Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

Image Mode for RHEL を使用したオペレーティングシステムの構築、デプロイ、管理

Red Hat Enterprise Linux 9

Red Hat Enterprise Linux 9 での RHEL bootc イメージの使用

Red Hat Customer Content Services

概要

RHEL bootc イメージを使用すると、オペレーティングシステムをコンテナーとして構築、デプロイ、管理できます。Image Mode for RHEL を使用すると、コンテナーネイティブワークフロー 1 つでアプリケーションと基盤となる OS を管理できます。

Red Hat ドキュメントへのフィードバック (英語のみ)
リンクのコピー

Red Hat ドキュメントに関するご意見やご感想をお寄せください。また、改善点があればお知らせください。

Jira からのフィードバック送信 (アカウントが必要)

  1. Jira の Web サイトにログインします。
  2. 上部のナビゲーションバーで Create をクリックします。
  3. Summary フィールドにわかりやすいタイトルを入力します。
  4. Description フィールドに、ドキュメントの改善に関するご意見を記入してください。ドキュメントの該当部分へのリンクも追加してください。
  5. ダイアログの下部にある Create をクリックします。

第1章 Image Mode for RHEL の概要
リンクのコピー

Image Mode for RHEL を使用すると、アプリケーションコンテナーと同じツールと手法を使用して、オペレーティングシステムを構築、テスト、およびデプロイできます。Image Mode for RHEL は、registry.redhat.io/rhel9/rhel-bootc bootc イメージを使用することで利用できます。RHEL bootc イメージは、従来は除外されていた起動に必要な追加コンポーネント (カーネル、initrd、ブートローダー、ファームウェアなど) が含まれている点で、既存のアプリケーションの Universal Base Images (UBI) とは異なります。

注記

rhel-bootc コンテナーイメージに基づく rhel-bootc およびユーザーが作成したコンテナーは、Red Hat Enterprise Linux エンドユーザーライセンス契約 (EULA) に従います。これらのイメージを公開して再配布することはできません。

Red Hat は、次のコンピューターアーキテクチャー用の bootc イメージを提供します。

  • AMD および Intel 64 ビットアーキテクチャー (x86-64-v2)
  • 64 ビット ARM アーキテクチャー (ARMv8.0-A)
  • IBM Power Systems 64 ビットリトルエンディアンアーキテクチャー (ppc64le)
  • IBM Z 64 ビットアーキテクチャー (s390x)

Bootc は、次のコンテナーイメージ形式とディスクイメージ形式をサポートします。

Expand
表1.1 bootc がサポートするイメージタイプ
イメージタイプターゲット環境

OCI container format

物理環境、仮想化環境、クラウド環境、およびエッジ環境。

ami

Amazon Machine Image。

qcow2 (デフォルト)

QEMU (Red Hat OpenStack、Red Hat OpenStack services for OpenShift、OpenShift Virtualization などの環境を対象)、Libvirt (RHEL)。

vmdk

VMDK for vSphere。

anaconda-iso

最初に見つかったディスクにインストールする無人 Anaconda インストーラー。

raw

フォーマットされていない raw ディスク。QEMU および Libvirt でもサポートされる。

vhd

仮想 PC 用の VHD など。

gce

Google Compute Engine (GCE) 環境。

コンテナーは、以下の手段を提供することで、RHEL システムのライフサイクルを合理化します。

コンテナーイメージのビルド
Containerfile を変更することで、ビルド時にオペレーティングシステムを設定できます。Image Mode for RHEL は、コンテナーイメージ registry.redhat.io/rhel9/rhel-bootc を使用することで利用できます。Podman、OpenShift Container Platform、またはその他の標準のコンテナービルドツールを使用して、コンテナーとコンテナーイメージを管理できます。CI/CD パイプラインを使用してビルドプロセスを自動化できます。
コンテナーイメージのバージョン管理、ミラーリング、テスト
Podman や OpenShift Container Platform などのコンテナーツールを使用して、派生した bootc イメージのバージョン管理、ミラーリング、イントロスペクション、署名を行うことができます。
コンテナーイメージのターゲット環境へのデプロイ

イメージをデプロイする方法はいくつか存在します。

  • Anaconda: RHEL で使用されるインストールプログラムです。Anaconda とキックスタートを使用してインストールプロセスを自動化することで、すべてのイメージタイプをターゲット環境にデプロイできます。
  • bootc-image-builder: コンテナーイメージをさまざまな種類のディスクイメージに変換し、必要に応じてイメージレジストリーまたはオブジェクトストレージにアップロードする、コンテナー化されたツールです。
  • bootc: コンテナーレジストリーからコンテナーイメージを取得してシステムにインストールしたり、オペレーティングシステムを更新したり、既存の ostree ベースのシステムから切り替えたりするツールです。RHEL bootc イメージは、デフォルトで bootc ユーティリティーを含んでおり、すべてのイメージタイプに対応しています。ただし、rpm-ostree はサポートされていないため、変更を加えるために使用してはならないことに注意してください。
オペレーティングシステムの更新
システムは、デプロイメント後にロールバックが可能なインプレーストランザクション更新をサポートします。自動更新はデフォルトでオンになっています。systemd サービスユニットと systemd タイマーユニットファイルがコンテナーレジストリーの更新をチェックし、システムに適用します。更新はトランザクショナルであるため、再起動が必要です。より高度なロールアウトやスケジュールされたロールアウトが必要な環境では、自動更新を無効にし、bootc ユーティリティーを使用してオペレーティングシステムを更新してください。

RHEL には 2 つのデプロイメントモードがあります。どちらも、デプロイメント時の安定性、信頼性、パフォーマンスは同様です。相違点を参照してください。

  1. パッケージモード: RHEL Image Builder を使用してパッケージベースのイメージと OSTree イメージをビルドできます。composer-cli または Web コンソールを使用してパッケージモードのイメージを管理できます。オペレーティングシステムは RPM パッケージを使用し、dnf パッケージマネージャーを使用して更新されます。ルートファイルシステムはミュータブルです。ただし、オペレーティングシステムをコンテナー化されたアプリケーションとして管理することはできません。RHEL システムイメージのカスタマイズ を参照してください。
  2. イメージモード: RHEL をビルド、デプロイ、管理するためのコンテナーネイティブなアプローチです。同じ RPM パッケージがベースイメージとして配信され、更新はコンテナーイメージとしてデプロイされます。ルートファイルシステムは、/etc/var を除きデフォルトではイミュータブルであり、ほとんどのコンテンツはコンテナーイメージから取得されます。

イメージモード または パッケージモード のデプロイメントのいずれかを使用して、オペレーティングシステムを構築、テスト、および共有できます。また、イメージモード を使用すると、他のコンテナー化されたアプリケーションと同じ方法でオペレーティングシステムを管理できます。

1.1. RHEL のイメージモードの利点
リンクのコピー

Image Mode for RHEL の利点は、システムのライフサイクル全体にわたって得られます。次のリストには、いくつかの最も重要な利点が含まれます。

コンテナーイメージは他のイメージ形式よりも簡単に理解して使用でき、ビルドが高速
Containerfile (Dockerfile とも呼ばれます) は、イメージのコンテンツとビルド手順を定義する単純なアプローチを提供します。コンテナーイメージは、しばしば他のイメージ作成ツールよりもビルドとイテレートが非常に高速です。
プロセス、インフラストラクチャー、リリースアーティファクトを統合
アプリケーションをコンテナーとして配布すると、同じインフラストラクチャーとプロセスを使用して、基盤となるオペレーティングシステムを管理できます。
イミュータブルな更新
Image Mode for RHEL では、コンテナー化されたアプリケーションがイミュータブルな方法で更新されるのと同様に、オペレーティングシステムもイミュータブルな方法で更新されます。rpm-ostree システムを使用する場合と同じように、更新を起動し、必要に応じてロールバックできます。
警告

rpm-ostree を使用して変更を加えたり、コンテンツをインストールしたりすることはサポートされていません。

ハイブリッドクラウド環境間での移植性
bootc イメージは、物理環境、仮想化環境、クラウド環境、エッジ環境全体で使用できます。

コンテナーはイメージをビルド、転送、実行するための基盤となります。ただし、これらの bootc イメージを、インストールメカニズムを使用してデプロイするか、ディスクイメージに変換した後は、システムがコンテナーとして実行されないことを理解することが重要です。

1.2. 前提条件
リンクのコピー

  • RHEL 9 システムをサブスクライブしている。詳細は、RHEL システム登録のスタートガイド ドキュメントを参照してください。
  • コンテナーレジストリーがある。レジストリーをローカルに作成することも、Quay.io サービスで無料アカウントを作成することもできます。Quay.io アカウントを作成するには、Red Hat Quay.io ページを参照してください。
  • 実稼働用または開発者サブスクリプションを持つ Red Hat アカウントがある。無料の開発者サブスクリプションは、Red Hat Enterprise Linux Overview ページで入手できます。
  • registry.redhat.io に対して認証済みである。詳細は、Red Hat Container Registry Authentication 記事を参照してください。

第2章 RHEL bootc イメージのビルドとテスト
リンクのコピー

Podman と Containerfile を使用して RHEL コンテナーイメージをビルドおよびテストし、複数の環境でブート可能な RHEL システムイメージを効率的に作成、カスタマイズ、共有できます。OpenShift Container Platform などの他のツールを使用することもできます。コンテナーを使用して RHEL システムを設定する例は、rhel-bootc-examples リポジトリーを参照してください。

2.1. Containerfile から bootc ベースのイメージをビルドおよび設定する
リンクのコピー

Containerfile を使用すると、必要なツール、設定、アプリケーションを使用して独自の bootc ベースのイメージをビルドおよびカスタマイズできます。ほとんどの標準命令は機能しますが、イメージがシステムにインストールされるときに一部は無視されます。

図2.1 Containerfile からの指示を使用してイメージを構築し、コンテナーをテストし、イメージをレジストリーにプッシュして他のユーザーと共有する

639 RHEL Bootable Container Bifrost 0524 2
View larger image
639 RHEL Bootable Container Bifrost 0524 2

一般的な Containerfile の構造は次のとおりです。 

FROM registry.redhat.io/rhel10/rhel-bootc:latest

RUN dnf -y install [software] [dependencies] && dnf clean all

ADD [application]
ADD [configuration files]

RUN [config scripts]
Copy to Clipboard Toggle word wrap

Containerfile および Dockerfile 内で使用できる利用可能なコマンドは同じです。

ただし、rhel-10-bootc イメージのシステムへのインストール時には、Containerfile 内の以下のコマンドは無視されます。

  • ENTRYPOINT および CMD (OCI: Entrypoint/Cmd): 代わりに CMD /sbin/init を設定できます。
  • ENV (OCI: Env): systemd 設定を変更して、グローバルシステム環境を設定します。
  • EXPOSE (OCI: exposedPorts): ランタイム時にシステムのファイアウォールやネットワークがどのように機能するかとは無関係です。
  • USER (OCI: User): RHEL bootc 内の個々のサービスを、権限のないユーザーとして実行するように設定します。

rhel-10-bootc コンテナーイメージは OCI イメージ形式を再利用します。

  • rhel-10-bootc コンテナーイメージは、システムへのインストール時にはコンテナー設定セクション (Config) を無視します。
  • rhel-10-bootc コンテナーイメージは、podmandocker などのコンテナーランタイムを使用してこのイメージを実行するときには、コンテナー設定セクション (Config) を無視しません。

2.2. コンテナーツールを使用した再現可能なコンテナーイメージのビルド
リンクのコピー

Red Hat Enterprise Linux (RHEL)は、Podman および Buildah を使用した再現可能なコンテナービルドをサポートするようになりました。これにより、時間の経過とともに一貫した入力によるイメージの変更が削減されました。この新機能は、イメージを更新するときにレジストリーからプルされるデータを減らします。これは、サプライチェーンのセキュリティー、信頼できるソフトウェアデプロイメント、および効果的なデバッグに不可欠です。RHEL コンテナーの再現可能なビルドにより、レジストリーストレージを削減し、小規模な更新ペイロードを作成し、イメージ層の一貫性を確保してダウンロードを高速化します。以前は、tarball の作成やコンテナーイメージサイズのエスカレートによる課題により、基盤となるデータが変更されていない場合でも、ストレージの負荷と不要なレイヤープルが増加し、rhel-bootc や RHEL AI などの環境での更新が高速化されていました。

2.3. コンテナーイメージのビルド
リンクのコピー

Containerfile からの指示を使用してイメージを構築するには、podman build コマンドを使用します。

前提条件

  • container-tools メタパッケージがインストールされている。

手順

  1. Containerfile を作成します。 

    $ cat Containerfile
FROM registry.redhat.io/rhel9/rhel-bootc:latest
RUN dnf -y install cloud-init && \
    ln -s ../cloud-init.target /usr/lib/systemd/system/default.target.wants && \
    dnf clean all
    Copy to Clipboard Toggle word wrap

    この Containerfile の例では、cloud-init ツールが追加されています。そのため、SSH 鍵を自動的に取得し、インフラストラクチャーからスクリプトを実行できるほか、インスタンスメタデータから設定とシークレットを収集することもできます。たとえば、このコンテナーイメージを、事前に生成した AWS または KVM ゲストシステムに使用できます。

  2. 現在のディレクトリーの Containerfile を使用して、<image> イメージをビルドします。 

    $ podman build -t quay.io/<namespace>/<image>:<tag> .
    Copy to Clipboard Toggle word wrap

検証

  • すべてのイメージをリスト表示します。 

    $ podman images
REPOSITORY                                  TAG      IMAGE ID       CREATED              SIZE
localhost/<image>                           latest   b28cd00741b3   About a minute ago   2.1 GB
    Copy to Clipboard Toggle word wrap

2.4. マルチステージビルドによるカスタムブート可能イメージの利点
リンクのコピー

デプロイメントイメージには、ビルドツールや不要なライブラリーを追加せずに、アプリケーションと必要なランタイムのみを含める必要があります。これを実現するには、2 つのステージで構成される Containerfile を使用します。1 つのステージはアーティファクトをビルドするためのもので、もう 1 つのステージはアプリケーションをホストするためのものです。

マルチステージビルドでは、Containerfile で複数の FROM 命令を使用します。FROM 命令は、それぞれ異なるベースを使用でき、ビルドの新しいステージを開始します。あるステージから別のステージにアーティファクトを選択的にコピーし、最終イメージに必要のないものをすべて除外することができます。

マルチステージビルドにはいくつかの利点があります。

イメージサイズの削減
ビルド環境をランタイム環境から分離することで、最終イメージに必要なファイルと依存関係のみが含まれ、サイズが大幅に削減されます。
セキュリティーの向上
最終イメージからビルドツールと不要なライブラリーが取り除かれるため、攻撃対象領域が縮小され、よりセキュアなコンテナーが実現します。
パフォーマンスの最適化
イメージサイズが削減されるため、ダウンロード、デプロイ、起動の時間が短縮し、コンテナー化されたアプリケーションの全体的な効率が向上します。
メンテナンスの簡素化
ビルド環境とランタイム環境が分離されるため、アプリケーションの実行に必要なものだけが最終イメージに取り込まれ、イメージがよりクリーンになり、保守が容易になります。
よりクリーンなビルド
マルチステージビルドによって、ビルドプロセス中に蓄積される中間ファイルによる混乱を回避し、重要なアーティファクトだけを最終イメージに取り込むことができます。
リソース効率
1 つのステージでビルドし、不要な部分を破棄できるため、デプロイ時のストレージと帯域幅の使用が最小限に抑えられます。
レイヤーキャッシュの改善
ステージを明確に定義し、将来のビルドを高速化することにより、Podman が前のステージの結果を効率的にキャッシュできるようになります。

次の Containerfile は 2 つのステージで構成されています。最初のステージは、通常 builder と呼ばれ、golang バイナリーをコンパイルします。2 番目のステージでは、最初のステージからバイナリーをコピーします。go-toolset ビルダーのデフォルトの作業ディレクトリーは opt/ap-root/src です。 

FROM registry.access.redhat.com/ubi9/go-toolset:latest as builder
RUN echo 'package main; import "fmt"; func main() { fmt.Println("hello world") }' > helloworld.go
RUN go build helloworld.go

FROM registry.redhat.io/rhel9/rhel-bootc:latest
COPY --from=builder /opt/app-root/src/helloworld /
CMD ["/helloworld"]
Copy to Clipboard Toggle word wrap

結果として、最終的なコンテナーイメージには helloworld バイナリーが含まれますが、前のステージのデータは含まれません。

また、マルチステージビルドを使用すると、次のシナリオを実行できます。

特定のビルドステージで停止する
イメージをビルドするときに、指定したビルドステージで停止できます。以下に例を示します。 
$ podman build --target build -t hello .
Copy to Clipboard Toggle word wrap

たとえば、この方法を使用して特定のビルドステージをデバッグできます。

外部のイメージをステージとして使用する
COPY --from 命令を使用すると、ローカルイメージ名、ローカルまたはコンテナーレジストリーで使用可能なタグ、またはタグ ID を使用して、別のイメージからコピーできます。以下に例を示します。 
COPY --from=<image> <source_path> <destination_path>
Copy to Clipboard Toggle word wrap
前のステージを新しいステージとして使用する
FROM 命令を使用すると、前のステージが終了したところから続行できます。以下に例を示します。 
FROM ubi9 AS stage1
[...]

FROM stage1 AS stage2
[...]

FROM ubi9 AS final-stage
[...]
Copy to Clipboard Toggle word wrap

2.5. コンテナーイメージの実行
リンクのコピー

コンテナーを実行してテストするには、podman run コマンドを使用します。

前提条件

  • container-tools メタパッケージがインストールされている。

手順

  • 適切なオプションを指定した podman run コマンドを使用してコンテナーを実行します。たとえば、quay.io/<namespace>/<image>:<tag> コンテナーイメージに基づいて mybootc という名前のコンテナーを実行するには、以下を実行します。 

    $ podman run -it --rm --name mybootc quay.io/<namespace>/<image>:<tag> /bin/bash
    Copy to Clipboard Toggle word wrap
    • -i オプションは対話式のセッションを作成します。-i オプションを指定しないと、シェルが開き、終了します。
    • -t オプションは、端末セッションを開きます。the -i オプションを指定しないと、開いたままになりますが、シェルには何も入力できません。
    • --rm オプションは、コンテナーの終了後に quay.io/<namespace>/<image>:<tag> コンテナーイメージを削除します。

検証

  • 実行中のすべてのコンテナーをリスト表示します。 

    $ podman ps
CONTAINER ID  IMAGE                                    COMMAND          CREATED        STATUS            PORTS   NAMES
7ccd6001166e  quay.io/<namespace>/<image>:<tag>  /sbin/init  6 seconds ago  Up 5 seconds ago          mybootc
    Copy to Clipboard Toggle word wrap

2.6. コンテナーイメージのレジストリーへのプッシュ
リンクのコピー

イメージを独自のレジストリーまたはサードパーティーのレジストリーにプッシュして他のユーザーと共有するには、podman push コマンドを使用します。次の手順では、Red Hat Quay レジストリーを例として使用します。

前提条件

  • container-tools メタパッケージがインストールされている。
  • イメージがビルドされ、ローカルシステムで使用できる。
  • Red Hat Quay レジストリーを作成した。詳細は、概念実証 - Red Hat Quay のデプロイ を参照してください。

手順

  • ローカルストレージからレジストリーに quay.io/<namespace>/<image>:<tag> コンテナーイメージをプッシュします。 

    $ podman push quay.io/<namespace>/<image>:<tag>
    Copy to Clipboard Toggle word wrap

第3章 論理的にバインドされたイメージのビルドと管理
リンクのコピー

論理的にバインドされたイメージを使用すると、ベース bootc イメージのライフサイクルにバインドされたコンテナーイメージを扱うことができます。これにより、アプリケーションとオペレーティングシステムのさまざまな運用プロセスを組み合わせることができます。コンテナーアプリケーションイメージは、イメージファイルまたは同等のものとしてベースイメージから参照されます。したがって、システムインストール用の複数のコンテナーイメージを管理できます。

セキュリティーエージェントや監視ツールなど、ライフサイクルにバインドされたワークロードにコンテナーを使用できます。このようなワークロードは、bootc upgrade コマンドを使用してアップグレードすることもできます。

3.1. 論理的にバインドされたイメージの概要
リンクのコピー

論理的にバインドされたイメージを使用することで、コンテナーアプリケーションイメージをベース bootc システムイメージに関連付けることができます。デフォルトでは、podman などによって実行されるアプリケーションコンテナーには、ホストのアップグレードに依存しないライフサイクルがあります。これらのコンテナーはいつでも追加または削除でき、コンテナーイメージが存在しない場合は通常、起動後にオンデマンドで取得されます。

論理的にバインドされたイメージの主な利点は、この方法でバインドされたアプリケーションコンテナーのライフサイクルがホストのアップグレードと連動し、ホストが新しいオペレーティングシステムで再起動する 前に コンテナーが利用可能になる点です。このようにバインドされたコンテナーイメージは、bootc コンテナーが参照している限り存在します。

以下は、通常はホスト外部では更新されない、ライフサイクルにバインドされたワークロードの例です。

  • ロギング (例: journald → リモートログフォワーダーコンテナー)
  • 監視 (例: Prometheus node_exporter)
  • 設定管理エージェント
  • セキュリティーエージェント

このようなタイプのワークロードでは通常、ネットワークが利用可能になる前に、ブートプロセスの非常に早い段階からコンテナーを起動することが重要です。論理的にバインドされたイメージを使用すると、ベース bootc イメージ内のバイナリーの ExecStart= を使用するのと同じ信頼性でコンテナーを起動できます (多くの場合、systemd 経由)。

論理的にバインド という用語は、アプリケーションコンテナーのコンテンツが bootc コンテナーイメージに物理的に保存される、物理的にバインドされたイメージの別のモデルと対比されることもあります。物理的ではなく、論理的にバインドする利点として主に、変更なしのアプリケーションコンテナーイメージをダウンロードし直すことなく、bootc システムを更新できる点が挙げられます。

論理的にバインドされたイメージを使用する場合、システムが論理的にバインドされたイメージをインストールできるように、複数のコンテナーイメージを管理する必要があります。これは利点であると同時に欠点でもあります。たとえば、非接続インストールまたはオフラインインストールの場合は、1 つのコンテナーだけでなく、すべてのコンテナーをミラーリングする必要があります。アプリケーションイメージは、.image ファイルまたは同等のファイルとしてベースイメージからのみ参照されます。

論理的にバインドされたイメージのインストール
bootc install を実行するときに、論理的にバインドされたイメージがデフォルトの /var/lib/containers コンテナーストアに存在している必要があります。イメージはターゲットシステムにコピーされ、bootc ベースイメージとともに起動時に直接表示されます。
論理的にバインドされたイメージのライフサイクル
論理的にバインドされたイメージは、ブート可能なコンテナーによって参照され、bootc ベースのサーバーの起動時に可用性が保証されます。イメージは常に bootc upgrade を使用してアップグレードされます。Podman などの他のプロセスでは、イメージを read-only として使用できます。
アップグレード、ロールバック、ガベージコレクションにおける論理的にバインドされたイメージの管理
  • アップグレード中、論理的にバインドされたイメージは bootc によって排他的に管理されます。
  • ロールバック中は、ロールバックデプロイメントに対応する論理的にバインドされたイメージが保持されます。
  • bootc が、未使用のバインドされたイメージのガベージコレクションを実行します。

