます。大企業では、Subscription Asset Manager から必要となるのはこの機能だけかもしれません。レポーティングと監査には Subscription Asset Manager を使用し、システム管理にはカスタマイズまたはエンタープライズレベルのアプリケーションを使うという方法です。

中小企業では、Subscription Asset Manager を使うことでホスト型サービスのみを使う場合よりも、以下のようにシステム管理の制御の幅が増えることになります。

ホスト型サービスではなく、オンプレミスサービスを必要とするセキュリティールールの制定。
仮想環境の管理の向上。特に、臨機応変にシステムを作成したり削除したりする必要がある、プライベートクラウドやデータセンターなどの場合。
開発システムや実稼働システムごとに異なるソースを用意する場合など、異なるシステムに異なるリポジトリーを定義する。

Subscription Asset Manager の機能は、Customer Portal Subscription Management および Red Hat Subscription Manager の機能と密接に関連しています。システムを登録して、自動でサブスクリプションを割り当てることができます。また、リリースバージョンやサービスレベルなどの設定を用いて、ソフトウェア更新を管理できます。

1.2.1.2. ワークフロー

図1.2 Subscription Asset Manager のセットアップ

必要に応じて、Red Hat インベントリー内で組織のエントリーを作成します (「新しい組織の作成」)。Subscription Asset Manager 内の組織はすべて、Red Hat インベントリー内に対応するサブスクリプションサービスのエントリーがある必要があります。
サブスクリプションのブロックを組織に割り当てます (「組織へのサブスクリプションのアタッチ」)。このブロックは、その Subscription Asset Manager 組織のサブスクリプションの マニフェスト になります。
マニフェストをエクスポートします (「マニフェストをダウンロードする」)。
Subscription Asset Manager にマニフェストをインポートします (「サブスクリプションマニフェストのアップロード」)。
ローカルマシンで Red Hat Subscription Manager クライアントを設定してSubscription Asset Manager サブスクリプションサービスを使用するようにし、オプションで Subscription Asset Manager コンテンツプロキシを使用するようにします (「システムの登録」)。

Subscription Asset Manager とマニフェストのバックエンド設定が必要なのは 1 回のみで、Red Hat Subscription Manager の設定変更はシステムあたり 1 回のみ必要です。

以上を完了すると、システム登録とサブスクリプションのアタッチが可能になります。

図1.3 Subscription Asset Manager での登録

システムを登録します (「システムの登録」)。
subscription-manager CLI を使用し、register コマンドを Customer Portal Subscription Management アカウント保有者のユーザー名とパスワード、および Subscription Asset Manager サーバーのホスト名を加えて実行します。
Red Hat Subscription Manager UI では、デフォルトでサブスクリプションの自動アタッチが実行されます。このオプションにチェックを入れ、後でサブスクリプションをアタッチします。
Subscription Asset Manager UI を使ってサブスクリプションを選択、アタッチします (「システムへのサブスクリプションのアタッチ」)。

1.2.1.3. 詳細およびオプション

Subscription Asset Manager にシステムを登録したら、Subscription Asset Manager または Red Hat Subscription Manager を使った管理が可能になりますが、Red Hat Subscription Manager で設定したオプションは Subscription Asset Manager で利用可能なものと一致する必要があります。

システムの自動アタッチを有効にし、オプションでサービスレベルを設定します (「システムの自動アタッチの設定」)。

1.2.2. アクティベーションキー

アクティベーションキーは、システム登録前にサブスクリプションを事前設定する方法です (または、キックスタートのようなプロビジョニングシステムと併用すると、システム作成前に実行されます)。これにより、新規システムに割り当てるサブスクリプションに関する管理者の柔軟性と制御が大幅に増し、ユーザーの登録プロセスが簡素化されます。

1.2.2.1. 環境: 事前設定システム

「サブスクリプションの直接割り当て」では、Subscription Asset Manager の使用による利点について説明しました。これらの利点は、Subscription Asset Manager を使用したアクティベーションキーの作成についても該当します。

Subscription Asset Manager で作成される組織的フレームワークに加えて、Subscription Asset Manager を使ってアクティベーションキーを作成すると、ユーザーにとって登録およびサブスクリプションプロセスが全体的にシンプルになり、ほとんど透過的になります。ユーザーはアクティベーションキーを渡すだけでシステムを登録して設定済みサブスクリプションすべてを適用できますが、サブスクリプションが何かや、どの程度の数量が必要かについては全く知る必要がありません。

システムの事前設定を導入すると、管理者はシステム設定の定義で一貫性を保つことができます。たとえば、企業内で従業員に会社設定のノートパソコンやワークステーションを配布する際には、アクティベーションキーと事前設定サブスクリプションを使用することが一般的です。

アクティベーションキーは、システムにアタッチするサブスクリプションのセットを作成しますが、直接システムにアタッチすることはしません。アクティベーションキーは、Subscription Asset Manager 設定内でシステムグループに関連付けることができます。この状態から、どのシステムでも使用することが可能になります。この結果、ユーザーと管理者には以下のような利点がもたらされます。

管理者は、システムを最初に作成、設定することなく、どのサブスクリプションをシステムにインストールするかを制御できます。
アクティベーションキーは Subscription Asset Manager 内で作成され、システム設定やアーキテクチャーに依存しないので、ターゲットシステムを先に用意しておく必要がありません。
ユーザーは、手動でサブスクリプションを選択、アタッチするという作業をしなくてもすむため、いずれかのサブスクリプションを忘れるということがなく、1 回のステップで自動的に適切なサブスクリプションをシステムにアタッチすることができます。

1.2.2.2. ワークフロー

デフォルトでは、システムは Red Hat ホスト型サービスを使用するように設定されています。アクティベーションキーの作成と使用前に、適切なバックエンドインフラストラクチャーを設定する必要があります。

図1.4 SAM のセットアップ

必要に応じて、Red Hat インベントリー内で組織のエントリーを作成します (「新しい組織の作成」)。Subscription Asset Manager 内の組織はすべて、Red Hat インベントリー内に対応するサブスクリプションサービスのエントリーがある必要があります。
サブスクリプションのブロックを組織に割り当てます (「組織へのサブスクリプションのアタッチ」)。
このブロックは、その Subscription Asset Manager 組織のサブスクリプションの マニフェスト になります。
マニフェストをエクスポートします (「マニフェストをダウンロードする」)。
Subscription Asset Manager にマニフェストをインポートします (「サブスクリプションマニフェストのアップロード」)。
ローカルマシンで Red Hat Subscription Manager クライアントを設定してSubscription Asset Manager サブスクリプションサービスを使用するようにし、オプションで Subscription Asset Manager コンテンツプロキシを使用するようにします (「システムの登録」)。
このステップはシステム登録前ならいつでも実行できるので、アクティベーションキーの作成後でも構いません。

以上を完了したら、アクティベーションキーを作成できます。

図1.5 アクティベーションキーを使った登録

アクティベーションキーを作成します (「アクティベーションキーの作成」)。これは、サブスクリプションをアタッチできるコンテナーエントリーになります。
キーにサブスクリプションをアタッチします (「アクティベーションキーのサブスクリプション割り当てと更新」)。
アクティベーションキーを使ってローカルシステムを登録します (「アクティベーションキーを使用したシステムグループの登録」)。
これは基本的には自動アタッチ操作になりますが、Red Hat Subscription Manager が最適なサブスクリプションを評価する代わりに、キーに関連付けられた事前設定のサブスクリプションをアタッチするという点が異なります。

1.2.2.3. 詳細およびオプション

システムの自動アタッチを有効にし、オプションでサービスレベルを設定します (「システムの自動アタッチの設定」)。

第2章 Subscription Asset Manager のインストール

Subscription Asset Manager は、Red Hat Enterprise Linux サブスクリプションの一部となります。Subscription Asset Manager を使用すると、サブスクリプションのローカル管理と、マシン、グループ、およびコンテンツストリームを定義する、より強力な組織構造の作成が可能になります。

Subscription Asset Manager は、全設定でシンプルなデフォルト値を使用する設定スクリプトを利用してカスタマイズします。また、環境固有のカスタマイズも可能です。

2.1. 前提条件

Subscription Asset Manager 1.4 をインストールするマシンは、以下の要件を満たす必要があります。

Red Hat Enterprise Linux 6.6 またはそれ以上の Server、64-bit。
rhel-6-server-sam-rpms リポジトリーを有効にして、rhel-server-rhscl-6-eus-rpms リポジトリーを無効にする。
OpenJDK 1.6
最低 1.5GB の RAM
1GB 以上のメモリーがスワップ可能
Subscription Asset Manager ホスト名が DNS で完全に解決でき、認証操作およびその他の管理タスクに対しては、サーバーとクライアントシステムの両方が Subscription Asset Manager ホスト名を解決できる必要があります。
HTTPS (セキュア HTTP) にポート 443 および 8088 を開く必要があります。
強化したレポート機能用: 追加の 4 GB ディスク領域。

2.2. Subscription Asset Manager の基本的なインストールと設定

Subscription Asset Manager は、Red Hat がホストしているリポジトリーと yum で、または ISO イメージを使ってインストールできます。ネットワークまたはインフラストラクチャーを使用するかによって、インストール方法はやや異なります。

2.2.1. yum を使用したインストール

ホストシステムを登録します。--auto-attach オプションを使用して、オペレーティングシステムに必要なサブスクリプションを直ちにアタッチします。
```
[root@server ~]# subscription-manager register --auto-attach
Username: jsmith@example.com
Password:
```
更新したコンテンツリポジトリーをシステム設定に追加するには数分かかります。

rhel-6-server-sam-rpms リポジトリーを有効にします。

Enhanced Updates (EUS) リポジトリーが有効になってる場合は、yum 設定 (ここでの例) の一部として、または yum コマンドを実行してパッケージをインストールする際に、これを無効にしてください。EUS リポジトリーと Subscription Asset Manager リポジトリー間では、Ruby パッケージに競合があります。

[root@server ~]# subscription-manager repos --enable rhel-6-server-sam-rpms --disable rhel-server-rhscl-6-eus-rpms
Loaded plugins: product-id, refresh-packagekit
========================= repo: rhel-6-server-sam-rpms =========================
[rhel-6-server-sam-rpms]
bandwidth = 0
base_persistdir = /var/lib/yum/repos/x86_64/6Server
baseurl = https://cdn.redhat.com/content/dist/rhel/server/6/6Server/x86_64/subscription-asset-manager/1/os
cache = 0
cachedir = /var/cache/yum/x86_64/6Server/rhel-6-server-sam-rpms
cost = 1000
enabled = 1
enablegroups = True
exclude =
failovermethod = priority
...

yum install を使用して katello-headpin-all パッケージをインストールします。
```
[root@server ~]# yum install -y katello-headpin-all
```
パッケージをインストールしたら、Subscription Asset Manager 設定スクリプト katello-configure を実行します。
基本的インストールに必要となるパラメーターは、デプロイメントタイプの sam と、管理者のパスワードです。
必須ではありませんが、デプロイメントに初期組織名を指定すると便利です。設定しないと、最初の組織には ACME_Corporation のデフォルト名が使用されます。
これにより、デフォルトユーザーおよびデータベース設定を持つ Subscription Asset Manager インスタンスが設定されます。
```
[root@server ~]# katello-configure --deployment=sam --org=Example_Org --user-pass=admin
Starting Katello configuration
The top-level log file is [/var/log/katello/katello-configure-20130904-210539/main.log]
```

2.2.1.1. HTTP プロキシを使用した Red Hat SAM の手動設定

HTTP プロキシ経由のネットワークの場合、以下の katello-installer オプションを使用して Satellite Server の設定を正常に完了させます。

katello-installer --katello-proxy-url=http://myproxy.example.com --katello-proxy-port=8080 --katello-proxy-username=proxy_username --katello-proxy-password=proxy_password

説明:

--katello-proxy-url: HTTP プロキシサーバーの URL です。
--katello-proxy-port: HTTP プロキシサーバーがリッスンしているポートです。
--katello-proxy-username: (オプション) 認証用の HTTP プロキシユーザー名です。HTTP プロキシサーバーでユーザー名が不要な場合は、これを指定する必要はありません。
--katello-proxy-password: (オプション) 認証用の HTTP プロキシパスワードです。HTTP プロキシでパスワードが不要な場合は、これを指定する必要はありません。

SAM が HTTP プロキシを経由するよう設定したら、yum または subscription-manager が Red Hat コンテンツ配信ネットワーク (CDN) に接続可能で、SAM がリポジトリーを CDN と同期できることを確認します。以下の手順を実行します。

手順2.1 SAM で Red Hat Subscription Manager が CDN にアクセス可能にする

ネットワークゲートウェイと HTTP プロキシで、以下のホスト名、ポート、およびプロトコルを開きます。
表2.1 必須のホスト名、ポート、およびプロトコル
ホスト名ポートプロトコル
subscription.rhn.redhat.com 443 https
cdn.redhat.com 443 https
*.akamaiedge.net 443 https

ホスト名	ポート	プロトコル
subscription.rhn.redhat.com	443	https
cdn.redhat.com	443	https
*.akamaiedge.net	443	https

Satellite Server の以下のファイルで、詳細を記入します。

/etc/rhsm/rhsm.conf:

# an http proxy server to use (enter server FQDN)
proxy_hostname = http_proxy.example.com

# port for http proxy server
proxy_port = 3128

# user name for authenticating to an http proxy, if needed
proxy_user =

# password for basic http proxy auth, if needed
proxy_password =

2.2.2. ISO イメージを使ったインストール

前提条件: ISO を使用してインストールするには、インストール前にインポート済みの Red Hat GPG キーが必要です。インストールスクリプトを実行する前に、以下のコマンドを root として実行します。

# rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release

以下の手順に従って、ISO を使ってホスト上に SAM をインストールします。

Red Hat カスタマーポータルの Red Hat SAM リポジトリーから ISO イメージをダウンロードします。
root ユーザーとして、ISO イメージをディレクトリーにマウントします。
```
# mkdir /media/iso
# mount -o loop [iso_filename] /media/iso
```
ディレクトリーを /media/iso に変更します。
マウントされたディレクトリーでインストーラースクリプトを実行します。
```
# ./install_packages
```
これで SAM がホストシステムにインストールされます。

2.3. 強化レポーティングのインストールと設定

Subscription Asset Manager にはオプションでレポーティングモジュールが含まれており、(Subscription Asset Manager 内で) 組織横断的に、さらに (Subscription Asset Manager および Satellite 5.6 で) サブスクリプションサービスを横断してデータを収集し、システム上のサブスクリプションのステータスに関するレポートを生成できます。

レポーティングのデータベースと同期サービスを作成するには、レポーティングモジュールで追加パッケージが必要になります。

強化レポーティングを使用する際には、以下のシステム要件が追加で必要になります。

crond サービスが実行中であること。
レポーティングデータベースジャーナル用として、追加の 4 GB ディスク領域が利用可能であること。
追加パッケージ
- splice
- ruby193-rubygem-splice_reports
- spacewalk-splice-tool

重要

Satellite 5.6 インスタンスで強化レポートを使用する場合は、Subscription Asset Manager インスタンスをその Satellite 5.6 サーバー用のレポートサーバー専用とする必要があり、他のシステムの管理には使用できません。

強化レポーティング付きで Subscription Asset Manager をインストールするには、以下の手順に従います。

ホストシステムを登録します。--auto-attach オプションを使用して、オペレーティングシステムに必要なサブスクリプションを直ちにアタッチします。
```
[root@server ~]# subscription-manager register --auto-attach
Username: jsmith@example.com
Password:
```
更新したコンテンツリポジトリーをシステム設定に追加するには数分かかります。

rhel-6-server-sam-rpms リポジトリーを有効にします。

[root@server ~]# subscription-manager repos --enable rhel-6-server-sam-rpms --disable rhel-server-rhscl-6-eus-rpms
Loaded plugins: product-id, refresh-packagekit
========================= repo: rhel-6-server-sam-rpms =========================
[rhel-6-server-sam-rpms]
bandwidth = 0
base_persistdir = /var/lib/yum/repos/x86_64/6Server
baseurl = https://cdn.redhat.com/content/dist/rhel/server/6/6Server/x86_64/subscription-asset-manager/1/os
cache = 0
cachedir = /var/cache/yum/x86_64/6Server/rhel-6-server-sam-rpms
cost = 1000
enabled = 1
enablegroups = True
exclude =
failovermethod = priority
...

Subscription Asset Manager とレポーティングパッケージをインストールします。

[root@server ~]# yum install -y katello-headpin-all splice ruby193-rubygem-splice_reports spacewalk-splice-tool

パッケージをインストールしたら、Subscription Asset Manager 設定スクリプト katello-configure を実行します。
基本的インストールに必要となるパラメーターは、デプロイメントタイプの sam と、管理者のパスワードです。
必須ではありませんが、デプロイメントに初期組織名を指定すると便利です。設定しないと、最初の組織には ACME_Corporation のデフォルト名が使用されます。
これにより、デフォルトユーザーおよびデータベース設定を持つ Subscription Asset Manager インスタンスが設定されます。
```
[root@server ~]# katello-configure --deployment=sam --org=Example_Org --user-pass=admin
Starting Katello configuration
The top-level log file is [/var/log/katello/katello-configure-20130904-210539/main.log]
```

図2.1 レポートのメニュー項目

Subscription Asset Manager でレポートを使用する方法については、「Subscription Asset Manager 使用量レポートの作成」で説明しています。Subscription Asset Manager を Satellite 5.6 のレポーティングサーバーとして使用する方法については、「Subscription Asset Manager を使った Satellite 使用量レポートの作成」で説明しています。

2.4. 追加の設定スクリプト例

Subscription Asset Manager は、katello-configure スクリプトを使用して自動的に設定されます。関連するサブスクリプションサービスのデータベースやデフォルトの管理ユーザー、デフォルトのサーバー設定が作成されます。これらの設定は、設定スクリプト内で適切な引数を呼び出すことで、変更できます。

デフォルト値はすべて、/usr/share/katello/install/default-answer-file 設定ファイルで定義されます。ファイル内の属性はすべて、katello-configure スクリプトが関連値の設定を許可すると渡されます。

注記

設定スクリプトのパラメーターの完全一覧については、katello-configure ヘルプの出力と man ページを参照してください。

以下の例では、管理者が定義する一般的な分野を紹介しています。また、プロキシサーバーで Subscription Asset Manager を使用するように設定したり、Subscription Asset Manager サーバーのデータベース情報を変更したり、サブスクリプションデータベースの情報を変更することもできます。

例2.1「Org および Deployment タイプの設定」
例2.2「管理者ユーザーの作成」
例2.3「LDAP 認証の設定」
例2.4「Answer ファイルの使用」

例2.1 Org および Deployment タイプの設定

機能的にデフォルト値があっても、論理的観点から必要なパラメーターがあります。deployment タイプ と organization 名 がそれに当たります。

Subscription Asset Manager は、サブスクリプションサービス (candlepin)、web UI (headpin)、およびコンポーネント間の通信を可能にする API (katello) などの異なるコンポーネントで構成されています。また、Subscription Asset Manager 自体も Satellite 6 のコンポーネントです。このため、設定スクリプトでは、Subscription Asset Manager の個別部分や完全な Subscription Asset Manager サーバーを設定することができます。

実際のデプロイメントでは、sam オプションのみを使用すべきですが、このオプションは明示的に記述する必要があります (これを行わないと、katello に設定されます)。

[root@server ~]# katello-configure --deployment=sam --user-pass=admin

また、最初の Subscription Asset Manager の設定では、組織が 1 つ必ず必要になります。この組織は、管理者が環境およびコンテンツストリームに従ってインフラストラクチャー内のシステムを並べて分類できるようにする人工的なコンストラクトです。組織の名前はどんなものでも構いませんが、意味のあるものにすると役立ちます。デフォルトの組織名は ACME_Corporation ですが、--org オプションを使用すると上書きできます。

[root@server ~]# katello-configure --deployment=samm --user-pass=admin --org=QA_Lab_West_Datacenter

例2.2 管理者ユーザーの作成

最初の管理者は、Subscription Asset Manager 設定の一部として作成されます。ユーザー名は admin で、パスワードは admin になります。

