Red Hat Summit第6章 複数の組織
RHN Satellite は1つの Satellite インストール内で 複数の組織 の作成および管理に対応し、 別々の組織や特定のグループに分散する複数のシステムやコンテンツ、サブスクリプションの分担を可能にしています。 この章では、基本的なセットアップ作業を紹介し、RHN Satellite 内での複数組織の作成および管理の概念について説明します。
6.1. Satellite の複数組織向け使用のモデリング
リンクのコピーリンクがクリップボードにコピーされました!
以下の例では、複数の組織 (multi-org) 機能を使った 2 つのシナリオを示しています。 RHN Satellite 5.1 またはそれ以降のインストールやアップグレードでは、複数組織の機能を使用する必要はありません。 Satellite に新たな組織を作成して、 環境に応じたペースで使用を開始することができます。 まずは追加組織を 1 つ作成し、これを限定的なシステムやユーザーのセットに試用することで、適用しようとしている組織のプロセスおよび方針に複数組織の Satellite が与える影響について十分に理解することが推奨されます。
6.1.1. 集中型管理の Satellite − ひとつの組織が複数の部署を持つ場合
リンクのコピーリンクがクリップボードにコピーされました!
最初のシナリオでは、 RHN Satellite は 1 企業または他の組織内の一つの中央グループによって維持管理が行われています (図6.1「集中型管理の Satellite − ひとつの組織が複数の部署を持つ場合」 を参照)。 「組織 1」 (Satellite の設定中に作成された管理組織) の Satellite 管理者は「組織 1」 (Administrative Organization − 管理組織) をソフトウェア、 システムのサプスクリプション、 エンタイトルメント用のステージングエリアとして扱います。
Satellite 管理者の責任には Satellite の設定 (Web インターフェースの 管理 部分で行える作業)、 追加の Satellite 組織の作成と削除、 ソフトウェア、 システムのサブスクリプション及びエンタイトルメントの割り当てと削除が含まれます。
この例では、 追加の組織が企業内の複数の各部署にそれぞれマッピングされています。 組織内の各部署を分割するレベルを決定する方法のひとつとして、 RHN Satellite と使用するために各部署が購入するサブスクリプションとエンタイトルメントを考えてみます。 Satellite 内の複数の組織に対して集中型の制御を行う場合は、 追加作成される各組織内にそれぞれ組織管理者アカウントを作成することにより、 なんらかの都合によりその組織にアクセスすることができます。
図6.1 集中型管理の Satellite − ひとつの組織が複数の部署を持つ場合
6.1.2. 分散型管理 − 複数のサードパーティ組織の場合
リンクのコピーリンクがクリップボードにコピーされました!
この例では、 Satellite は中央のグループによって管理されていますが、 各組織は Satellite の他の組織に対して互いに関連性や結び付きがなく別々に取り扱われます。 各組織は、 Satellite アプリケーション自体を管理するグループの顧客であるかも知れません。
同一企業のあらゆる部署となるサブの組織群で構成される Satellite は組織間でシステムやコンテンツの共有という点で優れた環境であるのに対し、 この分散型の例では共有に適した環境とは言えません。 管理者は各組織に対して特定数のエンタイトルメントを割り当てることができます。 各組織はコンテンツに関するソフトウェアチャンネルのエンタイトルメントを持っていれば Satellite と同期している Red Hat の全コンテンツにアクセスできます。
ただし、 任意の組織がカスタムのコンテンツをその組織にプッシュしても、 そのコンテンツは他の組織では利用できません。 コンテンツを各組織に再度プッシュしない限り、 全組織あるいは選択した組織群に利用できるようなカスタムのコンテンツは提供できません。
このシナリオでは、Satellite 管理者がログインアクセスを得るため各組織にアカウントをひとつずつ確保したいとします。 例えば、 Satellite を使用して外部に向けて管理ホスティングサービスを提供する場合、 その組織内のシステムにアクセスしてコンテンツをプッシュできるよう自分用のアカウントを確保することができます。
図6.2 分散型 Satellite 管理 − 複数の部署から構成される組織
6.1.3. Multi-Org の使い方に関する全般的ヒント
リンクのコピーリンクがクリップボードにコピーされました!