3.2. 論理的にバインドされたイメージの作成
リンクのコピー

論理的にバインドされたイメージは、Podman Quadlet の .image または .container ファイルを使用して作成できます。

前提条件

  • container-tools メタパッケージがインストールされている。

手順

  1. 論理的にバインドするイメージを選択します。

  2. Containerfile を作成します。 

    $ cat Containerfile
FROM quay.io/<namespace>/<image>:latest
COPY ./<app_1>.image /usr/share/containers/systemd/<app_1>.image
COPY ./<app_2>.container /usr/share/containers/systemd/<app_2>.container

RUN ln -s /usr/share/containers/systemd/<app_1>.image \
	/usr/lib/bootc/bound-images.d/<app_1>.image && \
    ln -s /usr/share/containers/systemd/<app_2>.container \
    	/usr/lib/bootc/bound-images.d/<app_2>.container
    Copy to Clipboard Toggle word wrap

  3. .container 定義で、以下を使用します。 

    GlobalArgs=--storage-opt=additionalimagestore=/usr/lib/bootc/storage
    Copy to Clipboard Toggle word wrap

    この Containerfile の例では、/usr/lib/bootc/bound-images.d ディレクトリーに、.image ファイルまたは .container ファイルを参照するシンボリックリンクを作成することにより、論理的にバインドされるイメージが選択されます。

  4. bootc upgrade コマンドを実行します。 

    $ bootc upgrade
    Copy to Clipboard Toggle word wrap

    bootc upgrade では、次の主な手順が実行されます。

    1. イメージリポジトリーから新しいベースイメージを取得します。「コンテナープルシークレットの設定」を参照してください。
    2. 新しいベースイメージのルートファイルシステムを読み取り、論理的にバインドされたイメージを検出します。
    3. 新しい bootc イメージで定義されている、検出された論理的にバインドされたイメージを、bootc が所有する /usr/lib/bootc/storage イメージストレージに自動的にプルします。

  5. バインドされたイメージを Podman などのコンテナーランタイムで使用できるようにします。そのためには、バインドされたイメージが "追加のイメージストア" として bootc ストレージを参照するように明示的に設定する必要があります。以下に例を示します。 

    podman --storage-opt=additionalimagestore=/usr/lib/bootc/storage run <image>
    Copy to Clipboard Toggle word wrap
    重要

    /etc/containers/storage.conf/usr/lib/bootc/storage イメージストレージをグローバルに有効にしないでください。論理的にバインドされたイメージには bootc ストレージだけを使用してください。

bootc image storebootc が所有します。論理的にバインドされたイメージは、/usr/lib/bootc/bound-images.d ディレクトリー内のファイルによって参照されなくなると、ガベージコレクションされます。

第4章 bootc-image-builder を使用した bootc 互換ベースディスクイメージの作成
リンクのコピー

テクノロジープレビューとして利用可能な bootc-image-builder は、bootc イメージからディスクイメージを作成するためのコンテナー化されたツールです。ビルドしたイメージを使用して、エッジ、サーバー、クラウドなどのさまざまな環境にディスクイメージをデプロイできます。

4.1. bootc-image-builder の Image Mode for RHEL の概要
リンクのコピー

bootc-image-builder ツールを使用すると、bootc イメージをさまざまなプラットフォームや形式のディスクイメージに変換できます。bootc イメージのディスクイメージへの変換は、bootc イメージのインストールと同じです。これらのディスクイメージは、ターゲット環境にデプロイした後、コンテナーレジストリーから直接更新できます。

以下のいずれかの方法を使用して、ベースイメージを構築できます。

  • ローカルの RHEL システムを使用し、Podman ツールをインストールして、ローカルでイメージをビルドします。その後、イメージをプライベートレジストリーにプッシュできます。
  • CI/CD パイプラインを使用します。RHEL ベースのシステムを使用してイメージをビルドし、プライベートレジストリーにプッシュする CI/CD パイプラインを作成します。

bootc-image-builder ツールは、次のイメージタイプの生成をサポートしています。

  • 非接続インストールに適したディスクイメージ形式 (ISO など)

  • 以下のような仮想ディスクイメージ形式:

    • QEMU copy-on-write (QCOW2)
    • Amazon Machine Image (AMI)
    • 未フォーマットの raw ディスク (Raw)
    • 仮想マシンイメージ (VMI)

bootc-image-builder は、デフォルトでローカルコンテナーストレージを使用します。このツールは、リモートレジストリーからコンテナーイメージをプルできません。ディスクイメージをビルドするには、システムのローカルコンテナーレジストリーでベースの bootc コンテナーイメージを利用可能にして、システムのコンテナーストレージを bootc-image-builder コンテナーにマウントし、システムストレージからのコンテナーを使用できるようにする必要があります。

コンテナーイメージからデプロイすると同じインストール結果を得られるため、仮想マシンまたはサーバーを実行するときに便利です。同じコンテナーイメージからビルドする場合、当該一貫性は複数の異なるイメージタイプとプラットフォームにわたって保持されます。その結果、プラットフォーム間でオペレーティングシステムイメージを維持するための労力を最小限に抑えることができます。また、bootc-image-builder を使用して新しいディスクイメージを再作成およびアップロードする代わりに、bootc ツールを使用して、これらのディスクイメージからデプロイしたシステムを更新することもできます。

rhel-9-bootc イメージを直接デプロイすることもできますが、この bootc イメージから派生した独自のカスタムイメージを作成することもできます。bootc-image-builder ツールは、rhel-9-bootc OCI コンテナーイメージを入力として受け取ります。

注記

汎用ベースコンテナーイメージには、デフォルトのパスワードや SSH 鍵は含まれません。また、bootc-image-builder ツールを使用して作成したディスクイメージには、cloud-init などの一般的なディスクイメージで使用できるツールは含まれません。そのようなディスクイメージは、変換されたコンテナーイメージだけです。

4.2. bootc-image-builder のインストール
リンクのコピー

bootc-image-builder はコンテナーとしての使用が意図されており、RHEL で RPM パッケージとして利用することはできません。アクセスするには、以下の手順に従います。

前提条件

  • container-tools メタパッケージがインストールされている。メタパッケージには、Podman、Buildah、Skopeo などのすべてのコンテナーツールが含まれます。
  • registry.redhat.io に対して認証されている。詳細は、Red Hat コンテナーレジストリーの認証 を参照してください。

手順

  1. ログインして、registry.redhat.io に対する認証を行います。 

    $ sudo podman login registry.redhat.io
    Copy to Clipboard Toggle word wrap

  2. bootc-image-builder ツールをインストールします。 

    $ sudo podman pull registry.redhat.io/rhel9/bootc-image-builder
    Copy to Clipboard Toggle word wrap

検証

  • ローカルシステムにプルしたすべてのイメージをリスト表示します。 

    $ sudo podman images
REPOSITORY                                    TAG         IMAGE ID      CREATED       SIZE
registry.redhat.io/rhel9/bootc-image-builder  latest      b361f3e845ea  24 hours ago  676 MB
    Copy to Clipboard Toggle word wrap

4.3. 設定ファイルでサポートされているイメージのカスタマイズ
リンクのコピー

TOML または JSON 形式のビルド設定ファイルを使用して、作成するディスクイメージにカスタマイズを追加できます。

コンテナー内のディレクトリーでは、設定ファイルが /config.toml にマッピングされます。カスタマイズオブジェクトにより、イメージの変更を定義します。また、ビルド設定ファイルを config.json または config.toml として /usr/lib/bootc-image-builder ディレクトリーに埋め込むこともできます。デフォルトでは、システムはこのディレクトリーにあるファイルシステムまたはディスクのカスタマイズを自動的に使用します。別のカスタマイズを明示的に指定すると、この動作をオーバーライドできます。

JSON 形式の場合、--config 引数を使用するときに stdin を使用して設定を渡すこともできます。

ユーザーのカスタマイズ

ディスクイメージにユーザーを追加し、必要に応じて SSH 鍵を設定します。このセクションのフィールドは、name を除いてすべてオプションです。

Expand
TOMLJSON
[[customizations.user]]
name = "user"
password = "password"
key = "ssh-rsa AAA ... user@email.com"
groups = ["wheel"]
Copy to Clipboard Toggle word wrap 
{
  "customizations": {
    "user": [
      {
        "name": "user",
        "password": "password",
        "key": "ssh-rsa AAA ... user@email.com",
        "groups": [
          "wheel",
          "admins"
        ]
      }
    ]
  }
}
Copy to Clipboard Toggle word wrap
カーネルの設定

設定ファイルでカーネルブートパラメーターをカスタマイズできます。

Expand
TOMLJSON
[customizations.kernel]
name = "kernel-debug"
append = "nosmt=force"
Copy to Clipboard Toggle word wrap 
{
  "customizations": {
    "kernel": {
      "append": "mitigations=auto,nosmt"
    }
  }
}
Copy to Clipboard Toggle word wrap
ファイルシステムの設定

カスタマイズのファイルシステムセクションを使用して、//boot などのベースパーティションの最小サイズを設定したり、/var の下にマウントポイントを持つ追加のパーティションを作成したりできます。

Expand
TOMLJSON
[[customizations.filesystem]]
mountpoint = "/"
minsize = "10 GiB"

[[customizations.filesystem]]
mountpoint = "/var/data"
minsize = "20 GiB"
Copy to Clipboard Toggle word wrap 
{
  "customizations": {
    "filesystem": [
      {
        "mountpoint": "/",
        "minsize": "10 GiB"
      },
      {
        "mountpoint": "/var/data",
        "minsize": "20 GiB"
      }
    ]
  }
}
Copy to Clipboard Toggle word wrap
ファイルシステムタイプと rootfs の相互作用

ルートファイルシステムタイプ (--rootfs) 引数は、ソースコンテナーのデフォルト値をオーバーライドします。また、ext4xfs、および btrfs タイプのすべての追加マウントポイントのファイルシステムタイプも設定します。

サポートされているマウントポイントとサイズには、rootfsbtrfs でない限り、次の制限とルールが適用されます。

  • / を指定すると、ルートファイルシステムの最小サイズを設定できます。起動したシステムの /sysroot にマウントされるファイルシステムの最終的なサイズは、この設定で指定した値、またはベースコンテナーのサイズを 2 倍にした値のうち、どちらか大きい方になります。
  • /boot を指定すると、ブートパーティションの最小サイズを設定できます。/var のサブディレクトリーも指定できますが、/var 内のシンボリックリンクは指定できません。たとえば、/var/home/var/run はシンボリックリンクであり、それ自体ではファイルシステムにはなりません。
  • /var 自体はマウントポイントにはなりません。rootfs オプションは、ルートファイルシステムのファイルシステムタイプを定義します。
  • 現在、ビルド時に btrfs サブボリュームを作成することはサポートされていません。したがって、rootfsbtrfs の場合、/var 配下にカスタムマウントポイントを作成することはサポートされていません。//boot のみを設定できます。
Anaconda ISO (インストーラー) の設定オプション

任意のインストールコマンドを含むキックスタートファイルを作成します。その後、ISO ビルドにキックスタートファイルを追加して、フルカスタマイズおよび自動化されたインストールメディアを作成します。

注記

[customizations.user][customizations.installer.kickstart] を組み合わせたカスタマイズはサポートされていません。キックスタートを追加するときは、TOML 形式の設定ファイルを使用してください。複数行の文字列ではエラーが発生しやすいためです。

Expand
TOMLJSON
[customizations.installer.kickstart]
contents = """
text --non-interactive
zerombr
clearpart --all --initlabel --disklabel=gpt
autopart --noswap --type=lvm
network --bootproto=dhcp --device=link --activate --onboot=on
"""
Copy to Clipboard Toggle word wrap 
{
  "customizations": {
    "installer": {
      "kickstart": {
        "contents": "text --non-interactive\nzerombr\nclearpart --all --initlabel --disklabel=gpt\nautopart --noswap --type=lvm\nnetwork --bootproto=dhcp --device=link --activate --onboot=on"
      }
    }
  }
}
Copy to Clipboard Toggle word wrap
警告

bootc-image-builder は、システムがコンテナーイメージに自動的に追加するコマンド以外に、キックスタートコマンドを追加することはありません。詳細は、キックスタートファイルの作成 を参照してください。

4.4. bootc-image-builder を使用した QCOW2 イメージの作成
リンクのコピー

RHEL bootc イメージを、コマンドを実行しているアーキテクチャー用の QEMU (QCOW2) イメージにビルドします。

RHEL ベースイメージにはデフォルトのユーザーは含まれません。必要に応じて、--config オプションを使用してユーザー設定を注入し、bootc-image-builder コンテナーを実行できます。または、cloud-init を使用してベースイメージを設定し、初回起動時にユーザーと SSH 鍵を注入することもできます。ユーザーとグループの設定 - cloud-init を使用したユーザーと SSH 鍵の注入 を参照してください。

前提条件

  • ホストマシンに Podman がインストールされている。
  • ホストマシンに virt-install がインストールされている。
  • bootc-image-builder ツールを実行し、コンテナーを --privileged モードで実行して、イメージをビルドするための root アクセスがある。

手順

  1. オプション: ユーザーアクセスを設定するための config.toml を作成します。次に例を示します。 

    [[customizations.user]]
name = "user"
password = "pass"
key = "ssh-rsa AAA ... user@email.com"
groups = ["wheel"]
    Copy to Clipboard Toggle word wrap

  2. bootc-image-builder を実行します。必要に応じて、ユーザーアクセス設定を使用する場合は、config.toml を引数として渡します。

    注記

    コンテナーストレージマウントがない場合は、イメージがパブリックである必要があります。

    1. 以下は、パブリック QCOW2 イメージを作成する例です。

    2. 次の例では、パブリックな QCOW2 イメージを作成します。このイメージは、registry.redhat.io/rhel10/bootc-image-builder:latest などのレジストリーからアクセスできる必要があります。 

      $ sudo podman run \
    --rm \
    --privileged \
    --pull=newer \
    --security-opt label=type:unconfined_t \
    -v ./config.toml:/config.toml:ro \
    -v ./output:/output \
    -v /var/lib/containers/storage:/var/lib/containers/storage \
    registry.redhat.io/rhel10/bootc-image-builder:latest \
    --type qcow2 \
    --config /config.toml \
  quay.io/<namespace>/<image>:<tag>
      Copy to Clipboard Toggle word wrap
    3. 以下は、プライベート QCOW2 イメージを作成する例です。

    4. この例では、ローカルコンテナーからプライベートな QCOW2 イメージを作成します。 

      $ sudo podman run \
    --rm \
    -it \
    --privileged \
    --pull=newer \
    --security-opt label=type:unconfined_t \
    -v ./config.toml:/config.toml:ro \
    -v ./output:/output \
    -v /var/lib/containers/storage:/var/lib/containers/storage \
    registry.redhat.io/rhel10/bootc-image-builder:latest \
    --type qcow2 \
    --config /config.toml \
    quay.io/<namespace>/<image>:<tag>
      Copy to Clipboard Toggle word wrap

      .qcow2 イメージは出力フォルダーにあります。

4.5. bootc-image-builder を使用した VMDK イメージの作成
リンクのコピー

bootc イメージから仮想マシンディスク (VMDK) を作成し、それを vSphere などの VMware の仮想化プラットフォーム内か、Oracle VirtualBox で使用します。

前提条件

  • ホストマシンに Podman がインストールされている。
  • podman login registry.redhat.io 使用して Red Hat Registry に認証した。
  • rhel10/bootc-image-builder コンテナーイメージをプルした。

手順

  1. 次の内容の Containerfile を作成します。 

    FROM registry.redhat.io/rhel10/rhel-bootc:latest
RUN dnf -y install cloud-init open-vm-tools && \
ln -s ../cloud-init.target /usr/lib/systemd/system/default.target.wants && \
rm -rf /var/{cache,log} /var/lib/{dnf,rhsm} && \
systemctl enable vmtoolsd.service
    Copy to Clipboard Toggle word wrap

  2. bootc イメージをビルドします。 

    # podman build . -t localhost/rhel-bootc-vmdk
    Copy to Clipboard Toggle word wrap
  3. 以前に作成した bootc イメージから VMDK ファイルを作成します。

  4. 以前に作成した bootc イメージから VMDK ファイルを作成します。このイメージは、registry.redhat.io/rhel10/bootc-image-builder:latest などのレジストリーからアクセスできる必要があります。 

    # podman run \
--rm \
-it \
--privileged \
-v /var/lib/containers/storage:/var/lib/containers/storage \
-v ./output:/output \
--security-opt label=type:unconfined_t \
--pull newer \
registry.redhat.io/rhel10/bootc-image-builder:latest \
--type vmdk \
--config /config.toml \
localhost/rhel-bootc-vmdk:latest
    Copy to Clipboard Toggle word wrap

    bootc イメージの VMDK ディスクファイルは、output/vmdk ディレクトリーに保存されます。

4.6. bootc-image-builder を使用した GCE イメージの作成
リンクのコピー

RHEL bootc イメージを、コマンドを実行しているアーキテクチャー用の GCE イメージにビルドします。RHEL ベースイメージにはデフォルトのユーザーは含まれません。必要に応じて、--config オプションを使用してユーザー設定を注入し、bootc-image-builder コンテナーを実行できます。または、cloud-init を使用してベースイメージを設定し、初回起動時にユーザーと SSH 鍵を注入することもできます。ユーザーとグループの設定 - cloud-init を使用したユーザーと SSH 鍵の注入 を参照してください。

前提条件

  • ホストマシンに Podman がインストールされている。
  • bootc-image-builder ツールを実行し、コンテナーを --privileged モードで実行して、イメージをビルドするための root アクセスがある。

手順

  1. オプション: ユーザーアクセスを設定するための config.toml を作成します。次に例を示します。 

    [[customizations.user]]
name = "user"
password = "pass"
key = "ssh-rsa AAA ... user@email.com"
groups = ["wheel"]
    Copy to Clipboard Toggle word wrap

  2. bootc-image-builder を実行します。必要に応じて、ユーザーアクセス設定を使用する場合は、config.toml を引数として渡します。

    注記

    コンテナーストレージマウントがない場合は、イメージがパブリックである必要があります。

  3. bootc-image-builder を実行します。必要に応じて、ユーザーアクセス設定を使用する場合は、config.toml を引数として渡します。このイメージは、registry.redhat.io/rhel10/bootc-image-builder:latest などのレジストリーからアクセスできる必要があります。

    1. 以下は gce イメージを作成する例です。 

      $ sudo podman run \
    --rm \
    -it \
    --privileged \
    --pull=newer \
    --security-opt label=type:unconfined_t \
    -v ./config.toml:/config.toml \
    -v ./output:/output \
    -v /var/lib/containers/storage:/var/lib/containers/storage \
    registry.redhat.io/rhel10/bootc-image-builder:latest \
    --type gce \
    --config /config.toml \
  quay.io/<namespace>/<image>:<tag>
      Copy to Clipboard Toggle word wrap

      gce イメージは出力フォルダーにあります。

4.7. bootc-image-builder を使用した AMI イメージの作成および AWS へのアップロード
リンクのコピー

bootc イメージから Amazon Machine Image (AMI) を作成し、それを使用して Amazon Web Services (AWS) Amazon Elastic Compute Cloud (EC2) インスタンスを起動します。

前提条件

  • ホストマシンに Podman がインストールされている。
  • AWS アカウント内に既存の AWS S3 バケットがある。
  • bootc-image-builder ツールを実行し、コンテナーを --privileged モードで実行して、イメージをビルドするための root アクセスがある。
  • AMI を AWS アカウントにインポートするために、アカウントに vmimport サービスロールが設定されている。

手順

  1. bootc イメージからディスクイメージを作成します。

    • Containerfile でユーザーの詳細を設定します。必ず sudo アクセスを割り当ててください。
    • Containerfile で設定したユーザーを使用して、カスタマイズされたオペレーティングシステムイメージをビルドします。これにより、パスワードなしの sudo アクセスを持つデフォルトのユーザーが作成されます。

  2. オプション: cloud-init を使用してマシンイメージを設定します。ユーザーとグループの設定 - cloud-init を使用したユーザーと SSH 鍵の注入 を参照してください。以下に例を示します。 

    FROM registry.redhat.io/rhel10/rhel-bootc:latest

RUN dnf -y install cloud-init && \
    ln -s ../cloud-init.target /usr/lib/systemd/system/default.target.wants && \
    rm -rf /var/{cache,log} /var/lib/{dnf,rhsm}
    Copy to Clipboard Toggle word wrap
    注記

    cloud-init により、インスタンスメタデータを使用してユーザーや設定を追加することもできます。

  3. bootc イメージをビルドします。たとえば、イメージを x86_64 AWS マシンにデプロイするには、次のコマンドを使用します。 

    $ podman build -t quay.io/<namespace>/<image>:<tag> .
$ podman push quay.io/<namespace>/<image>:<tag> .
    Copy to Clipboard Toggle word wrap
  4. bootc-image-builder ツールを使用して、bootc コンテナーイメージから AMI を作成します。

  5. bootc-image-builder ツールを使用して、bootc コンテナーイメージからパブリックな AMI イメージを作成します。このイメージは、registry.redhat.io/rhel10/bootc-image-builder:latest などのレジストリーからアクセスできる必要があります。 

    $ sudo podman run \
  --rm \
  -it \
  --privileged \
  --pull=newer \
  -v $HOME/.aws:/root/.aws:ro \
  -v /var/lib/containers/storage:/var/lib/containers/storage \
  --env AWS_PROFILE=default \
  registry.redhat.io/rhel10/bootc-image-builder:latest \
  --type ami \
  --config /config.toml \
  --aws-ami-name rhel-bootc-x86 \
  --aws-bucket rhel-bootc-bucket \
  --aws-region us-east-1 \
quay.io/<namespace>/<image>:<tag>
    Copy to Clipboard Toggle word wrap
    注記

    以下のフラグはすべてまとめて指定する必要があります。フラグを指定しない場合、AMI は出力ディレクトリーにエクスポートされます。

    • --aws-ami-name - AWS の AMI イメージの名前
    • --aws-bucket - AMI を作成する際の中間ストレージのターゲット S3 バケット名

    • --aws-region - AWS アップロードのターゲットリージョン

      bootc-image-builder ツールは AMI イメージをビルドし、ビルド後に AWS 認証情報を使用して AMI イメージをプッシュおよび登録することで、AWS s3 バケットにアップロードします。bootc-image-builder ツールは、AMI イメージをビルドし、ビルド後に AWS 認証情報を使用して AMI イメージをプッシュおよび登録することで、AWS S3 bucket にアップロードします。

次のステップ

ユーザー、グループ、SSH 鍵、シークレットの詳細は、Image Mode for RHEL でのユーザー、グループ、SSH 鍵、シークレットの管理 を参照してください。ユーザー、グループ、SSH 鍵、シークレットの詳細は、Image Mode for RHEL でのユーザー、グループ、SSH 鍵、シークレットの管理 を参照してください。