より安全なものに再設定するには、--user-name と --user-pass のオプションを使用します (管理者ユーザーについては、その E メールアドレスも設定するオプションがあります)。

以下に例を示します。

[root@server ~]# katello-configure --deployment=sam --user-name=samadmin --user-pass=secret --user-email=admin@example.com

例2.3 LDAP 認証の設定

デフォルトでは、Subscription Asset Manager はユーザーエントリーを含む自身の設定エントリーのデータベースを維持します。このデータベースは、ユーザー認証リクエストの処理に使用されます。ただし、多くの環境では、LDAP ディレクトリーにすでに包括的なユーザーとロールの設定があることが多くあります。オプションでは、ローカルのデータベースではなくこの LDAP ディレクトリーを Subscription Asset Manager 認証リクエストに使用できます。

「LDAP 認証の有効化」の説明にあるように、LDAP 設定は 2 段階からなります。1 つのファイル (katello.yml) で認証方法を設定して Subscription Asset Manager にユーザーとロールの両方でそれを使用するように指示し、別のファイル (ldap_fluff.yml) で LDAP ディレクトリーの接続情報を設定します。

両ファイルの設定は、Subscription Asset Manager の設定時に渡すことができます。LDAP 属性の完全一覧は、Subscription Asset Manager の man ページとヘルプ出力を参照してください。この例では、Red Hat Directory Server や OpenLDAP といった POSIX LDAP ディレクトリーの必須設定を示しています。Subscription Asset Manager が Microsoft Active Directory や Red Hat Identity Management を使用するように設定することもできます。

[root@server ~]# katello-configure --deployment=sam --user-pass=admin --auth-method=ldap --ldap-roles=true --ldap-server=ldap.example.com --ldap-port=389 --ldap-server-type=":posix" --ldap-encryption=start_tls --ldap-users-basednou=People,dc=example,dc=com --ldap-groups-basedn="ou=Groups,dc=example,dc=com" --ldap-anon-queries=true

例2.4 Answer ファイルの使用

コマンドパラメーターをインラインで渡す代わりに、answer ファイルで指定して、スクリプトに渡すこともできます。こうすると、管理者はキックスタートや他の自動プロビジョニングシステムを使ってマシン固有または環境固有の情報を間違いなく渡すことができます。

デフォルトの answer ファイルは /usr/share/katello/install/default-answer-file にあります。これをコピーすると、固有の answer ファイルを作成できます。

このファイル自体には、引数とデフォルト値の一覧が含まれています。希望する行を編集して、環境に適した値に設定します。

# Path of the answer file.
answer-file =

# Katello administrative user (default: admin)
user-name = samadmin

# Katello user's password (default: admin)
user-pass = admin

# Katello user's email (default: root@localhost)
user-email = admin@example.com

# Katello initial Organization (default: ACME_Corporation)
org-name = Example_Org

....
# Deployment type (one of "katello", "headpin", "cfse", "sam")
deployment = sam

....

katello-configure コマンドに --answer-file 引数を使って実行します。たとえば、ファイルが /tmp ディレクトリー内の sam-config-file の場合、以下のコマンドを実行します。

[root@server ~]# katello-configure --answer-file=/tmp/sam-config-file

answer ファイル内で --deployment オプションが sam に設定されているので、このオプションは必要ありません。

2.5. Subscription Asset Manager インストールのログ

Subscription Asset Manager は、Candlepin (サブスクリプションサービス)、Thumbslug (web UI)、および Tomcat といったコンポーネントで構成されています。各コンポーネントには独自のログがあり、Subscription Asset Manager にも全体のログ ( katello の名前の下で) があります。インストールエラーは、コンポーネントのログ内に記録されます。

/var/log/katello
/var/log/thumbslug
/var/log/candlepin
/var/log/tomcat6

2.6. Subscription Asset Manager のアップグレード

アップグレード手順を始める前に、Subscription Asset Manager インスタンスのバックアップを作成します。Subscription Asset Manager インスタンスのバックアップ方法は、「Subscription Asset Manager のバックアップ」で説明しています。
Subscription Asset Manager サービスをすべて停止します。
```
[root@server]# katello-service stop
```
katello-service コマンドが利用できない場合は、関連するサービスを手動で停止します。
```
[root@server]# service katello stop 
[root@server]# service katello-jobs stop 
[root@server]# service httpd stop 
[root@server]# service tomcat6 stop 
[root@server]# service elasticsearch stop
```
重要
postgresql サービスは停止しないでください。
インデックスをフラッシュします。
1. Elasticsearch サービスを開始します。
```
# service elasticsearch start
```
2. インデックスをフラッシュします。
```
# curl localhost:9200/_flush
```
3. Elasticsearch サービスを停止します。
```
# service elasticsearch stop
```
yum で Subscription Asset Manager パッケージをアップグレードします。
```
[root@server]# yum upgrade
```
yum は、.rpmnew ファイルおよび .rpmsave ファイルの両方を作成することで、現在の Subscription Asset Manager 設定を上書きしないようにします。新しい変更については、このファイルで既存の設定を確認します。
設定ファイルの一覧を表示する場合は、次のコマンドを実行します。
```
[root@server]# rpm -ql katello-configure | grep erb | grep etc | sed 's/.*etc/\/etc/' | sed 's/\.erb//'
```
.rpmnew ファイルの一覧を表示するには、次のコマンドを実行します。
```
[root@server]# find /etc -name *rpmnew
```
アップグレードスクリプトを使用して Subscription Asset Manager をアップグレードします。
```
[root@server]# katello-upgrade
```
アップグレードスクリプトでは、以下のように、アップグレードの各プロセスでユーザーの確認が求められます。
```
1/1: Update Candlepin (0003_update_candlepin.sh)
 Updates Candlepin database schema to the latest version

Do you want to proceed? (y/n): y

Update Candlepin OK.
```
設定ファイルの修正を行ったり、ログ出力でエラーの分析を行ったりする場合は、katello-configure を実行します。
```
[root@server]# katello-configure
```
注記
katello-configure を実行しても設定プロセスが完了しない場合があります。この場合、設定プロセスを完了するためもう一度 katello-configure を実行する必要があります。katello-configure は設定プロセスが終了するまで何度でも実行して構いませんが、通常は 2 度の実行で完了します。
Subscription Asset Manager サーバーを起動します。
```
[root@server]# katello-service start
```

Subscription Asset Manager サーバーをテストします。

[root@server]# katello-service status
[root@server]# katello -u admin -p admin password ping

すべての Subscription Asset Manager エージェントシステムで、ポート設定を更新します。
QPIDD ポートは、Subscription Asset Manager 1.1 以降、5674 から 5671 に変更になりました。katello-agent を使用して、Subscription Asset Manager に接続している全システムでポート 5671 を使用するように更新する必要があります。
1. システムを、katello-agent および goferd の最新バージョンにアップグレードします。
2. Katello プラグイン設定ファイルを開きます。
```
[root@server]# vim /etc/gofer/plugins/katelloplugin.conf
```
3. url 行で、ポート番号を変更します。
```
url=ssl://$(host):5671
```
4. katello-agent サービスおよび goferd サービスを再開します。
5. Subscription Asset Manager のファイアウォールに対してポート 5671 を開きます。たとえば、以下のルールを iptables に追加します。
```
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5671 -j ACCEPT
```

2.7. Subscription Asset Manager Web UI へのログイン

Subscription Asset Manager では web UI を使用します。これは、Subscription Asset Manager のインストール時に設定されます。

2.7.1. サポート対象のブラウザー

Subscription Asset Manager の web UI は、以下のブラウザーで使用できます。

Firefox 21 および 22
Internet Explorer 9

2.7.2. Web UI の URL

Subscription Asset Manager UI は設定されると、次のようなマシンのホスト名下の /sam ディレクトリーで使用できます。https://hostname/sam たとえば、以下のような URL になります。

https://server.example.com/sam

2.7.3. デフォルトのユーザー

Subscription Asset Manager 設定時に別のユーザー名とパスワードを作成していなければ、初期ユーザーのユーザー名は admin で、パスワードは admin になります。

第3章ユーザーとアクセス制御の管理

アクセス制御は、組織の前の段階で、ロールで実装されます。ロールでは、どのユーザーが組織のどの要素にアクセスできるかを定義します。

3.1. ユーザー、ロール、およびアクセス制御

セキュリティーでは、ユーザー、リソース、およびユーザーが実行可能なタスクについての関係を明確に確立します。ユーザーとリソースの相互関係は、当該ユーザーおよびリソースを (グループによって) 定義されたロールに含めるまたは除外することで順序付けを行い、ロールにタスクを実行する能力を付与することで、順序付けられます。

ユーザーがある操作を実行可能にすることを パーミッション と呼びます。

ユーザーは、特定組織内の要素に対する (読み取り、編集、作成、削除などの) パーミッションを付与されます。これらのパーミッションは明示的に付与される必要があります。デフォルトでは、ユーザーにはすべてのアクションが暗示的に拒否されています。

パーミッションは、ユーザーに対して ロール によって付与されます。ロールは以下の 3 要素を定義します。

組織またはロールを適用する組織
そのロールに所属するユーザー
ユーザーが組織内で持つことになるパーミッション

図3.1 ロールにおけるユーザー、組織、およびパーミッション

単一のロールは複数の組織に関連付けることができますが、パーミッションは各組織に個別に設定されます。このため、ある組織のパーミッションをすべて設定して、それから別の組織を選択してから、その組織のパーミッションすべてを設定します。

Subscription Asset Manager 内のパーミッションは、非常に具体的なものです。パーミッション自体は、アクションとそのアクションが許可されるターゲットの両方を定義します。たとえば、register systems というパーミッションは、アクション (register: 登録) とターゲット (systems within the organization: 組織内のシステム) の両方を定義します。別のオブジェクトの登録や、システム上での他のタスクの実行は、別のパーミッションになります。

表3.1「Subscription Asset Manager コンポーネントと使用可能なパーミッション」には利用可能なパーミッションが一覧表示されています。多くのパーミッションがあることで、非常に柔軟性のあるロール作成が可能になり、業務のニーズが満たされ、十分なアクセス制御が提供されます。パーミッションが明確であることで、アクションとターゲットもはっきりするため、アクセス制御の定義が容易になります。

表3.1 Subscription Asset Manager コンポーネントと使用可能なパーミッション

コンポーネント	使用可能なパーミッション
組織: 組織エントリー	変更読み込み
組織: ディストリビューターエントリー	登録読み込み変更削除
組織: システムエントリー	登録読み込み変更削除
アクティベーションキー	読み込み変更
システムグループ	システムグループの変更システムグループの読み込みグループ内のシステム変更グループ内のシステム読み込み
プロバイダー	読み込み変更

3.2. ユーザーアカウントの管理

3.2.1. ユーザーの追加

管理メニューにカーソルを移動して ユーザー をクリックします。
ユーザー ページ左側にある + 新規のユーザー リンクをクリックします。
ユーザー名およびパスワードなどの新規ユーザー情報を入力します。
デフォルトの組織を選択します。これは、ユーザーが Subscription Asset Manager UI にログインする際に自動で表示される組織になります。デフォルト値を設定しないと、Subscription Asset Manager 設定のデフォルト値が使用されます。
ユーザーの保存 ボタンをクリックします。

3.2.2. パスワードの変更

管理メニューにカーソルを移動して ユーザー をクリックします。
注記
個人のパスワードを変更するには、管理メニューで表示されているユーザー名をクリックします。
ユーザー ページ左側にあるコラムでユーザーを選択します。
パスワードの変更: フィールドに新規パスワードを入力し、再入力して確認します。
保存ボタンをクリックします。

3.3. ロールの作成

管理メニューにカーソルを移動して ロール をクリックします。
ロール ページ左側にある + 新規のロール リンクをクリックします。
ロールの名前と、オプションで説明を記入します。
保存ボタンをクリックします。

3.4. アクセス制御の設定

アクセス制御は、ロールにユーザーとパーミッションを追加して設定します。

管理メニューにカーソルを移動して ロール をクリックします。
ロール名をクリックします。
ロールのパーミッションを設定します。
パーミッション のエリアでは、ロールに関連付ける組織と、それらの組織に付与されるパーミッションの 2 つを定義します。
1. パーミッション をクリックします。
2. 組織を選択します。
  単一のロールは複数の組織に関連付けることができますが、パーミッションは各組織に個別に設定されます。このため、ある組織のパーミッションをすべて設定して、それから別の組織を選択してから、その組織のパーミッションすべてを設定します。
3. ウィンドウの下部で パーミッションの追加 をクリックします。
4. パーミッションを追加するコンポーネント (組織、アクティベーションキー、プロバイダー、またはグループ) を選択します。
5. 次へをクリックします。
6. ターゲットが選択されると、そのターゲットに使用可能なパーミッションを一覧表示する選択ボックスが表示されます。使用可能なパーミッションについては、表3.1「Subscription Asset Manager コンポーネントと使用可能なパーミッション」を参照してください。
7. 次へをクリックします。
8. パーミッション名と、オプションで説明を記入します。
9. 完了をクリックします。
ロール編集ウィンドウ上部にあるロール名をクリックします。
ロールに少なくとも 1 つの管理ユーザーを追加します。ロールの他のユーザーに LDAP 認証 (「LDAP 認証を使ったユーザー管理」) を使用していても、Subscription Asset Manager 内から少なくとも 1 人の管理者が必要になります。
1. ユーザー アイテムをクリックします。
2. Subscription Asset Manager 内の全ユーザーが一覧表示されます。ユーザー名ごとに追加および削除をクリックして、ロール内のメンバーシップを管理します。

3.5. LDAP 認証を使ったユーザー管理

ほとんどの環境では、ユーザー、パスワード、およびグループがすでに設定されているユーザーディレクトリーが既にデプロイされています。Subscription Asset Manager は、既存のLDAPディレクトリーを利用して、認証または認証とロール管理の両方を実行できます。

3.5.1. サポートされる LDAP サービスタイプ

Subscription Asset Manager は、以下のような一般的 LDAP ディレクトリーをユーザーバックエンドとして利用できます。

Red Hat Directory Server (POSIX ディレクトリーとして)
OpenLDAP (POSIX ディレクトリーとして)
Red Hat Identity Management
Microsoft Active Directory

3.5.2. LDAP 認証の使用

3.5.2.1. Subscription Asset Manager での LDAP ユーザー

LDAP認証が有効になっている場合は、パススルー認証 の形式になります。Subscription Asset Manager サーバーはユーザー名とパスワードを受け取り、設定済み LDAP サーバーにそのユーザー名とパスワードを転送します。Subscription Asset Manager サーバーがユーザー情報を保管したり処理することはありません。ユーザーのログインを許可するかどうかは、LDAP サーバーからの応答に依存しています。

図3.2 LDAP を使ったユーザー認証

LDAP 認証を使用すると、パスワードの複雑性やアカウントの無効化などの LDAP サーバー内のセキュリティー対策を Subscription Asset Manager に適用することができます。つまり、Subscription Asset Manager ユーザーに対して企業の基準を一貫してかつ透過的に適用できることになります。

Subscription Asset Manager 認証に LDAP ディレクトリーを使用する場合は、以下の点に注意する必要があります。

Subscription Asset Manager データベース認証 もしくは LDAP 認証のいずれかのみが使用可能で、両方は使えません。
Subscription Asset Manager にアクセスするには、LDAP ディレクトリーにユーザーがすでに存在する必要があります。 Subscription Asset Manager は LDAP から情報をプルしますが、LDAP ユーザーを作成することはできません。
対応する LDAP ユーザーアカウントが存在しない場合は、Subscription Asset Manager へのログインは以下のエラーが出て失敗します。
```
User must exist in ldap before defining here
```
LDAP ユーザーが初めて Subscription Asset Manager に認証を行うと、対応する Subscription Asset Manager ユーザーアカウントが作成されます。

3.5.2.2. LDAP 認証の有効化

LDAP 認証は、以下の 2 つのファイルで設定されます。

katello.yml 設定ファイル。これは、Subscription Asset Manager が認証 (warden:) とロール (ldap_roles:) にLDAPを使用するようにフラグを設定します。
Subscription Asset Managerは認証の詳細に Ruby LDAP Fluff モジュールを使用します。タイプやホスト名およびポート、ユーザーベース識別名 (DN) などの LDAP サーバー上の情報は、ldap_fluff.yml ファイルで定義されます。

これらの設定パラメーターはすべて、katello_configure コマンドを使って設定できます。

LDAP ディレクトリー内の管理ユーザーと同じユーザー名を持つ新規の Subscription Asset Manager 管理ユーザーを作成します。ユーザー作成については、「ユーザーの追加」で説明しています。
警告
LDAP 認証を有効にすると、既存の Subscription Asset Manager ユーザーは Subscription Asset Manager インスタンスにログインできなくなります。Subscription Asset Manager インスタンスにシードされている LDAP ユーザーがいないと、LDAP 認証の有効化後には、サーバーから締め出されてしまいます。
管理ユーザーをグローバルの管理者ロールに追加します。
Subscription Asset Manager インスタンスが、ローカルデータベースではなく LDAP 認証を使用するように設定します。
```
[root@server ~]#katello-configure --auth-method=ldap
```
LDAP 接続情報を設定します。
使用する LDAP ディレクトリーのタイプによって、必要となる設定はやや異なります。
すべてのディレクトリータイプで必要となる設定は、以下のとおりです。
- --ldap-server-type でバックエンド LDAP ディレクトリーを指定します。
- --ldap-server で LDAPサーバーのホスト名または IP アドレスを指定します。
- --ldap-port で標準 LDAP ポートを指定します。
- --ldap-users-basedn でユーザーサブツリーの DN (またはディレクトリーの場所) を指定します。
- --ldap-groups-basedn でグループサブツリーの DN (またはディレクトリーの場所) を指定します。
これ以外に各ディレクトリーで必要な設定を追加します。
POSIX ディレクトリーの場合
- --ldap-encryption を Start_tls に設定します。
- --ldap-anon-queries を true に設定して、匿名検索を有効にします。
以下に例を示します。
```
[root@server ~]#katello-configure --ldap-server-type=":posix" --ldap-server=rhds.example.com --ldap-port=389 --ldap-users-basedn=ou=people,dc=example,dc=com --ldap-groups-basedn=ou=groups,dc=example,dc=com --ldap-encryption=start_tls --ldap-anon-queries=true
```
Active Directory ディレクトリーの場合
- --ldap-ad-domain で Active Directory ドメイン名を渡します。
- --ldap-anon-queries を false に設定して、匿名検索を無効にします。
- --ldap-service-user で ID にディレクトリークエリーを使用するよう設定します。
- --ldap-service-pass でサービスユーザーのパスワードを渡します。
以下に例を示します。
```
[root@server ~]#katello-configure --ldap-server-type=":active_directory" --ldap-server=ads.example.com --ldap-port=389 --ldap-users-basedn=cn=Users,dc=win-ads,dc=example,dc=com --ldap-groups-basedn=cn=Domain Admins,cn=Users,dc=win-ads,dc=example,dc=com --ldap-anon-queries=false --ldap-service-user=Administrator --ldap-service-pass=secret --ldap-ad-domain=ads.example.com
```
Red Hat Identity Management ディレクトリーの場合
- --ldap-anon-queries を false に設定して、匿名検索を無効にします。
- --ldap-service-user で ID にディレクトリークエリーを使用するよう設定します。
- --ldap-service-pass でサービスユーザーのパスワードを渡します。
以下に例を示します。
```
[root@server ~]#katello-configure --ldap-server-type=":free_ipa" --ldap-server=ipa.example.com --ldap-port=389 --ldap-users-basedn=dc=example,dc=com --ldap-groups-basedn=cn=groups,cn=accounts,dc=example,dc=com --ldap-anon-queries=false --ldap-service-user=admin --ldap-service-pass=secret
```
Subscription Asset Manager を再起動します。
```
[root@server ~]# katello-service restart
```

3.5.3. LDAP グループとロールマッピングを使用する

3.5.3.1. LDAP グループと Subscription Asset Manager のロール

Subscription Asset Manager はオプションで、グループおよびロール設定に LDAP を使用することもできます。Subscription Asset Manager のアクセス制御は、ロールを通して適用されます。LDAP グループを有効にすると、ロールのメンバーのように LDAP グループが直接 Subscription Asset Manager ロールにマッピングされます。

