Red Hat Summit2.3. リモート ISC DHCP サーバーの統合
ネットワーク内に ISC DHCP サーバーが存在するが、Satellite Server と同じホスト上にない場合は、このサービスを Satellite Server に統合できます。この統合により、既存の DHCP サーバーを引き続き使用できるようになり、ホストのプロビジョニング中に Satellite が DHCP サーバー上の IP リースとブート設定を管理します。
このタイプの統合により、Satellite は Object Management Application Programming Interface (OMAPI) キーを使用してリースを更新し、Network File System (NFS) プロトコルを使用して ISC DHCP サーバーの設定ファイルとリースデータベースにアクセスします。
2.3.1. ISC DHCP での OMAPI 認証の有効化
既存のリモートの ISC DHCP サービスを統合するには、DHCP サービスで Object Management Application Programming Interface (OMAPI) を有効にする必要があります。Satellite は OMAPI を使用して DHCP サーバーオブジェクトをリモートで管理します。
前提条件
- ISC DHCP サービスがデプロイされ、機能している。
- DHCP サーバーのファイアウォールで DHCP サービス (ポート 67/UDP) へのアクセスが許可されている。
手順
セキュリティートークンを作成します。
tsig-keygen -a hmac-md5 omapi_key
# tsig-keygen -a hmac-md5 omapi_keyCopy to Clipboard Copied! Toggle word wrap Toggle overflow Satellite が OMAPI 認証に対してサポートしているアルゴリズムは、
hmac-md5だけであることに注意してください。出力例:
key "omapi_key" { algorithm hmac-md5; secret "4z1jwYO0RGUTJbWDepFBdg=="; };key "omapi_key" { algorithm hmac-md5; secret "4z1jwYO0RGUTJbWDepFBdg=="; };Copy to Clipboard Copied! Toggle word wrap Toggle overflow /etc/dhcp/dhcpd.confファイルを編集し、次の設定を追加します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow この例で指定されている設定は次のとおりです。
key omapi_key-
鍵、そのアルゴリズム、および暗号化されたパスワードを定義します。このディレクティブには、
tsig-keygenコマンドの出力を使用します。 omapi-port 7911;- ISC DHCP で OMAPI プロトコルを有効にし、プロトコルのポートを定義します。
omapi-key omapi_key-
OMAPI インターフェイスが使用する鍵の名前を定義します。この名前は、
tsig-keygenコマンドで指定した名前と一致させる必要があります。
dhcpdサービスを再起動します。systemctl restart dhcpd
# systemctl restart dhcpdCopy to Clipboard Copied! Toggle word wrap Toggle overflow firewalldサービスで OMAPI ポートを開きます。firewall-cmd --add-port=7911/tcp
# firewall-cmd --add-port=7911/tcpCopy to Clipboard Copied! Toggle word wrap Toggle overflow 変更を永続化します。
firewall-cmd --runtime-to-permanent
# firewall-cmd --runtime-to-permanentCopy to Clipboard Copied! Toggle word wrap Toggle overflow
2.3.2. NFS を介した DHCP 設定ファイルとリースデータベースの共有
既存のリモートの ISC DHCP サービスを統合するには、サービスの設定ファイルとリースデータベースをネットワーク経由で共有する必要があります。たとえば、NFS サービスを使用できます。共有すると、Satellite が NFS を使用して、サブネット定義などの設定にアクセスします。リースデータベースへの読み取りアクセスにより、すべてのリース情報への効率的なアクセスが確保されます。この情報は、ISC DHCP の Object Management Application Programming Interface (OMAPI) 経由では利用できません。
前提条件
- ISC DHCP サービスがデプロイされ、機能している。
手順
Satellite Server で
foreman-proxyユーザーの UID とプライマリー GID の両方を特定します。id -u foreman-proxy id -g foreman-proxy
# id -u foreman-proxy # id -g foreman-proxyCopy to Clipboard Copied! Toggle word wrap Toggle overflow これらの ID は次のステップで必要です。
DHCP サーバーで、DHCP サービスとリースデータベースの設定を NFS 経由で共有します。
Satellite Server 上のグループと同じグループ ID を持つ
foreman-proxyグループを作成します。groupadd -g My_User_ID foreman-proxy
# groupadd -g My_User_ID foreman-proxyCopy to Clipboard Copied! Toggle word wrap Toggle overflow Satellite Server 上のユーザーと同じユーザー ID およびプライマリーグループ ID を持つ
foreman-proxyユーザーを作成します。useradd -u My_User_ID -g My_Group_ID -s /sbin/nologin foreman-proxy
# useradd -u My_User_ID -g My_Group_ID -s /sbin/nologin foreman-proxyCopy to Clipboard Copied! Toggle word wrap Toggle overflow foreman-proxyグループのメンバーが DHCP サービスの設定ファイルにアクセスできることを確認します。chgrp -R foreman-proxy /etc/dhcp/ chmod g+rx /etc/dhcp/ chmod g+r /etc/dhcp/dhcpd.conf
# chgrp -R foreman-proxy /etc/dhcp/ # chmod g+rx /etc/dhcp/ # chmod g+r /etc/dhcp/dhcpd.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow nfs-serverパッケージをインストールします。dnf install nfs-utils
# dnf install nfs-utilsCopy to Clipboard Copied! Toggle word wrap Toggle overflow /etc/exportsファイルを編集し、/etc/dhcp/および/var/lib/dhcpd/ディレクトリーの共有エントリーを追加します。/etc/dhcp satellite.example.com(ro) /var/lib/dhcpd satellite.example.com(ro)
/etc/dhcp satellite.example.com(ro) /var/lib/dhcpd satellite.example.com(ro)Copy to Clipboard Copied! Toggle word wrap Toggle overflow このディレクトリーは、読み取り専用モードで、Satellite Server または Capsule Server とのみ共有します。