関連情報

4.8. bootc-image-builder を使用した raw ディスクイメージの作成
リンクのコピー

bootc-image-builder を使用すると、bootc イメージを MBR または GPT パーティションテーブルを持つ raw イメージに変換できます。

RHEL ベースイメージにはデフォルトのユーザーは含まれません。そのため、必要に応じて --config オプションを使用してユーザー設定を注入し、bootc-image-builder コンテナーを実行することもできます。または、cloud-init を使用してベースイメージを設定し、初回起動時にユーザーと SSH 鍵を注入することもできます。ユーザーとグループの設定 - cloud-init を使用したユーザーと SSH 鍵の注入 を参照してください。

前提条件

  • ホストマシンに Podman がインストールされている。
  • bootc-image-builder ツールを実行し、コンテナーを --privileged モードで実行して、イメージをビルドするための root アクセスがある。
  • コンテナーストレージにターゲットコンテナーイメージをプルした。

手順

  1. オプション: ユーザーアクセスを設定するための config.toml を作成します。次に例を示します。 

    [[customizations.user]]
name = "user"
password = "pass"
key = "ssh-rsa AAA ... user@email.com"
groups = ["wheel"]
    Copy to Clipboard Toggle word wrap
  2. bootc-image-builder を実行します。ユーザーアクセス設定を使用する場合は、config.toml を引数として渡します。

  3. bootc-image-builder を実行します。ユーザーアクセス設定を使用する場合は、config.toml を引数として渡します。このイメージは、registry.redhat.io/rhel10/bootc-image-builder:latest などのレジストリーからアクセスできる必要があります。 

    $ sudo podman run \
    --rm \
    -it \
    --privileged \
    --pull=newer \
    --security-opt label=type:unconfined_t \
    -v /var/lib/containers/storage:/var/lib/containers/storage \
    -v ./config.toml:/config.toml \
    -v ./output:/output \
    registry.redhat.io/rhel10/bootc-image-builder:latest \
    --type raw \
    --config /config.toml \
  quay.io/<namespace>/<image>:<tag>
    Copy to Clipboard Toggle word wrap

    .raw イメージは出力フォルダーにあります。

4.9. bootc-image-builder を使用した ISO イメージの作成
リンクのコピー

bootc-image-builder を使用して ISO を作成し、この ISO からブート可能なコンテナーをオフラインでデプロイできます。

前提条件

  • ホストマシンに Podman がインストールされている。
  • ホストシステムがサブスクライブされているか、またはバインドマウントを使用してリポジトリー設定を注入して、イメージビルドプロセスが RPM を取得できるようにする。
  • bootc-image-builder ツールを実行し、コンテナーを --privileged モードで実行して、イメージをビルドするための root アクセスがある。

手順

  1. オプション: 自動インストールを実行するデフォルトの埋め込みキックスタートをオーバーライドする config.toml を作成します。 

    [customizations.installer.kickstart]
contents = """
text --non-interactive
zerombr
clearpart --all --initlabel --disklabel=gpt
autopart --noswap --type=lvm
network --bootproto=dhcp --device=link --activate --onboot=on
"""
    Copy to Clipboard Toggle word wrap
  2. bootc-image-builder を実行します。設定を追加しない場合は、-v $(pwd)/config.toml:/config.toml 引数を省略します。

  3. bootc-image-builder を実行してパブリックな ISO イメージを作成します。設定を追加しない場合は、-v $(pwd)/config.toml:/config.toml 引数を省略します。このイメージは、registry.redhat.io/rhel10/bootc-image-builder:latest などのレジストリーからアクセスできる必要があります。 

    $ sudo podman run \
    --rm \
    -it \
    --privileged \
    --pull=newer \
    --security-opt label=type:unconfined_t \
    -v /var/lib/containers/storage:/var/lib/containers/storage \
    -v $(pwd)/config.toml:/config.toml \
    -v $(pwd)/output:/output \
    registry.redhat.io/rhel10/bootc-image-builder:latest \
    --type iso \
    --config /config.toml \
  quay.io/<namespace>/<image>:<tag>
    Copy to Clipboard Toggle word wrap

    .iso イメージは出力フォルダーにあります。

次のステップ

  • ISO イメージは、USB スティックや Install-on-boot などの無人インストール方法で使用できます。インストール可能なブート ISO には、設定済みのキックスタートファイルが含まれます。Anaconda とキックスタートを使用してコンテナーイメージをデプロイする を参照してください。

    警告

    キックスタートはシステム上の最初のディスクを自動的に再フォーマットするように設定されています。そのため、既存のオペレーティングシステムまたはデータを有するマシンで ISO を起動すると、破壊的な結果を招く可能性があります。

  • イメージを更新し、変更をレジストリーにプッシュできます。RHEL ブート可能イメージの管理 を参照してください。

4.10. bootc-image-builder を使用したキックスタートファイルを含む ISO イメージのビルド
リンクのコピー

キックスタートファイルを使用すると、ユーザーの設定、パーティションのカスタマイズ、SSH キーの追加など、インストールプロセスのさまざまな部分を設定できます。ISO ビルドにキックスタートファイルを含めることで、ベースイメージのデプロイメントを除くインストールプロセスの任意の部分を設定できます。bootc コンテナーベースイメージを含む ISO の場合、キックスタートファイルを使用して、ostreecontainer コマンド以外のすべての設定を行うことができます。

たとえば、キックスタートを使用して、部分的なインストールやフルインストールを実行できます。ユーザーの作成を省略することもできます。bootc-image-builder を使用して、インストールプロセスを設定するためのカスタムキックスタートを含む ISO イメージをビルドします。

前提条件

  • ホストマシンに Podman がインストールされている。
  • bootc-image-builder ツールを実行し、コンテナーを --privileged モードで実行して、イメージをビルドするための root アクセスがある。

手順

  1. キックスタートファイルを作成します。次のキックスタートファイルは、ユーザーの作成とパーティションの指示を含む、完全に自動のキックスタートファイル設定の例です。 

    [customizations.installer.kickstart]
contents = """
lang en_GB.UTF-8
keyboard uk
timezone CET

user --name <user> --password <password> --plaintext --groups <groups>
sshkey --username <user> ssh-<type> <public key>
rootpw --lock

zerombr
clearpart --all --initlabel
autopart --type=plain
reboot --eject
"""
    Copy to Clipboard Toggle word wrap
  2. キックスタートコンテンツを注入するために、キックスタート設定を toml 形式で保存します。たとえば、config.toml です。

  3. bootc-image-builder を実行し、ISO ビルドに追加するキックスタートファイル設定を含めます。bootc-image-builder によって、コンテナーイメージをインストールする ostreecontainer コマンドが自動的に追加されます。

    注記

    コンテナーストレージマウントおよび --local イメージオプションがない場合は、イメージをパブリックにする必要があります。

    1. 以下はパブリック ISO イメージを作成する例です。 

      $ sudo podman run \
    --rm \
    -it \
    --privileged \
    --pull=newer \
    --security-opt label=type:unconfined_t \
    -v /var/lib/containers/storage:/var/lib/containers/storage \
    -v $(pwd)/config.toml:/config.toml \
    -v $(pwd)/output:/output \
    registry.redhat.io/rhel9/bootc-image-builder:latest \
    --type iso \
    --config /config.toml \
  quay.io/<namespace>/<image>:<tag>
      Copy to Clipboard Toggle word wrap

    2. 以下はプライベート ISO イメージを作成する例です。 

      $ sudo podman run \
    --rm \
    -it \
    --privileged \
    --pull=newer \
    --security-opt label=type:unconfined_t \
    -v $(pwd)/config.toml:/config.toml:ro \
    -v $(pwd)/output:/output \
    -v /var/lib/containers/storage:/var/lib/containers/storage \
    registry.redhat.io/rhel9/bootc-image-builder:latest \
    --local
    --type iso \
  quay.io/<namespace>/<image>:<tag>
      Copy to Clipboard Toggle word wrap

      .iso イメージは出力フォルダーにあります。

4.11. 検証とトラブルシューティング
リンクのコピー

AWS イメージの要件の設定に問題がある場合は、次のドキュメントを参照してください。
ユーザー、グループ、SSH キー、シークレットの詳細は、以下を参照してください。

以下の方法を使用して高度なパーティションをカスタマイズし、RHEL システムをコンテナーイメージとして構築およびデプロイする際にディスクおよびファイルシステムのレイアウトを細かく制御できます。

  • ディスクのカスタマイズ
  • ファイルシステムのカスタマイズ

ただし、この 2 つのカスタマイズは互いに互換性がありません。カスタム RHEL システムイメージの仕様および設定を定義する TOML 形式のテキストファイルである同じブループリントで両方のカスタマイズを使用することはできません。

5.1. パーティションについて
リンクのコピー

パーティションに関する一般的な原則を以下に示します。

  • ディスクイメージ全体のサイズは、ヘッダーとメタデータの要件により、常にパーティションの合計サイズよりも大きくなります。したがって、特定のファイルシステム、パーティション、論理ボリューム、イメージ自体などを問わず、サイズはすべて最小要件として扱われます。
  • パーティションが自動的に追加されると、ルートファイルシステムを含むパーティションが、常にパーティションテーブルレイアウトの最後に配置されます。これは、プレーン形式でフォーマットされたパーティション、LVM ボリュームグループ、または Btrfs パーティションで有効です。ディスクのカスタマイズでは、ユーザーが定義した順序が適用されます。
  • raw パーティションを設定する場合、つまり LVM を使用しない場合、ルートファイルシステムを含むパーティションが、パーティションテーブル上の残りの領域を埋めるために拡張されます。論理ボリュームがボリュームグループ内の領域を埋めるために拡張されることはありません。論理ボリュームはライブシステム上で簡単に拡張できるためです。一部のディレクトリーには、オーバーライドできないハードコードされた最小サイズがあります。/ の場合は 1 GiB、/usr の場合は 2 GiB です。そのため、/usr が別のパーティションにない場合、ルートファイルシステムのサイズは少なくとも 3 GiB になります。

5.2. RHEL イメージモードでのディスクのカスタマイズの利点
リンクのコピー

ディスクのカスタマイズにより、イメージのパーティションレイアウト全体を制御するより強力なインターフェイスが提供されます。

許可されているマウントポイント

bootc-image-builder を使用する場合、カスタマイズできるのは次のディレクトリーだけです。

  • / (ルート) ディレクトリー。
  • /var の下のカスタムディレクトリー (/var 自体ではありません)。
許可されていないマウントポイント

/var の下にある次のマウントポイントはカスタマイズできません。

  • /var/home
  • /var/lock
  • /var/mail
  • /var/mnt
  • /var/roothome
  • /var/run
  • /var/srv
  • /var/usrlocal

5.3. ブループリントのディスクのカスタマイズ
リンクのコピー

ディスクのカスタマイズを使用すると、ブループリントでパーティションテーブルをほぼ完全に定義できます。カスタマイズの構造は次のとおりです。

  • パーティション: 最上位レベルはパーティションのリストです。

    • type: 各パーティションにはタイプがあります。タイプは plain または lvm のいずれかです。タイプが設定されていない場合は、デフォルトで plain になります。パーティションのその他の必須および任意のプロパティーは、タイプによって異なります。

      • plain: プレーンパーティションは、ファイルシステムを持つパーティションです。次のプロパティーがサポートされています。

        • fs_type: ファイルシステムのタイプ。xfsext4vfat、または swap のいずれかです。swap に設定すると、スワップパーティションが作成されます。スワップパーティションの場合、マウントポイントが空である必要があります。
        • minsize: パーティションの最小サイズ。整数 (バイト単位) またはデータ単位付きの文字列 (例: 3 GiB) で指定します。特定のマウントポイントでは、イメージ内のパーティションの最終的なサイズがより大きくなる場合があります。パーティションについて セクションを参照してください。
        • mountpoint: ファイルシステムのマウントポイント。スワップパーティションの場合、これは空である必要があります。
        • label: ファイルシステムのラベル (任意)。

      • lvm: lvm パーティションは、LVM ボリュームグループを持つパーティションです。単一の永続ボリュームグループのみがサポートされています。次のプロパティーがサポートされています。

        • name: ボリュームグループの名前(任意。設定されていない場合、システムは自動的に名前を生成します)。
        • minsize: ボリュームグループの最小サイズ。整数 (バイト単位) またはデータ単位付きの文字列 (例: 3 GiB) で指定します。この値が、イメージに含まれる論理ボリュームの合計よりも小さい場合、イメージ内のパーティションとボリュームグループの最終的なサイズがより大きくなる場合があります。

        • logical_volumes: ボリュームグループの 1 つ以上の論理ボリューム。各ボリュームグループは次のプロパティーをサポートしています。

          • name: 論理ボリュームの名前 (任意。設定されていない場合は、マウントポイントに基づいて名前が自動的に生成されます)。
          • minsize: 論理ボリュームの最小サイズ。整数 (バイト単位) またはデータ単位付きの文字列 (例: 3 GiB) で指定します。特定のマウントポイントでは、イメージ内の論理ボリュームの最終的なサイズがより大きくなる場合があります。
          • label: ファイルシステムのラベル (任意)。
          • fs_type: ファイルシステムのタイプ。xfsext4vfat、または swap のいずれかです。swap に設定すると、スワップ論理ボリュームが作成されます。スワップ論理ボリュームの場合、マウントポイントが空である必要があります。
          • マウントポイント: 論理ボリュームのファイルシステムのマウントポイント。スワップ論理ボリュームの場合、これは空である必要があります。
  • 順序:

パーティションテーブルの作成時に、リスト内の各要素の順序が適用されます。パーティションは、そのタイプに関係なく、定義された順序で作成されます。

  • 不完全なパーティションテーブル:

不完全なパーティションの記述も有効です。パーティション (LVM 論理ボリューム) が自動的に追加され、有効なパーティションテーブルが作成されます。以下のルールが適用されます。

  • ルートファイルシステムが定義されていない場合は追加されます。これは、マウントポイント / で識別されます。LVM ボリュームグループが定義されている場合、ルートファイルシステムは論理ボリュームとして作成されます。定義されていない場合、ルートファイルシステムはファイルシステムを持つプレーンパーティションとして作成されます。プレーンおよび LVM の場合、ファイルシステムのタイプは、ディストリビューションによって異なります (RHEL および CentOS の場合は xfs、Fedora の場合は ext4)。ルートパーティションのサイズと順序については、パーティションについて セクションを参照してください。
  • ブートパーティションが定義されていない場合は必要に応じて作成されます。これはマウントポイント /boot によって識別されます。ルートパーティション (マウントポイント /) が LVM 論理ボリューム上にある場合は、ブートパーティションが必要です。これは、ESP の後に続く最初のパーティションとして作成されます (次の項目を参照)。
  • EFI システムパーティション (ESP) が必要に応じて作成されます。これは、マウントポイント /boot/efi で識別されます。イメージが UEFI で起動するように設定されている場合は、ESP が必要です。これはイメージ定義によって定義され、イメージの種類、ディストリビューション、およびアーキテクチャーによって異なります。ファイルシステムのタイプは常に vfat です。デフォルトでは、ESP は 200 MiB で、BIOS ブート後の最初のパーティションになります (次の項目を参照)。
  • イメージが BIOS で起動するように設定されている場合、パーティションテーブルの先頭に 1 MiB の未フォーマットの BIOS ブートパーティションが作成されます。これはイメージ定義によって定義され、イメージの種類、ディストリビューション、およびアーキテクチャーによって異なります。ハイブリッドブート用に設定されたイメージの場合、BIOS ブートパーティションと ESP の両方が作成されます。
  • パーティションタイプの組み合わせ:

複数のパーティションを定義できます。次のパーティションタイプの組み合わせが有効です。

  • plain および lvm: プレーンパーティションは、LVM ボリュームグループと一緒に作成できます。ただし、定義できる LVM ボリュームグループは 1 つだけです。
  • 例: 2 つのパーティションを定義するためのブループリント

次のブループリントは 2 つのパーティションを定義します。1 つ目は、/data にマウントされる ext4 ファイルシステムを持つ 50 GiB パーティションです。2 つ目は、ルート / 用、ホームディレクトリー /home 用、swap 領域用の 3 つの論理ボリュームを持つ LVM ボリュームグループです。LVM ボリュームグループには 15 GiB の未割り当て領域があります。 

[[customizations.disk.partitions]]
type = "plain"
label = "data"
mountpoint = "/data"
fs_type = "ext4"
minsize = "50 GiB"

[[customizations.disk.partitions]]
type = "lvm"
name = "mainvg"
minsize = "20 GiB"

[[customizations.disk.partitions.logical_volumes]]
name = "rootlv"
mountpoint = "/"
label = "root"
fs_type = "ext4"
minsize = "2 GiB"

[[customizations.disk.partitions.logical_volumes]]
name = "homelv"
mountpoint = "/var/home"
label = "home"
fs_type = "ext4"
minsize = "2 GiB"

[[customizations.disk.partitions.logical_volumes]]
name = "swaplv"
fs_type = "swap"
minsize = "1 GiB"
Copy to Clipboard Toggle word wrap

5.4. RHEL イメージモードでのファイルシステムのカスタマイズの利点
リンクのコピー

ファイルシステムのカスタマイズオプションは、Image Builder でビルドしたイメージの最終的なパーティションテーブルを指定するものです。このカスタマイズオプションは、次の要素の組み合わせによって決定されます。

  • 特定のイメージタイプの基本パーティションテーブル。

  • 関連するブループリントのカスタマイズ:

    • パーティションモード。
    • ファイルシステムのカスタマイズ。

  • ビルド要求のイメージサイズパラメーター:

    • コマンドラインでは、これは composer-cli compose start コマンドの --size オプションです。

以下では、これらの要素がパーティションテーブルの最終的なレイアウトにどのように影響するかについて説明します。

  • パーティションテーブルの変更

次の点を考慮してパーティションテーブルを変更できます。

  • パーティションモード

パーティションモードは、イメージタイプのデフォルトレイアウトからパーティションテーブルをどのように変更するかを制御するものです。

  • raw パーティションタイプは、どのパーティションも LVM に変換しません。
  • lvm パーティションタイプは、常に / ルートマウントポイントを含むパーティションを LVM ボリュームグループに変換し、ルート論理ボリュームを作成します。/boot を除き、追加のマウントポイントは新しい論理ボリュームとしてボリュームグループに追加されます。

  • auto-lvm モードはデフォルトのモードです。ファイルシステムのカスタマイズで新しいマウントポイントが定義されている場合にのみ、raw パーティションテーブルを LVM ベースのものに変換します。詳細は、マウントポイント の項目を参照してください。

    • マウントポイント

ブループリントのファイルシステムのカスタマイズを使用して、新しいファイルシステムと最小パーティションサイズを定義できます。デフォルトでは、新しいマウントポイントが作成されると、パーティションテーブルが自動的に LVM に変換されます。詳細は、パーティションモード の項目を参照してください。

  • イメージサイズ: パーティションテーブルの最小サイズは、ディスクイメージのサイズです。イメージの最終的なサイズは、サイズパラメーターの値か、すべてのパーティションとそれに関連付けられたメタデータの合計のうち、どちらか大きいほうによって決まります。

5.5. ファイルシステムカスタマイズでの特定のサイズでのイメージの作成
リンクのコピー

RHEL イメージモードで特定のサイズでイメージを作成する場合(特に bootc および bootc-image-builder を使用する場合)、イメージビルドプロセスに必要なディスクサイズを定義します。オーバーヘッドにより正確なサイズが困難な場合がありますが、最小要件を指定することができます。

前提条件

  • ビルド要求で正確な [Image size] を指定する必要があります。
  • 合計サイズよりもサイズが合計より小さいカスタマイズとしてマウントポイントを指定する必要があります。これは、パーティションテーブル、パーティション、およびその他のエンティティーにメタデータとヘッダー用に追加のスペースが必要なことが多いためです。したがって、すべてのマウントポイントに適合する領域は常に、パーティションサイズの合計よりも大きくなります。ただし、余分なスペースの正確なサイズは、イメージの種類などの多くの要因によって異なります。

手順

TOML ファイルで特定サイズのディスクイメージを作成する手順の概要は次のとおりです。

  1. config.toml ファイルの [disk] セクション内で image_size パラメーターを定義します。 

    [disk]
image_size = 10737418240 # Example: 10GB in bytes
    Copy to Clipboard Toggle word wrap

マウントポイントの必要な最小サイズを指定してマウントポイントを追加します。/usr マウントポイントが存在しない場合は、サイズの合計がイメージサイズよりも小さくし、存在しない場合は 1.01 GiB 以上が 1.01 GiB であることを確認してください。0.01 MiB の余裕があれば、ヘッダーとメタデータ用に予約される可能性がある追加の領域にも十分に対応できます。/ マウントポイントのサイズは指定しないでください。

これにより、必要なサイズのパーティションテーブルを持つディスクが作成され、必要なマウントポイントに合わせて各パーティションのサイズが設定されます。ルートパーティション (ルート LVM 論理ボリューム) は少なくとも 3 GiB になります (/usr が指定されている場合は 1 GiB)。詳細は、パーティションについて を参照してください。

  • パーティションテーブルに LVM ボリュームグループ (VG) がない場合、残りの領域を埋めるためにルートパーティションが拡張されます。
  • パーティションテーブルに LVM ボリュームグループ (VG) が含まれている場合、その VG には、任意の論理ボリュームを拡張するために使用できる未割り当てのエクステントが存在します。

bootc-image-builder のブループリントをカスタマイズして、osbuild-composer の高度なパーティション分割を実装できます。考えられるカスタムマウントポイントは次のとおりです。

  • LVM ベースのイメージは、/boot および /boot/efi を除くすべてのパーティションの下に作成できます。
  • LV ベースのスワップを作成できます。
  • VG および LV のカスタム名を指定できます。

bootc-image-builder が読み取るベースイメージにパーティショニング設定を追加してパーティショニングレイアウトを作成し、コンテナー自体がパーティションテーブルの 信頼できるソース となります。パーティションおよび論理ボリュームのマウントポイントは、ディスクの構築に使用する基本コンテナーイメージに作成する必要があります。これは、/app マウントポイントなどのトップレベルのマウントポイントで特に重要です。bootc-image-builder は、起動不可能なイメージを作成しないように、ビルド前に bootc コンテナーに対して設定を検証します。

前提条件

  • ホストマシンに Podman がインストールされている。
  • bootc-image-builder ツールを実行し、コンテナーを --privileged モードで実行して、イメージをビルドするための root アクセスがある。
  • QEMU がインストールされている。

手順

  1. 以下の内容で config.tom ファイルを作成します。

    1. ユーザーをイメージに追加します。 

      [[customizations.user]]
name = "user1"
password = "user2"
key = "ssh-rsa AAA ... user@email.com"
groups = ["wheel"]

# Set a size for the root partition:

[[customizations.partitioning.plain.filesystems]]
mountpoint = "/"
type = "ext4"
minsize = "3 GiB"

# Add an extra data partition
[[customizations.partitioning.plain.filesystems]]
mountpoint = "/var/data"
type = "xfs"
minsize = "2 GiB"
label = "data"