ロールのメンバーシップは、基本的に LDAP ディレクトリーで維持されます。グループにユーザーが追加されると、そのユーザーは自動的に LDAP グループが所属する Subscription Asset Manager ロールのメンバーになります。同様に、そのメンバーがグループから削除されると、Subscription Asset Manager ロールにも所属しなくなります。このように LDAP サーバーにグループルールが組み込まれるので、より動的なロール管理が可能になります。

ロールでの LDAP グループの使用は、LDAP 認証との併用が可能です。LDAP グループを使用せずに LDAP 認証 (ユーザー) を使用することは可能ですが、LDAP グループの使用には、LDAP ユーザーの使用が必須になります。

3.5.3.2. LDAP グループ-ロールのマッピングの有効化

ldap-roles 設定を TRUE に設定します。

[root@server ~]# katello-configure --ldap-roles=true

katello サービスを再起動して、新たな設定を読み込みます。
```
[root@server ~]# service katello restart
```
LDAP グループを Subscription Asset Manager ロールに追加します。
1. 管理メニューにカーソルを移動して ロール をクリックします。
2. ロール ページ左側で、編集するロール名をクリックします。
3. ロールの ユーザー オプションをクリックします。
4. LDAP グループ をクリックして、このロールに必要な LDAP グループを選択します。

選択した LDAP グループのユーザーの次回ログイン時に、マッピングしたロールが割り当てられます。

第4章組織とディストリビューターの設定

Subscription Asset Manager は、Customer Portal Subscription Management 経由でサブスクリプションとコンテンツを管理するというデフォルト設定ではなく、オンプレミスでサブスクリプションを管理します。

サブスクリプションは、(ポータルの) メインアカウントから Subscription Asset Manager インスタンス内の組織に配布されます。これは重要なポイントです。Subscription Asset Manager サーバーは何も管理していません。ポータルに登録された後、ローカルのサブスクリプションとシステムを処理するのは、Subscription Asset Manager インスタンス内の組織になります。

4.1. 組織とディストリビューターの構造

Subscription Asset Manager 内の組織は、インフラストラクチャーにあるシステムに構造を提供します。

組織構造は、単一の組織でフラットなものにすることや、相互の組織からは独立した複数の組織を持つこともできます。組織には別のサブスクリプションとシステムインベントリーがあり、これらの組織は常に相互に不透明となります。複数の組織を使用することで、複数の独立したグループを結びつけ、独自のサブスクリプションとシステムからローカルサービスまでを管理できます。

Subscription Asset Manager がホストするのはコンテンツではなく、サブスクリプションサービスのみです。コンテンツについては、ローカルシステムは Customer Portal Subscription Management に接続するか、プロキシーとして Subscription Asset Manager サーバーを経由する必要があります。

図4.1 ホスト型コンテンツ配信とオンプレミスのサブスクリプションサービス

1 つのシステムが 1 組織に割り当てられ、その組織で識別されます。組織は、登録プロセスの一部として、各システムで定義される必要があります。

Subscription Asset Manager 内の組織は、ポータルのアカウントに登録されます。これは、インフラストラクチャー内における高いレベルの区分になります。

重要

ディストリビューターの作成は、テクノロジープレビュー機能になります。

ポータルと Subscription Asset Manager の組織は、安全ではあるものの外部のネットワーク接続で通信します。特定の Subscription Asset Manager 組織が公共ネットワークでアクセスできない、またはアクセスすべきでないという場合もあります。または、Subscription Asset Manager の組織を相互にローカルである子組織に区分すべきというような業務上の理由がある場合もあります。

Subscription Asset Manager では、Subscription Asset Manager 組織の下に ディストリビューター を作成することができます。これは、実際にはインスタンス内のインスタンスになります。親組織が子組織にサブスクリプションをアタッチし、マニフェストをローカルで作成します。

ディストリビューターはカスタマーポータル内で作成されることはなく、そこで見えることもありません。ディストリビューターは別の Subscription Asset Manager インスタンス下で作成、維持されます。

図4.2 ディストリビューターの階層

ディストリビューターは、Subscription Asset Manager インスタンスがサブスクリプションを区分する方法の 1 つです。

4.2. 組織の管理

4.2.1. 新しい組織の作成

Subscription Asset Manager 内で組織を作成します。
1. 管理メニューにカーソルを移動して組織をクリックします。
2. 左側のコラムで + 新規の組織 リンクをクリックします。
3. 新しい組織の名前と、オプションで説明を入力します。名前に基づいてラベル (内部の識別子) が自動的に作成されますが、これは編集可能です。
4. 保存ボタンをクリックします。
組織を Customer Portal Subscription Management に登録します。Subscription Asset Manager 内の組織と Red Hat アカウント設定内の組織は直接関係しています。
1. カスタマーポータルにログインします。
2. サブスクリプション タブを展開し、サブスクリプション管理 にカーソルを移動して、Subscription Management Applications 項目を選択します。
3. Subscription Asset Manager 組織 タブで Subscription Asset Manager 組織の登録 リンクをクリックします。
4. 新しい組織について以下の必要な情報を入力します。
  組織の名前
  組織のタイプ。選択肢は、アカウントで利用可能なサブスクリプションに基づいて提供されます。
  Subscription Asset Manager インスタンスのバージョン。選択肢は、アカウントで利用可能なサブスクリプションに基づいて提供されます。
  注記
  この名前は、Subscription Asset Manager で設定した組織名と対応するようにしてください。
5. 登録ボタンをクリックします。
カスタマーポータルでサブスクリプションを組織にアタッチし、Subscription Asset Manager 組織エントリーでマニフェストをダウンロードしてインポートします。「組織のマニフェスト管理」の説明を参照してください。

4.2.2. 組織の削除

組織を削除するには、組織エントリーにある削除リンクをクリックして、確認します。

図4.3 組織の削除

組織を削除すると、そのエントリーが削除されるだけではありません。その組織に登録されているすべてのシステムの登録が直ちに解除されます。同様に、これらのシステムにアタッチされているすべてのサブスクリプションも削除され、他のシステムや組織に適用できるようになります。

4.2.3. デフォルト組織の設定

各 Subscription Asset Manager インスタンスには、デフォルト組織があります。これは、他の組織が選択されていない場合に web UI で開かれる最初の組織です。

デフォルト組織を変更するには、希望する組織のエントリーページ下部にある この組織をデフォルト組織にする をクリックします。

図4.4 デフォルト組織の設定

4.2.4. 自動アタッチの設定

サブスクリプションの自動アタッチおよび更新では、様々な基準を基にどのサブスクリプションをシステムにアタッチするか選択します。基準には、最新のインストール済み製品、ハードウェア、そしてアーキテクチャーが含まれます。最適なサブスクリプションを選択する上で使用される要素の大半は、システムの特性をベースとしていますが、サブスクリプションの特性を考慮することも可能です。

サブスクリプションの一部は、特定システムにおける製品のサービスレベルを認識します。このサービスレベルは、システムにアタッチするサブスクリプションを選択する際の基準として使用することができます。

Red Hat のサービスレベルは、コントラクトで定義されています。製品サポートのサービスレベルの概要は、https://access.redhat.com/support/offerings/production/sla.html に記載されています。

アカウントでは、複数のサポートレベルを利用でき、これは同じ製品に対しても該当します。特定のシステムに対するサポートレベルは、適切なレベルのサポートが利用できるように設定可能です。実稼働システムは業務に必須なシステムであるため、通常はプレミアムのサポートレベルを選択します。一方、開発システムは標準レベルのサポートか、セルフサポートを選択します。

組織のサポートレベルを設定すると、システムレベルの設定が異なっている、またはそのレベルのサブスクリプションが利用可能でない場合を除いて、そのサービスレベルのサブスクリプションが最初にデフォルトでシステムにアタッチされます。

注記

デフォルトでは、サブスクリプションおよびシステムには、利用可能なサポートレベルの中で一番高いものが選択されます。

組織内のシステムにデフォルトのサービスレベルを設定するには、ドロップダウンメニューから適切なレベルを選択します。

標準
なし
プレミアム
セルフサポート

図4.5 自動アタッチの設定

組織のマニフェスト内にあるサブスクリプションを基にして、利用可能なサービスレベルのみがドロップダウンメニューに表示されます。たとえば、プレミアムサブスクリプションが利用可能でない場合は、メニューにはプレミアムサービスレベルは表示されません。

4.3. ディストリビューターの管理 (テクノロジープレビュー)

Subscription Asset Manager 組織内でディストリビューターエントリーを作成します。
1. サブスクリプション メニューにカーソルを移動して Subscription Manager Applications をクリックします。
2. 左側のコラムで + 新規のディストリビューター リンクをクリックします。
3. 新規のディストリビューター名を入力します。
4. 保存ボタンをクリックします。
他の Subscription Asset Managerインスタンスおよび組織を設定します。
元の Subscription Asset Manager インスタンスでサブスクリプションを組織にアタッチし、他の Subscription Asset Manager 組織でマニフェストをダウンロードしてインポートします。「ディストリビューターのマニフェスト管理 (テクノロジープレビュー)」の説明を参照してください。

4.4. マニフェストのインポートおよびメンテナンス

登録済みのシステムにはすべて、一定数のソフトウェアエンタイトルメントがあります。これらのエンタイトルメントはマニフェストに一覧表示されます。マニフェストは Subscription Asset Manager で使用されるため、Red Hat Network アカウントに直接ログインしなくても、ご使用のシステムをオンサイトで管理することができます。

4.4.1. マニフェスト

カスタマーポータルのサブスクリプション管理におけるサブスクリプション管理アプリケーションの組織と、Subscription Asset Manager のようなオンプレミスアプリケーションにおける組織の定義には直接の関係があります。この関係は、カスタマーポータルのサブスクリプション管理がローカルで管理するために、Red Hat からオンプレミスアプリケーションにサブスクリプションを転送するために使用する方法です。

この転送されたサブスクリプションのブロックは、サブスクリプション管理アプリケーションの組織マニフェスト に一覧表示されます。このマニフェストは、カスタマーポータルのサブスクリプション管理から直接ダウンロードする、サブスクリプション管理アプリケーションの組織エントリーの ZIP アーカイブで、オンプレミスアプリケーションにアップロードします。

重要

組織のサブスクリプションに行うすべての変更は、カスタマーポータルのサブスクリプション管理におけるサブスクリプション管理アプリケーションの組織エントリーに割り当てられているサブスクリプションに適用されます。その後、マニフェストを再生成してダウンロードし、アプリケーションに再アップロードします。

マニフェストはディレクトリーと JSON ファイルの集合で、その JSON ファイルには、サブスクリプション、エンタイトルメント証明書、製品、サブスクリプション管理アプリケーションの組織のルール一覧が含まれます。

manifest.zip
      |
      |- consumer_export.zip
                   |
		   |- export/
		         |
			 |- consumer_types/
			 |
			 |- entitlements/
			 |
			 |- entitlement_certificates/
			 |
			 |- products/
			 |
			 |- rules/
			 |
			 |- consumer.json
			 |
			 |- meta.json

consumer.json と meta.json

この JSON ファイルには、アプリケーションの組織のエントリー情報 (UUID) と、マニフェストの情報 (バージョンおよび作成日) が含まれています。

consumer_types/

consumer_types/ には、サポートされているアプリケーションの各タイプに対して、JSON ファイルが 1 つずつ含まれています。JSON ファイルには、アタッチしているサブスクリプションのタイプが示されています。たとえば、Subscription Asset Manager の場合は、sam.json の manifest 値が true になります。

{"id":"5","label":"sam","manifest":true}

entitlements/

entitlements/ には、アプリケーション組織に割り当てられる各サブスクリプションの JSON ファイルが含まれています。各フィールドの名前は、UUID.json と呼ばれています。

このファイルには、サブスクリプションの完全な情報が含まれています。たとえば、コントラクト番号、プール ID、コントラクトの開始日と終了日、サブスクリプションのキーと証明書、同梱されている各製品の製品 ID、数量、サブスクリプションに関連するその他の情報です。

例えば、以下はサブスクリプション JSON 内の単一の Red Hat Enterprise Linux 製品についての情報です。

...
{"id":"8a878dcd3520d43501353f6f98f911e9","productName":"Red Hat Enterprise Linux Server","productId":"69","updated":"2012-02-02T18:59:32.000+0000","created":"2012-02-02T18:59:32.000+0000"}],"endDate":"2012-10-13T03:59:59.000+0000","quantity":50,"productName":"Red Hat Enterprise Linux Server, Premium (4 sockets) (Up to 4 guests)","contractNumber":"2625891","accountNumber":"1506376","productId":"RH0153936","subscriptionId":"2267347","consumed":31,"exported":30,"sourceEntitlement":null,"activeSubscription":true,"restrictedToUsername":null,"productAttributes":[{"productId":"RH0153936","name":"support_type","value":"L1-L3","id":"8a878dcd3520d43501353f6f98f811de","updated":"2012-02-02T18:59:32.000+0000","created":"2012-02-02T18:59:32.000+0000"}
...

entitlement_certificates/

entitlement_certificates/ には、Base64 エンコードされた BLOB のエンタイトルメント証明書がある PEM ファイルが各サブスクリプションに含まれています。

products/

products/ には、サブスクリプションに同梱される各製品の JSON ファイルが含まれています。これには、サポートされているバージョン、コンテンツセット、依存関係、およびリポジトリについての詳しい情報、その他の製品固有 (必ずしもサブスクリプション固有ではない) の情報が含まれています。

以下に、基本的な Red Hat Enterprise Linux 製品がある 1 バージョンの JSON ファイルの一部を例として示します。

...
{"name":"Red Hat Enterprise Linux Server","id":"69","attributes":[{"name":"type","value":"SVC"},{"name":"arch","value":"i386,ia64,x86_64"},{"name":"name","value":"Red Hat Enterprise Linux Server"}],"multiplier":1,"href":"/products/69","productContent":[{"content":{"name":"Red Hat Enterprise Linux 5 Server Beta (Source ISOs)","id":"861","type":"file","vendor":"Red Hat","modifiedProductIds":[],"contentUrl":"/content/beta/rhel/server/5/$releasever/$basearch/source/iso","label":"rhel-5-server-beta-source-isos","gpgUrl":"http://","metadataExpire":86400,"requiredTags":"rhel-5-server"},"enabled":false}
...

rules/

rules/ には、JavaScript ファイルが 1 つ含まれ、バックエンドの Red Hat サブスクリプション管理サービスとやりとりするためにアプリケーションが使用する関数を設定します。

4.4.2. 組織のマニフェスト管理

4.4.2.1. 組織へのサブスクリプションのアタッチ

組織にサブスクリプションを割り当てると、組織が管理するシステムに割り当てる、そのタイプのサブスクリプションの数が設定されます (これは、ローカルにインストールされている製品にサブスクリプションを割り当てるシステムとは対照的です)。

アタッチ済みのサブスクリプション タブには、組織に現在割り当てられているサブスクリプションが表示されます。サブスクリプションのアタッチ リンクをクリックすると、アカウント全体のサブスクリプションに基づいて、アプリケーションの組織で利用可能なサブスクリプションがすべて表示されます。

組織にサブスクリプションをアタッチするには、以下を行います。

カスタマーポータルにログインします。
サブスクリプション タブを開き、サブスクリプション管理 エリアの下にある概要を選択します。
右側の 使用率 エリアで、サブスクリプション管理 リンクをクリックします。
サブスクリプション管理アプリケーション 列で、組織のタイプをクリックします。
アプリケーションインベントリーで組織の名前をクリックします。
アタッチ済みのサブスクリプション タブを開きます。
サブスクリプションのアタッチ リンクをクリックして、サブスクリプションを選択するウィンドウを開きます。
割り当てるサブスクリプションの横にあるチェックボックスを選択して、数量列でアプリケーション組織の合計を設定します。
使用可能なサブスクリプションの一覧には、3 つの重要な情報が表示されます。
- サブスクリプション購入の契約番号。記録の保持と追跡に重要です。
- そのサブスクリプションに対してまだ使用できる数量。サブスクリプションはまとまった数量で購入します。この数は購入した総数のうちどれだけ残っているかを示しています。
- サブスクリプションの開始日と終了日。これにより、有効期限が切れるまで数日間しか有効でないサブスクリプション、または、まだアクティブでないサブスクリプションを割り当てることがないようにします。
  組織に割り当てられているサブスクリプションの終了日はそれぞれ異なることが多いため、マニフェストを更新せずにサブスクリプションを更新した方が簡単です。
注記
数量は、コントラクトで使用可能なサブスクリプション数の合計に設定されています。他のユニットおよびサブスクリプション管理アプリケーション間で、サブスクリプションを適切に割り振ることができるように、1 つのアプリケーション組織に割り当てられているサブスクリプションの数に注意してください。
左下隅の 選択項目を追加 ボタンをクリックしてください。

4.4.2.2. マニフェストをダウンロードする

サブスクリプションがアプリケーション組織に割り当てられると、製品証明書やエンタイトルメント証明書を含むサブスクリプションおよび製品の完全な一覧が 1 つの マニフェスト にまとめられます。マニフェストは、基本的にはローカルのサブスクリプション管理サービスを扱うためにアプリケーション組織が必要とするすべてが記載されたマスターの一覧です。

マニフェストは、マニフェストのダウンロード ボタンからクリックして、アプリケーション組織の詳細ページからダウンロードできます。これにより、manifest.zip アーカイブがローカルのファイルシステムに保存され、Subscription Asset Manager または Satellite 6 にアップロードできるようになります。

図4.6 アプリケーション組織のマニフェストのダウンロード

4.4.2.3. サブスクリプションマニフェストのアップロード

Subscription Asset Manager UI を開き、マニフェストに関連付けられている組織の管理者としてログインします。
必要に応じて左上にある組織メニューを展開し、適切な組織を選択します。
サブスクリプション タブにカーソルを移動して Red Hat Subscriptions をクリックします。
+ マニフェストのインポート リンクをクリックします。
組織に対してマニフェストが以前に読み込まれている場合は、詳細ページに既存のマニフェストの詳細が記入されます。
参照ボタンをクリックして、ダウンロードしたマニフェストファイルの場所を指定します。
アップロード ボタンをクリックします。

4.4.2.4. 組織のマニフェストのリフレッシュ

組織がサブスクリプションを変更 (数量の変更、製品の追加、またはサブスクリプションの更新) する必要がある場合には、カスタマーポータルのサブスクリプション管理で組織にアタッチしたサブスクリプションを編集します。

マニフェストは、以下の 2 つ場所で変更します。マニフェスト自体はカスタマーポータルで更新します。その後、Subscription Asset Manager 組織でリフレッシュします。

重要

カスタマーポータルのサブスクリプション管理で新しい組織を作成して、オンプレミスの組織を更新しないようにしてください。 カスタマーポータルのサブスクリプション管理にある既存の組織にアタッチしているサブスクリプションを変更し、更新したマニフェストをオンプレミス組織が使用するようにします。

カスタマーポータルでマニフェストを更新します。
1. カスタマーポータルにログインします。
2. サブスクリプション タブを展開し、サブスクリプション管理 にカーソルを移動して、Subscription Management Applications 項目を選択します。
3. 登録済みアプリケーションが一覧表示されます。特定のアプリケーション組織を検索するか製品固有のタブに切り替え、システムを検索します。
4. アプリケーションインベントリーで組織の名前をクリックします。
5. アタッチ済みのサブスクリプション タブを開きます。
6. 更新する以前のサブスクリプションを削除する必要があります。そのサブスクリプションのチェックボックスを選択し、選択項目の削除 ボタンをクリックします。
  サブスクリプション管理アプリケーションの組織に割り当てているサブスクリプション数量を直接変更することはできません。割り当てているサブスクリプションに追加または削除する場合は、元の割り当てを削除して、新しい数量でサブスクリプションを割り当てる必要があります。
  たとえば、使用しているサブスクリプションブロックの数量が 30 で、35 に増やす必要がある場合は、現在のブロックを削除して、数量が 35 の新しいブロックを追加できます。これにより、数量が 35 のサブスクリプションが 1 つになります。もしくは、数量 5 の新しいブロックを追加して、数量が 30 のサブスクリプションが 1 つ、そして数量が 5 のサブスクリプションが 1 つの、合計 2 つのサブスクリプションエントリーを持つこともできます。
7. 新しいサブスクリプションを追加します。
Subscription Asset Manager UI を開き、組織の管理者としてログインします。
必要に応じて適切な組織に切り替えます。
サブスクリプション タブにカーソルを移動して Red Hat Subscriptions をクリックします。
マニフェストの インポート エリアで、マニフェストのリフレッシュ ボタンをクリックします。
カスタマーポータルから直接更新済みマニフェストがプルされます。