複数組織の Satellite の管理に選択するモデルには関係なく、 以下の点がヒントとして役に立ちます。
Satellite を 単独組織の Satellite として使用する予定である、または単独組織の Satellite から複数組織の Satellite に移行中という状況でない限り、 いかなる場合もシステムの登録やユーザーの作成に管理組織 (組織 1) を使用することは推奨できません。 これは以下の理由によります。
- 管理組織はエンタイトルメントに関連した特殊ケースとして扱われます。 Satellite に ある他の組織でエンタイトルメントを追加したり削除したりすることによってのみ暗示的にこの管理組織に対するエンタイトルメントの追加または削除を行えます。
- 管理組織は、サブスクリプションやエンタイトルメント用のステージングエリアとなります。 Satellite を新しい証明書に関連付けると、 新しいエンタイトルメントがデフォルトでこの組織に与えられます。 この新しいエンタイトルメントを Satellite 上の他の組織に使用できるようにするには、 エンタイトルメントを管理組織から明示的に他の組織に割り当てる必要があります。
6.1.3.1. 証明書に自分が使用しているエンタイトルメント数より少ないエンタイトルメントしかない場合
リンクのコピーリンクがクリップボードにコピーされました!
新しい Satellite 証明書の発行を受けたものの、その証明書には Satellite 上の組織内にあるシステムが使用している数より少ないエンタイトルメント数しか含まれていない場合、 Satellite の Web インターフェースから 管理 ⇒ Satellite の設定 ⇒ 証明書 の順で新規証明書をアップロードする、 Satellite タブ内にある Satellite システムの http://rhn.redhat.com プロファイルから新規証明書アップロードする、 または
rhn-satellite-activate コマンドを実行して新規証明書をアップロードするなどの方法では、この証明書をアクティブにすることはできません。 証明書のエンタイトルメント数が不足していることを示すエラーが出力されることになります。
新しい証明書をアクティブにするために Satellite エンタイトルメントの使用数を減らす方法がいくつかあります。 Red Hat では、 Satellite 上の各組織のエンタイトルメントの使用に関して評価を行い、 エンタイトルメントを放棄しても正しく機能できる組織を判断されることをお勧めします。 次に各組織の管理者に直接連絡して各組織内で無関係となるシステムのシステムプロファイルを削除するかエンタイトルメントを外すよう依頼します。 これらの組織にログインアクセスがある場合は自身でこれを行っても構いません。 Satellite 管理者としてログインすると、 組織に割り当てられたエンタイトルメントはその組織がアクティブにシステムプロファイルに関連付けしているエンタイトルメント数以下には減らすことができませません。
エンタイトルメント群を開放する必要があってもそれを実行する時間が無かったリ、 これを自分で実行するための各組織へのアクセスが無かったりする場合があります。 複数組織の Satellite には Satellite 管理者によりある組織のエンタイトルメント数をその使用数以下に減らすことができるオプションがあります。 この方法は管理組織にログインして実行する必要があります。
例えば、 管理組織にログインしたとします。 Satellite 上の全登録システムを対象とするには証明書にシステム管理エンタイトルメントが 5 つ足りない場合、 最も最近にその組織に登録された 5 システムのエンタイトルメントが外されます。 このプロセスを以下に示します。
/etc/rhn/rhn.confファイルで web.force_unentitlement=1 をセットします。- Satellite を再起動します。
- 各組織の サブスクリプション タブまたは個別エンタイトルメントの 組織 タブのいずれかで目的の組織への割り当てエンタイトルメント数を減らします。
- 組織内のいくつかのシステムが エンタイトルメントなし の状態になるはずです。 組織内のエンタイトルメントなしのシステム数は、 組織から削除したエンタイトルメントの合計数とシステムに適用していないエンタイトルメント数の差と同じになります。例えば、 ステップ 3 で組織から 10 エンタイトルメントを削除して、その組織がシステムで使用されていなかった 4 エンタイトルメントを持っている場合は、 その組織の 6 システムがエンタイトルメントを持たないことになります。
必要なエンタイトルメントの数を確保したら、 新しい Satellite 証明書をアクティブにすることができます。
web.force_unentitlement 変数の変更が必要となるのは組織が使用しているエンタイトルメントの数より少ない数を割り当てる場合のみになります。 組織の所有しているエンタイトルメントの数が現在使用しているエンタイトルメントの数より多い場合、エンタイトルメントの削除にこの変数を設定する必要はありません。
6.1.3.2. 証明書に自分が使用しているエンタイトルメント数より多いエンタイトルメントがある
リンクのコピーリンクがクリップボードにコピーされました!
新規に発行された Satellite 証明書のエンタイトルメントの数が、現在 Satellite で使用されているエンタイトルメントの数より多い場合、差分のエンタイトルメントは管理組織に割り当てられます。 Web インターフェース に Satellite 管理者としてログインすると、差分のエンタイトルメントを他の組織に割り当てることができます。以前に他の組織に割り当てられたエンタイトルメントには影響はありません。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}