# Add an app partition with a top-level mountpoint.
# Requires derived container.
[[customizations.partitioning.plain.filesystems]]
mountpoint = "/app"
type = "xfs"
minsize = "1 GiB"
label = "app"

# Add the LVM configuration:
# Define the LVM Volume Group name and size
[[customizations.partitioning.lvm.volume_groups]]
name = "rhelvg"
minsize = 10737418240  # 10 GiB


# Add a data Logical Volume to the group
[[customizations.partitioning.lvm.volume_groups.logical_volumes]]
name = "datalv"
mountpoint = "/var/data"
label = "data"
minsize = "1 GiB"
type = "xfs"


# The root Logical Volume is created automatically if not defined, but setting
# it lets us set the name, label, and size explicitly
[[customizations.partitioning.lvm.volume_groups.logical_volumes]]
name = "rootlv"
mountpoint = "/"
label = "system"
minsize = "2 GiB"
type = "ext4"


# Add an app Logical Volume with a top-level mountpoint.
# Requires derived container.
[[customizations.partitioning.lvm.volume_groups.logical_volumes]]
mountpoint = "/app"
type = "xfs"
minsize = "1 GiB"
label = "app"
name = "applv"
      Copy to Clipboard Toggle word wrap

  2. bootc-image-builder を実行します。必要に応じて、ユーザーアクセス設定を使用する場合は、config.toml を引数として渡します。以下は、パブリック QCOW2 イメージを作成する例です。 

    sudo podman run \
    --rm \
    -it \
    --privileged \
    --pull=newer \
    --security-opt label=type:unconfined_t \
    -v ./config.toml:/config.toml:ro \
    -v ./output:/output \
     registry.redhat.io/rhel9/bootc-image-builder:latest \
    --type qcow2 \
    --config /config.toml \
  quay.io/<namespace>/<image>:<tag>
    Copy to Clipboard Toggle word wrap

.qcow2 イメージは出力フォルダーにあります。

検証

  1. 作成された QCOW2 ファイルを仮想マシンで実行します。 

    qemu-system-x86_64 \
     -enable-kvm \
     -cpu host \
     -m 8G \
     -bios /usr/share/edk2/ovmf/OVMF_CODE.fd \
     -snapshot \
     -drive file="${path}/output/qcow2/disk.qcow2"
    Copy to Clipboard Toggle word wrap

  2. SSH で起動した仮想マシンのシステムにアクセスします。 

    # ssh -i /<path_to_private_ssh-key> <user1>@<ip-address>
    Copy to Clipboard Toggle word wrap

次のステップ

5.7. 高度なパーティションを使用したイメージモード RHEL のディスクイメージのビルド
リンクのコピー

bootc-image-builder を使用して、高度なパーティションを使用したイメージモードのディスクイメージを作成します。カスタムマウントポイントを使用してイメージモード RHEL から作成するイメージモードのディスクイメージには、カスタムマウントオプション、LVM ベースのパーティション、および LVM ベースの SWAP が含まれます。これにより、たとえば、config.toml ファイルを使用して / および /boot ディレクトリーのサイズを変更できます。ベアメタルマシンに RHEL Image Mode をインストールすると、Anaconda で利用可能なすべてのパーティション機能を活用できます。

前提条件

  • ホストマシンに Podman がインストールされている。
  • ホストマシンに virt-install がインストールされている。
  • bootc-image-builder ツールを実行し、コンテナーを --privileged モードで実行して、イメージをビルドするための root アクセスがある。

手順

  1. config.toml を作成してカスタムマウントオプションを設定します。次に例を示します。 

    name = "lvm"
description = "A base system with custom LVM partitioning"

[customizations.disk]

[[customizations.disk.partitions]]
mountpoint = "/var/data"
minsize = "1 GiB"
label = "data"
fs_type = "ext4"

[[customizations.disk.partitions]]
mountpoint = "/"
minsize = "2 GiB"
label = "root"
fs_type = "ext4"
    Copy to Clipboard Toggle word wrap

  2. config.toml を引数として渡して、bootc-image-builder を実行します。

    注記

    コンテナーストレージマウントおよび --local イメージオプションがない場合は、イメージをパブリックにする必要があります。 

    $ sudo podman run \
    --rm \
    -it \
    --privileged \
    --pull=newer \
    --security-opt label=type:unconfined_t \
    -v ./config.toml:/config.toml \
    -v ./output:/output \
    registry.redhat.io/rhel9/bootc-image-builder:latest \
    --type <image_type>\
    --config config.toml \
  quay.io/<namespace>/<image>:<tag>
    Copy to Clipboard Toggle word wrap

    カスタマイズした高度なパーティションを使用したイメージが、出力フォルダーに保存されます。

第6章 ローカルソースを使用したコンテナー実行に関するベストプラクティス
リンクのコピー

RHEL bootc イメージを実行する場合、カスタムの Transport Layer Security (TLS) ルート証明書を必要とする内部レジストリーでホストされているコンテンツにアクセスできます。

ローカルリソースのみを使用してコンテナーにコンテンツをインストールするには、次のいずれかの方法を使用できます。

  • バインドマウント: コンテナーのストアをホストのストアでオーバーライドします。
  • 派生イメージ: Containerfile を使用して、カスタム証明書を含む新しいコンテナーイメージをビルドして作成します。

必要に応じて、同じ手法を使用して bootc-image-builder` コンテナーまたは bootc コンテナーを実行することもできます。

6.1. バインドマウントを使用してコンテナーにカスタム証明書をインポートする
リンクのコピー

バインドされたマウントを使用して、コンテナーのストアをホストのストアでオーバーライドします。

手順

  • RHEL bootc イメージを実行し、バインドマウント (例: -v /etc/pki:/etc/pki) を使用して、コンテナーのストアをホストのストアでオーバーライドします。 

    # podman run \
  --rm \
  -it \
  --privileged \
  --pull=newer \
  --security-opt label=type:unconfined_t \
  -v $(pwd)/output:/output \
  -v /etc/pki:/etc/pki \
  localhost/<image> \
  --type iso \
  --config /config.toml \
  quay.io/<namespace>/<image>:<tag>
    Copy to Clipboard Toggle word wrap

検証

  • ディスクイメージのビルドプロセスで内部証明書にアクセスできるようになります。

6.2. Containerfile を使用してコンテナーにカスタム証明書をインポートする
リンクのコピー

Containerfile を使用して、カスタム証明書を含む新しいコンテナーイメージをビルドして作成します。

手順

  1. Containerfile を作成します。 

    FROM <internal_repository>/<image>
RUN  mkdir -p /etc/pki/ca-trust/extracted/pem/
COPY tls-ca-bundle.pem /etc/pki/ca-trust/extracted/pem/
RUN  rm -rf /etc/yum.repos.d/*
COPY echo-rhel9_4.repo /etc/yum.repos.d/
    Copy to Clipboard Toggle word wrap

  2. カスタムイメージをビルドします。 

    # podman build -t <your_image> .
    Copy to Clipboard Toggle word wrap

  3. <your_image> を実行します。 

    # podman run -it --rm <your_image>
    Copy to Clipboard Toggle word wrap

検証

  • コンテナー内の証明書をリスト表示します。 

    # ls -l /etc/pki/ca-trust/extracted/pem/
tls-ca-bundle.pem
    Copy to Clipboard Toggle word wrap

第7章 RHEL bootc イメージのデプロイ
リンクのコピー

ターゲット環境、インストール方法、自動化の要件に応じて、さまざまな方法で RHEL bootc イメージをデプロイできます。

7.1. RHEL bootc イメージのデプロイに使用できる方法
リンクのコピー

* Anaconda * bootc-image-builder * bootc installのメカニズムを使用して、rhel-bootc コンテナーイメージをデプロイできます。

使用可能な bootc イメージタイプは次のとおりです。

  • 次のような bootc-image-builder を使用して生成したディスクイメージ:

    • QCOW2 (QEMU copy-on-write、仮想ディスク)
    • Raw (Mac 形式)
    • AMI (Amazon Cloud)
    • ISO: USB スティックまたは Install-on-boot を使用した無人インストール方法

デプロイ可能なレイヤーイメージを作成した後に、そのイメージをホストにインストールする方法はいくつかあります。

  • 次のメカニズムを使用することで、RHEL インストーラーとキックスタートを使用してレイヤーイメージをベアメタルシステムにインストールできます。

    • USB を使用したデプロイ
    • PXE
  • bootc-image-builder を使用してコンテナーイメージを bootc イメージに変換し、ベアメタルまたはクラウド環境にデプロイすることもできます。

インストール方法は 1 回だけ実行されます。イメージをデプロイすると、その後の更新は、更新の公開時にコンテナーレジストリーから直接適用されます。

図7.1 基本ビルドインストーラー bootc install を使用して bootc イメージをデプロイするか、Anaconda とキックスタートを使用してコンテナーイメージをデプロイする

639 RHEL Bootable Container Bifrost 0524 3
View larger image
639 RHEL Bootable Container Bifrost 0524 3

図7.2 bootc-image-builder を使用して bootc イメージからディスクイメージを作成し、Anaconda、bootc-image-builder、または bootc install を使用してエッジ、サーバー、クラウドなどのさまざまな環境にディスクイメージをデプロイする

639 RHEL Bootable Container Bifrost 0524 4
View larger image
639 RHEL Bootable Container Bifrost 0524 4

7.2. QCOW2 ディスクイメージを使用した KVM でのコンテナーイメージのデプロイ
リンクのコピー

bootc-image-builder ツールを使用して RHEL bootc イメージから QCOW2 イメージを作成したら、仮想化ソフトウェアを使用してそのイメージを起動できます。

前提条件

手順

  • libvirt を使用して、コンテナーイメージから以前に作成したディスクイメージで仮想マシン (VM) を作成します。詳細は、コマンドラインを使用した仮想マシンの作成 を参照してください。

    • 次の例では、virt-install を使用して仮想マシンを作成します。<qcow2/disk.qcow2> は、QCOW2 ファイルへのパスに置き換えます。 

      $ sudo virt-install \
  --name bootc \
  --memory 4096 \
  --vcpus 2 \
  --disk <qcow2/disk.qcow2> \
  --import
      Copy to Clipboard Toggle word wrap

検証

次のステップ

7.3. AMI ディスクイメージで AWS を使用したコンテナーイメージのデプロイ
リンクのコピー

bootc-image-builder ツールを使用して bootc イメージから AMI を作成し、それを AWS s3 バケットにアップロードしたら、AMI ディスクイメージを使用してコンテナーイメージを AWS にデプロイできます。

前提条件

手順

  1. ブラウザーで Service→EC2 にアクセスし、ログインします。
  2. AWS コンソールのダッシュボードメニューで、正しいリージョンを選択します。イメージが正常にアップロードされたことを示すには、イメージが Available ステータスになっている必要があります。
  3. AWS ダッシュボードでイメージを選択し、Launch をクリックします。
  4. 新しく開いたウィンドウで、イメージを起動するために必要なリソースに応じて、インスタンスタイプを選択します。Review and Launch をクリックします。
  5. インスタンスの詳細を確認します。変更が必要な場合は、各セクションを編集できます。Launch をクリックします。
  6. インスタンスを起動する前に、インスタンスにアクセスするための公開鍵を選択します。既存のキーペアを使用するか、キーペアーを新規作成します。

  7. インスタンスを起動するには、Launch Instance をクリックします。Initializing と表示されるインスタンスのステータスを確認できます。

    インスタンスのステータスが Running になると、Connect ボタンが有効になります。

  8. Connect をクリックします。ウィンドウが表示され、SSH を使用して接続する方法の説明が表示されます。

  9. 次のコマンドを実行して、自分だけが読み取れるように秘密鍵ファイルのパーミッションを設定します。Connect to your Linux instance を参照してください。 

    $ chmod 400 <your-instance-name.pem>
    Copy to Clipboard Toggle word wrap

  10. パブリック DNS を使用してインスタンスに接続します。 

    $ ssh -i <your-instance-name.pem>ec2-user@<your-instance-IP-address>
    Copy to Clipboard Toggle word wrap
注記

インスタンスは停止しない限り実行され続けます。

検証

イメージを起動した後、次の操作を実行できます。

  • ブラウザーで http://<your_instance_ip_address> への接続を試行します。
  • SSH でインスタンスに接続している間にアクションが実行できるかどうかを確認します。

次のステップ

  • イメージをデプロイした後、イメージを更新し、変更をレジストリーにプッシュできます。RHEL bootc イメージの管理 を参照してください。

7.4. Anaconda とキックスタートを使用したネットワークからのコンテナーイメージのデプロイ
リンクのコピー

コンテナーイメージをインストールするために、Anaconda とキックスタートを使用して ISO イメージをデプロイできます。インストール可能なブート ISO には、設定済みの ostreecontainer キックスタートファイルがすでに含まれています。このファイルは、カスタムコンテナーイメージのプロビジョニングに使用できます。

前提条件

手順

  1. ネットワークからイメージを取得するための ostreecontainer キックスタートファイルを作成します。以下に例を示します。 

    # Basic setup
text
network --bootproto=dhcp --device=link --activate
# Basic partitioning
clearpart --all --initlabel --disklabel=gpt
reqpart --add-boot
part / --grow --fstype xfs

# Reference the container image to install - The kickstart
# has no %packages section. A container image is being installed.
ostreecontainer --url quay.io/<namespace>/<image>:<tag> . bootc-image-builder:latest

firewall --disabled
services --enabled=sshd

# Only inject a SSH key for root
rootpw --iscrypted locked
sshkey --username root "<your-key>"
reboot
    Copy to Clipboard Toggle word wrap

  2. 9.4 Boot ISO インストールメディアを使用してシステムを起動します。

    1. カーネル引数に、次の内容のキックスタートファイルを追加します。 

      inst.ks=http://<path_to_your_kickstart>
      Copy to Clipboard Toggle word wrap
  3. CTRL+X を押してシステムを起動します。

次のステップ

  • コンテナーイメージをデプロイした後、イメージを更新し、変更をレジストリーにプッシュできます。RHEL bootc イメージの管理 を参照してください。

7.5. 非接続環境でのカスタム ISO コンテナーイメージのデプロイ
リンクのコピー

bootc-image-builder を使用して bootc イメージを ISO イメージに変換すると、コンテナーイメージの内容が ISO ディスクイメージに埋め込まれる点を除き、ダウンロード可能な RHEL ISO に似たシステムが作成されます。インストール中にネットワークにアクセスする必要はありません。bootc-image-builder から作成した ISO ディスクイメージは、ベアメタルシステムにインストールできます。

前提条件

  • bootc イメージが埋め込まれた ISO イメージを作成した。

手順

  1. ISO ディスクイメージを USB フラッシュドライブにコピーします。
  2. USB スティック内のコンテンツを使用して、非接続環境でベアメタルインストールを実行します。

次のステップ

  • このコンテナーイメージの更新されたバージョンをレジストリーにプッシュして、OS の更新を稼働中のシステムに配信できます。RHEL bootc イメージの管理 を参照してください。

7.6. PXE ブートでの ISO bootc イメージのデプロイ
リンクのコピー

ISO ブートイメージを実行するには、ネットワークインストールを使用して、PXE を介して RHEL ISO イメージをデプロイできます。前提条件

手順

  1. RHEL インストール ISO イメージを、HTTP サーバーにエクスポートします。これにより、PXE ブートサーバーでは、PXE クライアントにサービスを提供する準備が整いました。
  2. クライアントを起動して、インストールを開始します。
  3. ブートソースを指定するよう求められたら、PXE ブートを選択します。ブートオプションが表示されない場合は、キーボードの Enter キーを押すか、起動画面が開くまで待ちます。
  4. Red Hat Enterprise Linux の起動画面で、必要なブートオプションを選択し、Enter キーを押します。
  5. ネットワークインストールを開始します。

次のステップ

7.7. bootc-image-builder を使用して作成するディスクイメージへの設定の注入
リンクのコピー

build config、つまり作成するイメージのカスタマイズを含む .toml または .json ファイルを使用すると、カスタムイメージに設定を注入できます。`build config ファイルは、コンテナーディレクトリーの /config.toml にマップされます。次の例は、作成するディスクイメージにユーザーを追加する方法を示しています。

手順

  1. ./config.toml を作成します。次の例は、ディスクイメージにユーザーを追加する方法を示しています。 

    [[customizations.user]]
name = "user"
password = "pass"
key = "ssh-rsa AAA ... user@email.com"
groups = ["wheel"]
    Copy to Clipboard Toggle word wrap
    • name - 必須。ユーザーの名前です。
    • password - 必須ではありません。暗号化されていないパスワードです。
    • key - 必須ではありません。SSH 公開鍵の内容です。
    • groups - 必須ではありません。ユーザーの追加先グループの配列です。

  2. bootc-image-builder を実行します。./config.toml を含む次の引数を渡します。 

    $ sudo podman run \
    --rm \
    -it \
    --privileged \
    --pull=newer \
    --security-opt label=type:unconfined_t \
    -v $(pwd)/config.toml:/config.toml \
    -v $(pwd)/output:/output \
    registry.redhat.io/rhel9/bootc-image-builder:latest \
    --type qcow2 \
    --config config.toml \
    quay.io/<namespace>/<image>:<tag>
    Copy to Clipboard Toggle word wrap

  3. たとえば、virt-install を使用して仮想マシンを起動します。 

    $ sudo virt-install \
  --name bootc \
  --memory 4096 \
  --vcpus 2 \
  --disk qcow2/disk.qcow2 \
  --import \
  --os-variant rhel9
    Copy to Clipboard Toggle word wrap

検証

  • SSH でシステムにアクセスします。 

    # ssh -i /<path_to_private_ssh-key> <user1>_@_<ip-address>
    Copy to Clipboard Toggle word wrap

次のステップ

7.8. bootc install を使用したベアメタルへのコンテナーイメージのデプロイ
リンクのコピー

RHEL ISO イメージを使用して、デバイスへのベアメタルインストールを実行できます。bootc には基本的なビルドインストーラーが含まれています。このインストーラーは、bootc install to-disk または bootc install to-filesystem で使用できます。

  • bootc install to-disk: この方法を使用すると、コンテナーイメージをデプロイするために追加の手順を実行する必要がなくなります。コンテナーイメージに基本的なインストーラーが含まれているためです。
  • bootc install to-filesystem: この方法を使用すると、LVM などの任意のツールを使用して、ターゲットデバイスとルートファイルシステムを設定できます。

前提条件

  • ご使用のアーキテクチャー用の RHEL 10 ブート ISO を Red Hat からダウンロードした。RHEL ブートイメージのダウンロード を参照してください。
  • 設定ファイルが作成されている。

手順

  • 実行中の ISO イメージに設定を注入します。

    • bootc install to-disk を使用する場合: 

      $ podman run \
--rm --privileged \
--pid=host
-v /dev:/dev \
-v /var/lib/containers:/var/lib/containers \
--security-opt label=type:unconfined_t
<image>
bootc install to-disk <path-to-disk>
      Copy to Clipboard Toggle word wrap

    • bootc install to-filesystem を使用する場合: 

      $ podman run \
--rm --privileged \
--pid=host
-v /:/target \
-v /dev:/dev \
-v /var/lib/containers:/var/lib/containers \
--security-opt label=type:unconfined_t
<image>
bootc install to-filesystem <path-to-disk>
      Copy to Clipboard Toggle word wrap

次のステップ

  • コンテナーイメージをベアメタル環境にデプロイした後、イメージを更新し、変更をレジストリーにプッシュできます。RHEL ブート可能イメージの管理 を参照してください。

7.9. 1 つのコマンドを使用したコンテナーイメージのデプロイ
リンクのコピー

system-reinstall-bootc コマンドは bootc install to-existing root コマンドをラップする対話型 CLI を提供します。単一のコマンドを使用して、コンテナーイメージを RHEL クラウドインスタンスにデプロイできます。system-reinstall-bootc コマンドは次のアクションを実行します。

  • 提供されたイメージをプルして、SSH 鍵をセットアップしたり、システムにアクセスしたりする。
  • すべてのバインドマウントおよび SSH 鍵を設定して、bootc install to-existing-root コマンドを実行する。

次の手順では、AWS 上の新しい RHEL 10 インスタンスに bootc イメージをデプロイします。インスタンスを起動する場合は、必ず SSH 鍵を選択するか、新しい鍵を作成してください。それ以外の場合は、デフォルトのインスタンス設定を使用できます。

前提条件

  • Red Hat アカウントまたは Red Hat RPMS へのアクセス。
  • AWS 環境で実行されるパッケージベースの RHEL (9.6/10.0 以上) 仮想システム。
  • パッケージシステムに SSH で接続し、「破壊的な変更」を行う機能と権限。

手順

  1. インスタンスが起動したら、インスタンスの作成時に選択したキーを使用して SSH でインスタンスに接続します。 

    $ ssh -i <ssh-key-file> <cloud-user@ip>
    Copy to Clipboard Toggle word wrap

  2. system-reinstall-bootc サブパッケージがインストールされていることを確認します。 

    # rpm -q system-reinstall-bootc
    Copy to Clipboard Toggle word wrap

    そうでない場合は、system-reinstall-bootc サブパッケージをインストールします。 

    # dnf -y install system-reinstall-bootc
    Copy to Clipboard Toggle word wrap

  3. bootc イメージを使用するようにシステムを変換します。 

    # system-reinstall-bootc <image>
    Copy to Clipboard Toggle word wrap
    • Red Hat Ecosystem Catalog のコンテナーイメージ、または Containerfile から構築された bootc カスタマイズイメージを使用できます。
  4. "a" キーを押して、bootc イメージにインポートするユーザーを選択します。
  5. 選択内容を 2 回確認し、イメージがダウンロードされるまで待ちます。

  6. システムを再起動します。 

    # reboot
    Copy to Clipboard Toggle word wrap

  7. 指定された <ip> の保存されている SSH ホストキーを /.ssh/known_hosts ファイルから削除します。 

    # ssh-keygen -R <ip>
    Copy to Clipboard Toggle word wrap

    bootc システムは現在、新しい公開 SSH ホストキーを使用しています。ローカルに保存されているキーとは異なるキーを使用して同じ IP アドレスに接続しようとすると、SSH は警告を発するか、ホストキーの不一致により接続を拒否します。この変更は想定されているため、次のコマンドを使用して、既存のホストキーエントリーを ~/.ssh/known_hosts ファイルから安全に削除できます。

  8. bootc システムに接続します。 

    # ssh -i <ssh-key-file> root@<ip>
    Copy to Clipboard Toggle word wrap

検証

  • システム OS が変更されたことを確認します。 

    # bootc status
    Copy to Clipboard Toggle word wrap

7.10. to-filesystem を使用した高度なインストール
リンクのコピー

bootc install コマンドには、bootc install to-diskbootc install to-filesystem という 2 つのサブコマンドが含まれています。

  • bootc-install-to-filesystem は、ターゲットファイルシステムへのインストールを実行します。

  • bootc install to-disk サブコマンドは、独自の低レベルツールのセットで構成されます。これらのツールは独立して呼び出すこともできます。コマンドを構成するツールは次のとおりです。