注記

場合によっては、マニフェストの更新 ボタンが表示されないこともあります。更新済みマニフェストは、「サブスクリプションマニフェストのアップロード」にあるように新規マニフェストファイルのようにアップロードすることができます。

4.4.2.5. マニフェストインポート履歴の表示

組織のマニフェストがインポートされたり更新されたりすると、その操作はログに記録されます。これにより、更新されたサブスクリプションが組織内のシステムで利用可能になるタイミングを追跡できます。

Subscription Asset Manager UI を開き、組織の管理者としてログインします。
必要に応じて適切な組織に切り替えます。
サブスクリプション タブにカーソルを移動して インポートの履歴 をクリックします。
すべてのインポート操作が履歴に一覧表示されます。

4.4.3. ディストリビューターのマニフェスト管理 (テクノロジープレビュー)

重要

これは Subscription Asset Manager 1.4 のテクノロジープレビュー機能になります。

すべてのサブスクリプションの割り当てとインベントリーは、カスタマーポータルが元になります。新しい Subscription Asset Manager 組織が作成された場合、それらのサブスクリプションのサブセットをその組織にアタッチする必要があります。その関係は、ポータル (企業のメインアカウント) と Subscription Asset Manager 組織 (部門) の間のものです。

ポータルと Subscription Asset Manager の組織は、安全ではあるものの外部のネットワーク接続で通信します。特定の Subscription Asset Manager 組織が公共ネットワークでアクセスできない、またはアクセスすべきでないという場合もあります。または、Subscription Asset Manager の組織を相互に認識できる子組織に区分すべきというような業務上の理由がある場合もあります。

Subscription Asset Manager では、Subscription Asset Manager 組織に ディストリビューター を作成することができます。これは、実際には組織内の組織になります。親組織が子組織にサブスクリプションをアタッチし、マニフェストをローカルで作成します。

ディストリビューターのマニフェストを作成するには、以下を実行します。

Subscription Asset Manager UI を開き、組織の管理者としてログインします。
必要に応じて適切な親組織に切り替えます。
サブスクリプション タブにカーソルを移動して Subscription Manager Applications をクリックします。
左側のコラムからディストリビューターを選択します。
ディストリビューターの サブスクリプション タブで、利用可能なサブスクリプション エリアから追加するサブスクリプションを選択します。
選択した製品ごとに適切なサブスクリプション数を設定してください。数量は、子組織が利用できる、そのタイプのサブスクリプションの合計数です。
下にスクロールして、ウィンドウ下部にある アタッチ をクリックします。
サブスクリプションをアタッチすると、自動的に子組織のマニフェストが更新されます。
ディストリビューターの サブスクリプション タブ上部にある ダウンロード ボタンをクリックして、マニフェストをエクスポートします。
子 Subscription Asset Manager 組織の web UI を開きます。
「サブスクリプションマニフェストのアップロード」の説明に従って、マニフェストを子組織にアップロードします。

第5章システムとサブスクリプションの管理

システムは、サブスクリプションを使用してインストール可能なソフトウェアパッケージを定義します。更新をダウンロードするには、システムに最新のサブスクリプションが必要です。

5.1. システム上のサブスクリプション

システムにサブスクリプションを割り当てることで、そのシステムはサブスクリプション内の Red Hat 製品をインストールして更新することができるようになります。サブスクリプションとは、購入した全製品の全バリエーションの一覧であり、製品とサブスクリプションが利用できる回数を定義します。これらのライセンスの 1 つがシステムに割り当てられると、そのサブスクリプションはそのシステムに アタッチ されたことになります。

組織で利用可能なサブスクリプションは、組織マニフェストで定義されます (「マニフェストのインポートおよびメンテナンス」)。システムについては、サブスクリプションはいくつかの追加方法があります。

手動でサブスクリプションを追加および削除する
インストール済み製品およびシステムの特性に基づくサブスクリプションの自動アタッチ
システムをアクティベーションキーに登録してサブスクリプションを事前設定にアタッチする

5.1.1. サブスクリプションとシステムの関係

5.1.1.1. サブスクリプション、製品、システムとの対話

システム上の製品間には、関係性、依存性、そして競合性が存在します。同様に、サブスクリプション間にも関係があり、これは、サブスクリプションに対応するソフトウェアの関係に相当します。サブスクリプションの中には、仮想ゲストを許可するもの、他のサブスクリプションを必要とするもの、他のサブスクリプションと競合するものがあります。

サブスクリプションは、インストール済みの製品、その製品間、そしてこれらの製品がインストールされているシステムとの関係を定義します。同様に、サブスクリプションは、システム間の関係のほか、環境内でのシステム間の相互作用の方法についても定義できます。これは、特に仮想環境において明らかです。仮想環境では、サブスクリプションは物理ホストおよび仮想ゲストに対して様々な関係を定義できます。しかし、システム間の相互作用には他の方法もあります。たとえば、データセンターやクラウドインフラストラクチャーなどです。サブスクリプションは、これらのメタ関係の一部になります。

これらの関係の定義にサブスクリプションを使用すると、製品やシステムの相互作用の方法に幅広い柔軟性が追加されます。

1 つの製品を 1 つのシステムに関連付けます (これが最も一般的な関係になります)。
1 つの製品に制限することで、特定の異なる製品と同じシステムにインストールできないようにします。
システムを一貫性のあるサービスレベルに維持します。各サブスクリプションには、製品のサービスレベル (例: 標準またはプレミアム) に関する定義が含まれています。サブスクリプションのクライアントはまず、同じサービスレベルのサブスクリプションの割り当てを試みます (適用可能)。これは、システムのサポートレベルの一貫性を保持することが目的です。
仮想マシンが、ホストからサブスクリプションを継承できます。
ホストが、データセンターデプロイメントに無制限のゲストを保持できるようになります。
1 つの「サブスクリプション」を複数のシステムに渡って使用することを許可します。これは、Red Hat Cloud Infrastructure などで利用できます。この場合、サブスクリプションを 1 つ購入すると、Red Hat Enterprise Linux、Red Hat OpenStack、Red Hat Virtualization、および Satellite 6 の 4 つの製品をカバーできます。これらの各製品は独自のサブスクリプションを持つことになり、スタック作成のために様々なシステムで利用できます。
同じタイプのサブスクリプションをスタックまたは組み合わせて、システムを網羅します。

5.1.1.2. サブスクリプションの計算

サブスクリプションサービスのインベントリーの一環として、サブスクリプションの追跡があります。つまり、どのサブスクリプションが購入されたかだけでなく、これらのサブスクリプションのうち利用可能な数はどれくらいかを追跡します。

サブスクリプションの初回購入時には、そのサブスクリプションを使用できる時間を定義します。サブスクリプションの数は、基本となるシステムの特定の要素をベースとしています。最も一般的なのは、ソケット数です (ただし、特定のサブスクリプションによっては、コア数など、ソケット数以外のものもあり得ます)。サブスクリプションによって直接カバーされるシステムまたはソフトウェアの要素は、インスタンスと呼ばれます。

たとえば、2 ソケットの Red Hat Enterprise Linux のサブスクリプションの場合は、製品が Red Hat Enterprise Linux and で、属性は物理ソケットペアになります。ソケットのペアはインスタンスです。

1 つのサブスクリプションには通常、1 つのソケット数 (または他の属性) が必要です。したがって、8 つのソケットのシステムの場合は、ソケット数をカバーするために 4 つのソケットのシステムよりもサブスクリプションの数が必要となります (これをスタッキングと呼びます)。

ただし、このような単純なアレンジメントが、すべてのサブスクリプションに適用されるわけではありません。

2013 年 10 月以降、Red Hat は、以下のようなサブスクリプション関係の導入を開始しました。

1 つのサブスクリプションを使用する複数の製品 (Red Hat クラウドインフラストラクチャー)
継承可能なサブスクリプション
仮想ゲストを無制限に許可するデータセンターサブスクリプション (ホストだけが特定のサブスクリプションが必要)

また、2013 年のサブスクリプション変更により、サブスクリプションでの仮想ゲストの処理方法が変更になりました。物理システムに対するサブスクリプションと、仮想ゲストに対するサブスクリプションは別になっていました。現在のサブスクリプションモデルでは、物理システムと仮想システムの両方に同じサブスクリプションが使用されます。ただし、物理システムと仮想システムでは、使用される数量が異なります。

前述したように、物理システムでは、1 つのサブスクリプションの数は、ソケットのペアごとに使用されます。仮想ゲストは、ソケットのペアではなく 1 つのソケットとしてカウントします。つまり、仮想ゲストは基本的にサブスクリプションの数の半分になります。仮想ゲストがインベントリーに追加されると、利用可能なサブスクリプション数の合計に 2 を掛けます (インスタンスの乗数)。これにより、仮想ゲストの利用数が「半分」だけでも、サブスクリプションのカウントは整数のままでよいことになります。

ただし、一部のサブスクリプション数に 2 を掛けても、データセンターの仮想ゲストは、個々のサブスクリプションを使用しません。複数の製品に関する一部のサブスクリプション (Cloud Infrastructure) は、別のシステムにインストールされます。さらに、2013 年以前のサブスクリプションはすべて同じ環境にインストールされます。サブスクリプションの使用状況ページまたはサブスクリプション管理ツールに一覧表示された実際の数は、コントラクトで購入した数量を反映しない可能性があります。基本的な数は同じです。異なる点は、主に、全体の数を維持するか、より柔軟なサブスクリプションタイプを維持するために変更を反映しているという点です。

5.2. システムの登録

設定 RPM をインストールして、Red Hat Subscription Manager が Subscription Asset Manager インスタンスをポイントするようにします。例を示します。
```
[root@server ~]# rpm -ivh http://sam.example.com/pub/candlepin-cert-consumer-latest.noarch.rpm
```
subscription-manager コマンドを実行してシステムを登録します。組織名が必須になります。このコマンドでユーザー名またはパスワードを渡さないと、入力を求めるプロンプトが表示されます。--auto-attach を使用して自動的にサブスクリプションを適用することは必須ではありませんが、このオプションを使用すれば新しいシステムを設定するのが容易になります。
```
[root@server ~]# subscription-manager register --username=jsmith --password=secret --org="IT Dept" --auto-attach
```
このコマンドは root で実行してください。

5.3. システムグループの使用

システムグループは、組織内のシステムに構造を提供する方法です。システムグループは、アクセス制御に関連付けて、あるシステムにアクセスできるユーザーを制御したり、アクティベーションキーに関連付けて、新しいシステムの初期設定の定義に使用できます。

システム タブにカーソルを移動して システムグループ を選択します。
グループページの左側のコラムで + 新規のシステムグループ リンクをクリックします。
グループ名と、オプションで説明とシステム制限を入力します。システム制限は、グループに属するシステム数に制限が設定されます。デフォルトでは、グループメンバーシップは無制限になっています。
保存ボタンをクリックします。
保存ボタンをクリックすると新規グループの システム タブが表示されます。追加するシステムを検索します。ワイルドカード (アスタリスク記号「*」) を使用すると、全システムが表示されます。
ドロップダウン一覧から追加するシステムを選択し、追加ボタンをクリックします。

5.4. 組織のサブスクリプションの表示

各組織には単一のマニフェストがあり、これはカスタマーポータルで作成され、組織にアップロードされます。マニフェストには、そのマニフェストのすべてのサブスクリプションと量 (仮想システムに対する調整なし) が一覧表示されます。

各サブスクリプションは組織向けにリストされ、サブスクリプションには 1 つ以上の製品が含まれます。

Subscription Asset Manager UI を開き、組織の管理者としてログインします。
必要に応じて適切な組織に切り替えます。
サブスクリプション タブにカーソルを移動して Red Hat Subscriptions をクリックします。
左側のコラムでサブスクリプション名をクリックし、詳細を表示します。
詳細ページにはサポートレベル、アカウント番号、および製品に使用されるシステム属性が表示されます。
製品ダブでは、サブスクリプションに含まれるすべての製品が表示されます。製品を展開すると、そのリポジトリーの場所に関する情報が表示されます。

5.5. システムのインストール済み製品の表示

システムにインストール済みの製品と、各製品のサブスクリプションのステータスは、システムの コンテンツ タブで確認できます。

トップメニューで システム タブにカーソルを移動して、すべて を選択します。
左側のコラムからシステム名を選択します。
コンテンツ タブを開きます。
システムにインストール済みの全製品が表示され、各システムのサブスクリプションのステータスも表示されます。

5.6. 手動でのサブスクリプション管理

5.6.1. システムへのサブスクリプションのアタッチ

注記

Red Hat サブスクリプションマネージャー クライアントシステムではサブスクリプションのステータスの更新に最大 4 時間かかります。サブスクリプションのステータスを直ちに更新する必要がある場合は、コマンドラインインターフェースから subscription-manager refresh コマンドを実行してください。

トップメニューで システム タブにカーソルを移動して、すべて を選択します。
左側のコラムからシステム名を選択します。
サブスクリプション タブを開きます。
利用可能なサブスクリプション の一覧から、システムにアタッチするサブスクリプション名のチェックボックスを選択します。
アタッチ ボタンをクリックします。

5.6.2. サブスクリプションの削除

トップメニューで システム タブにカーソルを移動して、すべて を選択します。
左側のコラムからシステム名を選択します。
サブスクリプション タブを開きます。
現在のシステムのサブスクリプション の一覧で、削除するサブスクリプションのチェックボックスを選択します。
削除ボタンをクリックします。

5.7. システムの自動アタッチの設定

サブスクリプションの自動アタッチおよび更新では、様々な基準を基にどのサブスクリプションをシステムにアタッチするか選択します。基準には、最新のインストール済み製品、ハードウェア、およびアーキテクチャーが含まれます。最適なサブスクリプションを選択する際の要素のほとんどは、システム特性に基づいていますが、サブスクリプションの特性を考慮することもできます。

組織は、デフォルトのサービスレベルを設定することができます。これは、すべてのシステムがサブスクリプションを自動アタッチする際に使用するものです。必要に応じて、ローカルのシステムレベルの設定で、組織のデフォルト設定を上書きするように設定することもできます。

注記

デフォルトでは、サブスクリプションおよびシステムには、利用可能なサポートレベルの中で一番高いものが選択されます。

トップメニューで システム タブにカーソルを移動して、すべて を選択します。
左側のコラムからシステム名を選択します。
サブスクリプション タブを開きます。
上部ボックス内の編集アイコンをクリックし、自動アタッチ設定を変更します。
適切な自動アタッチ設定を選択します。
リスト内のオプションは、組織のサブスクリプションで利用可能なサポートレベルに応じたものとなっています。以下は、レベルの高いものから順に表示したオプションになります。
- 自動アタッチを有効にし、サポートレベルに対して特定のシステムレベル設定を使用します。
- 自動アタッチを有効にし、組織に対してデフォルトのサポートレベル設定を使用します。
- 自動アタッチを無効にし、サポートレベルの設定をシステムレベルの設定または組織に対してデフォルトに設定します。(どちらのケースにおいても、自動アタッチが無効となっているのでサポートレベルの設定は使用されません。)
保存ボタンをクリックします。

5.8. 自動アタッチ操作を手動で実行する

ローカルシステムは 4 時間ごとにジョブを実行し、サブスクリプションを自動的に更新することができます。また、インストール済みの製品およびサブスクリプションのステータスに応じて、あらゆるサブスクリプションのアタッチおよび削除ができます。

システムのすべてのサブスクリプションを即座に更新するために、1 つのシステムまたは各システムで、非同期の自動アタッチ操作を実行することが可能です。

5.8.1. 全システムでの自動アタッチの実行

すべてのシステムのサブスクリプションを更新するには、以下を実行します。

トップメニューで システム タブにカーソルを移動して、すべて を選択します。
システムのメインページで、すべてのシステムに利用可能なサブスクリプションを自動アタッチ ボタンをクリックします。

5.8.2. 単一システムでの自動アタッチの実行

すべてのシステムのサブスクリプションを更新するには、以下を実行します。

トップメニューで システム タブにカーソルを移動して、すべて を選択します。
システムコラムの左側にある検索ボックスで、特定のシステムを検索します。
左側のコラムでシステム名をクリックします。
システムの サブスクリプション タブをクリックします。
サブスクリプションエリアの右上で、自動アタッチの実行 ボタンをクリックします。

第6章アクティベーションキーの使用

6.1. アクティベーションキー

アクティベーションキーは所定のサブスクリプション設定をシステムに適用する方法で、特に以下の 2 つのエリアで使用します。

事前定義済みのサブスクリプションのアタッチ
特定のシステムグループへのシステムの割り当て

自動アタッチは、システム登録時にシステム上に 現在インストールされているもの のみを評価するため、アクティベーションキーは、自動アタッチよりもシステム初期設定をより詳細に制御できます。アクティベーションキーには、まだインストールされていない製品のサブスクリプションを含めることができ、それらをアタッチすることができます。

さらにアクティベーションキーを使うと、管理者は まだ存在していない システムにどの製品を (初期) インストールし、サブスクライブするかをプラニングすることができます。

同一のアクティベーションキーは、サブスクリプション自体に十分な数があれば、複数のシステムに適用できます。

注記

アクティベーションキーが設定するのは、システムの初期設定のみです。システムが組織に登録されると、その組織が所有する全製品とサブスクリプションをシステムにアタッチすることができます。

たとえば、アクティベーションキーに Red Hat Enterprise Linux のサブスクリプションが含まれており、組織に JBoss Enterprise Application Platofrm (EAP) の追加サブスクリプションが含まれていると、最初のアクティベーションキーにそのサブスクリプションが含まれていない場合でも、システムは EAP をインストールしてそれにサブスクリプションをアタッチすることができます。

6.2. アクティベーションキーの作成

Subscription Asset Manager UI にログインします。
トップメニューの サブスクリプション にカーソルを移動し、アクティベーションキー をクリックします。
左上の + 新規のキー ボタンをクリックします。
名前フィールドに名前を入力します。これは、クライアントが登録時にサブスクリプションを利用する際に使用する名前です。
オプションで、キーの詳細を入力します。
保存ボタンをクリックします。

キーが作成されたら、オプションでそのシステムグループに適切なサブスクリプションを割り当てます。

6.3. アクティベーションキーのサブスクリプション割り当てと更新

アクティベーションキーにアタッチされたサブスクリプションは、アクティベーションキーを使用してシステムを登録する際にシステムに自動的に割り当てられるものです。これにより、システムでこれらのサブスクリプションに限定されるものではありません (組織全体で利用可能なサブスクリプションは、この後のアタッチ操作によりシステムで利用可能になります)。

Subscription Asset Manager UI にログインします。
トップメニューの サブスクリプション にカーソルを移動し、アクティベーションキー をクリックします。
左側のコラムからアクティベーションキーを選択します。
利用可能なサブスクリプション タブをクリックします。利用可能なサブスクリプションが一覧表示されます。ある製品で複数のサブスクリプションが利用可能な場合は、その製品が表示されており、展開すると (名前の横にある矢印をクリック) 特定のサブスクリプションを選択できます。
サブスクリプションのチェックボックスを選択し、キーに追加します。
キーにアタッチする をクリックします。

6.4. システムグループをキーに割り当てる

システムグループをアクティベーションキーに関連付けると、そのキーを使って登録されるシステムは自動的にそのシステムグループに割り当てられます。こうすることで、アクセス制御のいくつかは直ちに当該システムに適用されます。

