Red Hat Summit付録C 完全なディスクイメージ
メインのオーバークラウドイメージは、フラットパーティションイメージです。これは、パーティション情報またはブートローダーがイメージ自体に含まれていないことを意味します。director は、ブート時には別のカーネルおよび ramdisk を使用し、オーバークラウドイメージをディスクに書き込む際に基本的なパーティションレイアウトを作成します。ただし、パーティションレイアウト、ブートローダー、および強化されたセキュリティー機能が含まれる完全なディスクイメージを作成することができます。
以下のプロセスでは、director のイメージビルド機能を使用します。Red Hat では、本項に記載の指針に従ってビルドされたイメージのみをサポートしています。これらとは異なる仕様でビルドされたカスタムイメージはサポートされていません。
セキュリティーが強化されたイメージには、セキュリティーが重要な機能となる Red Hat OpenStack Platform のデプロイメントに必要な追加のセキュリティー対策が含まれます。イメージをセキュアにするためには、以下のような推奨事項があります。
-
/tmpディレクトリーを別のボリュームまたはパーティションにマウントし、rw、nosuid、nodev、noexec、およびrelatimeのフラグを付ける。 -
/var、/var/log、および/var/log/auditディレクトリーを別のボリュームまたはパーティションにマウントし、rwおよびrelatimeのフラグを付ける。 -
/homeディレクトリーを別のパーティションまたはボリュームにマウントし、rw、nodev、relatimeのフラグを付ける。 GRUB_CMDLINE_LINUXの設定に以下の変更を加える。-
監査を有効にするには、
audit=1を追加して、追加のカーネルブートフラグを付けます。 -
nousbを追加して、ブートローダー設定を使用した USB のカーネルサポートを無効にします。 -
crashkernel=autoを設定して、セキュアでないブートフラグを削除します。
-
監査を有効にするには、
-
セキュアでないモジュール (
usb-storage、cramfs、freevxfs、jffs2、hfs、hfsplus、squashfs、udf、vfat) をブラックリストに登録して、読み込まれないようにする。 -
セキュアでないパッケージ (
kexec-toolsによりインストールされたkdumpおよびtelnet) がデフォルトでインストールされるので、それらをイメージから削除する。 -
セキュリティーに必要な新しい
screenパッケージを追加する。
セキュリティーが強化されたイメージを構築するには、以下の手順を実行する必要があります。
- ベースの Red Hat Enterprise Linux 7 イメージをダウンロードする
- 登録固有の環境変数を設定する
- パーティションスキーマとサイズを変更してイメージをカスタマイズする
- イメージを作成する
- そのイメージをデプロイメントにアップロードする
以下の項では、これらのタスクを実行する手順について詳しく説明します。
C.1. ベースのクラウドイメージのダウンロード
完全なディスクイメージを構築する前に、ベースとして使用する Red Hat Enterprise Linux の既存のクラウドイメージをダウンロードする必要があります。Red Hat カスタマーポータルにナビゲートして、ダウンロードする KVM ゲストイメージを選択します。たとえば、最新の Red Hat Enterprise Linux の KVM ゲストイメージは以下のページにあります。