    • mkfs.$fs /dev/disk
    • mount /dev/disk /mnt
    • bootc install to-filesystem --karg=root=UUID=<uuid of /mnt> --imgref $self /mnt

bootc install to-existing-rootinstall to-filesystem のバリアントです。これを使用して、既存のシステムをターゲットコンテナーイメージに変換できます。

警告

この変換により、/boot および /boot/efi パーティションが削除され、既存の Linux インストールが削除される可能性があります。変換プロセスではファイルシステムが再利用されます。ユーザーデータは保持されますが、システムはパッケージモードで起動しなくなります。

前提条件

  • 手順を完了するには、root 権限が必要です。
  • ホスト環境とターゲットコンテナーのバージョンを一致させる必要があります。たとえば、ホストが RHEL 9 ホストの場合は、RHEL 9 コンテナーが必要です。RHEL カーネルとして btrfs を使用して Fedora ホストに RHEL コンテナーをインストールすると、そのファイルシステムはサポートされません。

手順

  • 既存のシステムをターゲットコンテナーイメージに変換するには、次のコマンドを実行します。-v/:/target オプションを使用して、ターゲットの rootfs を渡します。 

    # podman run --rm --privileged -v /dev:/dev -v /var/lib/containers:/var/lib/containers -v /:/target \
            --pid=host --security-opt label=type:unconfined_t \
            <image> \
            bootc install to-existing-root
    Copy to Clipboard Toggle word wrap

    このコマンドにより /boot 内のデータは削除されますが、既存のオペレーティングシステム内にある他のすべてのデータは自動的に削除されません。これにより、新しいイメージが以前のホストシステムからデータを自動的にインポートできるため便利です。したがって、コンテナーイメージ、データベース、ユーザーホームディレクトリーデータ、/etc 内の設定ファイルはすべて、その後の再起動後に /sysroot で使用できるようになります。

    --root-ssh-authorized-keys /target/root/.ssh/authorized_keys を追加することで、--root-ssh-authorized-keys フラグを使用して root ユーザーの SSH キーを継承することもできます。以下に例を示します。 

    # podman run --rm --privileged -v /dev:/dev -v /var/lib/containers:/var/lib/containers -v /:/target \
            --pid=host --security-opt label=type:unconfined_t \
            <image> \
            bootc install to-existing-root --root-ssh-authorized-keys /target/root/.ssh/authorized_keys
    Copy to Clipboard Toggle word wrap

第8章 bootc イメージをゼロから作成する
リンクのコピー

bootc イメージをゼロから作成することで、基盤となるイメージコンテンツを制御し、システム環境を要件に合わせてカスタマイズできます。

bootc-base-imagectl コマンドを使用すると、既存の bootc ベースイメージをビルド環境として使用して bootc イメージをゼロから作成することができ、ビルドプロセスに含まれるコンテンツをより細かく制御できるようになります。このプロセスではユーザー RPM が入力として使用されるので、RPM が変更された場合はイメージを再ビルドする必要があります。

カスタムベースはベースコンテナーから派生していますが、コンテナーパイプラインに組み込まない限り、デフォルトのベースイメージに加えられた変更を自動的には取り込みません。

任意の bootc コンテナーイメージで bootc-base-imagectl rechunk サブコマンドを使用できます。

カーネル管理を実行する場合は、bootc イメージをゼロから作成する必要はありません。bootc システムでのカーネル引数の管理 を参照してください。

8.1. ピン留めされたコンテンツを使用してイメージをビルドする
リンクのコピー

ベースイメージバージョンに、ロックファイルや rpm-md または yum repository などで定義された特定のバージョンのパッケージセットが含まれていることを確認するには、rpm-md または yum repository リポジトリーのスナップショットを管理するいくつかのツールを使用できます。

bootc image from scratch 機能を使用すると、ミラーリング、ピン留め、またはスナップショットされたリポジトリーコンテンツを参照しながら、ソース RPM リポジトリー内のパッケージ情報を設定およびオーバーライドできます。その結果、パッケージのバージョンとその依存関係を制御できるようになります。

たとえば、次のような状況では、パッケージのバージョンとその依存関係を制御する必要が出てくる場合があります。

  • 厳格な認証およびコンプライアンス要件があるため、特定のパッケージバージョンを使用する必要がある。
  • 重要な依存関係をサポートするために、特定のソフトウェアバージョンを使用する必要がある。

前提条件

  • 標準の bootc ベースイメージ。

手順

  • 次の例では、ピン留めされたコンテンツを含む bootc イメージをゼロから作成します。 

    # Begin with a standard bootc base image that serves as a "builder" for our custom image.
FROM registry.redhat.io/rhel10/rhel-bootc:latest
# Configure and override source RPM repositories, if necessary. The following step is required when referencing specific content views or target mirrored/snapshotted/pinned versions of content.
RUN rm -vf /etc/yum.repos.d
COPY mypinnedcontent.repo /etc/yum.repos
# Add additional repositories to apply customizations to the image. However, referencing a custom manifest in this step is not currently supported without forking the code.
# Build the root file system by using the specified repositories and non-RPM content from the "builder" base image.
# If no repositories are defined, the default build will be used. You can modify the scope of packages in the base image by changing the manifest between the "standard" and "minimal" sets.
RUN /usr/libexec/bootc-base-imagectl build-rootfs --manifest=standard /target-rootfs
# Create a new, empty image from scratch.
FROM scratch
# Copy the root file system built in the previous step into this image.
COPY --from=builder /target-rootfs/ /
# Apply customizations to the image. This syntax uses "heredocs" https://www.docker.com/blog/introduction-to-heredocs-in-dockerfiles/ to pass multi-line arguments in a more readable format.
RUN <<EORUN
# Set pipefail to display failures within the heredoc and avoid false-positive successful builds.
set -xeuo pipefail
# Install necessary packages, run scripts, etc.
dnf -y install NetworkManager emacs
# Remove leftover build artifacts from installing packages in the final built image.
dnf clean all
rm /var/{log,cache,lib}/* -rf
EORUN
# Define required labels for this bootc image to be recognized as such.
LABEL containers.bootc 1
LABEL ostree.bootable 1
# Optional labels that only apply when running this image as a container. These keep the default entry point running under systemd.
STOPSIGNAL SIGRTMIN+3
CMD ["/sbin/init"]
# Run the bootc linter to avoid encountering certain bugs and maintain content quality. Place this command last in your Containerfile.
RUN bootc container lint
    Copy to Clipboard Toggle word wrap

検証手順

  1. イメージを保存してビルドします。 

    $ podman build -t quay.io/<namespace>/<image>:<tag> . --cap-add=all --security-opt=label=type:container_runtime_t --device /dev/fuse
    Copy to Clipboard Toggle word wrap

  2. カレントディレクトリーにある Containerfile を使用して <_image_> イメージをビルドします。 

    $ podman build -t quay.io/<namespace>/<image>:<tag> .
    Copy to Clipboard Toggle word wrap

8.2. 最小限からベースイメージをビルドする
リンクのコピー

以前は、Image Mode for RHEL を使用して標準イメージのみをビルドできました。標準イメージはおおむねヘッドレスのサーバー指向のインストールですが、デスクトップでも使用可能です。また、ネットワーク、CLI ツールなど、多くの独自のパッケージが含まれています。

標準イメージから、bootc、カーネル、dnf のみから始まる新しい最小限のイメージを生成するオプションが追加されました。このイメージは、マルチステージビルドでさらに拡張できます。現時点では、最小限のイメージはレジストリーに事前に組み込まれた状態で出荷されていません。

ベースイメージには、カスタムベースイメージを生成できる /usr/libexec/bootc-base-imagectl ツールが含まれています。このツールを使用すると、ベースイメージで選択した RPM パッケージに基づいたルートファイルシステムを構築できます。

前提条件

  • 標準の bootc ベースイメージ。

手順

  • 次の例では、カスタムの最小ベースイメージを作成します。 

    # Begin with a standard bootc base image that is reused as a "builder" for the custom image.
FROM registry.redhat.io/rhel10/rhel-bootc:latest
# Configure and override source RPM repositories, if necessary. This step is not required when building up from minimal unless referencing specific content views or target mirrored/snapshotted/pinned versions of content.
# Add additional repositories to apply customizations to the image. However, referencing a custom manifest in this step is not currently supported without forking the code.
# Build the root file system by using the specified repositories and non-RPM content from the "builder" base image.
# If no repositories are defined, the default build will be used. You can modify the scope of packages in the base image by changing the manifest between the "standard" and "minimal" sets.
RUN dnf repolist && /usr/libexec/bootc-base-imagectl build-rootfs --manifest=minimal /target-rootfs
# Create a new, empty image from scratch.
FROM scratch
# Copy the root file system built in the previous step into this image.
COPY --from=builder /target-rootfs/ /
# Apply customizations to the image. This syntax uses "heredocs" https://www.docker.com/blog/introduction-to-heredocs-in-dockerfiles/ to pass multi-line arguments in a more readable format.
RUN <<EORUN
# Set pipefail to display failures within the heredoc and avoid false-positive successful builds.
set -xeuo pipefail
# Install required packages for our custom bootc image. Note that using a minimal manifest means we need to add critical components specific to our use case and environment.
dnf -y install NetworkManager cowsay
# Remove leftover build artifacts from installing packages from the final built image.
dnf clean all
rm /var/{log,cache,lib}/* -rf
# Close the shell command.
EORUN
# Define required labels for this bootc image to be recognized as such.
LABEL containers.bootc 1
LABEL ostree.bootable 1
# Optional labels that only apply when running this image as a container. These keep the default entry point running under systemd.
STOPSIGNAL SIGRTMIN+3
CMD ["/sbin/init"]
# Run the bootc linter to avoid encountering certain bugs and maintain content quality. Place this command last in your Containerfile.
RUN bootc container lint
    Copy to Clipboard Toggle word wrap

8.3. 必要な権限の構築
リンクのコピー

新しいルートファイルシステムを生成し、既存のコンテナーを変更しない場合は、多くのコンテナービルド環境ではデフォルトで有効になっていないマウント namespace などのコンテナー機能を使用して、ビルドに必要な権限を取得できます。

前提条件

  • container-tools メタパッケージがインストールされている。

手順

  • podman build に少なくとも以下の引数を指定して、新しいルートファイルシステムを生成します。 

    --cap-add=all --security-opt=label=type:container_runtime_t --device /dev/fuse
    Copy to Clipboard Toggle word wrap

8.4. bootc イメージをゼロから生成する
リンクのコピー

カスタム RHEL bootc デフォルトベースコンテナーイメージから bootc イメージをゼロから作成し、小さなルートコンテンツセットを取得します。

前提条件

  • container-tools メタパッケージがインストールされている。

手順

  • Containerfile を作成します。以下に例を示します。 

    # The following example reuses the default base image as a "builder" image. Optionally,  you can use the commented instructions to configure or override the RPM repositories in /etc/yum.repos.d to, for example, refer to pinned versions
FROM registry.redhat.io/rhel10/rhel-bootc:latest
# RUN rm -rf /etc/yum.repos.d/*
# COPY mycustom.repo /etc/yum.repos.d
RUN /usr/libexec/bootc-base-imagectl build-rootfs --manifest=minimal /target-rootfs
# Create a new, empty image from scratch.
FROM scratch
# Copy the root file system built in the previous step into this image.
COPY --from=builder /target-rootfs/ /
# You can make arbitrary changes such as copying the systemd units and other tweaks from the baseconfig container image. This example uses the heredocs syntax, to improve and make it easy to add complex instructions, and install critical components
RUN <<EORUN
set -xeuo pipefail
# Install networking support and SSH which are not in minimal
dnf -y install NetworkManager openssh-server
dnf clean all
rm /var/{log,cache,lib}/* -rf
bootc container lint
EORUN
# This label is required
LABEL containers.bootc 1
LABEL ostree.bootable 1
# These labels are optional but useful if you want to keep the default of running under systemd when run as a container image.
STOPSIGNAL SIGRTMIN+3
CMD ["/sbin/init"]
    Copy to Clipboard Toggle word wrap

次のステップ

  • Containerfile を作成すると、単一の tar ファイルの大きなレイヤーを持つイメージが取得されます。レジストリーへのプッシュ、クライアントへのプルなどのすべての変更により、単一の大きな tar ファイルがコピーされ、コンテナーイメージのサイズが増加します。作成したコンテナーイメージを小さいバージョンに最適化できます。

必要に応じて、RHEL 9.6 システムでは、rpm-ostree を使用して大規模なイメージを取得し、小さいバージョンにサイズを変更できます。

8.5. コンテナーイメージを小さいバージョンに最適化する
リンクのコピー

bootc-base-imagectl rechunk サブコマンドを使用して rpm-ostree と対話し、イメージの再チャンク化を実行できます。

rpm-ostree は大きなイメージを取得し、それを再チャンク化できます。このプロセスにより、インストールされたパッケージの順序付けとグループ化が最終イメージ内の多くのレイヤーに最適化され、転送を必要とせずに複数のレイヤーを再利用できるため、ネットワーク効率が向上します。

スクラッチビルドの出力は、単一の大きなレイヤー (tar) を持つイメージです。カーネルの更新など、入力に対して行うすべての変更により、bootc イメージの内容全体を含む新しいレイヤーが作成されます。この新しいレイヤーは、プッシュされ、レジストリーに保存され、クライアントによってプルされる必要があります。

bootc-base-imagectl は、bootc イメージの一部として同梱されます。ホストコンテナーストレージをコンテナーにマッピングし、その中で bootc-base-imagectl を実行して再チャンク化操作を行うことで、既存のイメージを使用してカスタムベースイメージを再チャンク化できます。

前提条件

  • 以前にビルドされたベースイメージがある。

手順

  • ベースイメージを再チャンク化するには、次のコマンドを実行します。 

    $ sudo podman run --rm --privileged -v /var/lib/containers:/var/lib/containers \
      registry.redhat.io/rhel10/rhel-bootc:latest \
      /usr/libexec/bootc-base-imagectl rechunk \
          quay.io/exampleos/rhel-bootc:single \
          quay.io/exampleos/rhel-bootc:chunked
    Copy to Clipboard Toggle word wrap

第9章 bootc イメージビルド時の FIPS モードの有効化
リンクのコピー

FIPS (Federal Information Processing Standards)には、暗号化操作の標準が含まれています。bootc イメージの構築時に FIPS モードを有効にして、FIPS 承認済みモジュールのみを使用するようにシステムを設定できます。以下のオプションを使用して、FIPS モードを有効にできます。

  • bootc-image-builder ツールの使用:Containerfile で FIPS のシステム全体の暗号化ポリシーを有効にする必要があります。
  • Anaconda インストールを実行する場合:Containerfile で FIPS システム全体の暗号化ポリシーを有効にし、起動時に fips=1 カーネル引数を追加する必要もあります。

FIPS dracut モジュールがベースイメージに組み込まれています。このモジュールのデフォルトは、bootc install-to-filesystemboot=UUID= karg です。

9.1. bootc-image-builder を使用して FIPS モードを有効にする
リンクのコピー

bootc-image-builder または bootc install to-disk を使用してディスクイメージを作成し、イメージビルド時にカスタムの Containerfile を引数として渡すことで FIPS モードを有効にします。

前提条件

  • Podman がホストマシンにインストールされている。
  • virt-install がホストマシンにインストールされている。
  • bootc-image-builder ツールを実行し、コンテナーを --privileged モードで実行して、イメージをビルドするための root アクセスがある。

手順

  1. 01-fips.toml を作成して FIPS の有効化を設定します。次に例を示します。 

    # Enable FIPS
kargs = ["fips=1"]
    Copy to Clipboard Toggle word wrap

  2. 次の手順で Containerfile を作成して、fips=1 カーネル引数を有効にします。 

    FROM registry.redhat.io/rhel9/rhel-bootc:latest
# Enable fips=1 kernel argument: https://bootc-dev.github.io/bootc/building/kernel-arguments.html
COPY 01-fips.toml /usr/lib/bootc/kargs.d/
# Enable the FIPS system-wide cryptographic policy
# crypto-policies-scripts is not installed by default in RHEL-10
RUN dnf install -y crypto-policies-scripts && update-crypto-policies --no-reload --set FIPS
    Copy to Clipboard Toggle word wrap

  3. カレントディレクトリーの Containerfile を使用して、bootc <image> と互換性のあるベースディスクイメージを作成します。 

    $ podman build -t quay.io/<namespace>/<image>:<tag> .
    Copy to Clipboard Toggle word wrap

検証

  • システムにログインした後、FIPS モードが有効になっていることを確認します。 

    $ cat /proc/sys/crypto/fips_enabled
1
$ update-crypto-policies --show
FIPS
    Copy to Clipboard Toggle word wrap

9.2. FIPS モードを有効にして Anaconda インストールを実行する
リンクのコピー

Anaconda インストールの実行時にディスクイメージを作成し、FIPS モードを有効にするには、以下の手順に従います。

前提条件

  • Podman がホストマシンにインストールされている。
  • virt-install がホストマシンにインストールされている。
  • bootc-image-builder ツールを実行し、コンテナーを --privileged モードで実行して、イメージをビルドするための root アクセスがある。

手順

  1. 01-fips.toml を作成して FIPS の有効化を設定します。次に例を示します。 

    # Enable FIPS
kargs = ["fips=1"]
    Copy to Clipboard Toggle word wrap

  2. 次の手順で Containerfile を作成して、fips=1 カーネル引数を有効にします。 

    FROM registry.redhat.io/rhel9/rhel-bootc:latest
# Enable fips=1 kernel argument: https://bootc-dev.github.io/bootc/building/kernel-arguments.html
COPY 01-fips.toml /usr/lib/bootc/kargs.d/
# Install and enable the FIPS system-wide cryptographic policy
RUN dnf install -y crypto-policies-scripts && update-crypto-policies --no-reload --set FIPS
    Copy to Clipboard Toggle word wrap

  3. カレントディレクトリーの Containerfile を使用して、bootc <image> と互換性のあるベースディスクイメージを作成します。 

    $ sudo podman run \
    --rm \
    -it \
    --privileged \
    --pull=newer \
    --security-opt label=type:unconfined_t \
    -v $(pwd)/config.toml:/config.toml:ro \
    -v $(pwd)/output:/output \
    -v /var/lib/containers/storage:/var/lib/containers/storage \
    registry.redhat.io/rhel9/bootc-image-builder:latest \
    --local
    --type iso \
    quay.io/<namespace>/<image>:<tag>
    Copy to Clipboard Toggle word wrap

  4. システムのインストール中に FIPS モードを有効にします。

    1. RHEL Anaconda インストーラーを起動するときに、インストール画面で TAB キーを押して、fips=1 カーネル引数を追加します。

      インストール後に、システムは FIPS モードで自動的に起動します。

検証

  • システムにログインした後、FIPS モードが有効になっていることを確認します。 

    $ cat /proc/sys/crypto/fips_enabled
1
$ update-crypto-policies --show
FIPS
    Copy to Clipboard Toggle word wrap

第10章 ブート可能なイメージのセキュリティー強化とコンプライアンス
リンクのコピー

Image Mode for RHEL は、セキュリティーコンプライアンス機能を提供し、準拠した設定を必要とするワークロードをサポートします。ただし、システムを強化し、コンプライアンスステータスを検証するプロセスは、パッケージモードの場合とは異なります。

Image Mode for RHEL を使用する際の重要な部分は、ブート可能なコンテナーイメージを作成することです。デプロイされたシステムはイメージをミラーリングします。したがって、ビルドされたイメージには、セキュリティーポリシーに必要なすべてのパッケージと設定が含まれている必要があります。

重要

ブート可能なイメージをコンテナーとして実行すると、一部の強化設定は有効になりません。セキュリティープロファイルに従って完全に設定されたシステムを取得するには、コンテナーとして実行するのではなく、ベアメタルまたは仮想マシンでイメージを起動する必要があります。コンテナーデプロイメントの主な違いは次のとおりです。

  • コンテナー内で systemd が実行されていないため、セキュリティープロファイルに必要な systemd サービスはコンテナー上で実行されません。したがって、コンテナーは関連するポリシー要件に準拠できません。
  • その他のサービスは、正しく設定されていても、コンテナー内で実行できません。つまり、oscap は、実行されていない場合でも、正しく設定されていると報告します。
  • コンプライアンスプロファイルによって定義された設定は強制されません。他のパッケージやインストール時のプリスクリプトからの要求によって、コンプライアンス状態が変更される可能性があります。インストールされた製品のコンプライアンスを常に確認し、要件に合わせて Containerfile を変更します。

10.1. 強化されたブート可能なイメージのビルド
リンクのコピー

ブート可能なコンテナーイメージのビルドに使用する Containerfileoscap-im ツールを含めることで、強化されたブート可能なイメージをより簡単にビルドできます。

oscap-im は任意の SCAP コンテンツを使用できますが、scap-security-guide に同梱されている SCAP ソースデータストリームは、ブート可能なコンテナーと互換性があるように特別に調整およびテストされています。

前提条件

  • container-tools メタパッケージがインストールされている。
  • システムが準拠する必要があるベースライン内のプロファイルの ID を知っている必要があります。ID を見つけるには、設定コンプライアンスのプロファイルの表示 セクションを参照してください。

手順

  1. Containerfile を作成します。 

    FROM registry.redhat.io/rhel9/rhel-bootc:latest

# Install OpenSCAP scanner and security content to the image
RUN dnf install -y openscap-utils scap-security-guide && dnf clean all

# Add sudo user 'admin' with password 'admin123'.
# The user can be used with profiles that prevent
# ssh root logins.
RUN useradd -G wheel -p "\$6\$Ga6Zn
IlytrWpuCzO\$q0LqT1USHpahzUafQM9jyHCY9BiE5/ahXLNWUMiVQnFGblu0WWGZ1e6icTaCGO4GNgZNtspp1Let/qpM7FMVB0" admin

# Run scan and hardening
RUN oscap-im --profile <profileID> /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml
    Copy to Clipboard Toggle word wrap

    この Containerfile は次のタスクを実行します。

    • oscap-im ツールを提供する openscap-utils パッケージと、Security Content Automation Protocol (SCAP) コンテンツを含むデータストリームを提供する scap-security-guide パッケージをインストールします。
    • SSH ルートログインを阻止するプロファイルに sudoer 権限を持つユーザーを追加します。
    • 選択されたプロファイルに準拠して、イメージのスキャンと修復を行います。

  2. カレントディレクトリーにある Containerfile を使用してイメージをビルドします。 

    $ podman build -t quay.io/<namespace>/<image>:<tag> .
    Copy to Clipboard Toggle word wrap

検証

  • すべてのイメージをリスト表示します。 

    $ podman images
REPOSITORY                                  TAG      IMAGE ID       CREATED              SIZE
quay.io/<namespace>/<image>                 <tag>   b28cd00741b3   About a minute ago   2.1 GB
    Copy to Clipboard Toggle word wrap

次のステップ

  • 通常のブート可能イメージのデプロイメント方法のいずれかを使用して、強化されたブート可能イメージをデプロイできます。詳細は、RHEL bootc イメージのデプロイ を参照してください。