Subscription Asset Manager UI にログインします。
トップメニューの サブスクリプション にカーソルを移動し、アクティベーションキー をクリックします。
左側のコラムからアクティベーションキーを選択します。
システムグループ タブをクリックします。
オプションを選択 ドロップダウンメニューをクリックして利用可能なシステムグループを表示し、キーに含めるシステムグループのチェックボックスを選択します。
追加ボタンをクリックします。

6.5. アクティベーションキーを使用したシステムグループの登録

アクティベーションキーは、システムの登録後に適用するのではなく、システム登録時に使用する必要があります。

6.5.1. GUI でのアクティベーションキーの使用

Subscription Asset Manager 用のアクティベーションキーは、システムの作成前またはインベントリーへの追加前に設定され、システム登録の 一部として アクティベーションキーが渡されます。

設定 RPM をインストールして、Red Hat Subscription Manager が Subscription Asset Manager インスタンスをポイントするようにします。例を示します。
```
[root@server ~]# rpm -ivh http://sam.example.com/pub/candlepin-cert-consumer-latest.noarch.rpm
```
--register オプションで Subscription Manager を起動するとすぐに登録画面が開きます。
```
[root@server ~]# subscription-manager-gui --register
```
I will use an Activation Key を選択して Next をクリックします。
システムを追加する組織名、アクティベーションキーの値 (英数字の文字列)、Subscription Asset Manager のエントリーに使用するシステム名を入力します。
登録ボタンをクリックします。

登録が完了すると、事前設定済みのサブスクリプションがすべてシステムにアタッチされます。

6.5.2. コマンドラインでのアクティベーションキーの使用

設定 RPM をインストールして、Red Hat Subscription Manager が Subscription Asset Manager インスタンスをポイントするようにします。例を示します。
```
[root@server ~]# rpm -ivh http://sam.example.com/pub/candlepin-cert-consumer-latest.noarch.rpm
```
register コマンドに --activationkey パラメーターを付けて実行し、設定済みのサブスクリプションを割り当てます。
```
[root@server ~]# subscription-manager register --username=jsmith --password=secret --org="IT Dept" --activationkey=abcd1234
```
組織が複数ある場合、または単一の組織でも複数にする可能性がある場合は、システムの組織を指定する必要があります。この情報はアクティベーションキーでは定義されていません。

第7章仮想ホストおよびゲストの管理

サービスによっては、仮想ホストシステムのゲストを自動的に検出し、仮想システムとして登録するものもあります。これにより、仮想システムに固有のサブスクリプションをゲストに使用でき、ホストから継承されたサブスクリプションをゲストに適用できるようになります。

7.1. サポート対象のハイパーバイザー

virt-who プロセスは、異なるいくつかのハイパーバイザーで、ゲストを検出して関連付けられます。

Red Hat Enterprise Virtualization (KVM)
Xen
HyperV
VMware ESX / ESX(i)

7.2. ホストおよびゲストの関連付け

サブスクリプションの関係性は、非常に柔軟にすることが可能です。あるサブスクリプションは物理マシン または 一定数の仮想マシンに適用することが可能ですが、別の仮想マシンは物理ホストに適用して、ゲストが継承できるようにすることもできます。これらの詳細は、「システム上のサブスクリプション」で説明しています。

サブスクリプションを効果的に管理、特に継承可能なサブスクリプションや、サブスクリプション間のやりとりを管理するには、ホストとゲストの関係について、サブスクリプションサービスが内部的に認識している必要があります。これが ホストとゲストのマッピング です。このマッピングは、指定したハイパーバイザーに対するゲストの識別子の一覧になります。

ハイパーバイザーは、Subscription Asset Manager またはカスタマーポータルのサブスクリプション管理で特殊なシステムとして登録されます。ハイパーバイザーそのものは、通常の物理システムとして管理されますが、ハイパーバイザーの種類は、特定のシステムがゲストを自身にマッピングし、サブスクリプションがそのゲストに継承可能であるか、別の方法で適用するかを示しています。

すべてのゲストを特定のホストに関連させるホストとゲストのマッピングを使用すると、サブスクリプションサービスは、1 つのサブスクリプションを仮想ホストに適切にアタッチし、(たとえば) 各インスタンスに 2 つの異なるサブスクリプションを使用する代わりに、それに含まれる継承可能なサブスクリプションをゲストに適用します。

この関連は、各ゲストに対して UUID (Universally Unique Identifier) を取り出し、それをそのハイパーバイザーに関連付けることで行います。この UUID は、各仮想システムのシステム情報の一種です。

最初にハイパーバイザーが Subscription Asset Manager に登録され、次にシステムの関連プロセスがゲストに対してスキャンして、検出した UUID をサブスクリプションサービスを送信します。これは、ハイパーバイザーの virt-who プロセスにより行われます。

Subscription Asset Manager がホストとゲストの関連付けを認識し、サブスクリプションを適切にアタッチするには、以下の 3 つの要因を満たす必要があります。

新しいゲストインスタンスを検出するために、適切な仮想検出プロセスを定期的に実行する必要があります。
ハイパーバイザーおよびゲストシステムは、同じ Subscription Asset Manager インスタンスに登録する必要があります。
ハイパーバイザーは、仮想サブスクリプションまたは継承可能なサブスクリプションを含むものにサブスクリプションをアタッチする必要があります。

7.3. RHEV (KVM) または Xen ハイパーバイザーの設定

Subscription Manager アプリケーションが Subscription Asset Manager サービスと CA 証明書を使用するように設定します。
```
[root@rhel-server ~]# rpm -ivh http://sam.example.com/pub/candlepin-cert-consumer-latest.noarch.rpm
```
システムをハイパーバイザーとして登録し、必要なサブスクリプションをアタッチします。
```
[root@rhel-server ~]# subscription-manager register --type=hypervisor --username=admin --password=secret --org=1234 --auto-attach
```
組織 ID は、Subscription Asset Manager UI またはポータルエントリーで組織に対して利用可能である必要があります。その組織にすでに別のシステムが登録されている場合は、subscription-manager orgs コマンドを使用すると、その ID が利用可能になります。
ハイパーバイザーに virt-who パッケージをインストールします。
```
[root@server ~]# yum install virt-who
```
virt-who 設定ファイル (/etc/sysconfig/virt-who) を開き、ハイパーバイザーで libvirtd サービスを使用するように設定します。
```
VIRTWHO_LIBVIRT=1
```
virt-who サービスを起動します。
```
[root@server ~]# service virt-who start
```
RHEV/Xen 環境ですべてのホストを設定します。
仮想マシンを通常通りに作成、登録します。

7.4. VMware ハイパーバイザーの設定

注記

virt-who パッケージはホストとゲストのマッピングを作成するもので、Red Hat Enterprise Linux で利用可能です。VMware 環境では、VMware ハイパーバイザーに接続する virt-who プロセスを実行するために、Red Hat Enterprise Linux システムが利用可能である必要があります。

Subscription Manager アプリケーションが Subscription Asset Manager サービスと CA 証明書を使用するように設定します。
```
[root@rhel-server ~]# rpm -ivh http://sam.example.com/pub/candlepin-cert-consumer-latest.noarch.rpm
```
(VMware サーバーと通信する) Red Hat Enterprise Linux システムをハイパーバイザーとして登録します。
```
[root@rhel-server ~]# subscription-manager register --type=hypervisor --username=admin --password=secret --org=1234-56789 --auto-attach
```
組織 ID は、Subscription Asset Manager UI またはポータルエントリーで組織に対して利用可能である必要があります。その組織にすでに別のシステムが登録されている場合は、subscription-manager orgs コマンドを使用すると、その ID が利用可能になります。
デフォルトでは、ハイパーバイザー名は esx hypervisor UUID になります。Subscription Asset Manager UI でシステムエントリーを編集すると、名前を変更できます。
virt-who パッケージをインストールします。
```
[root@server ~]# yum install virt-who
```
virt-who 設定ファイル (/etc/sysconfig/virt-who) を開き、Subscription Asset Manager と適切な vCenter サーバーを使用するように設定します。
1. VMware サーバーが Subscription Asset Manager インスタンスと対話するように設定します。
```
VIRTWHO_BACKGROUND=1
VIRTWHO_SAM=1
```
2. ESX モードを有効にし、環境を Library に設定します。
```
VIRTWHO_ESX=1
VIRTWHO_ESX_ENV=Library
```
3. サブスクリプションの所有者を指定します。これは、Subscription Asset Manager インスタンス内で作成された組織の ID または名前である必要があります。以下は例となります。
```
VIRTWHO_ESX_OWNER=6340056
```
  組織 ID は、Subscription Asset Manager UI またはポータルエントリーで組織に対して利用可能である必要があります。その組織にすでに別のシステムが登録されている場合は、subscription-manager orgs コマンドを使用すると、その ID が利用可能になります。
4. vCenter サーバーのホスト名または IP アドレスを設定します。
```
VIRTWHO_ESX_SERVER=vcenter.example.com
```
5. vCenter サーバーの接続時に使用するユーザー名とパスワードを指定します。
```
VIRTWHO_ESX_USERNAME=admin
VIRTWHO_ESX_PASSWORD=secret
```
6. 設定ファイルに加えた変更を保存します。
virt-who サービスを開始します。これで、ホストとゲストの全データの収集が開始されます。
```
[root@rhel-server ~]# service virt-who start
```
データは、/var/lib/virt-who/hypervisor-systemid-UUID ファイルに追加されます。
chkconfig コマンドで virt-who サービスを設定し、システムの開始時に自動的に開始するようにします。
```
[root@rhel-server ~]# chkconfig virt-who on
```

7.5. ゲストインスタンスの登録

仮想システムを物理システムと同じように登録します。

注記

環境の仮想ホスト、またはハイパーバイザー (VMware の場合) で virt-who プロセスで実行して、virt-who プロセスが物理ホストにゲストをマッピングしているのを確認し、システムが仮想システムとして適切に登録されるようにします。登録されない場合は、仮想インスタンスは物理インスタンスとして処理されます。

Subscription Manager アプリケーションが Subscription Asset Manager サービスと CA 証明書を使用するように設定します。
```
[root@virt-server ~]# rpm -ivh http://sam.example.com/pub/candlepin-cert-consumer-latest.noarch.rpm
```
システムを、ホストと同じ組織に登録します。
```
[root@virt-server ~]# subscription-manager register --username=admin --password=secret --org=12345-67-8901 --auto-attach
```
組織 ID は、Subscription Asset Manager UI またはポータルエントリーで組織に対して利用可能である必要があります。その組織にすでに別のシステムが登録されている場合は、subscription-manager orgs コマンドを使用すると、その ID が利用可能になります。

7.6. データセンターの作成

物理システムをハイパーバイザーとして登録し、システムにインストールして登録する仮想ゲストの数を無制限に許可するようなデータセンターで利用できる特別なサブスクリプションがあります。その物理システムは、RHEV または Xen を実行する Red Hat Enterprise Linux システム、または VMware または HyperV を実行する Linux 以外のシステムになります。設定は、仮想化環境を実行する場合と同様に重要ではありません。単に、ホストとゲストのマッピングを作成する virt-who プロセスを実行する Red Hat Enterprise Linux システムが 1 台必要になるだけです。

環境内の各物理ホストに対して、以下を行います。

「RHEV (KVM) または Xen ハイパーバイザーの設定」または「VMware ハイパーバイザーの設定」の説明に従って、ホストまたはハイパーバイザーを設定します。
ハイパーバイザーエントリーに、データセンターサブスクリプションをアタッチします。サブスクリプションの名前は Red Hat Enterprise Linux for Virtual Datacenters ... System:Physical です。
「VMware ハイパーバイザーの設定」の説明に従い、ホストまたはハイパーバイザーにすべてのゲストを登録します。

注記

あるハイパーバイザーから別のハイパーバイザーに仮想インスタンスを移行すると、Red Hat Enterprise Linux サブスクリプションが保存されますが、JBoss Enterprise Application Platform などの追加製品のサブスクリプションは、登録解除して、再アタッチする必要があります。

7.7. ホストおよびゲストアカウントの削除と復元

7.7.1. ゲストエントリーの削除

ゲストシステムが実行中の場合は、単にシステムの登録を解除します。

[root@virt-guest ~]# subscription-manager unregister

システムが削除されている場合は、virt-who のような仮想サービスはサービスが削除されたのか、または一時停止になっているのかを判別できません。その場合、以下のステップに従って、システムを Subscription Asset Manager から手動で削除する必要があります。

Subscription Asset Manager UI にログインします。
トップメニューで システム タブにカーソルを移動して、すべて をクリックします。
左側のコラムでシステム名をクリックします。
システム詳細ページ上部にある システムの削除 をクリックします。

7.7.2. ハイパーバイザーエントリーの削除

ハイパーバイザーの登録を解除します。
```
[root@rhel-server ~]# subscription-manager unregister
```
VMware の場合は、UUID ファイルである /var/lib/virt-who/hypervisor-systemid-UUID を削除して、ホストとゲストのマッピングを削除します。

7.7.3. ハイパーバイザーの再登録

ハイパーバイザーを削除すると、削除自体が Subscription Asset Manager にマーカーとして記録されるため、同じサブスクリプションインベントリー ID でこのハイパーバイザーを再登録することはできません。後でこのハイパーバイザーを戻すと、新たな ID で登録されます。ハイパーバイザーエントリーの削除時に UUID ファイルを削除する必要があるのは、このためです。再登録すると、ホストとゲストの新たなマッピングが作成されてしまいます。

同じ UUID でハイパーバイザーを再登録する必要がある場合は、削除の記録を削除します。

[root@sam-server ~]# headpin -u admin -p admin system remove_deletion --uuid=<system uuid>

すると、元の ID を使ってシステムを再登録することができます。

[root@rhel-server ~]# subscription-manager register --username admin-example --password secret --org=12345678-90 --consumerid=7d133d55-876f-4f47-83eb-0ee931cb0a97

組織 ID は、Subscription Asset Manager UI またはポータルエントリーで組織に対して利用可能である必要があります。その組織にすでに別のシステムが登録されている場合は、subscription-manager orgs コマンドを使用すると、その ID が利用可能になります。

第8章システムレベルのサブスクリプション情報の表示

サブスクリプション管理の最終的な目標は、管理者が、システムとそのシステムが使用するサブスクリプションとの関係を特定できるようにすることです。これは、ローカルシステムが外のサブスクリプションを見るという視点と、組織 (トップレベルアカウント) がシステムと全サブスクリプションに関するインフラストラクチャー全体を見る視点という 2 つの異なる視点で実行できます。

Subscription Asset Manager は、サブスクリプションおよびシステムの情報を様々な方法で伝達します。たとえば、サブスクリプションが不十分な場合や有効期限が迫っているサブスクリプションを伝達しますが、これらの情報は、管理者にとって、現在のサブスクリプションを維持する上で非常に重要になります。

8.1. ダッシュボードでのハイレベル情報の表示

Subscription Asset Manager ダッシュボードには、その組織に登録された システム の総数および全体的なサブスクリプションステータスの一覧が表示されます。

図8.1 Subscription Asset Manager ダッシュボード

サブスクリプションステータス とは、システムにインストールされている全製品のすべてのサブスクリプションステータスのことを指します。たとえば、システムに Red Hat Enterprise Linux、OpenShift、および Directory Server がインストールされている場合、このシステムには、Red Hat Enterprise Linux、OpenShift、および Directory Server のサブスクリプションがアタッチされ、最新のステータスとなっているはずです。

サブスクリプションのステータスには、以下の 3 つのカテゴリーがあります。

現在のサブスクリプション とは、システムにインストールされた全製品に適切な数のサブスクリプションがあることを意味します。
無効なサブスクリプション とは、システムにインストールされた製品のうち、少なくとも 1 つの製品に対応するサブスクリプションがないことを意味します。
サブスクリプションが不十分 な状態は、少々複雑です。これは、インストールされている製品の少なくとも 1 つにサブスクリプションがいくつかあるが、それだけでは足りないことを意味します。各サブスクリプションは、適用される属性をいくつか提示します。たとえば、あるオペレーティングシステムのサブスクリプションは、特定のコア数または特定の RAM 容量を指定することができます。仮に、システムのコア数が 4 つで、サブスクリプションが対応するソケット数は 2 つと指定されている場合、このシステムに必要なサブスクリプションは 2 つになります。アタッチされているサブスクリプションが 1 つだけの場合は、このシステムの状態は 不十分 となります。

8.2. サーバー通知の表示

新しいユーザーの追加、組織の設定の編集、マニフェストのインポート、またはレポートの実行など、Subscription Asset Manager で何らかのアクションがあるたびに、システム通知が記録されます。通知には、正常な場合のメッセージとエラーメッセージの両方があります。

最新の通知は、ダッシュボード タブの 最新の通知 エリアに表示されます。

図8.2 ダッシュボードの通知

デフォルトで表示される最新の通知件数は 5 件ですが、ギアアイコンをクリックして、表示される通知件数を 15 件または 30 件へと変更することができます。

図8.3 表示される通知件数の変更

通知の全一覧は、ダッシュボード の通知の詳細リンクをクリックするか、Subscription Asset Manager UI の右上にある通知アイコンをクリックすると開かれます。

図8.4 管理メニューの通知リンク

ユーザー通知 のページには各通知の時間と日付、通知のタイプ (success または error)、通知の詳細などが表示されます。

図8.5 通知の一覧

個々の通知は削除できませんが、すべて削除 のリンクをクリックすると、通知キュー全体をクリアすることができます。

8.3. システム管理の通知表示

特定の管理イベントがシステム上で実行されると、Subscription Asset Manager 内の通知のほかに、システムのイベント履歴内でも記録されます。

システムレベルの管理通知は、詳細 > イベント履歴 タブに移動すると、システムのエントリーページで表示できます。

当該システムの管理イベントのみが、タイムスタンプ付きで一覧表示されます。

図8.6 メニュー内のイベント履歴

当該システムの管理イベントのみが、タイムスタンプ付きで一覧表示されます。

図8.7 通知の一覧

8.4. 個別システムのステータス確認

ダッシュボード は、Subscription Asset Manager 組織内の全システムのサブスクリプションステータスの累積数を表示します。ただし、サブスクリプションの有効期限およびインストール済みの製品など、個々のシステムの情報を見ることは可能です。

最初に、システムエントリーを開きます。

トップメニューで システム タブにカーソルを移動して、すべて を選択します。
システムコラムの左側にある検索ボックスで、特定のシステムを検索します。
左側のコラムでシステム名をクリックします。

サーバーリストのエントリー自体で、赤 (無効)、黄色 (不十分)、または緑 (現在) のアイコンにより、システムの全体的なサブスクリプションステータスが表示されます。

図8.8 システム一覧内のステータスアイコン

サブスクリプションステータスの詳細は、システムページの複数箇所で表示されます。

詳細タブはステータスを表示し、(ステータスが現在の場合は) サブスクリプションの有効期限も表示します。
図8.9 ステータスの詳細
サブスクリプション タブもステータスを表示し、(サブスクリプションが現在の場合は) 有効期限も表示します。さらに、サブスクリプション タブには利用可能なアタッチされたサブスクリプション一覧が表示され、システムのサブスクリプションは必要に応じて再度割り当てることが可能です。
図8.10 ステータスおよびサブスクリプションの一覧

8.5. サブスクリプションステータスの修正

ローカルシステムは 4 時間ごとにジョブを実行し、サブスクリプションを自動的に更新することができます。システムに新たな製品がインストールされたり、サブスクリプションのステータスが変更されると、システムは完全にカバーされた状態とはならず、これがシステムステータスにも反映されます。

サブスクリプションは個別にシステムに追加できますが (「システムへのサブスクリプションのアタッチ」)、不十分または無効なシステムステータスを修正する簡単な方法は、自動アタッチ操作を実行することです。自動アタッチ操作は単一システム上でも、組織内の全システム上でも実行できます (「自動アタッチ操作を手動で実行する」)。

8.6. Subscription Asset Manager 使用量レポートの作成

「組織とディストリビューターの構造」の説明にあるように、Subscription Asset Manager 内の組織は分離、独立したものです。ダッシュボード などのエリアにおける累積情報は、表示している組織のみについてのものです。Subscription Asset Manager サーバーで複数の組織が設定されている場合でも、一度に表示されるのは 1 組織のみです。

