11.3. 高可用性クラスターの pcsd TLS 証明書とキーファイルの作成
RHEL 9.2 以降
ha_cluster システムロールを使用して、高可用性クラスターに TLS 証明書とキーファイルを作成できます。この Playbook を実行すると、ha_cluster システムロールが certificate システムロールを内部的に使用して TLS 証明書を管理します。
警告
ha_cluster システムロールは、指定されたノードの既存のクラスター設定を置き換えます。Playbook に指定されていない設定はすべて失われます。
前提条件
- コントロールノードと管理対象ノードを準備している。
- 管理対象ノードで Playbook を実行できるユーザーとしてコントロールノードにログインしている。
-
管理対象ノードへの接続に使用するアカウントに、そのノードに対する
sudo権限がある。 - クラスターメンバーとして使用するシステムには、RHEL および RHEL High Availability Add-On のアクティブなサブスクリプションがある。
- ha_cluster システムロールのインベントリーの指定 で説明されているように、インベントリーファイルでクラスターノードが指定されている。
手順
次の内容を含む Playbook ファイル (例:
~/playbook.yml) を作成します。--- - name: Create TLS certificates and key files in a high availability cluster hosts: node1 node2 roles: - rhel-system-roles.ha_cluster vars: ha_cluster_cluster_name: my-new-cluster ha_cluster_hacluster_password: <password> ha_cluster_manage_firewall: true ha_cluster_manage_selinux: true ha_cluster_pcsd_certificates: - name: FILENAME common_name: "{{ ansible_hostname }}" ca: self-signこの Playbook は、
firewalldおよびselinuxサービスを実行するクラスターを設定し、/var/lib/pcsdに自己署名のpcsd証明書と秘密鍵ファイルを作成します。pcsd証明書のファイル名はFILENAME.crtで、キーファイルの名前はFILENAME.keyです。実稼働用の Playbook ファイルを作成するときは、Encrypting content with Ansible Vault で説明されているように、パスワードを vault で暗号化します。
Playbook の構文を検証します。
$ ansible-playbook --syntax-check ~/playbook.ymlこのコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。
Playbook を実行します。
$ ansible-playbook ~/playbook.yml
関連情報
-
/usr/share/ansible/roles/rhel-system-roles.ha_cluster/README.mdファイル -
/usr/share/doc/rhel-system-roles/ha_cluster/ディレクトリー RHEL システムロールを使用した証明書の要求