    ただし、デプロイメント方法は、対象システムのコンプライアンス状態に影響を与える可能性があります。

  • パッケージモード RHEL と同じ構文と使用法で oscap ツールを使用して、Image Mode RHEL で実行中のシステムのコンプライアンスを検証できます。詳細は、設定コンプライアンススキャン を参照してください。

10.2. 強化されたブート可能イメージのカスタマイズ
リンクのコピー

oscap-im ツールを使用して、カスタマイズされたプロファイルをブート可能なイメージに適用できます。セキュリティープロファイルをカスタマイズするには、特定のルール (パスワードの最小長など) のパラメーターを変更し、別の方法で対象とするルールを削除し、追加のルールを選択して内部ポリシーを実装できます。プロファイルをカスタマイズして新しいルールの定義はできません。

前提条件

手順

  1. Containerfile を作成します。 

    FROM registry.redhat.io/rhel9/rhel-bootc:latest

# Copy a tailoring file into the Containerfile
COPY tailoring.xml /usr/share/

# Install OpenSCAP scanner and security content to the image
RUN dnf install -y openscap-utils scap-security-guide && dnf clean all


# Add sudo user 'admin' with password 'admin123'.
# The user can be used with profiles that prevent
# ssh root logins.
RUN useradd -G wheel -p "\$6\$Ga6Zn
IlytrWpuCzO\$q0LqT1USHpahzUafQM9jyHCY9BiE5/ahXLNWUMiVQnFGblu0WWGZ1e6icTaCGO4GNgZNtspp1Let/qpM7FMVB0" admin

# Run scan and hardening including the tailoring file
RUN oscap-im --tailoring-file /usr/share/tailoring.xml --profile stig_customized /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml
    Copy to Clipboard Toggle word wrap

この Containerfile は次のタスクを実行します。

  • イメージにテーラリングファイルを注入します。
  • oscap-im ツールを提供する openscap-utils パッケージと、Security Content Automation Protocol (SCAP) コンテンツを含むデータストリームを提供する scap-security-guide パッケージをインストールします。
  • SSH ルートログインを阻止するプロファイルに sudoer 権限を持つユーザーを追加します。

  • 選択されたプロファイルに準拠して、イメージのスキャンと修復を行います。

    1. カレントディレクトリーにある Containerfile を使用してイメージをビルドします。 

      $ podman build -t quay.io/<namespace>/<image>:<tag> .
      Copy to Clipboard Toggle word wrap

検証

  • すべてのイメージをリスト表示します。 

    $ podman images
REPOSITORY                                  TAG      IMAGE ID       CREATED              SIZE
quay.io/<namespace>/<image>                 <tag>   b28cd00741b3   About a minute ago   2.1 GB
    Copy to Clipboard Toggle word wrap

次のステップ

  • 通常のブート可能イメージのデプロイメント方法のいずれかを使用して、強化されたブート可能イメージをデプロイできます。詳細は、RHEL bootc イメージのデプロイ を参照してください。

    ただし、デプロイメント方法は、対象システムのコンプライアンス状態に影響を与える可能性があります。

    注記

    bootc-image-builder のブループリントや Anaconda のキックスタートでデプロイメント時に行われた一部のカスタマイズは、コンテナーイメージに含まれる設定と干渉する可能性があります。セキュリティーポリシーの要件と競合するカスタマイズは使用しないでください。

  • パッケージモード RHEL と同じ構文と使用法で oscap ツールを使用して、Image Mode RHEL で実行中のシステムのコンプライアンスを検証できます。詳細は、設定コンプライアンススキャン を参照してください。

第11章 RHEL bootc イメージの管理
リンクのコピー

RHEL bootc イメージをインストールしてデプロイした後、システムの変更や更新などの管理操作をコンテナーイメージに対して実行できます。システムは、デプロイメント後にロールバックが可能なインプレーストランザクション更新をサポートします。

この種の管理は Day 2 管理ベースラインとも呼ばれ、コンテナーレジストリーから新しいオペレーティングシステムの更新をトランザクショナルに取得して、システムを起動します。同時に、障害発生時には手動または自動のロールバックをサポートします。

デフォルトで有効になっている自動更新を利用することもできます。systemd service unitsystemd timer unit ファイルがコンテナーレジストリーの更新をチェックし、システムに適用します。アプリケーションの更新など、さまざまなイベントで更新プロセスをトリガーできます。これらの更新を監視し、CI/CD パイプラインをトリガーする自動化ツールがあります。更新はトランザクションであるため、再起動が必要です。より高度なロールアウトやスケジュールされたロールアウトが必要な環境では、自動更新を無効にし、bootc ユーティリティーを使用してオペレーティングシステムを更新する必要があります。

詳細は、Day 2 operations support を参照してください。

注記

rhel-bootc イメージは、RPM パッケージなどの基礎となる入力が更新されるたびに再ビルドされます。これらの再ビルドは少なくとも毎月実行されますが、重要な更新がリリースされた場合はより頻繁に実行されます。ユーザーは、更新イメージをプッシュするタイミングを完全に制御できます。新しく公開されたベースイメージでは、カスタムイメージの自動再ビルドまたは再デプロイメントはトリガーされません。更新の頻度を設定し、必要な場合にのみ変更をプッシュします。

図11.1 インストールされたオペレーティングシステムを手動で更新し、必要に応じて変更をコンテナーイメージの参照を変更したり、ロールバックしたりする

Bootc 更新図
View larger image
Bootc 更新図

11.1. コンテナーイメージ参照の切り替え
リンクのコピー

bootc switch コマンドを使用して、アップグレードに使用するコンテナーイメージ参照を変更できます。たとえば、ステージタグから実稼働タグに切り替えることができます。既存の ostree-based コンテナーイメージ参照を手動で切り替えるには、bootc switch コマンドを使用します。

警告

rpm-ostree を使用して変更を加えたり、コンテンツをインストールしたりすることはサポートされていません。

前提条件

  • bootc を使用して起動したシステム。

手順

  • 以下のコマンドを実行します。 

    $ sudo bootc switch [--apply] quay.io/<namespace>/<image>:<tag>
    Copy to Clipboard Toggle word wrap

    システム変更時に再起動などのアクションを自動的に実行する場合は、必要に応じて --apply オプションを使用できます。

注記

bootc switch コマンドは bootc upgrade と同じ効果があります。唯一の違いは、コンテナーイメージ参照が変更されることです。これにより、ホストの SSH 鍵やホームディレクトリーなど、/etc および /var 内の既存の状態を保持することが可能になります。

オプションで、非接続環境で、またはレジストリーに依存しない場合は、the- transport オプションを使用して、起動をローカルストレージメディアにポイントできます。この- transport オプションは、bootc スイッチ の実行時にシステムイメージをソースする方法を指定します。リモートレジストリーまたはローカルファイルに関係なく、異なるストレージバックエンドからのイメージに切り換えることができます。ローカルストレージの場合は、oci トランスポートを使用してください。これは通常推奨されます。単一のアーカイブファイルが必要な場合は oci-archive を使用します。the- transport オプションを使用してシステムイメージを入手する主な方法は、以下のとおりです。

  • OCI: ローカルの OCI レイアウトディレクトリーをイメージソースとして使用します。1 つのアーカイブファイルを作成せずに、事前にプルまたはエクスポートしたイメージに便利です。 

    $ bootc switch --transport oci ./<image-directory>
    Copy to Clipboard Toggle word wrap

  • Registry (デフォルト): リモートコンテナーレジストリーからイメージをプルします。以下に例を示します。 

    $ bootc switch <image>
    Copy to Clipboard Toggle word wrap

  • containers-storage: Podman などのツールによってローカルに保存されたイメージを使用します。これは、イメージをローカルにプルまたはビルドしている場合に役立ちます。以下に例を示します。 

    $ bootc switch --transport containers-storage <image>
    Copy to Clipboard Toggle word wrap

11.2. bootc イメージ initramfs へのモジュールの追加
リンクのコピー

rhel9/rhel-bootc イメージは、dracut インフラストラクチャーを使用して、イメージのビルド中に初期 RAM ディスク (initrd) を構築します。initrd は、コンテナー内の /usr/lib/modules/$kver/initramfs.img の場所に構築および追加されます。

ドロップイン設定ファイルを使用すると、dracut の設定をオーバーライドできます。ファイルは /usr/lib/dracut/dracut.conf.d/<50-custom-added-modules.conf> に配置できます。これにより、追加する必要があるモジュールを使用して initrd を再作成できます。

前提条件

  • bootc を使用して起動したシステム。

手順

  • コンテナービルドの一部として initrd を再作成します。 

    FROM <baseimage>
COPY <50-custom-added-modules>.conf /usr/lib/dracut/dracut.conf.d
RUN set -x; kver=$(cd /usr/lib/modules && echo *); dracut -vf /usr/lib/modules/$kver/initramfs.img $kver
    Copy to Clipboard Toggle word wrap
    注記

    デフォルトでは、このコマンドは実行中のカーネルバージョンをプルしようとするため、エラーが発生します。エラーを回避するために、ターゲットのカーネルバージョンを dracut に明示的に渡してくだし。

11.3. initrd の変更と再生成
リンクのコピー

デフォルトのコンテナーイメージには、/usr/lib/modules/$kver/initramfs.img に事前に生成された初期 RAM ディスク (initrd) が含まれています。たとえば、dracut モジュールを追加するために initrd を再生成するには、次の手順に従います。

手順

  1. ドロップイン設定ファイルを作成します。以下に例を示します。 

    dracutmodules = "module"
    Copy to Clipboard Toggle word wrap

  2. ドロップイン設定ファイルを、dracut が通常使用する場所 (/usr) に配置します。以下に例を示します。 

    /usr/lib/dracut/dracut.conf.d/50-custom-added-modules.conf
    Copy to Clipboard Toggle word wrap

  3. コンテナービルドの一部として initrd を再生成します。ターゲットのカーネルバージョンを dracut に明示的に渡す必要があります。dracut が実行中のカーネルバージョンをプルしようとしたときに、エラーが発生する可能性があるためです。以下に例を示します。 

    FROM <baseimage>
COPY 50-custom-added-modules.conf /usr/lib/dracut/dracut.conf.d
RUN set -x; kver=$(cd /usr/lib/modules && echo *); dracut -vf /usr/lib/modules/$kver/initramfs.img $kver
    Copy to Clipboard Toggle word wrap

11.4. インストールされたオペレーティングシステムからの更新の手動実行
リンクのコピー

Image Mode for RHEL のインストールは 1 回限りのタスクです。システムの変更や更新などのその他の管理タスクは、変更をコンテナーレジストリーにプッシュすることで実行できます。

Image Mode for RHEL を使用する場合、システムを手動で更新することを選択できます。手動更新は、Ansible などを使用して更新を自動的に実行できる場合でも便利です。自動更新はデフォルトで有効になっているため、手動更新を実行するには自動更新をオフにする必要があります。これは、次のいずれかの方法を選択して実行できます。

  • bootc upgrade コマンドの実行
  • systemd タイマーファイルの変更

11.5. 自動更新の無効化
リンクのコピー

手動更新を実行するには、自動更新をオフにする必要があります。これは、以下の手順に記載のいずれかの方法を選択して実行できます。

手順

  • コンテナービルドのタイマーを無効にします。

    • systemctl mask コマンドを実行します。 

      $ systemctl mask bootc-fetch-apply-updates.timer
      Copy to Clipboard Toggle word wrap

    • systemd タイマーファイルを変更します。systemd の "ドロップイン" を使用して、タイマーをオーバーライドします。次の例では、更新は週に 1 回スケジュールされています。

      1. 次の内容で updates.conf ファイルを作成します。 

        [Timer]
# Clear previous timers
OnBootSec= OnBootSec=1w OnUnitInactiveSec=1w
        Copy to Clipboard Toggle word wrap

      2. 作成したディレクトリーにファイルを追加します。 

        $ mkdir -p /usr/lib/systemd/system/bootc-fetch-apply-updates.timer.d
$ cp updates.conf /usr/lib/systemd/system/bootc-fetch-apply-updates.timer.d
        Copy to Clipboard Toggle word wrap

11.6. インストールされたオペレーティングシステムの手動更新
リンクのコピー

レジストリーから手動で更新を取得し、新しい更新でシステムを起動するには、bootc upgrade を使用します。このコマンドは、インストールされたオペレーティングシステムからコンテナーイメージレジストリーへの、トランザクショナルなインプレース更新を取得します。このコマンドはレジストリーを照会し、次回の起動のために更新されたコンテナーイメージをキューに追加します。デフォルトでは実行中のシステムを変更せずに、ベースイメージへの変更をステージングします。

手順

  • 以下のコマンドを実行します。 

    $ bootc upgrade [--apply]
    Copy to Clipboard Toggle word wrap

    apply 引数はオプションです。システム変更時に再起動などのアクションを自動的に実行する場合は、この引数を使用できます。

注記

bootc upgrade および bootc update コマンドはエイリアスです。

11.7. 更新されたオペレーティングシステムからのロールバックの実行
リンクのコピー

bootc rollback コマンドを使用すると、以前のブートエントリーにロールバックして変更を元に戻すことができます。このコマンドは、rollback 対象のデプロイメントを次回の起動のキューに追加することで、ブートローダーエントリーの順序を変更します。現在のデプロイメントはロールバックになります。キュー内の適用されなかったアップグレードなどのステージングされた変更は、すべて破棄されます。

ロールバックが完了すると、システムが再起動し、更新タイマーが 1 - 3 時間以内に実行され、ロールバックしたイメージにシステムが自動的に更新されて再起動されます。

警告

ロールバックを実行すると、自動更新をオフにしない限り、システムは自動的に再度更新されます。自動更新の無効化 を参照してください。

注記

たとえば、bootc rollback コマンドを使用してロールバックを実行すると、/etc ディレクトリー内のファイルに加えられた変更は、ロールバックされたデプロイメントには引き継がれません。代わりに、/etc ディレクトリー内のファイルは、以前のデプロイメント時の状態に戻ります。

bootc rollback コマンドは既存のデプロイメントの順序を変更しますが、新しいデプロイメントは作成しません。新しいデプロイメントが作成されると、/etc ディレクトリーがマージされます。

ロールバック後に使用できるように、変更された /etc ファイルを保持するには、/var (特定の <user>/var/home/<user> など) または root ユーザーの /var/root/ のディレクトリーに /etc の内容をコピーします。これらのディレクトリーにはユーザーコンテンツが保存されるため、ロールバックの影響を受けません。

一時的なロールバックまたは別の bootc ロールバックによって元の状態に戻ると、/etc ディレクトリーは元のデプロイメントの状態に戻ります。

または、ロールバックする問題が /etc ディレクトリー内の設定ファイルに関係しておらず、古いデプロイメントに戻す場合は、bootc switch コマンドを使用します。このコマンドは、必要な /etc マージを実行し、ソフトウェアの以前のバージョンをデプロイします。

前提条件

  • システムの更新を実行した。

手順

  • 以下のコマンドを実行します。 

    $ bootc rollback [-h|--help] [-V|--version]
    Copy to Clipboard Toggle word wrap

検証

  • systemd journal を使用して、検出されたロールバック呼び出しに関するログに記録されたメッセージを確認します。 

    $ journalctl -b
    Copy to Clipboard Toggle word wrap

    次のようなログが表示されます。 

    MESSAGE_ID=26f3b1eb24464d12aa5e7b544a6b5468
    Copy to Clipboard Toggle word wrap

11.8. システムグループへの更新のデプロイ
リンクのコピー

Containerfile を変更することで、オペレーティングシステムの設定を変更できます。その後、コンテナーイメージをビルドして、レジストリーにプッシュできます。次回のオペレーティングシステムの起動時に、更新が適用されます。

bootc switch コマンドを使用して、コンテナーイメージソースを変更することもできます。コンテナーレジストリーは信頼できるソースです。コンテナーイメージ参照の切り替え を参照してください。

通常、システムグループに更新をデプロイする場合、セントラル管理サービスを使用できます。これにより、各システムにインストールされ、セントラルサービスに接続するクライアントを提供できます。多くの場合、管理サービスでは、クライアントが 1 回限りの登録を実行する必要があります。以下は、システムグループに更新をデプロイする方法の例です。必要に応じて、これを変更して永続的な systemd サービスを作成できます。

注記

理解しやすいように、以下の例の Containerfile は最適化されていません。たとえば、イメージ内に複数のレイヤーが作成されないように最適化するには、RUN を 1 回呼び出します。

Image Mode for RHEL イメージにクライアントをインストールし、起動時にクライアントを実行してシステムを登録できます。

前提条件

  • 管理クライアントが、cron ジョブまたは別の systemd サービスを使用して、今後のサーバーへの接続を処理する。

手順

  • 次の特徴を持つ管理サービスを作成します。管理サービスは、システムをいつアップグレードするかを決定します。

    1. ベースイメージに bootc-fetch-apply-updates.timer が含まれている場合は無効にします。
    2. dnf を使用するか、クライアントに適用される他の方法を使用してクライアントをインストールします。
    3. 管理サービスの認証情報をイメージに注入します。

11.9. インベントリーの健全性の確認
リンクのコピー

ヘルスチェックは Day 2 操作の 1 つです。コンテナーイメージとコンテナー内で実行中のイベントのシステム健全性を、手動で確認できます。

コマンドラインでコンテナーを作成することにより、ヘルスチェックを設定できます。podman inspect または podman ps コマンドを使用して、コンテナーのヘルスチェックのステータスを表示できます。

podman events コマンドを使用して、Podman で発生するイベントを監視および出力できます。各イベントには、タイムスタンプ、タイプ、ステータス、名前 (該当する場合)、およびイメージ (該当する場合) が含まれます。

ヘルスチェックとイベントの詳細は、コンテナーの監視 の章を参照してください。

11.10. 自動化と GitOps
リンクのコピー

CI/CD (継続的インテグレーションと継続的デリバリー) パイプラインを使用してビルドプロセスを自動化し、アプリケーションの更新などのイベントによって更新プロセスをトリガーできるようにします。これらの更新を追跡し、CI/CD パイプラインをトリガーする自動化ツールを使用できます。パイプラインは、トランザクショナルなバックグラウンドのオペレーティングシステム更新を使用して、システムを最新の状態に保ちます。

Image Mode for RHEL の作成リソースに関する詳細は、Image Mode for RHEL の作成に使用できる特定の実装 (RHEL Image Mode CI/CD) を確認してください。

11.11. Toolbx を使用した bootc コンテナーの検査
リンクのコピー

システムにソフトウェアをインストールすると、システムの動作が変更したり、不要になったファイルやディレクトリーが残されたりするなど、一定のリスクが生じます。このようなリスクは、RHEL bootc に含まれる Toolbx ユーティリティーに、好みの開発およびデバッグツール、エディター、ソフトウェア開発キット (SDK) をインストールすることで回避できます。RHEL bootc は、ベースオペレーティングシステムに影響を与えずに完全に変更できるコンテナーのイメージです。lesslsofrsyncsshsudounzip などのコマンドを使用して、ホストシステム上で変更を実行できます。

Toolbx ユーティリティーは次のアクションを実行します。

  1. registry.access.redhat.com/ubi9/toolbox:latest イメージをローカルシステムにプルする
  2. イメージからコンテナーを起動する
  3. コンテナー内でシェルを実行し、そこからホストシステムにアクセスできる
注記

Toolbx は、Toolbx コンテナーを作成したユーザーの権限に応じて、ルートコンテナーまたはルートレスコンテナーを実行できます。ホストシステムでルート権限を必要とするユーティリティーも、ルートコンテナーで実行する必要があります。

デフォルトのコンテナー名は rhel-toolbox です。bootc コンテナーを検査するには、次の手順に従います。

手順

  1. toolbox create コマンドを使用して Toolbx コンテナーを起動し、toolbox enter コマンドを使用してコンテナーに入ります。

    • ルートレスユーザーとして: 

      $ toolbox create <mytoolbox>
      Copy to Clipboard Toggle word wrap

    • ルートユーザーとして: 

      $ sudo toolbox create <mytoolbox>
Created container: <mytoolbox>
Enter with: toolbox enter
      Copy to Clipboard Toggle word wrap

    • 正しいイメージを取得したことを確認します。 

      [user@toolbox ~]$ toolbox list
IMAGE ID      IMAGE NAME    CREATED
fe0ae375f149   registry.access.redhat.com/ubi{ProductVersion}/toolbox 5 weeks ago

CONTAINER ID  CONTAINER NAME  CREATED         STATUS   IMAGE NAME
5245b924c2cb  <mytoolbox>       7 minutes ago   created  registry.access.redhat.com/ubi{ProductVersion}/toolbox:8.9-6
      Copy to Clipboard Toggle word wrap

      1. Toolbx コンテナーに入ります。 

        [user@toolbox ~]$ toolbox enter <mytoolbox>
        Copy to Clipboard Toggle word wrap
      2. オプション: 正しいイメージを取得したことを確認します。

    • <mytoolbox> コンテナー内でコマンドを実行し、コンテナーの名前とイメージを表示します。 

      ⬢ [user@toolbox ~]$ cat /run/.containerenv
engine="podman-4.8.2"
name="<mytoolbox>"
id="5245b924c2cb..."
image="registry.access.redhat.com/ubi{ProductVersion}/toolbox"
imageid="fe0ae375f14919cbc0596142e3aff22a70973a36e5a165c75a86ea7ec5d8d65c"
      Copy to Clipboard Toggle word wrap

  2. Toolbx を使用して開発ツールをインストールします。

    1. Emacs テキストエディター、GCC コンパイラー、GNU デバッガー (GDB) など、選択したツールをインストールします。 

      ⬢[user@toolbox ~]$ sudo dnf install emacs gcc gdb
      Copy to Clipboard Toggle word wrap

    2. オプション: ツールがインストールされていることを確認します。 

      ⬢[user@toolbox ~]$  dnf repoquery --info --installed <package_name>
      Copy to Clipboard Toggle word wrap

      インストール後、ルートレスユーザーとしてこれらのツールを引き続き使用できます。

  3. Toolbx を使用して、ツールをホストシステムにインストールせずに、ホストシステムのトラブルシューティングを行います。

    1. journalctl コマンドを実行できるようにするには、systemd スイートをインストールします。 

      ⬢[root@toolbox ~]# dnf install systemd
      Copy to Clipboard Toggle word wrap

    2. ホスト上で実行しているすべてのプロセスのログメッセージを表示します。 

      ⬢[root@toolbox ~]# j journalctl --boot -0
Jan 02 09:06:48 user-thinkpadp1gen4i.brq.csb kernel: microcode: updated ear>
Jan 02 09:06:48 user-thinkpadp1gen4i.brq.csb kernel: Linux version 6.6.8-10>
Jan 02 09:06:48 user-thinkpadp1gen4i.brq.csb kernel: Command line: BOOT_IMA>
Jan 02 09:06:48 user-thinkpadp1gen4i.brq.csb kernel: x86/split lock detecti>
Jan 02 09:06:48 user-thinkpadp1gen4i.brq.csb kernel: BIOS-provided physical>
      Copy to Clipboard Toggle word wrap