規制およびポリシーのコンプライアンスを維持するため、サブスクリプションの割り当ておよびステータスに関して、組織をまたがるビューまたはディストリビューターをまたがるビューを備えることは、役に立つだけでなく必要でもあります。Subscription Asset Manager レポートは、複数組織の情報を返すように設定でき、そのような組織横断的なデータのコンパイルが可能となります。

8.6.1. 前提条件

強化レポーティングを使用する際には、以下のシステム要件が新たに必要になります。

「前提条件」にあるすべての前提条件。
crond サービスが実行中であること。
レポーティングデータベースジャーナル用として、追加の 4 GB ディスク領域が利用可能であること。
レポーティングサーバーの以下の追加パッケージ。
- splice
- ruby193-rubygem-splice_reports
- spacewalk-splice-tool

8.6.2. インストール後にレポーティングを設定する

Subscription Asset Manager レポーティングは、追加パッケージのインストールを必要とします。これについては、「強化レポーティングのインストールと設定」で説明しています。

Subscription Asset Manager インスタンスがすでに設定されている場合、追加パッケージをプルすることができます。たとえば、yum を使用して以下を実行します。

[root@server ~]# yum install splice ruby193-rubygem-splice_reports spacewalk-splice-tool

レポーティングパッケージがインストールされると、管理メニューに追加項目が表示され、レポートの作成および実行が可能になります。

図8.11 レポートのメニュー項目

8.6.3. レポートフィルターの作成

Subscription Asset Manager レポートは、様々な組織のデータを収集して構成するフィルターのコレクションです。

デフォルトのレポートは、直近 24 時間におけるすべてのステータス、すべての組織、すべての Satellite サーバー (設定済みの場合) のサブスクリプションを確認します。

ただし、レポート形式については、さらに柔軟にすることが可能です。特に、以下の 3 つ設定は多目的に使用できます。

レポートで確認する組織
レポートに含めるサブスクリプションステータス
確認する日付範囲。この設定で、特定範囲内 に該当ステータスが見つかったシステムを探します。これは、必ずしもシステムの現在のステータスに限定されるものではありません。

注記

以下は、インフラストラクチャーステータスの追跡およびコンプライアンスの監査に適したレポートの例です。

過去 24 時間で (ステータスが) 無効から不十分へと変更された全システム。
今後 3 カ月以内に、サブスクリプションが無効または不十分となる (つまり、既存のサブスクリプションが期限切れとなる) 全システム。

新規のレポートフィルターを作成するには、以下を実行します。

管理メニューの レポート をクリックします。
左側のコラムで 新規フィルター リンクをクリックします。
組織、ステータス、日付範囲、およびアクティブな状態など、レポートに必要な情報を入力します。
フィルターの保存 ボタンをクリックします。

注記

Subscription Asset Manager データベース内のデータには、サブスクリプションステータスの履歴が含まれます。これにより、現在の日付だけでなく、任意の時点でのサブスクリプションを追跡するレポートの生成が可能となります。

たとえば、7 月時点でに購入を検討している場合、4 月から 6 月にかけて不十分または無効なシステムを検索するレポートを設定すると、購入の決定に影響を与えることができます。

サブスクリプションの問題を即座に特定し、修正できるように、タイムフィルターが提供する時間枠も、過去 24 時間または 48 時間と非常に短くできます。

8.6.4. レポートの実行

管理メニューの レポート をクリックします。
左側のコラムで、レポートフィルターの名前をクリックして実行します。
レポートページの下部にスクロールし、レポートの実行 ボタンをクリックします。
別の方法では、レポートの結果を Subscription Asset Manager UI でレンダリングする代わりに、CSV ファイルでエクスポートすることができます。データをエクスポートするには、レポートのエクスポート ボタンをクリックします。
データは CSV ファイルにエクスポートされ、オプションで、システムの詳細を含む JSON ファイルにもエクスポートされます。これらのファイルは、report-YEAR-MONTH-DAY-TIMESTAMPZ.zip という名称の ZIP アーカイブに格納されます。
注記
暗号化エクスポート のチェックボックスを選択すると、エクスポートされた CSV および JSON ファイルが暗号化され、アクセスできるのは Red Hat サポートが使用するプライベートキーのみになります。

8.6.5. Subscription Asset Manager レポートの結果およびデータ

ダッシュボード と同様に、Subscription Asset Manager レポートは、選択された全組織の登録された全システムのチャートを返します。

図8.12 レポート結果

含まれている全システムの一覧もあります。一覧そのものには、システムが登録されている Subscription Asset Manager または Satellite サーバー、ステータス、組織、および最新のチェックインタイムなどのサマリー情報が含まれています。

任意のシステム名をクリックすると、そのシステムの詳細なサブスクリプションデータがプルされます。詳細ページには、特定のレポート期間におけるサブスクリプションステータス変更の履歴、インストール済みの製品一覧と各製品のサブスクリプション情報、およびシステムファクト (CPU、ソケット数、RAM、およびコアなどの物理マシンおよびオペレーティングシステムの属性) が含まれます。

図8.13 レポートの結果: システムの詳細

レポートの結果がエクスポートされると、同じ情報がエクスポートファイルに保存されます。

CSV レポートの最初のページには、サマリー情報が記載されています。たとえば、組織、登録されたサブスクリプションサーバー、ホスト名、およびサブスクリプション状態などです。

_id, record, CHECK-IN TIME, STATUS, DB ID, SATELLITE SERVER, HOSTNAME, ORGANIZATION, LIFECYCLE STATE,
{"ident"=>"072c8bdd-ca00-43d4-a000-0887c75b90c8"}, 522e0970af5d242094000002, 2013-09-09T14:23:27Z, "Current", "072c8bdd-ca00-43d4-a000-0887c75b90c8", "sam-server.example.com", "server.example.com", "ACME_Corporation", "Active",

(オプションの) JSON ファイルには、同じサマリー情報のほか、詳細ページに記載されたシステムファクトおよび製品情報の完全一覧も含まれます。

[{"_id":{"$oid":"522e0970af5d242094000002"},"_types":["MarketingProductUsage"],"instance_identifier":"072c8bdd-ca00-43d4-a000-0887c75b90c8","updated":"2013-09-09T17:46:24Z","splice_server":"sam13-dlackey-demo","name":"server.example.com","facts":{"memory_dot_memtotal":"3780964", ...

8.6.6. 強化レポートのログ

レポートのログサイズ

デフォルトでは、強化レポートはシステム上で最大 200 MB の追加のログ領域を必要とします。ログ領域は、システムごとに毎月約 750 KB 増加します。

ログレベルを変更する必要がある場合は、/etc/splice/logging/basic.cfg のログ設定ファイルで編集できます。

同期のログ

同期ツールのすべてのエラー、メッセージ、および操作は、/var/log/splice/spacewalk_splice_tool.log の特定のツールログに記録されます。

8.7. Subscription Asset Manager を使った Satellite 使用量レポートの作成

Red Hat Satellite 5.6 には、システムインベントリー、組織および関連するサブスクリプション、エラータ、およびユーザーに関する情報をエクスポートするユーティリティー (spacewalk-reports) があります。Subscription Asset Manager は、spacewalk-splice-tool レポートで Satellite 5.6 の強化レポーティングを提供します。spacewalk-splice-tool ユーティリティーは同じ Satellite 5.6 データを利用しますが、より詳細な方法でデータを解析して提示します。

サブスクリプション管理は、システム、組織、およびサブスクリプションの間の関係を確立します。関係のタイプやこれらの関係の説明方法は、Red Hat の新しいサブスクリプションサービスと比較すると、Satellite では少々異なります (詳細は『Subscriptions Concepts and Workflows』のドキュメントを参照してください)。新しいサブスクリプションサービスでは、サブスクリプションと適用先のシステム間で直接的な関係を構築します。Satellite 5.x におけるチャンネルのコンセプトは、システムがコンテンツストリームへのアクセスを許可され、サブスクリプション全体では特定数のシステムがアクセスできましたが、サブスクリプションとシステムとの間に直接的な関連はありませんでした。

Satellite 強化レポーティングにより、Satellite 5.6 サーバーはシステム、サブスクリプション、およびチャンネルデータを Subscription Asset Manager サーバーに同期することができます。さらに Subscription Asset Manager サーバーは、基本的なサブスクリプション情報を取得し、Red Hat サブスクリプション管理のルールを使用したレポートを生成して、Satellite のシステムとサブスクリプションとの関係を明らかにすることができます。

これにより Satellite 管理者は、Satellite のインベントリー内のシステムについてより詳細な情報と制御を手にすることができます。

8.7.1. Satellite 統合レポート

8.7.1.1. 強化レポーティングの利点

サブスクリプションは多くの場合、ソケット数、RAM、CPU、およびコアなどの基本的な物理システムの属性を前提としています。仮想システムでは、サブスクリプションはホスト/ゲストの関係のほか、継承または制限がベースになることもあります。サブスクリプションは、システムにインストールされた他の製品にも関連付けることができます。

Satellite のレポーティングは、より限定されています。このレポーティングでは、システムおよびサブスクリプションの全体数を計算しますが、サブスクリプションとシステムを関連付けたり、システム属性に基づいて必要なサブスクリプションを特定することはありません。

強化レポーティングは、より詳細なレポートを以下の 2 つの方法で提示します。

システム属性、ホスト/ゲストの関係、およびインストール済みの製品に基づいて実際のサブスクリプションの使用状況を決定します。
様々な時点におけるサブスクリプションのステータスに基づいて、サブスクリプションの使用量の履歴を追跡します。

重要

Subscription Asset Manager の強化レポーティングは、Satellite 5.6 のシステムおよび組織に関するデータのみを表示します。Satellite 内のシステム、サブスクリプションの割り当て、または組織を変更、更新、または管理することはありません。

Satellite 5.6 のシステム管理およびサブスクリプション管理は両方とも、Satellite 内で実行する必要があります。

Satellite レポートのように、Subscription Asset Manager レポートデータはすべて、CSV にエクスポートして追加のデータ分析が実行できます。さらに Subscription Asset Manager レポートは、JSON ファイルにエクスポートし、素早く読んで解釈できるように Subscription Asset Manager UI で視覚的にレンダリングすることもできます (システムレベルの詳細も含まれます)。

8.7.1.2. Satellite とのサブスクリプションステータスの違い

強化レポーティングは、システムに必要なサブスクリプションの計算に異なる基準のセット (チャンネルアクセスの代わりにシステムの属性) を使用することから、強化レポーティングによるシステムのサブスクリプションステータスと、Satellite による同じ情報のレポートでは、違いが出てくる可能性があります。

たとえば、Red Hat Enterprise Linux のサブスクリプションの多くは、ソケット数が 2 つのシステム用です。そうなると、ソケット数が 4 つのシステムは、すべてのソケット数に対応するためにサブスクリプションが 2 つ必要となります。そのシステムにアタッチされたサブスクリプションが 1 つだけの場合、そのシステムのステータスは不十分と Subscription Asset Manager レポートで報告されます。しかし、Satellite では、この同じシステムは、ソケット数に関係なく単一チャンネルのエンタイトルメントのみを使用します。

さらに、Satellite には 2 種類の異なるサブスクリプションがあります。1 つは、 (システムの登録が必要な) システムエンタイトルメント で、もう 1 つは (コンテンツへのアクセス、更新、およびサポートを実際に提供する) ソフトウェアチャンネルエンタイトルメント です。新しいサブスクリプションの構成 (つまり、Subscription Asset Manager) では、システムとチャンネルのエンタイトルメントは、チャンネルエンタイトルメントと最も相互関連性の高い単一製品サブスクリプションにマージされます。

最後に、Satellite ではチャンネルのクローンが可能です。システムが、クローンされたチャンネルに登録されている場合、チャンネルのエンタイトルメントは使用されません。つまり、利用可能なエンタイトルメントプールからエンタイトルメントが減ることはありません。しかし、チャンネル情報が同期されると、クローンされたチャンネルはオリジナルの Red Hat チャンネルと関連付けられ、サブスクリプションがシステムに適切にアタッチされます (または、ステータスが無効もしくは不十分と表示されます)。

8.7.1.3. Satellite 5.6 から Subscription Asset Manager へのデータ同期

Satellite 5.6 サーバーのデータを Subscription Asset Manager データベースに同期するためにスクリプトが定期的に実行され、これにより Subscription Asset Manager レポートは、データにアクセス可能となります。以下に挙げる特定の Satellite 情報のみが同期されます。

ホスト名、ソケット数、ホスト/ゲストの関係、その他の関連する属性を含むシステム情報 (Subscription Asset Manager ではシステムファクトと呼ばれる)
Satellite の組織および関連するサブスクリプション
Satellite 管理者および組織管理者などのロールおよび管理者アカウントを含むユーザー情報
Satellite のクローンされたチャンネルおよび関連するオリジナルのチャンネル

同期は 2 段階で実行されます。最初に、spacewalk-splice-checkin プロセスを使用して、spacewalk-reports レポートとしてインベントリー情報が Satellite から引き出されます。続いて、この情報は Subscription Asset Manager サーバーへ送信されます。デフォルトでは、この同期手順は 4 時間ごとに実行されます。

図8.14 Satellite 5.6 から Subscription Asset Manager への同期

次に、Subscription Asset Manager から情報が収集されると、(通常の Subscription Asset Manager データベースとは別の) 専用のバックエンドデータベースに送信され、別のレポーティングサーバーに保存されます。この手順は 10 分ごとに実行されます。

図8.15 Subscription Asset Manager からレポーティングサーバーへの同期

2 段階目の同期の後でレポーティングデータベースにデータが保存されると、取り込み済みのシステムデータを使用して強化レポートを実行できます。

8.7.1.4. Satellite 5.6 および Subscription Asset Manager のユーザー

「Satellite 5.6 から Subscription Asset Manager へのデータ同期」の説明にあるように、Satellite は Subscription Asset Manager に同期され、Subscription Asset Manager ユーザーとして追加されます。組織およびロールの割り当てはすべて保存されます。

Satellite 5.6 のパスワードは Subscription Asset Manager に同期されません。 Satellite ユーザーは、Satellite のユーザー名とデフォルトのパスワード (CHANGEME) でログインする必要があります。

注記

Satellite ユーザーは、Satellite サーバーに追加されると Subscription Asset Manager に追加されますが、Satellite サーバーから削除されても Subscription Asset Manager からは削除されません。Satellite ユーザーが削除された場合、そのアカウントは Subscription Asset Manager 側で手動で削除する必要があります。

8.7.2. 前提条件

強化レポーティングを使用する際には、以下のシステム要件が新たに必要になります。

Satellite レポーティングに特化した専用の Subscription Asset Manager インスタンス
警告
強化レポーティングに使用される Subscription Asset Manager インスタンスは、Satellite のレポーティングサーバーとしてのみ使用できます。システムを管理する通常の Subscription Asset Manager インスタンスとして使用することはできず、使用するとデータが失われることがあります。
「前提条件」にあるすべての前提条件。
crond サービスが実行中であること。
レポーティングデータベースジャーナル用として、追加の 4 GB ディスク領域が利用可能であること。
レポーティングサーバーの以下の追加パッケージ。
- splice
- ruby193-rubygem-splice_reports
- spacewalk-splice-tool

8.7.3. レポーティングの設定

「強化レポーティングのインストールと設定」にある追加パッケージを使用して、「Subscription Asset Manager の基本的なインストールと設定」の手順に従って Subscription Asset Manager をインストールします。
1. ホストシステムを登録します。--autoattach オプションを使用して、オペレーティングシステムに必要なサブスクリプションを直ちにアタッチします。
```
[root@server ~]# subscription-manager register --autoattach
Username: jsmith@example.com
Password:
```
2. 更新したコンテンツリポジトリーをシステム設定に追加するには数分かかります。
3. [rhel-6-server-sam-rpms] リポジトリーを有効にします。
```
[root@server ~]# yum-config-manager --enable rhel-6-server-sam-rpms
Loaded plugins: product-id, refresh-packagekit
========================= repo: rhel-6-server-sam-rpms =========================
[rhel-6-server-sam-rpms]
bandwidth = 0
base_persistdir = /var/lib/yum/repos/x86_64/6Server
baseurl = https://cdn.redhat.com/content/dist/rhel/server/6/6Server/x86_64/subscription-asset-manager/1/os
cache = 0
cachedir = /var/cache/yum/x86_64/6Server/rhel-6-server-sam-rpms
cost = 1000
enabled = 1
enablegroups = True
exclude =
failovermethod = priority
...
```
4. yum install を使用して katello-headpin-all パッケージをインストールします。
```
[root@server ~]# yum install -y katello-headpin-all splice ruby193-rubygem-splice_reports spacewalk-splice-tool
```
--enhanced_reporting オプションを使うと、ISO イメージからインストールする方法でも (「ISO イメージを使ったインストール」) これが実行できます。
```
[root@server cdrom]# ./install_packages --enhanced_reporting
```
レポーティングのデータベースは MongoDB データベースです。自動的に起動するようにシステム上で Mongo サービスを設定し、続いてサービスを起動します。
```
[root@sam-server ~]# chkconfig mongod on
[root@sam-server ~]# service mongod start
```
設定スクリプトを実行し、Subscription Asset Manager サーバー、デフォルトの管理者ユーザー、および最初の組織を設定します。
```
[root@server ~]# katello-configure --deployment=sam --org=Example_Org --user-name=samadmin --user-pass=secret
```
Subscription Asset Manager 管理者ユーザーは、Satellite 5.6 管理者ユーザーとは別のユーザーになります。

Subscription Asset Manager マシン上で、Satellite 5.6 マシンへの認証に使用する SSH キーを作成します。

[root@sam-server ~]# su - splice -s /bin/sh -c 'ssh-keygen -t rsa -f /var/lib/splice/id_rsa-sat -N ""'

Generating public/private rsa key pair.
Your identification has been saved in /var/lib/splice/id_rsa-sat.
Your public key has been saved in /var/lib/splice/id_rsa-sat.pub.
The key fingerprint is:
78:fa:c9:68:71:a2:a7:c1:ec:35:e3:43:ce:27:b7:d8 splice@dhcp129-162.rdu.redhat.com

The key's randomart image is:
+--[ RSA 1024]----+
|                 |
|                 |
|                 |
|       .         |
|      . S        |
|   o  +o.        |
|    +==+         |
|   ..+BOo.       |
|    o++=E.       |
+-----------------+

Satellite 5.6 マシンへ切り替えます。
必須の Satellite レポートを実行して Subscription Asset Manager サーバーに送信ができる、新規ユーザーを作成します。
```
[root@sat-server ~]# useradd swreport
```
Subscription Asset Manager マシン上で作成されたキーファイルを、Satellite 5.6 マシン上の swreport ユーザー向けに authorized_keys ファイルに追加します。command= オプションにより、swreport ユーザーは、システム上で Satellite レポートのみを実行するよう限定されます。
```
[root@sat-server ~]# vim /home/swreport/.ssh/authorized_keys

command="/usr/bin/spacewalk-report $SSH_ORIGINAL_COMMAND" \
	ssh-rsa key_hash swreport@sat-server
```
command ディレクティブは、キーファイル内で 1 行にします。

.ssh ディレクトリーおよび authorized_keys ファイルで、適切なパーミッションを設定します。

[root@sat-server ~]# chown -R swreport:swreport /home/swreport/.ssh
[root@sat-server ~]# chmod 700 /home/swreport/.ssh
[root@sat-server ~]# chmod 600 /home/swreport/.ssh/authorized_keys

データベースに接続できるように、swreports ユーザーを apache システムグループに追加します。
```
[root@sat-server ~]# gpasswd -a swreport apache
```
Subscription Asset Manager マシンに戻ります。
レポーティングサービスユーザー (splice) に切り替え、ユーザーが swreport キーを使用して Satellite マシンに SSH 接続できるかテストします。
```
[root@sam-server ~]# su - splice -s /bin/bash
[splice@sam-server ~]$ ssh -i /var/lib/splice/id_rsa-sat swreport@sat-server.example.com splice-export
```
プロンプトが表示されたら、キーフィンガープリントを了承します。

Satellite 5.6 サーバーを認識するように、レポーティング設定を編集します。

[root@sam-server ~]# vim /etc/splice/checkin.conf

[spacewalk]
host=sat-server.example.com
ssh_key_path=/var/lib/splice/id_rsa-sat
login=swreport

Subscription Asset Manager のセットアップ時に設定された Subscription Asset Manager 管理者パスワードを使用するよう、レポーティング設定を編集します。
```
admin-pass=secret
```
Subscription Asset Manager サーバー上で、Satellite 5.6 のデータを Subscription Asset Manager のデータベースに取り込むよう、同期ユーティリティーを実行します。
```
[root@sam-server ~]# su - splice -s /bin/bash
[splice@sam-server ~]$ spacewalk-splice-checkin
```
注記
初回の同期操作は、長時間かかる場合があります。
ツールのパフォーマンスを改善するには、spacewalk-splice-tool プロセスで使用するスレッド数を設定します。使用頻度の少ないシステムでは、コア数 2 つに対してスレッド 1 つ、使用頻度の多いシステムでは、コア数 3 つに対してスレッド 1 つにします。
以下に例を示します。
```
[root@sam-server]# /etc/splice/checkin.conf

num-threads=3
```
カスタマーポータルから Satellite 5.6 マニフェストを取得します。
1. カスタマーポータルにログインします。
2. サブスクリプション タブを展開し、サブスクリプション管理 > サブスクリプション管理アプリケーション を選択します。
3. Satellite タブを開きます。
4. ポータルエントリーが存在していない場合は、Satellite 5.6 エントリーを作成し、必要なサブスクリプションをアタッチします。
  1. Satellite タブで Satellite の登録 リンクをクリックします。
  2. Satellite 5.6 インスタンスについて以下の必要な情報を入力します。
    Satellite サーバーエントリーの名前
    Satellite インスタンスのバージョン。5.6 になります。
  3. 登録ボタンをクリックします。
  4. Satellite 5.6 サーバーの サブスクリプション タブで、追加するサブスクリプションを 利用可能なサブスクリプション エリアから選択します。
    選択した製品ごとに適切なサブスクリプション数を設定してください。数量は、子組織が利用できる、そのタイプのサブスクリプションの合計数です。
  5. 下にスクロールして、ウィンドウ下部にある アタッチ をクリックします。
    サブスクリプションをアタッチすると、自動的に子組織のマニフェストが更新されます。
5. Satellite 5.6 サーバーのエントリーページで、マニフェストのダウンロード ボタンをクリックし、アーカイブファイルを保存します。
Satellite の管理者として Subscription Asset Manager UI (https://sam-hostname/sam) にログインし、適切な Satellite 5.6 の組織に切り替えます。
サブスクリプション > サブスクリプション タブを開き、マニフェストのインポート リンクをクリックします。
インポートタブの中央にある参照をクリックし、保存したマニフェストファイルへ移動します。
アップロード ボタンをクリックします。

8.7.4. レポートの実行と結果の取得

デフォルトのレポートでは、Subscription Asset Manager が管理している各組織および各システムの全ステータス情報が返されます。

特定情報のサブセットまたは特定期間の情報を返す新たなレポートフィルターを作成することが可能です。これらのカスタムレポートは、使用状況およびコンプライアンスのトレンドを分析する上で非常に有用です。

ただし、レポート形式については、さらに柔軟にすることが可能です。特に、以下の 3 つ設定は多用途になります。

レポートで確認する組織
レポートに含めるサブスクリプションステータス
確認する日付範囲。この設定で、特定範囲内 に該当ステータスが見つかったシステムを探します。これは、必ずしもシステムの現在のステータスとは限りません。

注記

たとえば、7 月時点でに購入を検討している場合、4 月から 6 月にかけて不十分または無効なシステムを検索するレポートを設定すると、購入決定の際に参考になります。

8.7.4.1. レポートフィルターの作成

管理メニューの レポート をクリックします。
左側のコラムで 新規フィルター リンクをクリックします。
組織、ステータス、日付範囲、およびアクティブな状態など、レポートに必要な情報を入力します。
フィルターの保存 ボタンをクリックします。

8.7.4.2. レポートの実行

管理メニューの レポート をクリックします。
左側のコラムで、レポートフィルターの名前をクリックして実行します。
レポートページの下部にスクロールし、レポートの実行 ボタンをクリックします。
別の方法では、レポートの結果を CSV ファイルでエクスポートすることができます。データをエクスポートするには、レポートのエクスポート ボタンをクリックします。
データは CSV ファイルにエクスポートされ、オプションで、システムの詳細を含む JSON ファイルにもエクスポートされます。これらのファイルは、report-YEAR-MONTH-DAY-TIMESTAMPZ.zip という名称の ZIP アーカイブに格納されます。
注記
暗号化エクスポート のチェックボックスを選択すると、エクスポートされた CSV および JSON ファイルが暗号化され、アクセスできるのは Red Hat サポートが使用するプライベートキーのみになります。

8.7.4.3. Subscription Asset Manager レポートの結果およびデータ

ダッシュボード と同様に、Subscription Asset Manager レポートは、選択された全組織の登録された全システムのチャートを返します。

図8.16 レポートの結果

図8.17 レポートの結果: システムの詳細

注記

Subscription Asset Manager UI で強化レポートを表示すると、システムの詳細ページには最新の 250 のチェックインのみが表示されます。

レポートの結果がエクスポートされると、同じ情報がエクスポートファイルに保存されます。

CSV レポートの最初のページには、組織、登録されたサブスクリプションサーバー、ホスト名、およびサブスクリプション状態などのサマリー情報が記載されています。

_id, record, CHECK-IN TIME, STATUS, DB ID, SATELLITE SERVER, HOSTNAME, ORGANIZATION, LIFECYCLE STATE,
{"ident"=>"072c8bdd-ca00-43d4-a000-0887c75b90c8"}, 522e0970af5d242094000002, 2013-09-09T14:23:27Z, "Current", "072c8bdd-ca00-43d4-a000-0887c75b90c8", "sam-server.example.com", "server.example.com", "ACME_Corporation", "Active",

(オプションの) JSON ファイルには、同じサマリー情報のほか、詳細ページに記載されたシステムファクトおよび製品情報の完全一覧も含まれます。

[{"_id":{"$oid":"522e0970af5d242094000002"},"_types":["MarketingProductUsage"],"instance_identifier":"072c8bdd-ca00-43d4-a000-0887c75b90c8","updated":"2013-09-09T17:46:24Z","splice_server":"sam13-dlackey-demo","name":"server.example.com","facts":{"memory_dot_memtotal":"3780964", ...

8.7.5. 強化レポートのトラブルシューティング

8.7.5.1. 強化レポートのログ

レポートのログサイズ

デフォルトでは、強化レポートはシステム上で最大 200 MB の追加のログ領域を必要とします。ログ領域は、システムごとに毎月約 750 KB 増加します。

ログレベルを変更する必要がある場合は、/etc/splice/logging/basic.cfg のログ設定ファイルで編集できます。

同期のログ

同期ツールのエラー、メッセージ、および操作はすべて、特定のツールログで /var/log/splice/spacewalk_splice_tool.log に記録されます。

8.7.5.2. 一般的な問題

問：レポートにシステムが表示されないのはなぜですか?
問：すべてのシステムが無効とマークされるのはなぜですか?
問： Subscription Asset Manager で、システムまたは Satellite サーバーのサブスクリプションを更新しましたが、その変更がレポートに反映されません。
問：レポート結果の Satellite 5.6 UI へのリンクが、HTTP 404 エラーを返します。

問：

レポートにシステムが表示されないのはなぜですか?

答：

最初に、特定のレポートフィルターと一致するシステムがあることを確認します。

フィルターがシステムをいくつか返すものの、表示されるシステムがない場合、レポーティングデータベースに情報がプルされていません。考えられる原因はいくつかあります。

Satellite サーバーから情報を取得できていない。
Subscription Asset Manager からレポーティングデータベースへの情報送信が適切に行われていない。
情報がデータベースに適切に保存されていない。
Subscription Asset Manager に保存されている情報が古い。

まず、同期ツールのログ (/var/log/splice/spacewalk_splice_tool.log) の履歴で、同期スクリプトが実行されていることを確認します。

次に、Mongo サービスが稼働しており、ポート 27017 をリッスンしていることを確認します。Mongo サービスが稼働していないと、Subscription Asset Manager サービスを起動することはできません。

[root@sam-server ~]# service mongod status
[root@sam-server ~]# telnet localhost 27017

サービスが稼働している場合は、Mongo データベースで同期エントリーを探します。以下は例となります。

[root@sam-server ~]# mongo checkin_service --eval "printjson(db.marketing_product_usage.count())"

問題が見つからない、または関連するエントリーが見つからない場合は、レポーティングのデバッグスクリプトを実行します。

[root@sam-server ~]# /usr/bin/splice-debug

これで関連するすべての設定と、レポーティングサーバーのログファイルが収集され、/tmp ディレクトリー名 splice-debug-YYYY-MM-DD-TIME のファイル (例: /tmp/splice-debug-2013-06-14-T15-22-19) にデータがエクスポートされます。

必要に応じて、このディレクトリーを zip で圧縮し、サポートチームに提出してください。

問：

すべてのシステムが無効とマークされるのはなぜですか?

答：

マニフェストが Satellite サーバーの Subscription Asset Manager にインポートされていることを確認します。このマニフェストにより、Subscription Asset Manager は、Satellite サーバーがアタッチしたサブスクリプションを認識します。マニフェストがないと、レポーティング機能は、利用可能なサブスクリプションがないと考えます。

問：

Subscription Asset Manager で、システムまたは Satellite サーバーのサブスクリプションを更新しましたが、その変更がレポートに反映されません。

答：

同期スクリプトは 4 時間ごとに実行するため、変更が同期されていない可能性があります。次に予定されている同期まで待つか、手動でスクリプトを実行してください (終了するまで数分かかる場合があります)。

[root@sam-server ~]# su - splice -s /bin/bash
[splice@sam-server ~]$ spacewalk-splice-checkin

問：

レポート結果の Satellite 5.6 UI へのリンクが、HTTP 404 エラーを返します。

答：

Satellite 5.6 マシンで rhn-search プロセスが実行していることを確認します。

8.7.5.3. その他の既知の問題

これらは、強化レポーティングおよび Satellite で認識された他の問題の一部ですが、回避策はありません。

Satellite レポーティングに関連付けられていない組織があること

強化レポーティングに使用される Subscription Asset Manager インスタンスに Satellite 以外の組織が追加された場合は、その組織が、同期プロセス時に Subscription Asset Manager データベースで上書きまたは削除される場合があります。

警告

強化レポーティングに使用される Subscription Asset Manager インスタンスは、Satellite のレポーティングサーバーとしてのみ使用できます。システムを管理する通常の Subscription Asset Manager インスタンスとして使用することはできず、使用するとデータが失われることがあります。

第9章 Subscription Asset Manager インスタンスの管理

本章では、バックアップやデータの復元などの Subscription Asset Manager インスタンスの基本的なメンテナンスタスクを説明します。

9.1. Subscription Asset Manager のバックアップ

Subscription Asset Manager のすべての情報のバックアップを作成するユーティリティーはありません。設定ファイルは手動で保存し、バックエンドデータベースのデータはバックアップファイルにダンプする必要があります。

バックアップ操作はすべて、root で実行する必要があります。

バックアップディレクトリーを作成します。この例では umask を設定することで、バックアップディレクトリーが適切なパーミッションで作成されます。次に、このディレクトリーを postgres システムグループに追加します。Subscription Asset Manager が PostgreSQL データベースをバックエンドとして使用するためです。
```
[root@server]# umask 0017
[root@server]# mkdir /backup
[root@server]# chgrp postgres /backup
```
バックアップディレクトリーに移動します。
```
[root@server]# cd /backup
```

tar または zip を使って Subscription Asset Manager 設定ファイルの全アーカイブを作成します。例を示します。

[root@server]# tar --selinux -czvf config_files.tar.gz \
/etc/katello \
/etc/elasticsearch \
/etc/candlepin \
/etc/gofer \
/etc/grinder \
/etc/pki/katello \
/etc/pki/pulp \
/etc/qpidd.conf \
/etc/sysconfig/katello \
/etc/sysconfig/elasticsearch \
/root/ssl-build \
/var/www/html/pub/*

Elastic Search ディレクトリー用に別のアーカイブを作成します。
```
[root@server]# tar --selinux -czvf elastic_data.tar.gz /var/lib/elasticsearch
```
PostgreSQL データベースすべてをバックアップします。デフォルトのデータベース名は katelloschema と candlepin になります。
Subscription Asset Manager インスタンスでデフォルト名が使用されていない場合は、カスタム値は katello-configure.conf ファイルの db_name パラメーターになります。
```
[root@server]# grep db_name /etc/katello/katello-configure.conf
```
pg_dump コマンドを実行して、各データベースのバックアップを作成します。データベースのサイズによって、数分間かかる場合があります。
```
[root@server]# su postgres -c "pg_dump -Fc katelloschema > /backup/katello.dump"
[root@server]# su postgres -c "pg_dump -Fc candlepin > /backup/candlepin.dump"
```
pg_dump コマンドを実行するには、postgres サービスが実行中である必要があります。このサービスが実行中でない場合は、PostgreSQL データディレクトリーに zip または tar を実行してバックアップを作成できます。例を示します。
```
[root@server]# tar --selinux -czvf pgsql_data.tar.gz /var/lib/pgsql/data/
```
ディレクトリー全体をアーカイブ化して全データベースのバックアップを作成します。データベースはすべてシャットダウンするので、データディレクトリーのアーカイブ化はメンテナンス中に行なってください。
PostgreSQL バックアップについての詳細は、pg_dump man ページまたは PostgreSQL documentation を参照してください。
pg_dump を実行したら、指定されたバックアップディレクトリーに適切な .dump ファイルが作成されていることを確認します。例を示します。
```
# ls /backup
candlepin.dump    config_files.tar.gz    elastic_data.tar.gz    katello.dump
```

9.2. Subscription Asset Manager の復元

警告

Subscription Asset Manager を復元すると、Subscription Asset Manager インスタンスのすべての既存データが上書きされます。

復元する Subscription Asset Manager インスタンスを間違えないようにしてください。

重要

この手順では、Subscription Asset Manager サーバーが以前にインストールされてバックアップを作成した同じマシンで復元されることを前提としています。

Subscription Asset Manager インスタンスを別のホストで復元する場合は、そのシステムが同じホスト名および IP アドレスなど、元のシステムと同じ設定になっている必要があります。

復元操作はすべて、root で実行する必要があります。

設定のバックアップからのファイルを使って、元のインスタンスと同じオプションで設定ファイルを作成します。それから、katello-configure スクリプトを実行します。
```
[root@server ~]# katello-configure --answer-file=/etc/katello/katello-configure.conf
```
バックアップファイルを格納しているディレクトリーを開きます。例を示します。
```
[root@server ~]# cd backup/
```
データベース名を確認します。デフォルトのデータベース名は katelloschema と candlepin になります。Subscription Asset Manager インスタンスでデフォルト名が使用されていない場合は、カスタム値は katello-configure.conf ファイルの db_name パラメーターになります。
```
[root@server backup]# grep db_name /etc/katello/katello-configure.conf
```
データベースを復元する前にすべてのサービスを停止します。
```
[root@server backup]# katello-service stop
```
アーカイブ化されたファイルおよびディレクトリーを抽出してシステムファイルを復元します。例を示します。
```
[root@server backup]# tar --selinux -xzvf config_files.tar.gz -C /
[root@server backup]# tar --selinux -xzvf elastic_data.tar.gz -C /
```

既存の Subscription Asset Manager PostgreSQL データベースがある場合は、それらをドロップします。

[root@server backup]# service postgresql start
[root@server backup]# su postgres -c "dropdb katelloschema"
[root@server backup]# su postgres -c "dropdb candlepin"

すべてのプロセスが先に停止されていない場合は、データベースドロップ操作で以下のエラーが返されます。

database xxx is being accessed by other users (他のユーザーがデータベース xxx にアクセスしています)

postgres ユーザーとして pg_restore コマンドを実行し、データベースを復元します。
```
[root@server backup]# su postgres -c "pg_restore -C -d postgres /backup/katello.dump"
[root@server backup]# su postgres -c "pg_restore -C -d postgres /backup/candlepin.dump"
```
PostgreSQL 復元操作についての詳細は、pg_dump man ページまたは PostgreSQL documentation を参照してください。
Subscription Asset Manager の全プロセスを再起動します。
```
[root@server backup]# katello-service restart
```

/var/log/katello/production.log ログファイルでエラーを、/var/log/candlepin/audit.log ファイルで拒否をチェックして、すべてのサービスが適切に応答していることを確認します。

Subscription Asset Manager インスタンスへの ping を試みます。

[root@server backup]# katello -u admin -p admin ping
--------------------------------------------------------------------------------
                                 Katello Status

Status Service        Result Duration Message
--------------------------------------------------------------------------------
OK
candlepin      OK     74ms
candlepin_auth OK     38ms
elasticsearch  OK     37ms
katello_jobs   OK     39ms

9.3. CA 証明書の再生成と置き換え

サブスクリプションサービスに使用している CA 証明書の置き換えが必要になる場合があります。そのような時には、サブスクリプションサービスとして Subscription Asset Manager を使用しているすべてのシステムが新たな証明書を使用するように更新する必要があります。

これは、証明書ファイルを含む新たな RPM を生成し、これをクライアントシステムに配布することで実行できます。

Subscription Asset Manager サーバー上で、クライアントにインストールする新たな証明書 RPM を生成します。
これはすべて、単一行にする必要があります。各引数は、必要なオプションを示すために分割されています。
```
[root@sam-server ~]# /usr/share/katello/certs/gen-rpm.sh 
	--name "candlepin-cert-consumer-$(hostname)" 
	--version 1.4 
	--release 2 
	--packager None 
	--vendor None 
	--group 'Applications/System' 
	--summary "Subscription-manager consumer certificate for Katello instance $(hostname)" 
	--description 'Consumer certificate and post installation script that configures rhsm.' 
	--requires subscription-manager 
	--post /root/ssl-build/rhsm-katello-reconfigure /etc/rhsm/ca/candlepin-local.pem:644=/root/ssl-build/candlepin-cert.crt 2>>/var/log/katello/katello-configure/certificates.log && /sbin/restorecon ./*rpm
```
このスクリプトは、新規 Subscription Asset Manager 証明書ファイルを含む新しい RPM を生成し、その証明書をインストールするように RPM を設定し、各システム上の Red Hat Subscription Manager クライアントを適切に設定します。bash スクリプトの引数が RPM 設定を定義します。
- --name、--version、および --release は、name.version-release.rpm という形式で RPM の名前を設定します。
- --vendor と --package は、RPM 情報に必要となりますが、値は何でも構いません。
- --group は、RPM がインストールするアプリケーションまたはパッケージのタイプを指定します。
- --summary と --description は、RPM についての情報を設定します。
- --requires は、この RPM がインストール可能となる前に利用可能またはインストールする必要があるパッケージを設定します。この RPM はローカルの Red Hat Subscription Manager クライアントを設定するので、subscription-manager パッケージが必要になります。
- --post は、RPM パッケージのインストール後に特定のコマンド、スクリプト、または複数のコマンドを実行します。このケースでは、ローカルの Red Hat Subscription Manager クライアントがサブスクリプションサービスとして指定された Subscription Asset Manager サーバーを使用するよう設定し、Red Hat Subscription Manager 設定ファイル内に必要な接続および証明書属性を設定します。
サーバーマシンの /var/www/html/pub ディレクトリーにある既存の証明書 RPM を削除します。
新規に生成された RPM を /var/www/html/pub ディレクトリーにコピーし、HTTP でダウンロードできるようにします。
各 Subscription Asset Manager クライアントシステム上 で、新規 RPM をダウンロードしてインストールします。例を示します。
```
[root@server1 ~]# rpm -ivh http://SAM_server_hostname/pub/candlepin-cert-consumer-SAM_server_hostname.noarch.rpm
```

9.4. マルチホームシステム上での Subscription Asset Manager の設定

SSL 証明書は、サーバーの特定と認証をサーバーのホスト名に依存しています。Subscription Asset Manager がマルチホームインスタンス上で実行中の場合は、安全な接続を確保するために各インターフェイスでそれぞれの証明書が必要になります。