NFS サーバーサービスを有効にして起動します。
systemctl enable --now nfs-server
# systemctl enable --now nfs-serverCopy to Clipboard Copied! Toggle word wrap Toggle overflow firewalldサービスで NFSv4 ポートを開きます。firewall-cmd --add-service=nfs
# firewall-cmd --add-service=nfsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 変更を永続化します。
firewall-cmd --runtime-to-permanent
# firewall-cmd --runtime-to-permanentCopy to Clipboard Copied! Toggle word wrap Toggle overflow
次のステップ
- デフォルトでは、NFS プロトコルは暗号化されません。暗号化された接続が必要な場合は、この手順を完了した後、NFS over TLS または Kerberos 認証を設定します。詳細は、Red Hat Enterprise Linux 9 のネットワークファイルサービスの設定および使用 の TLS 対応の NFS サーバーの設定 および Red Hat Enterprise Linux Identity Management ドメインで Kerberos を使用する NFS サーバーをセットアップする を参照してください。
2.3.3. ISC DHCP で使用する Satellite Server または Capsule Server の設定
DHCP サーバーを準備したら、ISC DHCP サーバーを Satellite Server または Capsule Server に統合します。
前提条件
- ISC DHCP で Object Management Application Programming Interface (OMAPI) 認証を有効にした。詳細は、「ISC DHCP での OMAPI 認証の有効化」 を参照してください。
- DHCP 設定とリースデータベースを NFS 経由で共有した。詳細は、「NFS を介した DHCP 設定ファイルとリースデータベースの共有」 を参照してください。
手順
必要なパッケージをインストールします。
satellite-maintain packages install nfs-utils
# satellite-maintain packages install nfs-utilsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 後で NFS 共有をマウントするディレクトリーを作成します。
mkdir -p \ /srv/nfs/etc/dhcp \ /srv/nfs/var/lib/dhcpd
# mkdir -p \ /srv/nfs/etc/dhcp \ /srv/nfs/var/lib/dhcpdCopy to Clipboard Copied! Toggle word wrap Toggle overflow /etc/fstabファイルを編集し、NFS 共有のエントリーを追加して、システムの起動時に自動的にマウントします。dhcp_server_fqdn:/etc/dhcp /srv/nfs/etc/dhcp nfs ro,auto,context="system_u:object_r:dhcp_etc_t:s0" 0 0 dhcp_server_fqdn:/var/lib/dhcpd /srv/nfs/var/lib/dhcpd nfs ro,auto,context="system_u:object_r:dhcpd_state_t:s0" 0 0
dhcp_server_fqdn:/etc/dhcp /srv/nfs/etc/dhcp nfs ro,auto,context="system_u:object_r:dhcp_etc_t:s0" 0 0 dhcp_server_fqdn:/var/lib/dhcpd /srv/nfs/var/lib/dhcpd nfs ro,auto,context="system_u:object_r:dhcpd_state_t:s0" 0 0Copy to Clipboard Copied! Toggle word wrap Toggle overflow このサービスが更新された
/etc/fstabファイルを使用するように、systemdをリロードします。systemctl daemon-reload
# systemctl daemon-reloadCopy to Clipboard Copied! Toggle word wrap Toggle overflow NFS 共有をマウントします。
mount /srv/nfs/etc/dhcp/ mount /srv/nfs/var/lib/dhcpd/
# mount /srv/nfs/etc/dhcp/ # mount /srv/nfs/var/lib/dhcpd/Copy to Clipboard Copied! Toggle word wrap Toggle overflow foreman-proxyユーザーが NFS サーバー上のファイルにアクセスできることを確認します。以下に例を示します。/srv/nfs/etc/dhcp/dhcpd.confファイルの最初の 5 行を表示します。su - foreman-proxy -c 'head -5 /srv/nfs/etc/dhcp/dhcpd.conf'
$ su - foreman-proxy -c 'head -5 /srv/nfs/etc/dhcp/dhcpd.conf'Copy to Clipboard Copied! Toggle word wrap Toggle overflow /srv/nfs/var/lib/dhcpd/dhcpd.leasesファイルの最初の 5 行を表示します。su - foreman-proxy -c 'head -5 /srv/nfs/var/lib/dhcpd/dhcpd.leases'
$ su - foreman-proxy -c 'head -5 /srv/nfs/var/lib/dhcpd/dhcpd.leases'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
Satellite Server または Capsule Server が DHCP サーバーを使用するように設定します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 対象の Capsule ごとに、Satellite Web UI で Capsule の設定を更新します。詳細は、「DHCP サービスとサブネットの関連付け」 を参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}