    3. カーネルのログメッセージを表示します。 

      ⬢[root@toolbox ~]# journalctl --boot -0 --dmesg
Jan 02 09:06:48 user-thinkpadp1gen4i.brq.csb kernel: microcode: updated ear>
Jan 02 09:06:48 user-thinkpadp1gen4i.brq.csb kernel: Linux version 6.6.8-10>
Jan 02 09:06:48 user-thinkpadp1gen4i.brq.csb kernel: Command line: BOOT_IMA>
Jan 02 09:06:48 user-thinkpadp1gen4i.brq.csb kernel: x86/split lock detecti>
Jan 02 09:06:48 user-thinkpadp1gen4i.brq.csb kernel: BIOS-provided physical>
Jan 02 09:06:48 user-thinkpadp1gen4i.brq.csb kernel: BIOS-e820: [mem 0x0000>
      Copy to Clipboard Toggle word wrap

    4. nmap ネットワークスキャンツールをインストールします。 

      ⬢[root@toolbox ~]# dnf install nmap
      Copy to Clipboard Toggle word wrap

    5. ネットワーク内の IP アドレスとポートをスキャンします。 

      ⬢[root@toolbox ~]# nmap -sS scanme.nmap.org
Starting Nmap 7.93 ( https://nmap.org ) at 2024-01-02 10:39 CET
Stats: 0:01:01 elapsed; 0 hosts completed (0 up), 256 undergoing Ping Scan
Ping Scan Timing: About 29.79% done; ETC: 10:43 (0:02:24 remaining)
Nmap done: 256 IP addresses (0 hosts up) scanned in 206.45 seconds
      Copy to Clipboard Toggle word wrap
      • -sS オプションは TCP SYN スキャンを実行します。Nmap のスキャンタイプのほとんどは、生のパケットを送受信するため、特権ユーザーのみが使用できます。UNIX システムではルートアクセスが必要です。

  4. Toolbx bootc コンテナーを停止します。

    1. コンテナーを離れてホストに戻ります。 

      ⬢ [user@toolbox ~]$ exit
      Copy to Clipboard Toggle word wrap

    2. ツールボックスコンテナーを停止します。 

      ⬢ [user@toolbox ~]$ podman stop <mytoolbox>
      Copy to Clipboard Toggle word wrap

    3. オプション: ツールボックスコンテナーを削除します。 

      ⬢ [user@toolbox ~]$ toolbox rm <mytoolbox>
      Copy to Clipboard Toggle word wrap

      または、podman rm コマンドを使用して bootc コンテナーを削除することもできます。

第12章 bootc システムでのカーネル引数の管理
リンクのコピー

bootc を使用すると、カーネル引数を設定できます。bootc は、デフォルトで /boot/loader/entries に保存されているブートローダー設定ファイルを使用します。このディレクトリーは、Linux カーネルに提供される引数を定義します。このカーネル引数のセットは、マシン固有の状態ですが、カーネル引数はコンテナー更新を使用して管理することもできます。ブートローダーメニューのエントリーは、複数のオペレーティングシステム間で共有されます。ブートローダーは、1 つのデバイスにインストールされます。

注記

現在、ブートローダーエントリーは OSTree バックエンドによって書き込まれます。

12.1. bootc でカーネル引数を注入するためのサポートを追加する方法
リンクのコピー

bootc ツールは、汎用のオペレーティングシステムカーネルを使用します。/usr/lib/bootc/kargs.d に TOML 形式のカスタム設定を追加することで、カーネル引数を注入するサポートを追加できます。以下に例を示します。 

# /usr/lib/bootc/kargs.d/10-example.toml
kargs = ["mitigations=auto,nosmt"]
Copy to Clipboard Toggle word wrap

match-architectures キーを使用して、これらのカーネル引数をアーキテクチャー固有にすることもできます。以下に例を示します。 

# /usr/lib/bootc/kargs.d/00-console.toml
kargs = ["console=ttyS0,114800n8"]
match-architectures = ["x86_64"]
Copy to Clipboard Toggle word wrap

12.2. bootc インストール設定を使用してカーネル引数を変更する方法
リンクのコピー

bootc install を使用すると、インストール時に次の方法でカーネル引数を追加できます。

  • コンテナーイメージにカーネル引数を追加する。
  • bootc install --karg コマンドを使用してカーネル引数を追加する。

カーネル引数を追加して、切り替え、アップグレード、または編集時に適用することで、Day 2 運用時にカーネル引数を使用できます。カーネル引数を追加して Day 2 運用に使用するには、次の主な手順を実行する必要があります。

  1. カーネル引数を使用して /usr/lib/bootc/kargs.d 内にファイルを作成します。
  2. コンテナーイメージを取得して OSTree コミットを取得します。
  3. OSTree コミットを使用してファイルツリーを返します。
  4. /usr/lib/bootc/kargs.d に移動します。
  5. ディレクトリー内の各ファイルを読み取ります。
  6. kargs ファイルの内容を、必要なすべての kargs を含むファイルにプッシュします。
  7. kargsstage() 関数に渡します。
  8. カーネル引数を適用して、切り替え、アップグレード、または編集を行います。

12.3. Containerfile にカーネル引数を注入する方法
リンクのコピー

コンテナーイメージにカーネル引数を追加するには、Containerfile を使用します。以下に例を示します。 

FROM registry.redhat.io/rhel9/rhel-bootc:latest

RUN mkdir -p /usr/lib/bootc/kargs.d
RUN cat <<EOF >> /usr/lib/bootc/kargs.d/console.toml
kargs = ["console=ttyS0,114800n8"]
match-architectures = ["x86_64"]
EOF

RUN cat <<EOF >> /usr/lib/bootc/kargs.d/01-mitigations.toml
kargs = ["mitigations=on", "systemd.unified_cgroup_hierarchy=0"]
match-architectures = ["x86_64", "aarch64"]
EOF
Copy to Clipboard Toggle word wrap

12.4. インストール時にカーネル引数を注入する方法
リンクのコピー

--karg を指定した boot install を使用すると、インストール時にカーネル引数を注入できます。これにより、カーネル引数がマシンローカル状態になります。

たとえば、カーネル引数を注入するには、次のコマンドを使用します。 

# bootc install to-filesystem --karg
Copy to Clipboard Toggle word wrap
注記

現在、bootc にはカーネル引数を操作するための API がありません。カーネル引数の操作は、rpm-ostree (rpm-ostree kargs コマンド) でのみサポートされています。

12.5. bootc-image-builder を使用してインストール時のカーネル引数を追加する方法
リンクのコピー

bootc-image-builder ツールは、インストール時に customizations.kernel.append をサポートします。

bootc-image-builder を使用してカーネル引数を追加するには、次のカスタマイズを使用します。 

{
  "customizations": {
    "kernel": {
      "append": "mitigations=auto,nosmt"
    }
  }
}
Copy to Clipboard Toggle word wrap

12.6. kargs.d によるインストール後のカーネル引数の変更について
リンクのコピー

kargs.d ファイルに加えた変更とコンテナービルドに含めた変更は、インストール後に適用されます。カーネル引数セット間の差異は、現在のブートローダー設定に適用されます。これにより、マシンローカルのカーネル引数が保持されます。/boot/loader/entries ファイルは、任意のツールを使用して編集できます。これは標準化された形式のファイルです。/boot ファイルには、このファイルシステムに書き込むことができるツールセットを制限するために、読み取り専用アクセスが設定されています。

12.7. bootc システムのカーネル引数を編集する方法
リンクのコピー

マシンのローカル変更を実行するには、rpm-ostree kargs コマンドを使用して、bootc システムまたは rpm-ostree システム上のカーネル引数を編集することもできます。変更は user/lib/bootc/kargs.d パスを通じて行われます。このパスでは、最初のブートの変更に加えて、"Day 2" の変更も処理されます。

以下は、カーネル引数を追加、変更、または削除するために使用できるオプションです。

rpm-ostree kargs [option]

--append=KEY=VALUE
カーネル引数を追加します。たとえば、複数回使用できる console= などで便利です。引数には空の値を使用できます。
--replace=KEY=VALUE=NEWVALUE
既存のカーネル引数を置き換えます。引数にすでに 1 つの値が存在する場合にのみ、その引数を KEY=VALUE で置き換えることができます。
--delete=KEY=VALUE
特定のカーネルのキー値ペア引数、または 1 つのキー値ペアを持つ引数全体を削除します。
--append-if-missing=KEY=VALUE
カーネル引数を追加します。キーがすでに存在する場合は何も行いません。
--delete-if-present=KEY=VALUE
特定のカーネルのキー値ペア引数を削除します。キーがない場合は何も行いません。
--editor
エディターを使用してカーネル引数を変更します。

詳細は、ヘルプを確認してください。 

# rpm-ostree kargs --help
Copy to Clipboard Toggle word wrap

以下に例を示します。 

# rpm-ostree kargs --append debug
Staging deployment... done
Freed: 40.1 MB (pkgcache branches: 0)
Changes queued for next boot. Run "systemctl reboot" to start a reboot
Copy to Clipboard Toggle word wrap

第13章 Image Mode for RHEL でのファイルシステムの管理
リンクのコピー

イメージモードでは、バックエンドとして OSTree が使用され、ストレージ用に composefs がデフォルトで有効になっています。そのため、/opt などに書き込む派生コンテナーイメージに、サードパーティーのコンテンツを簡単にインストールできます。/opt および /usr のローカルパスはプレーンディレクトリーであり、/var へのシンボリックリンクではないためです。

警告

サードパーティーのコンテンツを /opt にインストールすると、サードパーティーのコンポーネントも実行時に /opt 内のサブディレクトリーに書き込もうとする可能性があります。そのため、競合が発生する可能性があります。

13.1. /sysroot による物理ルートと論理ルート
リンクのコピー

bootc システムが完全に起動すると、システムは chroot よって作成された環境と似た状態になります。つまり、オペレーティングシステムが、現在実行中のプロセスとその子プロセスの見かけ上のルートディレクトリーを変更します。物理ホストのルートファイルシステムは /sysroot にマウントされます。chroot ファイルシステムはデプロイメントルートと呼ばれます。

残りのファイルシステムパスは、システムブートの最終ターゲットとして使用されるデプロイメントルートの一部です。システムは、ostree=kernel 引数を使用してデプロイメントルートを検索します。

/usr
すべてのオペレーティングシステムのコンテンツを /usr に保存することが望ましいですが、必須ではありません。/bin などのディレクトリーは、/usr/bin へのシンボリックリンクとして機能します。このレイアウトにより、オペレーティングシステムとホスト固有のリソースが分離されます。
注記

composefs が有効な場合、/usr/ と変わりません。両方のディレクトリーは同じ不変イメージの一部であるため、bootc システムで完全な UsrMove を実行する必要はありません。

/usr/local
bootc システムを使用すると、デフォルトのエントリーポイントとしてカスタムコンテナーイメージを作成できます。そのため、ベースイメージでは /usr/local が通常のディレクトリー、つまりデフォルトのディレクトリーとして設定されます。

デフォルトのファイルシステムレイアウトでは、/opt/usr/local の両方が通常のディレクトリーとして存在します。つまり、これらのディレクトリーはビルド時には書き込み可能で、実行時には変更できません。これは、たとえば、これらのシンボリックリンクを /var に作成する RHEL CoreOS とは異なります。

/etc

/etc ディレクトリーにはデフォルトで変更可能な永続状態が含まれますが、etc.transient config オプションを有効にすることがサポートされています。ディレクトリーが変更可能な永続状態にある場合は、アップグレード全体で 3 方向のマージが実行します。

  • 新しいデフォルトの /etc をベースとして使用します
  • 現在の /etc と以前の /etc の差分を新しい /etc ディレクトリーに適用します。
  • 同じデプロイメントのデフォルトの /usr/etc とは異なる、ローカルで変更されたファイルを /etc に保持します。

ostree-finalize-staged.service は、新しいブートローダーエントリーを作成する前に、シャットダウン時にこれらのタスクを実行します。

これは、Linux システムの多くのコンポーネントが /etc ディレクトリーにデフォルトの設定ファイルを置いて出荷されるために発生します。デフォルトパッケージに含まれていない場合でも、デフォルトではソフトウェアは /etc 内の設定ファイルのみをチェックします。/etc の明確なバージョンを持たない、bootc イメージベースではない更新システムは、インストール時にのみ設定され、インストール後は変更されません。これにより、/etc システムの状態が初期イメージバージョンの影響を受けるようになり、たとえば /etc/sudoers.conf に変更を適用する際に問題が発生し、外部からの介入が必要になる可能性があります。ファイル設定の詳細は、RHEL bootc イメージのビルドとテスト を参照してください。

/var
/var ディレクトリーは 1 つのみです。デフォルトでは、/var ディレクトリーに配置されたファイルとデータは、明示的に削除されるまで保持され、異なるセッションやシステムの再起動後も利用できます。/var パーティションまたはそのサブディレクトリーは、一時ファイルシステム (TMPFS) やネットワークマウントポイントのようなマウントポイントにすることもできます。/var に専用のパーティションを作成しない場合、システムによってバインドマウントが実行され、単一の共有の永続的な /ostree/deploy/$stateroot/var/var ディレクトリーに作成されます。これにより、両方のディレクトリーがデプロイメント間で同じデータを共有するようになります。

/var ディレクトリーは 1 つだけです。別個のパーティションでない場合、物理的には /var ディレクトリーは /ostree/deploy/$stateroot/var へのバインドマウントとなり、利用可能なブートローダーエントリーのデプロイメント間で共有されます。

デフォルトでは、/var 内のコンテンツはボリュームとして機能します。つまり、コンテナーイメージのコンテンツは最初のインストール時にコピーされ、その後は更新されません。

/var ディレクトリーと /etc ディレクトリーは異なります。比較的小さな設定ファイルには /etc を使用でき、必要な設定ファイルは、多くの場合 /usr 内のオペレーティングシステムバイナリーにバインドされます。/var ディレクトリーには、システムログ、データベースなどの任意の大きさのデータが格納されます。デフォルトでは、オペレーティングシステムの状態がロールバックされても、このディレクトリーはロールバックされません。

たとえば、dnf downgrade postgresql などの更新を実行しても、/var/lib/postgres 内の物理データベースには影響しません。同様に、bootc update または bootc rollback を実行しても、このアプリケーションデータには影響しません。

/var を別々にしておくと、新しいオペレーティングシステムの更新を適用する前にステージングをスムーズに実行できるようになります。つまり、更新はダウンロードされて準備完了ですが、再起動時にのみ有効になります。同じことが Docker ボリュームにも当てはまり、アプリケーションコードとそのデータが切り離されます。

アプリケーションに /var/lib/postgresql などの事前に作成されたディレクトリー構造を持たせたい場合に、このケースを使用できます。これには systemd tmpfiles.d を使用します。ユニットで StateDirectory=<directory> を使用することもできます。

その他のディレクトリー
コンテナーイメージ内の /run/proc、またはその他の API ファイルシステム内のコンテンツを出荷することはサポートされていません。それ以外にも、/usr/opt などの他のトップレベルディレクトリーは、コンテナーイメージとともにライフサイクル化されます。
/opt
bootccomposefs を使用するため、/opt ディレクトリーは /usr などの他の最上位ディレクトリーと同様に読み取り専用になります。

ソフトウェアが /opt/exampleapp 内の独自のディレクトリーに書き込む必要がある場合は、ログファイルなどの操作のために、たとえば /var にリダイレクトするシンボリックリンクを使用するのが一般的なパターンです。 

RUN rmdir /opt/exampleapp/logs && ln -sr /var/log/exampleapp /opt/exampleapp/logs
Copy to Clipboard Toggle word wrap

オプションで、これらのマウントを動的に実行するサービスを起動するように systemd ユニットを設定することもできます。以下に例を示します。 

BindPaths=/var/log/exampleapp:/opt/exampleapp/logs
Copy to Clipboard Toggle word wrap
一時ルートを有効にする
永続化する必要があるコンテンツ用の /var へのシンボリックリンクを使用して、/usr および /opt を含むすべてのトップレベルディレクトリーにソフトウェアが一時的に (次回の再起動まで) 書き込むことを可能にするには、一時的なルートを有効にします。デフォルトで完全に一時的な書き込み可能な rootfs を有効にするには、/usr/lib/ostree/prepare-root.conf で次のオプションを設定します。 
[root]
transient = true
Copy to Clipboard Toggle word wrap

これにより、永続化する必要のあるコンテンツ用の /var へのシンボリックリンクを使用して、ソフトウェアが一時的に /opt に書き込めるようになります。

13.2. バージョンの選択と起動
リンクのコピー

Image Mode for RHEL では、s390x アーキテクチャーを除き、デフォルトで GRUB が使用されます。現在システムで使用可能な Image Mode for RHEL の各バージョンには、メニューエントリーがあります。

メニューエントリーは、Linux カーネル、initramfs、および OSTree コミットにリンクするハッシュで構成される OSTree デプロイメントを参照します。これは、ostree=kernel 引数を使用して渡すことができます。

起動時に、OSTree はカーネル引数を読み取り、ルートファイルシステムとして使用するデプロイメントを決定します。パッケージのインストール、カーネル引数の追加など、システムに対する更新または変更ごとに、新しいデプロイメントが作成されます。

これにより、更新によって問題が発生した場合に、以前のデプロイメントにロールバックできるようになります。

第14章 Image Mode for RHEL でのユーザー、グループ、SSH 鍵、シークレットの管理
リンクのコピー

Image Mode for RHEL でのユーザー、グループ、SSH 鍵、およびシークレットの管理について詳しく説明します。

14.1. ユーザーとグループの設定
リンクのコピー

Image Mode for RHEL は、汎用的なオペレーティングシステムの更新および設定メカニズムです。次のリストで、選択したユースケースのベストプラクティスを参照してください。

汎用ベースイメージのユーザーとグループの設定
通常、ディストリビューションのベースイメージには設定がありません。セキュリティーリスクがあるため、汎用イメージ内の公開されている秘密鍵を使用してパスワードと SSH 鍵を暗号化しないでください。
systemd 認証情報を使用した SSH 鍵の注入
一部の環境では、systemd を使用して、root パスワードまたは SSH authorized_keys ファイルを注入できます。たとえば、System Management BIOS (SMBIOS) を使用して、SSH 鍵システムファームウェアを注入します。これは、qemu などのローカルな仮想化環境で設定できます。
cloud-init を使用したユーザーと SSH 鍵の注入
多くの Infrastructure as a Service (IaaS) および仮想化システムは、cloud-initignition などのソフトウェアによって一般的に処理されるメタデータサーバーを使用します。AWS instance metadata を参照してください。cloud-init または Ignition は、使用しているベースイメージに含まれる場合があります。または、独自の派生イメージにインストールすることもできます。このモデルでは、SSH 設定は bootc イメージの外部で管理されます。
コンテナーまたはユニットのカスタムロジックを使用したユーザーと認証情報の追加
cloud-init などのシステムには特権がありません。コンテナーイメージを起動する方法で、認証情報を管理するための任意のロジックを注入できます。たとえば、systemd ユニットを使用できます。認証情報を管理するには、FreeIPA などのカスタムのネットワークホストソースを使用できます。
コンテナービルドでのユーザーと認証情報の静的な追加

パッケージ指向のシステムでは、次のコマンドにより、派生ビルドを使用してユーザーと認証情報を注入できます。 

RUN useradd someuser
Copy to Clipboard Toggle word wrap

shadow-utils のデフォルトの useradd 実装に問題がある場合があります。ユーザーとグループの ID が動的に割り当てられることにより、ドリフトが発生する可能性があります。

ユーザーとグループのホームディレクトリーと /var ディレクトリー

永続的に /home → /var/home に設定されたシステムの場合、最初のインストール後にコンテナーイメージで行われた /var への変更は、その後の更新には適用されません。

たとえば、コンテナービルドに /var/home/someuser/.ssh/authorized_keys を注入した場合、既存のシステムは更新された authorized_keys ファイルを取得しません。

nss-altfiles の使用

nss-altfiles は、システムユーザーを /usr/lib/passwd/usr/lib/group に分離します。この仕組みは、OSTree プロジェクトが /etc/passwd に関連する /etc の 3 方向マージを処理する方法と整合性を取るためのものです。現在、ローカルシステムで /etc/passwd ファイルが何らかの方法で変更された場合、その後コンテナーイメージの /etc/passwd に対して行われた変更は適用されません。

rpm-ostree によってビルドされたベースイメージでは、nss-altfiles がデフォルトで有効になっています。

また、ベースイメージには、UID または GID のドリフトを回避するために、NSS ファイルによって事前に割り当てられ、管理されるシステムユーザーがあります。

派生コンテナービルドでは、たとえば /usr/lib/passwd にユーザーを追加することもできます。sysusers.d または DynamicUser=yes を使用します。

systemd ユニットでの DynamicUser=yes の使用

システムユーザーの場合、可能な場合は systemd DynamicUser=yes オプションを使用します。

これは、潜在的な UID または GID のドリフトを回避できるため、パッケージのインストール時にユーザーまたはグループを割り当てるパターンよりもはるかに優れています。

systemd-sysusers の使用

たとえば、派生ビルドでは systemd-sysusers を使用します。詳細は、systemd -sysusers のドキュメントを参照してください。 

COPY mycustom-user.conf /usr/lib/sysusers.d
Copy to Clipboard Toggle word wrap

sysusers ツールは、必要に応じて起動時に従来の /etc/passwd ファイルに変更を加えます。/etc が永続的であれば、UID または GID のドリフトを回避できます。つまり、UID または GID の割り当ては、特定のマシンがどのようにアップグレードされてきたかによって異なります。

ユーザーのマシンローカル状態

ファイルシステムのレイアウトは、ベースイメージによって異なります。

デフォルトでは、ユーザーデータはベースイメージに応じて、/etc/etc/passwd/etc/shadow および groups と、/home との両方に保存されます。ただし、いずれの汎用ベースイメージもマシンローカルな永続状態である必要があります。このモデルでは、/home/var/home/user へのシンボリックリンクです。

システムプロビジョニング時のユーザーと SSH 鍵の注入

/etc/var がデフォルトで永続化するように設定されたベースイメージの場合、Anaconda やキックスタートなどのインストーラーを使用してユーザーを注入できます。

通常、汎用インストーラーは 1 回限りのブートストラップ用に設計されています。その後、設定はミュータブルなマシンローカル状態になり、他のメカニズムを使用して Day 2 操作で変更できるようになります。

Anaconda インストーラーを使用して初期パスワードを設定できます。ただし、この初期パスワードを変更するには、passwd などの別のシステム内ツールが必要です。

これらのフローは bootc-compatible システムでも同様に機能します。異なるシステム内ツールに変更する必要なく、ユーザーが汎用ベースイメージを直接インストールすることをサポートします。

一時的なホームディレクトリー

多くのオペレーティングシステムのデプロイメントでは、永続的でミュータブルかつ実行可能な状態が最小限に抑えられます。これにより、ユーザーのホームディレクトリーが破損する可能性があります。

/home ディレクトリーを tmpfs として設定すると、再起動後にユーザーデータが確実に消去されます。このアプローチは、一時的な /etc ディレクトリーと組み合わせると特に効果的です。

たとえば、SSH authorized_keys やその他のファイルを注入するようにユーザーのホームディレクトリーをセットアップするには、systemd tmpfiles.d スニペットを使用します。 

f~ /home/user/.ssh/authorized_keys 600 user user - <base64 encoded data>
Copy to Clipboard Toggle word wrap