自己署名証明書認証局 (CA) を使ってサーバー証明書を生成するように設定します。
注記
CA が設定済みの場合、またはサードパーティーの CA を使って証明書を発行できる場合は、このステップを省略します。
1. /etc/pki 内にディレクトリーとサブディレクトリーを作成します。この例では myCA を作成しています。
  以下では分かりやすくするために、コマンドを複数行に分割していますが、実際には 1 行のコマンドにして実行します。
```
[root@server1 ~]# mkdir -m 0755 \
     /etc/pki/myCA \
     /etc/pki/myCA/private \
     /etc/pki/myCA/certs \
     /etc/pki/myCA/newcerts \
     /etc/pki/myCA/crl
```
2. OpenSSL 設定ファイルを新規 PKI ディレクトリーにコピーし、パーミッションを設定します。
```
[root@server1 ~]# cp /etc/pki/tls/openssl.cnf /etc/pki/myCA/openssl.my.cnf
[root@server1 ~]# chmod 0600 /etc/pki/myCA/openssl.my.cnf
```
3. インデックスファイルを作成します。
```
[root@server1 ~]# touch /etc/pki/myCA/index.txt
```
4. シリアル番号ファイルを作成し、開始番号を付けます。
```
[root@server1 ~]# echo '01' > /etc/pki/myCA/serial
```
5. CA ディレクトリーを開きます。
```
[root@server1 ~]# cd /etc/pki/myCA/
```
6. 自己署名 CA 証明書を生成します。証明書の対象者に使用する場所や会社などの情報の入力が求められます。
```
[root@server1 myCA]# openssl req -config openssl.my.cnf -new -x509 -extensions v3_ca -keyout private/myca.key -out certs/myca.crt -days 1825

-----
Country Name (2 letter code) [XX]:US
State or Province Name (full name) []:North Carolina
Locality Name (eg, city) [Default City]:Raleigh
Organization Name (eg, company) [Default Company Ltd]:Example
Organizational Unit Name (eg, section) []:Engineering
Common Name (eg, your name or your server's hostname) []:server1
Email Address []:admin@example.com
-----
```
7. 新規 CA ディレクトリー (/etc/pki/myCA/) の場所に使用する OpenSSL 設定ファイルを編集します。
```
[root@server1 myCA]# sed -i "s/\/etc\/pki\/CA/\/etc\/pki\/myCA/" openssl.my.cnf
```
8. マルチホームの CA 設定ファイルを作成します。
```
[root@server1 myCA]# cp /etc/pki/tls/openssl.cnf /etc/pki/myCA/openssl.my_multihome.cnf
```
9. マルチホームの設定ファイルを編集します。
  - CA ディレクトリーを /etc/pki/myCA に変更します。
    dir = /etc/pki/myCA
  - copy_extensions の行のコメントを解除し、値を copy に設定します。
    copy_extensions = copy
  - req_extensions の行のコメントを解除し、リクエストのバージョン 3 拡張を有効にします。
    req_extensions = v3_req
  - subjectAltNames 拡張を追加し、システム上の他のインターフェイスを追加します。
    subjectAltName = @alt_names [alt_names] DNS.1 = server2 DNS.2 = server3

Subscription Asset Manager 用のサーバー証明書を作成し、署名します。

マルチホーム設定ファイルを使用して、Subscription Asset Manager の証明書リクエストを作成します。CA 証明書の作成時と同様に、証明書の対象者名の構築に使用する情報 (場所や組織名) が求められます。

[root@server1 myCA]# openssl req -config openssl.my_multihome.cnf -new -nodes -keyout private/server.key -out server.csr -days 365

-----
Country Name (2 letter code) [XX]:US
State or Province Name (full name) []:North Carolina
Locality Name (eg, city) [Default City]:Raleigh
Organization Name (eg, company) [Default Company Ltd]:Example
Organizational Unit Name (eg, section) []:Engineering
Common Name (eg, your name or your server's hostname) []:server1
Email Address []:admin@example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
-----

生成されたキーの所有者とパーミッションを設定します。

[root@server1 myCA]# chown root.apache /etc/pki/myCA/private/server.key
[root@server1 myCA]# chmod 0440 /etc/pki/myCA/private/server.key

マルチホーム設定ファイルを使用して、証明書に署名します。

[root@server1 myCA]# openssl ca -config openssl.my_multihome.cnf -keyfile ./private/myca.key -cert ./certs/myca.crt -policy policy_anything -out certs/server.crt -infiles server.csr

証明書が有効であることを確認します。

[root@server1 myCA]# openssl verify -purpose sslserver -CAfile /etc/pki/myCA/certs/myca.crt /etc/pki/myCA/certs/server.crt

新規証明書を使って Subscription Asset Manager web サーバーをセットアップします。
1. 証明書を Subscription Asset Manager 証明書ディレクトリーにコピーします。
```
[root@server1 myCA]# /etc/pki/myCA/certs/server.crt /etc/pki/katello/
[root@server1 myCA]# /etc/pki/myCA/certs/myca.crt /etc/pki/katello/
[root@server1 myCA]# /etc/pki/myCA/certs/server.key /etc/pki/katello/
```
2. web サーバー設定ファイルが新規証明書をポイントするように編集します。
```
[root@server1 myCA]# vim /etc/httpd/conf.d/katello.conf 
      
SSLCaCertificateFile /etc/candlepin/certs/candlepin-ca.crt
SSLCertificateFile /etc/pki/katello/server.crt
SSLCertificateKeyFile /etc/pki/katello/server.key
```
3. Subscription Asset Manager サービスを再起動して、新規証明書の情報を読み込みます。
```
[root@server1 myCA]# service tomcat6 restart && service pulp-server restart && service katello restart && service katello-jobs restart
```
4. CA 証明書を web サーバーの pub/ ディレクトリーにコピーし、クライアントがダウンロードできるようにします。
```
[root@server1 myCA]# cp /etc/pki/myCA/certs/myca.crt /var/www/html/pub/
```
5. CA 証明書を SAM web UI へのアクセスに使用するブラウザーにインポートします。

新規証明書 RPM を使ってクライアント上で設定および証明書をインストールするようセットアップします。

pub ディレクトリーを開きます。
```
[root@server1 myCA]# cd /var/www/html/pub
```

Red Hat Subscription Manager 設定ファイルが新規作成の CA を使用するよう編集します。

[root@server1 pub]# sed 's/scandlepin-local/smyca/' ~/ssl-build/rhsm-katello-reconfigure > ~/ssl-build/rhsm-katello-reconfigure-myca

新規証明書と更新済み rhsm.conf ファイルを使って新規クライアント RPM を生成します。

[root@server1 pub]# SERVER_NAMES="server1 server2 server3"
[root@server1 pub]# for KATELLO_SERVER in $SERVER_NAMES; do sed "s/KATELLO_SERVER=.*/KATELLO_SERVER=${KATELLO_SERVER}/" ~/ssl-build/rhsm-katello-reconfigure-myca > ~/ssl-build/rhsm-katello-reconfigure-myca-${KATELLO_SERVER};/usr/share/katello/certs/gen-rpm.sh --name "candlepin-cert-consumer-${KATELLO_SERVER}" --version 1.0 --release 2 --packager None --vendor None --group 'Applications/System' --summary "Subscription-manager consumer certificate for Katello instance ${KATELLO_SERVER}" --description 'Consumer certificate and post installation script that configures rhsm.' --post /root/ssl-build/rhsm-katello-reconfigure-myca-${KATELLO_SERVER} /etc/rhsm/ca/candlepin-local.pem:666=/root/ssl-build/candlepin-cert.crt /etc/rhsm/ca/myca.pem:666=/etc/pki/myCA/certs/myca.crt && /sbin/restorecon ./*rpm; done

これでマルチホーム設定内の各インターフェイスに新規 RPM が作成されます。

./candlepin-cert-consumer-server1.noarch.rpm
./candlepin-cert-consumer-server1.src.rpm
./candlepin-cert-consumer-server2.noarch.rpm
./candlepin-cert-consumer-server2.src.rpm
./candlepin-cert-consumer-server3.noarch.rpm
./candlepin-cert-consumer-server3.src.rpm

すべての Subscription Asset Manager クライアント上の各インターフェイスに更新済み RPM をインストールします。

[root@sam-client ~]# yum -y install http://server1/pub/candlepin-cert-consumer-server1.noarch.rpm
[root@sam-client ~]# yum -y install http://server2/pub/candlepin-cert-consumer-server2.noarch.rpm
[root@sam-client ~]# yum -y install http://server3/pub/candlepin-cert-consumer-server3.noarch.rpm

9.5. Subscription Asset Manager のログおよびファイルの場所

Subscription Asset Manager 各サービスごと (サブスクリプションアプリケーションや異なるインターフェイス、証明書サービスなど) に異なるコンポーネントで構成されています。各コンポーネントには独自のログがあります。

表9.1 Subscription Asset Manager の各ログ

ログの場所	説明
`/var/log/katello/katello-configure/main.log`	インストールのログ
`/var/log/tomcat6/catalina.out`	Tomcat アプリケーションとして実行されるサブスクリプションサービスのログ。
`/var/log/katello/production.log`	Subscription Asset Manager UI および REST API のログ。
`/var/log/katello/thin-log.`port#`.log`	シンサーバーからの出力、アクティブな 1 ポートに対して 1 ログファイル。
`/var/log/thumbslug/error.log`	証明書プロキシーのエラーログ。

第10章 Red Hat Access プラグイン

10.1. Red Hat Access プラグイン

Red Hat Access の事前インストール済みプラグインを使用すると、 Red Hat SAM web インターフェイスから複数の Red Hat カスタマーポータルサービスにアクセスできます。

Red Hat Access プラグインは以下のサービスを提供します。

Search: (検索:) Red Hat SAM インターフェイス内からカスタマーポータルのソリューションを検索します。
Support: (サポート:) Red Hat SAM インターフェイス内で、作成されたサポートケースにアクセスしたり、作成されたサポートケースを変更したり、新しいサポートケースを作成したりします。

注記

Red Hat カスタマーポータルのリソースにアクセスするには、Red Hat カスタマーポータルのユーザー ID とパスワードを使ってログインする必要があります。

10.1.1. Red Hat Access プラグインでのソリューションの検索

Red Hat Access プラグインは、Red Hat カスタマーポータルのインターフェイスにログインすることなく、Red Hat カスタマーポータルで利用可能なソリューションデータベースを参照する検索機能を提供します。

Red Hat SAM Server からソリューションを検索:

右上で Red Hat Access → Search (検索) をクリックします。
Red Hat カスタマーポータルにログインします。右上のメインパネルで Log In (ログイン) をクリックします。
注記
Red Hat カスタマーポータルのリソースにアクセスするには、Red Hat カスタマーポータルのユーザー ID とパスワードを使ってログインする必要があります。
Red Hat Search: フィールドに検索クエリーを入力します。検索結果が左側の Recommendations (推奨項目) リストに表示されます。
Recommendations (推奨項目) リストでソリューションをクリックします。ソリューションの記事がメインパネルに表示されます。

10.1.2. Red Hat Access プラグインを使用した既存サポートケースの表示

Red Hat SAM Server から既存サポートケースを表示:

右上で Red Hat Access → Support (サポート) → My Cases (自分のケース) をクリックします。
メインパネルの右上にある Log In (ログイン) をクリックし、Red Hat カスタマーポータルにログインします。すでにログインしている場合は、この手順をスキップします。
注記
Red Hat カスタマーポータルのリソースにアクセスするには、Red Hat カスタマーポータルのユーザー ID とパスワードを使ってログインする必要があります。
以下のいずれかを実行し、既存のケースの中から特定のサポートケースを検索します。
1. Search (検索) フィールドにキーワードまたはフレーズを入力します。
2. ドロップダウンリストから、特定の Case Group (ケースグループ) を選択します。Case Groups (ケースグループ) は、ユーザーの組織により Red Hat カスタマーポータル内で定義されています。
3. ケースのステータスを選択します。
検索結果から特定のサポートケースを選択し、Case ID (ケース ID) をクリックします。サポートケースは表示できます。

10.1.3. Red Hat Access プラグインを使用した既存サポートケースの修正

前提条件

直前のセクションにある手順を完了しておいてください。

サポートケースは Red Hat Satellite Server の web インターフェースから更新します。サポートケースを表示する際には、以下のマークが付いたセクションにスクロールダウンします。

Attachments: (添付ファイル:) - システムにあるローカルファイルを添付します。ファイル名を追加して識別しやすくします。
注記
ファイル名は 80 文字未満にしてください。Web にアップロードする添付ファイルの最大サイズは 250 MBです。それ以上の場合は、FTP を使用します。
Case Discussion: (ケースディスカッション:) - グローバルサポートサービスに相談するケースに関する更新情報を追加します。情報の追加後に Add Comment (コメントの追加) をクリックします。

10.1.4. Red Hat Access プラグインを使用した新規サポートケースの作成

右上にある Red Hat Access → Support (サポート) → New Case (新規ケース) をクリックします。
メインパネルの右上にある Log In (ログイン) をクリックし、Red Hat カスタマーポータルにログインします。すでにログインしている場合は、この手順をスキップします。
注記
Red Hat カスタマーポータルのリソースにアクセスするには、Red Hat カスタマーポータルのユーザー ID とパスワードを使ってログインする必要があります。
Product (製品) フィールドと Product Version (製品バージョン) フィールドにデータが自動的に設定されます。以下のように他の関連フィールドにデータを入力してください。
- Summary (概要): - 問題の簡単な概要を記載します。
- Description (詳細): - 問題の詳細を記載します。
  注記
  概要に基づいて、推奨されるソリューションがメインパネルに表示されます。
Next をクリックすると、次の画面が表示されます。
以下のように適切なオプションを選択します。
- Severity (重大度): - チケットの緊急度に応じて 4 (低)、3 (通常), 2 (高)、または 1 (緊急) を選択します。
- Case Group (ケースグループ): - 通知の必要なメンバーに応じて、サポートケースに関連付けられたケースグループを作成します。Red Hat Satellite でケースグループを選択します。カスタマーポータル内でケースグループを作成します。
必要なファイルを添付します。ファイルの詳細を追加してから Attach (添付)　をクリックします。
関連情報が提供されるように、以下のコマンドの出力を添付することが推奨されます。
```
# sosreport
# foreman-debug
```
重要
foreman-debug は、情報を収集する間にパスワード、トークンおよびキーなどのすべてのセキュリティー情報を削除します。ただし、tarball には依然として Red Hat Satellite Server についての重要情報が含まれる可能性があるため、この情報はパブリックに送信するのではなく、対象とする受信者に直接送信することを推奨します。
注記
ファイル名は 80 文字未満にしてください。Web にアップロードする添付ファイルの最大サイズは 250 MBです。それ以上の場合は、FTP を使用します。
Submit (送信) をクリックします。システムによりケースがカスタマーポータルにアップロードされ、参考のためにケース番号が提供されます。

付録A 改訂履歴

改訂履歴

改訂 1.3-20.1

Tue Jul 3 2018

Terry Chuang

翻訳ファイルを XML ソースバージョン 1.3-20 と同期

改訂 1.3-20

March 25, 2015

Jo Somers

SAM 4.1 Subscription Asset Manager のインストール: セクション 2.2.2.1 を追加: HTTP プロキシを使用して手動で Red Hat SAM を設定する

改訂 1.3-19

March 23, 2015

Jo Somers

SAM 4.1 Subscription Asset Manager インストールの前提条件: 6.6 またはそれ以上を以下に追加: Red Hat Enterprise Linux 6.6 またはそれ以上の Server, 64-bit

改訂 1.3-18

March 05, 2015

Jo Somers

新規の章を追加: SAM ユーザーインターフェイスプラグインおよび ISO イメージを使用した SAM のインストール

改訂 1.3-17

April 13, 2014

Ella Deon Ballard

インスタンスベースおよび仮想設定セクションの更新。

改訂 1.3-14

October 1, 2013

Deon Ballard

新規コンテンツおよび SAM 1.3 リリース用に再編成。

Subscription Asset Manager の使用方法

ローカルサブスクリプションサービスのデプロイと管理

Red Hat Subscription Management Documentation Team

前書き

第1章 オンプレミスのサブスクリプション管理

1.1. Subscription Asset Manager の定義

1.2. ワークフローとユースケース

1.2.1. サブスクリプションの直接割り当て

1.2.1.1. 環境: 小規模企業から大企業までのローカル定義の構造

1.2.1.2. ワークフロー

1.2.1.3. 詳細およびオプション

1.2.2. アクティベーションキー

1.2.2.1. 環境: 事前設定システム

1.2.2.2. ワークフロー

1.2.2.3. 詳細およびオプション

第2章 Subscription Asset Manager のインストール

2.1. 前提条件

2.2. Subscription Asset Manager の基本的なインストールと設定

2.2.1. yum を使用したインストール

2.2.1.1. HTTP プロキシを使用した Red Hat SAM の手動設定

2.2.2. ISO イメージを使ったインストール

2.3. 強化レポーティングのインストールと設定

2.4. 追加の設定スクリプト例

2.5. Subscription Asset Manager インストールのログ

2.6. Subscription Asset Manager のアップグレード

2.7. Subscription Asset Manager Web UI へのログイン

2.7.1. サポート対象のブラウザー

2.7.2. Web UI の URL

2.7.3. デフォルトのユーザー

第3章 ユーザーとアクセス制御の管理

3.1. ユーザー、ロール、およびアクセス制御

3.2. ユーザーアカウントの管理

3.2.1. ユーザーの追加

3.2.2. パスワードの変更

3.3. ロールの作成

3.4. アクセス制御の設定

3.5. LDAP 認証を使ったユーザー管理

3.5.1. サポートされる LDAP サービスタイプ

3.5.2. LDAP 認証の使用

3.5.2.1. Subscription Asset Manager での LDAP ユーザー

3.5.2.2. LDAP 認証の有効化

3.5.3. LDAP グループとロールマッピングを使用する

3.5.3.1. LDAP グループと Subscription Asset Manager のロール

3.5.3.2. LDAP グループ-ロールのマッピングの有効化

第4章 組織とディストリビューターの設定

4.1. 組織とディストリビューターの構造

4.2. 組織の管理

4.2.1. 新しい組織の作成

4.2.2. 組織の削除

4.2.3. デフォルト組織の設定

4.2.4. 自動アタッチの設定

4.3. ディストリビューターの管理 (テクノロジープレビュー)

4.4. マニフェストのインポートおよびメンテナンス

4.4.1. マニフェスト

4.4.2. 組織のマニフェスト管理

4.4.2.1. 組織へのサブスクリプションのアタッチ

4.4.2.2. マニフェストをダウンロードする

4.4.2.3. サブスクリプションマニフェストのアップロード

4.4.2.4. 組織のマニフェストのリフレッシュ

4.4.2.5. マニフェストインポート履歴の表示

4.4.3. ディストリビューターのマニフェスト管理 (テクノロジープレビュー)

第5章 システムとサブスクリプションの管理

5.1. システム上のサブスクリプション

5.1.1. サブスクリプションとシステムの関係

5.1.1.1. サブスクリプション、製品、システムとの対話

5.1.1.2. サブスクリプションの計算

5.2. システムの登録

5.3. システムグループの使用

5.4. 組織のサブスクリプションの表示

5.5. システムのインストール済み製品の表示

5.6. 手動でのサブスクリプション管理

5.6.1. システムへのサブスクリプションのアタッチ

5.6.2. サブスクリプションの削除

5.7. システムの自動アタッチの設定

5.8. 自動アタッチ操作を手動で実行する

5.8.1. 全システムでの自動アタッチの実行

5.8.2. 単一システムでの自動アタッチの実行

第6章 アクティベーションキーの使用

6.1. アクティベーションキー

6.2. アクティベーションキーの作成

第1章オンプレミスのサブスクリプション管理

第3章ユーザーとアクセス制御の管理

第4章組織とディストリビューターの設定

第5章システムとサブスクリプションの管理

第6章アクティベーションキーの使用

第7章仮想ホストおよびゲストの管理

第8章システムレベルのサブスクリプション情報の表示