SSH は、/usr/lib/tmpfiles.d/<username-keys.conf としてイメージ内に埋め込まれています。もう 1 つの例は、ネットワークからキーを取得して書き込むことができる、イメージに埋め込まれたサービスです。これは cloud-init で使用されるパターンです。

UID と GID のドリフト
/etc/passwd および同様のファイルは、名前と数値識別子間のマッピングです。マッピングが動的で、"ステートレス" なコンテナーイメージビルドと組み合わされると、問題が発生する可能性があります。各コンテナーイメージビルドでは、RPM のインストール順序やその他の理由により、UID が変更される場合があります。当該ユーザーが永続状態を維持する場合、これは問題になる可能性があります。このようなケースに対処するには、sysusers.d を使用するか、DynamicUser=yes を使用するように変換します。

14.2. Image Mode for RHEL でのシークレットの注入
リンクのコピー

Image Mode for RHEL には、シークレットに関する独自のメカニズムがありません。いくつかのケースでは、以下のようにコンテナープルシークレットをシステムに注入できます。

  • bootc が認証の必要なレジストリーから更新を取得するには、ファイルにプルシークレットを含める必要があります。次の例では、creds シークレットにレジストリープルシークレットが含まれています。 

    FROM registry.redhat.io/rhel9/bootc-image-builder:latest
COPY containers-auth.conf /usr/lib/tmpfiles.d/link-podman-credentials.conf
RUN --mount=type=secret,id=creds,required=true cp /run/secrets/creds /usr/lib/container-auth.json && \
    chmod 0600 /usr/lib/container-auth.json && \
    ln -sr /usr/lib/container-auth.json /etc/ostree/auth.json
    Copy to Clipboard Toggle word wrap

    ビルドするには、podman build --secret id=creds,src=$HOME/.docker/config.json を実行します。コンテナーイメージに埋め込まれた共通の永続ファイル (例: /usr/lib/container-auth.json) へのシンボリックリンクを両方の場所に対して使用することで、bootc と Podman に単一のプルシークレットを使用します。

  • Podman がコンテナーイメージを取得するには、/etc/containers/auth.json にプルシークレットを含めます。この設定では、2 つのスタックが /usr/lib/container-auth.json ファイルを共有します。

    コンテナービルドにシークレットを埋め込むことによるシークレットの注入
    レジストリーサーバーが適切に保護されている場合は、コンテナーイメージにシークレットを含めることができます。場合により、ブートストラップシークレットのみをコンテナーイメージに埋め込むことが実行可能なパターンになることがあります。特に、マシンをクラスターに対して認証するメカニズムと併用した場合が該当します。このパターンでは、プロビジョニングツールは、ホストシステムの一部として実行されるか、コンテナーイメージの一部として実行されるかに関係なく、ブートストラップシークレットを使用して SSH 鍵や証明書などの他のシークレットを注入または更新します。
    クラウドメタデータを使用したシークレットの注入
    実稼働環境の Infrastructure as a Service (IaaS) システムのほとんどは、シークレット (特にブートストラップシークレット) をセキュアにホストできる、メタデータサーバーまたは同等のものをサポートします。コンテナーイメージには、これらのシークレットを取得するための cloud-initignition などのツールを含めることができます。
    ディスクイメージにシークレットを埋め込むことによるシークレットの注入
    bootstrap secrets は、ディスクイメージにのみ埋め込むことができます。たとえば、AMI や OpenStack などの入力コンテナーイメージからクラウドディスクイメージを生成する場合、ディスクイメージには、実質的にマシンローカル状態であるシークレットが含まれることがあります。これらをローテーションするには、追加の管理ツールを使用するか、ディスクイメージを更新する必要があります。
    ベアメタルインストーラーを使用したシークレットの注入
    インストーラーツールは通常、シークレットを使用した設定の注入をサポートします。
    systemd 認証情報を使用したシークレットの注入
    systemd プロジェクトには、認証情報のデータをセキュアに取得してシステムやサービスに渡すための認証情報の概念があります。これは、一部のデプロイメント方法に適用されます。詳細は、systemd credentials のドキュメントを参照してください。

14.3. コンテナープルシークレットの設定
リンクのコピー

コンテナーイメージを取得するには、ホストの更新を含む "プルシークレット" を使用してホストシステムを設定する必要があります。詳細は、Image Mode for RHEL でのシークレットの注入 に関する付録を参照してください。

コンテナープルシークレットは、すでにビルドされたイメージに設定できます。ベアメタル用の Anaconda などの外部インストーラーや bootc-image-builder を使用する場合は、適切なプルシークレットを使用してシステムを設定する必要があります。

ホストの bootc 更新では、rpm-ostree と共有される /etc/ostree/auth.json ファイルに設定が書き込まれます。

Podman にはシステム全体の認証情報がありません。Podman は、次のディレクトリー配下にある containers-auth の場所を受け付けます。

  • /run: このディレクトリーの内容は再起動時に消去されます。これは望ましくありません。
  • /root: root のホームディレクトリーの一部。デフォルトではローカルで変更可能な状態です。

bootc と Podman の認証情報を統合するには、bootc と Podman の両方に単一のデフォルトのグローバルプルシークレットを使用します。次のコンテナービルドは、bootc と Podman の認証情報を統合する例です。この例では、creds という名前のシークレットに、ビルドするレジストリープルシークレットが含まれていることを想定しています。

手順

  1. 単一のプルシークレットを使用するために、bootc と Podman の間にシンボリックリンクを作成します。シンボリックリンクを作成することにより、コンテナーイメージに埋め込まれる共通の永続ファイルに対する両方の場所を確保できます。

  2. /usr/lib/container-auth.json ファイルを作成します。 

    FROM quay.io/<namespace>/<image>:<tag>
COPY containers-auth.conf /usr/lib/tmpfiles.d/link-podman-credentials.conf
RUN --mount=type=secret,id=creds,required=true cp /run/secrets/creds /usr/lib/container-auth.json && \
    chmod 0600 /usr/lib/container-auth.json && \
    ln -sr /usr/lib/container-auth.json /etc/ostree/auth.json
    Copy to Clipboard Toggle word wrap

    Containerfile を実行すると、次の操作が実行されます。

    • Containerfile により、/run/containers/0/auth.json が一時的なランタイムファイルになります。
    • /usr/lib/container-auth.json へのシンボリックリンクが作成されます。
    • また、永続ファイルも作成されます。このファイルにも、/etc/ostree/auth.json からのシンボリックリンクが設定されます。

14.4. レジストリーのプルシークレットの注入と TLS の無効化
リンクのコピー

コンテナー化された環境で、プライベートまたはセキュアでないレジストリーからイメージをプルできるように、コンテナーイメージを設定し、シークレットをプルし、システム内のレジストリーの TLS を無効にすることができます。

ベースイメージ内のレジストリーにアクセスするためのコンテナープルシークレットやその他の設定を含めることができます。ただし、Anaconda を使用してインストールする場合、ネットワーク経由で取得するときに対象のレジストリーにアクセスするために、インストール環境で "ブートストラップ" 設定の複製コピーが必要になる場合があります。

目的の bootc コンテナーイメージを取得する前にインストール環境に任意の変更を加えるには、Anaconda の %pre コマンドを使用できます。

auth.json ファイルの形式と設定の詳細は、containers-auth.json(5) を参照してください。

手順

  1. プルシークレットを設定します。 

    %pre
mkdir -p /etc/ostree
cat > /etc/ostree/auth.json << 'EOF'
{
        "auths": {
                "quay.io": {
                        "auth": "<your secret here>"
                }
        }
}
EOF
%end
    Copy to Clipboard Toggle word wrap

    この設定では、システムが /etc/ostree/auth.json に保存されている指定の認証情報を使用して、quay.io からイメージをプルします。

  2. セキュアでないレジストリーの TLS を無効にします。 

    %pre
mkdir -p /etc/containers/registries.conf.d/
cat > /etc/containers/registries.conf.d/local-registry.conf << 'EOF'

[[registry]]
location="[IP_Address]:5000"
insecure=true
EOF
%end
    Copy to Clipboard Toggle word wrap

    この設定では、システムが TLS で保護されていないレジストリーからコンテナーイメージをプルします。この設定は開発や社内ネットワークで使用できます。

%pre は次の目的でも使用できます。

  • インストール環境に含まれているバイナリー (curl など) を使用して、ネットワークからデータを取得する。
  • update-ca-trust コマンドを使用して、信頼された認証局をインストール環境 /etc/pki/ca-trust/source/anchors に注入する。

同様に、/etc/containers ディレクトリーを変更することで、セキュアでないレジストリーを設定できます。

第15章 システムの設定
リンクのコピー

RHEL イメージモードのシステム設定には、オペレーティングシステムを構築、デプロイ、および管理するための Container-native のアプローチが含まれます。この方法は、特に registry.redhat.io/rhel9/rhel-bootc イメージに基づくコンテナーイメージを利用して、OS とその設定をカプセル化します。

15.1. 一時的なランタイムの再設定
リンクのコピー

ベースイメージ設定で動的な再設定を実行できます。たとえば、firewall-cmd --permanent コマンドを実行すると、再起動後も変更が永続的に適用されます。

警告

/etc ディレクトリーはデフォルトで永続的です。ツールを使用して変更を実行する場合 (例: firewall-cmd --permanent)、システム上の /etc の内容がコンテナーイメージに記述されている内容と異なる可能性があります。

デフォルト設定では、まずベースイメージに変更を加え、実行中のシステムを再起動せずに変更をキューに入れます。その後、同時に書き込みを行って、メモリー内でのみ既存のシステムに変更を適用します。

バインドマウントを使用すると、/etc ディレクトリーを一時的に設定できます。この場合、etc ディレクトリーはマシンのローカルルートファイルシステムの一部になります。たとえば、Anaconda キックスタートを使用して静的 IP アドレスを注入すると、アップグレード後もそのアドレスが保持されます。

3-way マージがアップグレード間で適用されます。各 "デプロイメント" に専用の /etc のコピーがあります。

/run ディレクトリー
/run ディレクトリーは、システムの再起動時に削除されるように定義されている API ファイルシステムです。/run ディレクトリーは一時ファイルに使用します。
動的な再設定モデル
Pull モデルでは、Podman API を使用して、ベースイメージに直接埋め込まれたコードや、リモートネットワークサーバーに接続して設定を行う特権コンテナーを含めることができます。その後、追加のコンテナーイメージを起動できます。

Push モデルでは、一部のワークロードが Ansible などのツールによって実装されます。

systemd
/run/systemd ディレクトリーに書き込むことで、動的な一時再設定に systemd ユニットを使用できます。たとえば、systemctl edit --runtime myservice.service は、変更を永続化せずに、myservice.service ユニットの設定を動的に変更します。
NetworkManager
一時的なネットワーク設定を適用するには、/run/NetworkManager/conf.d ディレクトリーを使用します。変更をメモリーにのみ書き込むには、nmcli connection modify --temporary コマンドを使用します。--temporary オプションを指定しないと、コマンドによって永続的な変更が書き込まれます。
podman
コンテナーの終了時にコンテナーを自動的に削除するには、podman run --rm コマンドを使用します。--rm オプションを指定しないと、システムの再起動後も保持されるコンテナーが podman run コマンドによって作成されます。

15.2. Image Mode for RHEL での DNF の使用
リンクのコピー

rhel10/rhel-bootc コンテナーイメージには、dnf パッケージマネージャーが含まれています。dnf は、次のようなさまざまなユースケースで使用できます。

コンテナービルドの一部として dnf を使用する
Containerfile で RUN dnf install ディレクティブを使用できます。
実行時に dnf を使用する
警告

dnf のバージョンによって機能が異なります。error: can’t create transaction lock on /usr/share/rpm/.rpm.lock (Read-only file system) というエラーが発生する場合があります。

bootc-usr-overlay コマンドを使用すると、/usr ディレクトリー用の書き込み可能なオーバーレイファイルシステムを作成できます。dnf install はこのオーバーレイに書き込みます。この機能を使用してデバッグツールをインストールできます。再起動すると変更内容が失われることに注意してください。

ストレージの設定

サポートされているストレージテクノロジーは次のとおりです。

  • xfs/ext4
  • 論理ボリューム管理 (LVM)
  • Linux Unified Key Setup (LUKS)

ホストシステムに他のストレージパッケージを追加できます。

  • bootc-image-builder を使用したストレージ bootc-image-builder ツールを使用してディスクイメージを作成できます。パーティションとレイアウトに使用できる設定は、比較的固定されています。デフォルトのファイルシステムタイプは、コンテナーイメージの bootc インストール設定から取得されます。

bootc install を使用したストレージ 一律のストレージ設定には、bootc install to-disk コマンドを使用できます。より高度なインストールには、bootc install to-filesytem コマンドを使用できます。詳細は、to-filesystem を使用した高度なインストール を参照してください。

15.3. ネットワーク設定
リンクのコピー

デフォルトイメージには NetworkManager 動的ネットワーク制御および設定システムが含まれており、bootc はケーブルが接続されているすべてのインターフェイスで DHCP を使用して接続を試みます。/run/NetworkManager/conf.d ディレクトリーをセットアップすることで、一時的なネットワーク設定を適用できます。

ただし、静的アドレス指定や、VLAN、ボンディング、ブリッジ、チームなどのより複雑なネットワークを使用する必要がある場合は、別の方法を使用できます。ネットワークを設定する方法に関係なく、NetworkManager の設定は NetworkManager キーファイルの形式を使用します。

ホストネットワーク設定オプション
複雑なネットワーク設定では、多くの場合、マシンごとの状態も必要です。たとえば、静的 IP アドレスが含まれたマシン固有のコンテナーイメージを生成できます。ホストの MAC アドレスを検査して、イメージ内からネットワーク設定を生成するコードを含めることもできます。
利用可能なネットワーク設定オプション

静的 IP を設定するために使用できるオプションと、設定方法は次のとおりです。

  • Containerfile を使用する: 静的 IP を持つコンテナーイメージを作成するか、MAC アドレスに基づいてイメージ内からネットワーク設定を生成するコードを含めます。

    • MAC アドレスまたはその他のアドレスをマッチさせるには、Device List Format で指定されている設定を使用します。
    • ネットワークを設定するには、起動済みのシステムで行うのと同様に、nmcli connection add を使用できます。ただし、ビルド時には、明示的に --offline 引数と組み合わせてコマンドを使用する必要があります。詳細は、nmcli を使用したイーサネット接続の設定 を参照してください。

    • ContainerFile 内の nmcli コマンドの前に、必ず次のコマンドを追加してください。 

      RUN nmcli --offline connection add
      Copy to Clipboard Toggle word wrap
  • Anaconda を使用する場合: Anaconda キックスタートを使用して、ベアメタルインストール用に Wi-Fi を含むネットワークを設定できます。設定はデフォルトで /etc/NetworkManager/system-connections/ に保存され、基本的にマシン固有の状態として扱われます。
  • カーネル引数を使用する: 最初の起動時にカーネルパラメーターを追加して、ネットワーク設定を定義します。マシンの最初の起動時に、ネットワーク設定を定義するカーネル引数を入力します。カーネル引数のほとんどは、dracut.cmdline の man ページで定義されています。さまざまな方法を使用して、最初の起動時にこれらのカーネル引数を適用できます。bootc install を使用する場合、--karg を使用してマシンごとにカーネル引数を設定することもできます。
  • NetworkManager キーファイルを使用する: nmcli または nm-initrd-generator

nmcli を使用して NetworkManager キーファイルを生成する

nmcli NetworkManager コマンドラインツールは、NetworkManager デーモンと通信せず、キーファイルの内容を標準出力に書き込むだけのオフラインモードを提供します。

  • 作成する接続プロファイルごとに nmcli ツールを実行します。 

    $ nmcli --offline connection add \
        type ethernet ifname enp1s0 \
        ipv4.method manual ipv4.addresses 192.0.0.1/24 \
        ipv6.method disabled

[connection]
id=ethernet-enp1s0
uuid=ff242096-f803-425f-9a77-4c3ec92686bd
type=ethernet
interface-name=enp1s0

[ethernet]

[ipv4]
address1=192.0.0.1/24
method=manual

[ipv6]
addr-gen-mode=default
method=disabled
[proxy]
    Copy to Clipboard Toggle word wrap

nmcli を使用して指定できるプロパティーのリストについては、設定の man ページを参照してください。Bash の自動補完が利用可能です。

nm-initrd-generator を使用して NetworkManager キーファイルを生成する

NetworkManager には、dracut カーネル引数構文からキーファイルを生成できる nm-initrd-generator ツールが含まれています。このツールを使用すると、カーネル引数からキーファイルに変換したり、少量の入力でキーファイルを素早く生成して、より詳細な設定を変更したりすることができます。

  • nm-initrd-generator を使用してボンディングのキーファイルを生成します。 

    $ podman run --rm -ti quay.io/<namespace>/<image>:<tag> /usr/libexec/nm-initrd-generator -s -- "ip=bond0:dhcp" "bond=bond0:ens2,ens3:mode=active-backup,miimon=100" "nameserver=8.8.8.8"

* Connection 'bond0' *

[connection]
id=bond0
uuid=643c17b5-b364-4137-b273-33f450a45476
type=bond
interface-name=bond0
multi-connect=1
permissions=

[ethernet]
mac-address-blacklist=

[bond]
miimon=100
mode=active-backup

[ipv4]
dns=8.8.8.8;
dns-search=
may-fail=false
method=auto

[ipv6]
addr-gen-mode=eui64
dns-search=
method=auto

[proxy]

* Connection 'ens3' *

[connection]
id=ens3
uuid=b42cc917-fd87-47df-9ac2-34622ecddd8c
type=ethernet
interface-name=ens3
master=643c17b5-b364-4137-b273-33f450a45476
multi-connect=1
permissions=
slave-type=bond

[ethernet]
mac-address-blacklist=

* Connection 'ens2' *

[connection]
id=ens2
uuid=e111bb4e-3ee3-4612-afc2-1d2dfff97671
type=ethernet
interface-name=ens2
master=643c17b5-b364-4137-b273-33f450a45476
multi-connect=1
permissions=
slave-type=bond

[ethernet]
mac-address-blacklist=
    Copy to Clipboard Toggle word wrap

このコマンドは、各インターフェイスに対して、bond0ens3ens2 の 3 つのキーファイルを生成します。生成された出力を使用して、さらに設定を追加したり、既存の設定を変更したりして、ファイルをコンテナーイメージにコミットできます。

静的 IP の設定

  • 次の dracut カーネル引数を使用できます。

    テンプレート: 

ip=${ip}::${gateway}:${netmask}:${hostname}:${interface}:none:${nameserver}
Copy to Clipboard Toggle word wrap

以下に例を示します。 

ip=10.10.10.10::10.10.10.1:255.255.255.0:myhostname:ens2:none:8.8.8.8
Copy to Clipboard Toggle word wrap

コンテナーイメージに埋め込まれた設定を書き込む

この形式は不変のイメージ状態の一部であるため、コンテナーイメージに埋め込まれた NetworkManager 設定を /usr/lib/NetworkManager/system-connections/ に保存します。コンテナーイメージの一部として /etc/NetworkManager/system-connections/ に設定を書き込むこともできます。デフォルトの OSTree 3 方向マージ (つまり、古いデフォルト設定、アクティブな /etc システム、および新しいデフォルト設定の使用) は、マシン固有の設定に適用されます。

キーファイルには 600 の root 専用アクセス権限が必要です。そうでない場合、NetworkManager はこのファイルを無視します。

イーサネットデバイスの自動設定を無効にする

デフォルトでは、NetworkManager はケーブルが接続されているすべてのインターフェイスで DHCP または SLAAC アドレスを使用して自動設定を試みます。一部のネットワーク環境では、これは望ましくない場合があります。そのためには、/usr/lib/NetworkManager/conf.d/noauto.conf などの設定ファイルを追加して、NetworkManager の動作を変更することができます。

  • Ethernet デバイスの NetworkManager 自動設定を無効にする 

    [main]
# Do not do automatic (DHCP or SLAAC) configuration on ethernet devices
# with no other matching connections.
no-auto-default=*
    Copy to Clipboard Toggle word wrap

15.4. Image Mode for RHEL でのホスト名の設定
リンクのコピー

システムにカスタムホスト名を設定するには、/etc/hostname ファイルを変更します。ホスト名は、Anaconda を使用するか、特権コンテナーを使用して設定できます。

システムを起動したら、hostnamectl コマンドを使用してホスト名を確認できます。

15.5. Image Mode for RHEL におけるプロキシー経由のインターネットアクセスの設定
リンクのコピー

プロキシーを使用したインターネットアクセスを必要とする環境にデプロイする場合は、サービスがリソースに想定どおりにアクセスできるようにサービスを設定する必要があります。

これを行うには、必要な環境変数を含む単一のファイルを設定で定義し、該当するすべてのサービスに systemd ドロップインユニットファイルを使用して、このファイルを参照します。

手順

  • 一般的なプロキシー環境変数を定義すると、この共通ファイルは、その後インターネットへのアクセスを必要とする各サービスが明示的に参照する必要があります。 
# /etc/example-proxy.env
https_proxy="http://example.com:8080"
all_proxy="http://example.com:8080"
http_proxy="http://example.com:8080"
HTTP_PROXY="http://example.com:8080"
HTTPS_PROXY="http://example.com:8080"
no_proxy="*.example.com,127.0.0.1,0.0.0.0,localhost"
Copy to Clipboard Toggle word wrap
  • コアサービスのドロップインユニットを定義する bootc および podman ツールには、一般的にプロキシー設定が必要です。現時点では、bootc は常に systemd ユニットとして実行されるわけではありません。 
# /usr/lib/systemd/system/bootc-fetch-apply-updates.service.d/99-proxy.conf
[Service]
EnvironmentFile=/etc/example-proxy.env
Copy to Clipboard Toggle word wrap
  • podman systemd ユニットのプロキシー使用の定義

Podman systemd 設定を使用して、同様に EnvironmentFile=/etc/example-proxy.env を追加します。podman およびコンテナーのプロキシー設定と環境設定は、root ユーザーとして /etc/containers/containers.conf 設定ファイルで設定するか、非 root ユーザーとして $HOME/.config/containers/containers.conf 設定ファイルで設定できます。

第16章 付録: コンテナーイメージのソースコードの取得
リンクのコピー

bootc イメージのソースコードは、Red Hat Ecosystem Catalog で提供されています。

手順

  1. Red Hat Ecosystem Catalog にアクセスし、rhel-bootc を検索します。
  2. Get this image タブで、Get the source をクリックし、指示に従います。

  3. 内容を展開すると、入力 RPM パッケージリストとその他のコンテンツリソースが extra_src_dir ディレクトリーで使用できるようになります。

    .tar ファイルは、入力 git リポジトリーのスナップショットであり、パッケージリストが記載された YAML ファイルを含んでいます。

第17章 付録: アップストリームプロジェクトへのコントリビューション
リンクのコピー

以下のアップストリーム bootc プロジェクトでは、コントリビューションを歓迎しています。

法律上の通知
リンクのコピー

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat