第3章 Satellite Server のインストール
本章では、Red Hat Satellite Server のインストール、初期設定、マニフェストの作成およびインストール、および追加設定の実行について説明します。
Red Hat Satellite 6.3 はデフォルトで Puppet 3 を使用しますが、インストールスクリプトの実行前に Puppet 4 アップグレードリポジトリーを有効にすると、以下のインストール手順の一部でオプションとして Puppet 4 をインストールすることもできます。インストール後に Puppet 4 にアップグレードする手順と Puppet モジュールのアップグレードに関する情報は、『RED HAT SATELLITE のアップグレードおよびアップデート』の 「Puppet のアップグレード」を参照してください。
Satellite Server は、以下の 2 つのインストール方法があります。
接続インストール
Satellite Server のインストールに必要なパッケージは、Red Hat Content Delivery Network (CDN) から直接取得できます。CDN を使用すると、システムは常に最新のアップデートを受信できます。
非接続インストール
外部のコンピューターを使用してパッケージの ISO イメージをダウンロードして、それを Satellite Server のインストール先のシステムにコピーする必要があります。非接続環境が必要な場合にのみ、ISO イメージを使用してください。ISO イメージには最新のアップデートが含まれていない場合があります。
Satellite Server をそれ自体に登録することはできません。
3.1. 接続済みネットワークからの Satellite Server のインストール
接続済みネットワークから Satellite Server をインストールする場合には、Red Hat Content Delivery Network から直接パッケージとアップデートを取得できます。
Satellite 6 インストールスクリプトは Puppet をベースとしていることに留意してください。つまり、インストールスクリプトを複数回実行すると、手動での設定変更が上書きされることがあります。この問題を回避し、適用する変更を特定するには、インストールスクリプトを実行時に --noop
引数を使用します。この引数により、実際の変更は行われません。潜在的な変更は /var/log/katello-installer.log
に書き込まれます。
ファイルは常にバックアップされるため、不要な変更は復元することができます。たとえば、katello-installer ログには、Filebucket に関する以下のようなエントリーが示されます。
/Stage[main]/Dhcp/File[/etc/dhcp/dhcpd.conf]: Filebucketed /etc/dhcp/dhcpd.conf to puppet with sum 622d9820b8e764ab124367c68f5fa3a1
以前のファイルは以下のように復元できます。
# puppet filebucket -l \ restore /etc/dhcp/dhcpd.conf 622d9820b8e764ab124367c68f5fa3a1
3.1.1. Red Hat Subscription Management への登録
Red Hat サブスクリプション管理にホストを登録すると、ホストはユーザーが利用可能なサブスクリプションに対するコンテンツをサブスクライブし、使用できます。これには、Red Hat Enterprise Linux、Red Hat Software Collection (RHSCL)、Red Hat Satellite などのコンテンツが含まれます。
Red Hat コンテンツ配信ネットワークにシステムを登録します。プロンプトが表示されたら、カスタマーポータルのユーザー名とパスワードを入力します。
# subscription-manager register
このコマンドを実行すると、以下のような出力が表示されます。
# subscription-manager register Username: user_name Password: The system has been registered with ID: 541084ff2-44cab-4eb1-9fa1-7683431bcf9a
3.1.2. Satellite サブスクリプションを識別してホストへの割り当て
ホストの登録後に、利用可能な Satellite サブスクリプションを識別し、割り当てる必要があります。Satellite サブスクリプションは、Satellite コンテンツ、Red Hat Enterprise Linux、Red Hat Software Collections (RHSCL)、および Red Hat Satellite へのアクセスを提供します。これは、必要な唯一のサブスクリプションです。各 Red Hat サブスクリプションはプール ID によって識別されます。
Satellite サブスクリプションの特定
# subscription-manager list --available --matches 'Red Hat Satellite'
このコマンドは、利用可能なすべてのサブスクリプションのフィールドに対して小文字と大文字を区別しない検索を実行します (
Subscription Name
とProvides
を含み、Red Hat Satellite
のすべてのインスタンスに一致)。システムにすでに割り当てられていないサブスクリプションが、利用可能として分類されます。検索文字列には、1 つ文字、またはゼロ個以上の文字にそれぞれ一致するワイルドカード?
または*
を含めることもできます。ワイルドカード文字はバックスラッシュでエスケープして、リテラルの疑問符またはアスタリスクを表すことができます。利用可能な Satellite サブスクリプションを見つけることができない場合は、Red Hat ナレッジベースソリューション 「How do I figure out which subscriptions have been consumed by clients registered under Red Hat Subscription Manager?」 を参照して、スクリプトを実行し、サブスクリプションが別のシステムで使用されているかどうかを確認できます。
出力が長すぎる場合は、
less
やmore
などのページャーユーティリティーにパイプして、一度に 1 画面ずつ出力を確認できるようにします。実行する
subscription-manager
コマンドの形式に関係なく、出力は以下のようになります。Subscription Name: Red Hat Satellite Provides: Red Hat Satellite 6 Red Hat Enterprise Linux Server Red Hat Satellite Red Hat Enterprise Linux Load Balancer (for RHEL Server) SKU: MCT0370 Pool ID: 8a85f9874152663c0541943739717d11 Available: 3 Suggested: 1 Service Level: Premium Service Type: L1-L3 Multi-Entitlement: No Ends: 10/07/2014 System Type: Physical
- 後で Satellite ホストに割り当てるために、プール ID をメモします。実際に使用するプール ID は、この例で使用されているものとは異なります。
Satellite サーバーにサブスクリプションを割り当てるには、実際のプール ID を指定して以下のコマンドを実行します。
# subscription-manager attach --pool=pool_id
出力は以下のようになります。
Successfully attached a subscription for: Red Hat Satellite
サブスクリプションが正しく割り当てられたことを確認するには、以下のコマンドを入力します。
# subscription-manager list --consumed
この出力では、以下のような内容が表示されます。
+-------------------------------------------+ Consumed Subscriptions +-------------------------------------------+ Subscription Name: Red Hat Satellite Provides: Red Hat Satellite Red Hat Enterprise Linux Server Red Hat Software Collections (for RHEL Server) Red Hat Satellite Red Hat Satellite 6 Red Hat Software Collections (for RHEL Server) Red Hat Satellite Capsule Red Hat Enterprise Linux Load Balancer (for RHEL Server) Red Hat Satellite with Embedded Oracle Red Hat Satellite Capsule Red Hat Enterprise Linux High Availability (for RHEL Server) SKU: MCT0370 Contract: 10293569 Account: 5361051 Serial: 1653856191250699363 Pool ID: 8a85f9874152663c0541943739717d11 Active: True Quantity Used: 1 Service Level: Premium Service Type: L1-L3 Status Details: Starts: 10/08/2013 Ends: 10/07/2014 System Type: Physical
3.1.3. リポジトリーの設定
すべての既存のリポジトリーを無効にします。
# subscription-manager repos --disable "*"
必要なリポジトリーを有効にします。
Red Hat Satellite、Red Hat Enterprise Linux、Red Hat Software Collections、および Puppet 4 のリポジトリーを有効にするには、以下のコマンドを使用します。
# subscription-manager repos \ --enable=rhel-7-server-rpms \ --enable=rhel-server-rhscl-7-rpms \ --enable=rhel-7-server-satellite-6.3-rpms \ --enable=rhel-7-server-satellite-6.3-puppet4-rpms
もしくは、以下のコマンドを使用して、Red Hat Satellite、Red Hat Enterprise Linux、Red Hat Software Collections、および Puppet 3 のリポジトリーを有効にします。
# subscription-manager repos \ --enable=rhel-7-server-rpms \ --enable=rhel-server-rhscl-7-rpms \ --enable=rhel-7-server-satellite-6.3-rpms
注記Satellite 6.3 は、Puppet 3 でサポートされる最後のリリースです。Puppet 3 から Puppet 4 へのアップグレードは、Satellite 6.3 以前を Satellite 6.4 にアップグレードする前に行う必要があります。Satellite 6.4 は Puppet 5 だけをサポートしますが、Puppet 5 へのアップグレードは、Satellite のアップグレード時に行われます。
注記Red Hat Satellite を Red Hat Virtualization (RHV) でホストされる仮想マシンとしてインストールする場合は、Red Hat Common リポジトリーを有効にして、RHV ゲストエージェントとドライバーもインストールする必要があります。詳細は『仮想マシン管理ガイド』の「ゲストエージェントおよびドライバーのインストール」を参照してください。
Red Hat Subscription Manager が特定のオペレーティングシステムリリースを使用しないようにします。
# subscription-manager release --unset
Red Hat 以外の
yum
リポジトリーからのすべてのメタデータを消去します。# yum clean all
リポジトリーが有効になっていることを確認します。
# yum repolist enabled
以下のような出力が表示されます。
Loaded plugins: product-id, subscription-manager repo id repo name status !rhel-7-server-rpms/x86_64 Red Hat Enterprise Linux 7 Server (RPMs) 9,889 !rhel-7-server-satellite-6.3-rpms/x86_64 Red Hat Satellite 6.3 (for RHEL 7 Server) (RPMs) 545 !rhel-server-rhscl-7-rpms/x86_64 Red Hat Software Collections RPMs for Red Hat Enterprise Linux 7 Server 4,279 repolist: 14,713
3.1.4. Satellite サーバーパッケージのインストール
Satellite サーバーパッケージをインストールする前に、すべてのパッケージを更新する必要があります。インストール後に、サーバー証明書の設定、ユーザー名、パスワード、デフォルトの組織および場所の設定を含む Satellite サーバーの初期設定を実行する必要があります。
すべてのパッケージを更新します。
# yum update
インストールパッケージをインストールします。
# yum install satellite
- 「初期設定の実行」 に移動して、インストーラースクリプトを実行し、Satellite Server の初期設定を行います。
3.2. 切断されたネットワークからのダウンロードおよびインストール
Red Hat Satellite Server のホストがオフライン環境にある場合は、ISO イメージを使用して Satellite Server をインストールできます。ISO イメージには最新のアップデート、バグフィックス、および機能が含まれないことがあるため、この方法はこの環境以外では推奨されません。
ベースシステムが Red Hat CDN から更新されなかった場合、パッケージの依存関係エラーが発生することがあります。必要なパッケージの最新バージョンは手動でダウンロードしてインストールしてください。詳細は「パッケージの手動ダウンロード」 を参照してください。
作業開始前の準備
-
インストールで使用されたリポジトリーのコピーは
/opt/
ディレクトリーに格納されます。このファイルシステムとディレクトリーのために最低 3GB の領域を確保してください。
3.2.1. バイナリー DVD イメージのダウンロード
- Red Hat カスタマーポータル に移動し、ログインします。
- ダウンロード をクリックします。
- Red Hat Enterprise Linux を選択します。
製品とバージョンがご使用の環境に適切であることを確認します。
- Product Variant (製品のバリアント) は Red Hat Enterprise Linux Server に設定されます。
- Version (バージョン) は、ベースシステムとして使用する予定の製品の最新マイナーバージョンに設定されます。
- Architecture (アーキテクチャー) は 64 ビットバージョンに設定されます。
- Product Software (製品ソフトウェア) タブで、最新の Red Hat Enterprise Linux Server バージョン向けのバイナリー DVD イメージをダウンロードします。
- DOWNLOADS (ダウンロード) をクリックし、Red Hat Satellite を選択します。
製品とバージョンがご使用の環境に適切であることを確認します。
- Product Variant (製品のバリアント) は Red Hat Satellite に設定されます。
- Version (バージョン) は、ベースシステムとして使用する予定の製品の最新マイナーバージョンに設定されます。
- Architecture (アーキテクチャー) は 64 ビットバージョンに設定されます。
- Product Software (製品ソフトウェア) タブで、最新の Red Hat Satellite バージョン向けのバイナリー DVD イメージをダウンロードします。
ISO ファイルを Satellite ベースシステムまたは他のアクセス可能なストレージデバイスにコピーします。
# scp localfile username@hostname:remotefile
3.2.2. オフラインリポジトリーでベースシステムの設定
ベースシステムのバージョンに対応する ISO ファイルのマウントポイントとして使用するディレクトリーを作成します。
# mkdir /media/rhel7-server
Red Hat Enterprise Linux の ISO イメージをマウントポイントにマウントします。
# mount -o loop rhel7-Server-DVD.iso /media/rhel7-server
以下の例は、Red Hat Enterprise Linux 7.2 のマウントを示しています。
# mount -o loop RHEL-7.2-20151030.0-Server-x86_64-dvd1.iso \ /media/rhel7-server mount: /dev/loop0 is write-protected, mounting read-only
ISO ファイルのリポジトリーデータファイルをコピーします。
# cp /media/rhel7-server/media.repo /etc/yum.repos.d/rhel7-server.repo
リポジトリーデータファイルを編集し、
baseurl
ディレクティブを追加します。baseurl=file:///media/rhel7-server/
以下の例は、Red Hat Enterprise Linux 7.2 を使用した場合のリポジトリーデータファイルを示しています。
# vi /etc/yum.repos.d/rhel7-server.repo [InstallMedia] name=Red Hat Enterprise Linux 7.2 mediaid=1446216863.790260 metadata_expire=-1 gpgcheck=0 cost=500 baseurl=file:///media/rhel7-server/ enabled=1
リポジトリーが設定されたことを確認します。
# yum repolist Loaded plugins: product-id, search-disabled-repos, subscription-manager This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register. repo id repo name status InstallMedia Red Hat Enterprise Linux 7.2 4,620
ベースシステムのバージョンに対応する ISO ファイルのマウントポイントとして使用するディレクトリーを作成します。
# mkdir /media/sat6
Red Hat Satellite Server の ISO イメージをマウントポイントにマウントします。
# mount -o loop sat6-DVD.iso /media/sat6
以下の例では、Red Hat Enterprise Linux 7 向け Red Hat Satellite 6.3.0 を使用した ISO のマウントを示しています。
# mount -o loop satellite-6.3.0-rhel-7-x86_64-dvd.iso /media/sat6 mount: /dev/loop1 is write-protected, mounting read-only
Red Hat Satellite 6.3 はデフォルトで Puppet 3 を使用しますが、Puppet 4 を使用することも可能で、その場合は必要なパッケージにアクセスするためのローカルリポジトリーを作成し、そこに以下のコンテンツを追加します。
# vi /etc/yum.repos.d/satellite-puppet4.repo [satellite-puppet4] name=satellite-puppet4 baseurl=file:///media/sat6/addons/Puppet4 enabled=1 gpgcheck=1
3.2.3. オフラインリポジトリーからのインストール
Red Hat Enterprise Linux Server と Red Hat Satellite の ISO イメージがマウントされていることを確認します。
# findmnt -t iso9660
Red Hat GPG キーをインポートします。
# rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release
バイナリー DVD イメージを使用してベースシステムを最新の状態にします。
# yum update
Satellite ISO がマウントされたディレクトリーに移動します。
# cd /media/sat6/
マウントされたディレクトリーでインストールスクリプトを実行します。
# ./install_packages This script will install the foreman packages on the current machine. - Ensuring we are in an expected directory. - Copying installation files. - Creating a Repository File - Creating RHSCL Repository File - Checking to see if Foreman is already installed. - Importing the gpg key. - Foreman is not yet installed, installing it. - Installation repository will remain configured for future package installs. - Installation media can now be safely unmounted. Install is complete. Please run satellite-installer --scenario satellite.
パッケージが見つからない、または古いためにスクリプトが失敗する場合は、これらをダウンロードして個別にインストールする必要があります。手順は「パッケージの手動ダウンロード」を参照してください。
インストール済みパッケージが必要なものよりも新しいためにスクリプトが失敗する場合は、
yum distribution-synchronization
を実行してインストール済みパッケージを Red Hat Enterprise Linux ISO からのバージョンにダウングレードしてから、インストールスクリプトを再度実行します。リポジトリーのソースが Red Hat Enterprise Linux ISO 以外のものに設定されている場合にのみ、これが発生します。このようなリポジトリーの使用はサポート対象外になります。
3.2.4. パッケージの手動ダウンロード
パッケージを手動でダウンロードする必要がある場合は、以下の手順を実行します。
- Red Hat カスタマーポータル に移動し、ログインします。
- ダウンロード をクリックします。
- Red Hat Satellite を選択します。
製品とバージョンがご使用の環境に適切であることを確認します。
- Product Variant (製品のバリアント) は Red Hat Satellite に設定されます。
- Version (バージョン) は、ベースシステムとして使用する製品の最新マイナーバージョンに設定されます。
- Architecture (アーキテクチャー) は 64 ビットバージョンに設定されます。
- Packages (パッケージ) タブで、Search (検索) ボックスに必要なパッケージの名前を入力します。
- 必要なパッケージの横にある Download Latest (最新版のダウンロード) をクリックします。
3.3. 初期設定の実行
本セクションでは、Red Hat Satellite Server インストール時のホストオペレーティングシステムの初期設定について説明します。時間の同期、sos パッケージのインストール、インストールオプションの指定などが含まれます。
作業を進める前に、使用している環境に適切なマニフェストまたはパッケージを確認します。マニフェストついての詳細は『Red Hat Satellite コンテンツ管理ガイド』の 「サブスクリプションの管理」 を参照してください。
3.3.1. 時間の同期
時刻の誤差を最小化するには、ホストオペレーティングシステムで時刻シンクロナイザーを起動し、有効にする必要があります。システムの時刻が正しくないと、証明書の検証に失敗することがあります。
NTP
と chronyd
の 2 つの時刻シンクロナイザーが利用できます。両シンクロナイザーにはそれぞれ利点があります。chronyd
は、頻繁に一時停止するシステムと、ネットワークから断続的に切断され、接続が再確立されるシステム (モバイルシステムや仮想システムなど) に推奨されます。NTP
は、実行状態を維持し、中断せずにネットワークに接続することが期待されるシステムに推奨されます。
NTP
と chronyd
の違いについては、『システム管理者のガイド』の「ntpd と chronyd の違い」を参照してください。
NTP を使用した時間の同期
ntp をインストールします。
# yum install ntp
NTP サーバーが利用可能であることを確認します。
# ntpdate -q ntp_server_address
システム時刻を設定します。
# ntpdate ntp_server_address
chronyd を使用した時間の同期
chronyd をインストールします。
# yum install chrony
chronyd サービスを起動して、有効にします。
# systemctl start chronyd # systemctl enable chronyd
3.3.2. ホストオペレーティングシステムへの SOS パッケージのインストール
ホストオペレーティングシステムには sos パッケージをインストールする必要があります。sos パッケージを使用すると、Red Hat Enterprise Linux システムから設定と診断情報を収集できます。また、Red Hat テクニカルサポートでサービスリクエストを開く際に必要な初期システム分析を提供することもできます。sos の使用の詳細は、カスタマーポータルのナレッジベース「Red Hat Enterprise Linux 4.6 以降における sosreport の役割と取得方法」を参照してください。
sos パッケージをインストールします。
# yum install sos
3.3.3. インストールオプションの指定
Satellite Server は satellite-installer
インストールスクリプトを使用してインストールし、初期設定の一部として自動または手動で Satellite を設定します。
以下のいずれかの設定方法を選択します。
自動設定: この方法は、インストールスクリプトの実行時に応答ファイルを使用して設定プロセスを自動化することで実行します。応答ファイルとは、コマンドやスクリプトによって読み込まれるパラメーター一覧が含まれているファイルです。デフォルトの Satellite 応答ファイルは、
/etc/foreman-installer/scenarios.d/satellite-answers.yaml
です。使用する応答ファイルは、/etc/foreman-installer/scenarios.d/satellite.yaml
設定ファイル内のanswer_file
ディレクティブで設定します。応答ファイルを使用したインストールスクリプトによる初期設定の実行法は「応答ファイルを使用した初期設定の自動実行」を参照してください。
手動設定: 1 つ以上のコマンドオプションが含まれるインストールスクリプトを実行します。コマンドオプションは、対応するデフォルトの初期設定オプションを上書きし、Satellite 応答ファイルに記録されます。必要なオプションを設定するために、スクリプトは何回でも実行することができます。
コマンドラインオプションのあるインストールスクリプトによる初期設定の実行法は「手動による初期設定」を参照してください。
Satellite インストーラーの実行時に使用するオプションによっては、設定が完了するのに数分かかることがあります。管理者は、応答ファイルを見ることで、両方の方法でこれまでに使用されたオプションを確認できます。
3.3.3.1. 手動による初期設定
初期設定では、組織、場所、ユーザー名、およびパスワードが作成されます。初期設定後に、必要に応じて追加の組織と場所を作成できます。
インストールプロセスの完了には、数十分かかることがあります。システムにリモートで接続する場合は、リモートシステムから切断された場合にインストールの進捗を確認できるよう、通信セッションの一時中断または再接続を許可できる screen
などのユーティリティーの使用を検討してください。Red Hat ナレッジベースの記事「How to use the screen command」には screen
のインストールについて記載されています。詳細はscreen
の man ページを参照してください。インストールコマンドを実行しているシェルへの接続が切断された場合は、/var/log/foreman-installer/satellite.log
のログを参照してプロセスが正常に完了したかどうかを確認します。
Satellite Server の手動設定
satellite-installer --scenario satellite --help
コマンドを使用して利用可能なオプションとすべてのデフォルト値を表示します。値を指定しない場合は、デフォルト値が使用されます。
--foreman-initial-organization
オプションには、意味のある値を指定することが推奨されます。たとえば会社名を指定できます。値に一致する内部ラベルが作成されますが、このラベルは後で変更できません。値を指定しない場合は、ラベルが Default_Organization の Default Organization という名前の組織が作成されます。組織名は変更できますが、ラベルは変更できません。
デフォルトでは、インストーラーが設定するすべての設定ファイルが Puppet によって管理されます。satellite-installer
を実行すると、Puppet が管理するファイルに手動で加えられた変更が初期値で上書きされます。Satellite Server は、デフォルトでは、サービスとして実行している Puppet エージェントを使用してインストールされます。必要に応じて、--puppet-runmode=none
オプションを使用して、Satellite Server で Puppet エージェントを無効にできます。
DNS ファイルと DHCP ファイルを手動で管理する場合には、--foreman-proxy-dns-managed=false
オプションと --foreman-proxy-dhcp-managed=false
オプションを使用して、Puppet が各サービスに関連するファイルを管理しないようにします。他のサービスにカスタム設定を適用する方法は「付録C Red Hat Satellite へのカスタム設定の適用」を参照してください。
# satellite-installer --scenario satellite \ --foreman-initial-organization "initial_organization_name" \ --foreman-initial-location "initial_location_name" \ --foreman-admin-username admin_user_name \ --foreman-admin-password admin_password \ --foreman-proxy-dns-managed=false \ --foreman-proxy-dhcp-managed=false
スクリプトが正常に完了すると、以下の出力が表示されます。
Installing Done [100%] [..............................................] Success! * Satellite is running at https://rhel7-4-sat6-3.example.com Initial credentials are admin / changeme * To install an additional Capsule on separate machine continue by running: capsule-certs-generate --foreman-proxy-fqdn "$CAPSULE" --certs-tar "/root/$CAPSULE-certs.tar" The full log is at /var/log/foreman-installer/satellite.log
切断環境でインストールしている場合は、ISO イメージをアンマウントします。
# umount /media/sat6 # umount /media/rhel7-server
3.3.3.2. 応答ファイルを使用した初期設定の自動実行
応答ファイルを使用すると、カスタマイズされたオプションでインストールを自動化できます。最初の応答ファイルには、部分的に情報が入力されます。応答ファイルには、satellite-installer
の初回実行後に、インストール用の標準パラメーター値が入力されます。「手動による初期設定」 の記載通りに Satellite Server を既にインストールしている場合は、この方法を使用する必要ありません。ただし、この方法を使用していつでも Satellite Server の設定に変更を加えることはできます。
ネットワークの変更の場合は、可能な限り、IP アドレスの代わりに FQDN を使用する必要があります。
応答ファイルを使用した Satellite Server の自動設定
デフォルトの回答ファイル
/etc/foreman-installer/scenarios.d/satellite-answers.yaml
をローカルファイルシステムの場所にコピーします。# cp /etc/foreman-installer/scenarios.d/satellite-answers.yaml \ /etc/foreman-installer/scenarios.d/my-answer-file.yaml
-
設定可能なすべてのオプションを表示するには、
satellite-installer --scenario satellite --help
コマンドを実行します。 - 回答ファイルのコピーを開き、ご使用の環境に適した値を編集し、ファイルを保存します。
/etc/foreman-installer/scenarios.d/satellite.yaml
ファイルを開き、カスタム回答ファイルを参照する回答ファイルエントリーを編集します。:answer_file: /etc/foreman-installer/scenarios.d/my-answer-file.yaml
satellite-installer
スクリプトを実行します。# satellite-installer --scenario satellite
切断環境でインストールしている場合は、ISO イメージをアンマウントします。
# umount /media/sat6 # umount /media/rhel7-server
3.3.4. カスタマーポータルでサブスクリプション割り当ての作成
サブスクリプション情報は、Red Hat カスタマーポータルでアクセスできます。また、カスタマーポータルでは、subscription allocation を使用して、Red Hat Satellite サーバーなどのオンプレミス管理アプリケーションで使用するサブスクリプションを割り当てることができます。
- ブラウザーで https://access.redhat.com/ を開き、Red Hat アカウントでログインします。
- カスタマーポータルの左上にある サブスクリプション に移動します。
- サブスクリプション割り当て に移動します。
- 新規サブスクリプションの割り当てを作成 をクリックします。
- 名前 フィールドに名前を入力します。
- タイプ の一覧からお使いの Satellite Server に一致するタイプとバージョンを選択します。
- 作成 をクリックします。
3.3.5. 割り当てへのサブスクリプションの追加
以下の手順では、サブスクリプションを割り当てに追加する方法を説明します。
- サブスクリプション割り当て に移動します。
- 変更するサブスクリプションの名前を選択します。
- サブスクリプション タブをクリックします。
- サブスクリプションの追加 をクリックします。
- Red Hat 製品サブスクリプションの一覧が表示されます。各製品に対するエンタイトルメントの数量 を入力します。
- 送信 をクリックして割り当てを完了します。
割り当てにサブスクリプションを追加したら、マニフェストファイルをエクスポートします。
3.3.6. カスタマーポータルからのサブスクリプションマニフェストのエクスポート
少なくとも 1 つのサブスクリプションがあるサブスクリプション割り当てを表示する間に、以下のいずれかでマニフェストをエクスポートできます。
- サブスクリプション セクションの 詳細 タブから マニフェストのエクスポート ボタンをクリックします。
- サブスクリプション タブから マニフェストのエクスポート ボタンをクリックします。
マニフェストをエクスポートすると、カスタマーポータルにより、選択したサブスクリプション証明書がエンコードされ、.zip アーカイブが作成されます。作成した .zip アーカイブはサブスクリプションのマニフェストで、Satellite サーバーにアップロードできます。
3.3.6.1. Satellite Server へのサブスクリプションマニフェストのインポート
Red Hat Satellite 6 Web UI と CLI は、マニフェストをインポートする手段を提供します。
Web UI を使用する場合
- コンテキストが、使用する組織に設定されていることを確認します。
- コンテンツ > Red Hat サブスクリプション に移動します。
- マニフェストの管理 をクリックして、組織のマニフェストページを表示します。
- ファイルの選択 をクリックしてサブスクリプションマニフェストを選択し、アップロード をクリックします。
CLI を使用する場合
Red Hat Satellite 6 CLI を使用するには、マニフェストが Satellite Server 上にある必要があります。ローカルクライアントシステムで、マニフェストを Satellite Server にコピーします。
[user@client ~]$ scp ~/manifest_file.zip root@satellite.example.com:~/.
次に、以下のコマンドを使用してインポートします。
[root@satellite ~]# hammer subscription upload \ --file ~/manifest_file.zip \ --organization "organization_name"
数分後に、CLI により、正常なマニフェストのインポートが報告されます。
上記の手順を完了すると、リポジトリーを有効にして Red Hat コンテンツをインポートできるようになります。これは、後に続くいくつかの手順での前提条件になります。詳細は、『Red Hat Satellite コンテンツ管理ガイド』の「Red Hat コンテンツのインポート」を参照してください。
3.4. 追加設定の実行
3.4.1. Satellite Tools リポジトリーのインストール
Satellite Tools リポジトリーは、Satellite Server に登録されたクライアント向けの katello-agent
パッケージと puppet
パッケージを提供します。クライアントのリモートアップデートを許可するために、katello エージェントをインストールすることが推奨されます。Capsule Server のベースシステムは Satellite Server のクライアントであるため、katello エージェントもインストールする必要があります。
Satellite Tools リポジトリーのインストール手順:
- Satellite Web UI で、コンテンツ > Red Hat リポジトリー に移動し、RPM タブを選択します。
- Red Hat Enterprise Linux Server 項目を見つけ、展開します。
Red Hat Satellite Tools 6.3 (Red Hat Enterprise Linux 7 Server 用) (RPM) 項目を見つけ、展開します。
Red Hat Satellite Tools 6.3 項目が非表示の場合は、その項目がカスタマーポータルから取得したサブスクリプションマニフェストに含まれないことが原因である場合があります。この問題を修正するには、カスタマーポータルにログインし、これらのリポジトリーを追加し、サブスクリプションマニフェストをダウンロードして、Satellite にインポートします。
- Satellite 6.3 Tools リポジトリーの名前の横にある Enabled チェックボックスをオンにします。
ホストで実行している Red Hat Enterprise Linux の各サポート対象メジャーバージョンに対して Satellite Tools リポジトリーを有効にします。Red Hat リポジトリーの有効後に、このリポジトリーの製品が自動的に作成されます。
Satellite Tools リポジトリーの同期方法:
Content (コンテンツ) > Sync Status (同期ステータス) に移動します。
同期可能な製品リポジトリーのリストが表示されます。
- 製品コンテンツの横にある矢印をクリックして利用可能なコンテンツを表示します。
- 同期するコンテンツを選択します。
- Synchronize Now (今すぐ同期) をクリックします。
3.4.2. HTTP プロキシーを使用した Satellite Server の設定
ネットワークで HTTP プロキシーを使用している場合は、それを使用するように Satellite Server を設定できます。ネットワークの変更が原因で接続が失われるのを回避するために、可能な限り IP の代わりに FQDN を使用します。
http_proxy
、https_proxy
、およびno_proxy
の変数が設定されていないことを確認します。# export http_proxy="" # export https_proxy=$http_proxy # export no_proxy=$http_proxy
HTTP プロキシーオプションを使用して
satellite-installer
を実行します。# satellite-installer --scenario satellite \ --katello-proxy-url=http://myproxy.example.com \ --katello-proxy-port=8080 \ --katello-proxy-username=proxy_username \ --katello-proxy-password=proxy_password
Satellite Server が Red Hat Content Delivery Network (CDN) に接続し、リポジトリーを同期できることを確認します。
ネットワークゲートウェイと HTTP プロキシーで、以下のホスト名に対して TCP を有効にします。
ホスト名 ポート プロトコル subscription.rhsm.redhat.com
443
HTTPS
cdn.redhat.com
443
HTTPS
*.akamaiedge.net
443
HTTPS
cert-api.access.redhat.com (Red Hat Insights を使用している場合)
443
HTTPS
api.access.redhat.com (Red Hat Insights を使用している場合)
443
HTTPS
Satellite Server は、SSL で安全に Red Hat CDN と通信します。SSL インターセプトプロキシーを使用すると、この通信が妨害されます。これらのホストは、プロキシーでホワイトリスト化されている必要があります。
Red Hat CDN (cdn.redhat.com) で使用されている IP アドレスの一覧は、Red Hat カスタマーポータルのナレッジベース記事「Red Hat が公開している CIDR の一覧」を参照してください。
Satellite Server の
/etc/rhsm/rhsm.conf
ファイルで、以下の詳細を記入します。# an http proxy server to use (enter server FQDN) proxy_hostname = http_proxy.example.com # port for http proxy server proxy_port = 8080 # user name for authenticating to an http proxy, if needed proxy_user = # password for basic http proxy auth, if needed proxy_password =
SELinux を使用すると、Red Hat Satellite 6 と Red Hat Subscription Manager のアクセスが、特定ポートに限定されます。HTTP キャッシュの TCP ポートは、8080、8118、8123、および 10001 ~ 10010 になります。SELinux のタイプ
http_cache_port_t
がないポートを使用する場合は、以下のステップを行います。以下のコマンドを実行して、SELinux で HTTP キャッシュに許可されているポートを確認します。
# semanage port -l | grep http_cache http_cache_port_t tcp 8080, 8118, 8123, 10001-10010 [出力を省略]
以下のコマンドを実行して、SELinux が HTTP キャッシュにポート (たとえば、8088) を許可するよう設定します。
# semanage port -a -t http_cache_port_t -p tcp 8088
SELinux ポートの設定に関する詳細は「デフォルトの SELinux ポートの変更」を参照してください。
3.4.3. 管理対象ホスト上での電源管理の有効化
Satellite Server でベースボード管理コントローラー (BMC) を有効にすると、IPMI (Intelligent Platform Management Interface) または類似したプロトコルを使用して、管理対象ホストで電源管理コマンドを使用できます。
BMC サービスを使用すると、さまざまな電源管理タスクを実行できます。この機能の基礎となるプロトコルは IPMI です (BMC 機能とも呼ばれます)。IPMI は、ホストの CPU から独立して実行する専用プロセッサーに接続された管理対象ハードウェア上で、特別なネットワークインターフェースを使用します。多くのインスタンスで、BMC 機能はシャーシ管理の一部として、シャーシベースのシステムに組み込まれます (シャーシの専用モジュール)。
BMC サービスの詳細は『ホストの管理』の「追加のネットワークインターフェースの設定」を参照してください。
作業開始前の準備
- すべての管理対象ホストに BMC タイプのネットワークインターフェースが搭載されている必要があります。Satellite はこの NIC を使用して適切な認証情報をホストに渡します。
管理対象ホスト上での電源管理の有効化
オプションを使用してインストーラーを実行し、BMC を有効にします。
# satellite-installer --foreman-proxy-bmc "true" \ --foreman-proxy-bmc-default-provider "freeipmi"
3.4.4. Satellite Server で DNS、DHCP、および TFTP の設定
Satellite Server では、DNS、DHCP、および TFTP を設定できます。
外部サービスを設定する場合は、「5章外部サービスの設定」を参照してください。
これらのサービスを手動で管理するために Satellite でサービスを無効にする場合は、「管理対象外ネットワークに対して DNS、DHCP、および TFTP の無効化」 を参照してください。
設定可能な全オプションを表示するには、satellite-installer --scenario satellite --help
コマンドを実行します。
作業開始前の準備
- ネットワーク管理者に連絡して正しい設定が行われていることを確認します。
以下の情報を用意する必要があります。
- DHCP IP アドレス範囲
- DHCP ゲートウェイ IP アドレス
- DHCP ネームサーバー IP アドレス
- DNS 情報
- TFTP サーバー名
- ネットワークの変更の場合は、可能な限り、IP アドレスの代わりに FQDN を使用します。
タスクの情報は例です。ご使用の環境情報を使用してください。
Satellite Server での DNS、DHCP、および TFTP の設定
使用している環境に適切なオプションを使用して
satellite-installer
を実行します。# satellite-installer --scenario satellite \ --foreman-proxy-dns true \ --foreman-proxy-dns-interface eth0 \ --foreman-proxy-dns-zone example.com \ --foreman-proxy-dns-forwarders 172.17.13.1 \ --foreman-proxy-dns-reverse 13.17.172.in-addr.arpa \ --foreman-proxy-dhcp true \ --foreman-proxy-dhcp-interface eth0 \ --foreman-proxy-dhcp-range "172.17.13.100 172.17.13.150" \ --foreman-proxy-dhcp-gateway 172.17.13.1 \ --foreman-proxy-dhcp-nameservers 172.17.13.2 \ --foreman-proxy-tftp true \ --foreman-proxy-tftp-servername $(hostname)
インストールのステータスが表示されます。ユーザー名とパスワードはコマンド出力で参照できます。また、これらの情報は
/etc/foreman-installer/scenarios.d/satellite-answers.yaml
ファイルのadmin_password
パラメーターからも取得できます。Success! * Satellite is running at https://satellite.example.com Default credentials are 'admin:*******' * Capsule is running at https://satellite.example.com:9090 * To install additional capsule on separate machine continue by running: capsule-certs-generate --foreman-proxy-fqdn "$CAPSULE" --certs-tar "~/$CAPSULE-certs.tar" The full log is at /var/log/foreman-installer/satellite.log
設定を変更するには、satellite-installer を再び実行する必要があります。スクリプトは複数回実行でき、すべての設定ファイルが変更された値で更新されます。
3.4.5. 管理対象外ネットワークに対して DNS、DHCP、および TFTP の無効化
Satellite 6 は、Satellite の内部または外部 Capsule で実行されている TFTP、DHCP、および DNS ネットワークサービス向けの完全な管理機能を提供します。これらのサービスを手動で管理、または外部の手段を使用する場合、Satellite 6 はそれらと直接統合できません。Foreman Hooks を使用してカスタム統合スクリプトを開発できる一方で (新しいホストの作成後の DNS レコードの作成など) 、DHCP と DNS の検証エラーを回避するためにこの統合 (オーケストレーションとも呼ばれます) は無効にする必要があります。
- Web UI で、インフラストラクチャー > サブネット に移動し、サブネットを選択します。
- Capsules (カプセル) タブで、ドロップダウンリストを None (なし) に設定して、関連付けられている DHCP Capsule または TFTP Capsule がないことを確認します。
正引きレコードオーケストレーションを無効にします。
- インフラストラクチャー > ドメイン に移動し、ドメインを選択します。
- Domain (ドメイン) タブで、DNS Capsule (DNS カプセル) ドロップダウンリストを None (なし) に設定します。
逆引き (PTR) レコードオーケストレーションを無効にします。
- インフラストラクチャー > Subnets (サブネット) に移動し、サブネットを選択します。
- Capsules (カプセル) タブで、Reverse DNS Capsule (逆引き DNS カプセル) ドロップダウンリストを None (なし) に設定します。
オプション: サードパーティーが提供する DHCP サービスを使用する場合は、以下のオプションを渡すように DHCP サーバーを設定します。
Option 66: IP_address_of_Satellite_or_Capsule Option 67: /pxelinux.0
DHCP オプションの詳細は「RFC 2132」を参照してください。
Satellite 6 は、Capsule が該当するサブネットとドメインに設定されていない場合にオーケストレーションを実行しません。Capsule の関連付けを有効または無効にした場合に、期待されるレコードと設定ファイルが存在しないと、既存のホストのオーケストレーションコマンドが失敗することがあります。オーケストレーションを有効にするために Capsule を関連付ける場合は、将来ホストの削除に失敗することを回避するために、既存の Satellite 6 管理対象ホストに対して必要な DHCP レコード、DNS レコード、TFTP ファイルが所定の場所にあることを確認します。
3.4.6. Satellite Server で送信メールの設定
Satellite Server からメールメッセージを送信するには、SMTP サーバーまたは sendmail
コマンドのいずれかを使用できます。
前提条件
前回のリリースからアップグレードしている場合は、設定ファイル /usr/share/foreman/config/email.yaml
の名前を変更するか削除して、httpd
サービスを再起動してください。例を示します。
# mv /usr/share/foreman/config/email.yaml \ /usr/share/foreman/config/email.yaml-backup # systemctl restart httpd
Satellite Server で送信メールの設定
-
Satellite web UI で、管理
設定 に移動します。 Email タブをクリックして、希望する配信方法に一致する設定オプションを設定します。変更は即座に反映されます。
以下の例は、SMTP サーバーを使用する場合の設定オプションの例を示しています。
表3.1 配信方法に SMTP サーバーを使用する例 名前 値の例 配信方法
SMTP
SMTP アドレス
smtp.example.com
SMTP 認証
ログイン
SMTP HELO/EHLO ドメイン
example.com
SMTP パスワード
パスワード
SMTP ポート
25
SMTP ユーザー名
satellite@example.com
SMTP ユーザー名
とSMTP パスワード
では、SMTP サーバーのログイン認証情報を指定します。以下の例では、gmail.com が SMTP サーバーとして使用されています。
表3.2 gmail.com を SMTP サーバーとして使用する例 名前 値の例 配信方法
SMTP
SMTP アドレス
smtp.gmail.com
SMTP 認証
plain
SMTP HELO/EHLO ドメイン
smtp.gmail.com
SMTP enable StartTLS auto
あり
SMTP パスワード
パスワード
SMTP ポート
587
SMTP ユーザー名
user@gmail.com
以下の例では、
sendmail
コマンドが配信方法として使用されています。表3.3 配信方法に sendmail を使用する例 名前 値の例 配信方法
Sendmail
Sendmail の引数
-i -t -G
Sendmail の引数
では、sendmail
コマンドに渡すオプションを指定します。デフォルト値は、-i -t
です。詳細は、sendmail 1 の man ページを参照してください。
TLS 認証を使用する SMTP サーバーで電子メールを送信する場合は、以下のいずれかの手順を実行してください。
SMTP サーバーの CA 証明書を信頼済みとしてマークします。このようにマークするには、Satellite Server で以下のコマンドを実行します。
# cp mailca.crt /etc/pki/ca-trust/source/anchors/ # update-ca-trust enable # update-ca-trust
ここで、
mailca.crt
は SMTP サーバーの CA 証明書です。-
別の方法では、web UI の
SMTP enable StartTLS auto
オプションをNo
に設定します。
-
Test email をクリックしてユーザーのメールアドレスにテストメッセージを送信し、設定が機能していることを確認します。メッセージの送信に失敗する場合は、web UI でエラーが表示されます。詳細については、
/var/log/foreman/production.log
のログを確認してください。
個々のユーザーまたはユーザーグループに対する電子メール通知の設定は、『Red Hat Satellite の管理』の 「電子メール通知の設定」 を参照してください。
3.4.7. カスタムサーバー証明書を使用した Satellite Server の設定
SSL 証明書は、情報を保護し、通信を安全にするために使用されます。Red Hat Satellite 6 は自己署名 SSL 証明書を作成し、Satellite Server、外部の Capsule Server、およびすべてのホスト間で暗号化された通信を有効します。必要に応じて、デフォルト証明書をカスタム証明書に置き換えることができます。これらの自己署名証明書を使用する代わりに、外部の信頼できる企業である認証局が発行したカスタム SSL 証明書をインストールすることもできます。たとえば、会社のセキュリティーポリシーで、認証局から SSL 証明書を取得することが規定されている場合があります。証明書を取得するには、「Satellite Server 向けの SSL 証明書を取得」 にあるように Certificate Signing Request を作成して認証局に送信します。すると、署名済み SSL 証明書が送られてきます。
この手順を実行する前に、Satellite Server とすべての外部 Capsule Server 向けのカスタム SSL 証明書を取得します。
Satellite サーバーでカスタム証明書を使用するには、これらの手順を完了します。
外部 Capsule サーバーがある場合は、「カスタムサーバー証明書を使用した Capsule Server の設定」 の手順も完了する必要があります。
3.4.7.1. Satellite Server 向けの SSL 証明書を取得
SSL 証明書には、PEM エンコードのみを使用してください。
Satellite Server 向けのカスタム SSL 証明書がすでにある場合は、この手順を省略します。
root
ユーザーのみがアクセスできる、すべてのソース証明書ファイルを含むディレクトリーを作成します。これらの例では、ディレクトリーは
/root/sat_cert
です。# mkdir
/root/sat_cert
# cd/root/sat_cert
Certificate Signing Request (CSR) を署名する秘密鍵を作成します。
注記Satellite Server 向けの秘密鍵がすでにある場合は、この手順を省略します。
# openssl genrsa -out
/root/sat_cert/satellite_cert_key.pem
4096Certificate Signing Request (CSR) の作成
Certificate Signing Request は、証明書を要求しているサーバーの詳細を含むテキストファイルです。このコマンドを使用する場合は、(前の手順で出力された) 秘密鍵を提供し、Satellite Server に関するいくつかの質問に答えます。その結果、Certificate Signing Request が作成されます。
注記証明書の Common Name (CN) は、証明書が使用されるサーバーの完全修飾ドメイン名 (FQDN) に一致する必要があります。Satellite サーバー向けの証明書を要求している場合、これは Satellite サーバーの FQDN です。Capsule サーバー向けの証明書を要求している場合、これは Capsule サーバーの FQDN です。
サーバーの FQDN を確認するには、該当するサーバーでコマンド
hostname -f
を実行します。# openssl req -new \ -key /root/sat_cert/satellite_cert_key.pem \ 1 -out /root/sat_cert/satellite_cert_csr.pem 2
Certificate Signing Request セッションの例
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. Country Name (2 letter code) [XX]:AU State or Province Name (full name) []:Queensland Locality Name (eg, city) [Default City]:Brisbane Organization Name (eg, company) [Default Company Ltd]:Example Organizational Unit Name (eg, section) []:Sales Common Name (eg, your name or your server's hostname) []:satellite.example.com Email Address []:example@example.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:password An optional company name []:Example
証明書要求を認証局に送信します。
要求を送信する場合は、証明書のライフスパンを指定する必要があります。証明書要求を送信する方法は異なるため、推奨される方法について認証局にお問い合わせください。要求に対する応答で、認証局バンドルと署名済み証明書を別々のファイルで受け取ることになります。
3.4.7.2. Satellite Server の SSL 証明書の検証
以下の例のように、必要なパラメーターを使用して katello-certs-check
コマンドを入力します。これにより、カスタム証明書に必要な入力ファイルが検証され、これらを Satellite サーバー、すべての Capsule サーバー、および Satellite で管理されているホストにインストールするために必要なコマンドが出力されます。
カスタム SSL 証明書入力ファイルを検証します。ファイルに一致するようファイル名を変更します。
# katello-certs-check \ -c /root/sat_cert/satellite_cert.pem \ 1 -k /root/sat_cert/satellite_cert_key.pem \ 2 -r /root/sat_cert/satellite_cert_csr.pem \ 3 -b /root/sat_cert/ca_cert_bundle.pem 4
katello-certs-check
の出力例
Checking expiration of certificate: [OK] Checking expiration of CA bundle: [OK] Validating the certificate subject= /C=AU/ST=Queensland/L=Brisbane/O=Example/OU=Sales/CN=satellite.example.com/emailAddress=example@example.com Checking to see if the private key matches the certificate: [OK] Checking ca bundle against the cert file: [OK] Checking for non ascii characters[OK] Validation succeeded. To install the Satellite server with the following custom certificates, run: satellite-installer --scenario satellite\ --certs-server-cert "/root/sat_cert/satellite_cert.pem"\ --certs-server-cert-req "/root/sat_cert/satellite_cert_csr.pem"\ --certs-server-key "/root/sat_cert/satellite_cert_key.pem"\ --certs-server-ca-cert "/root/sat_cert/ca_cert_bundle.pem" To update the certificates on a currently running Satellite installation, run: satellite-installer --scenario satellite\ --certs-server-cert "/root/sat_cert/satellite_cert.pem"\ --certs-server-cert-req "/root/sat_cert/satellite_cert_csr.pem"\ --certs-server-key "/root/sat_cert/satellite_cert_key.pem"\ --certs-server-ca-cert "/root/sat_cert/ca_cert_bundle.pem"\ --certs-update-server --certs-update-server-ca To use them inside a NEW $CAPSULE, run this command: capsule-certs-generate --foreman-proxy-fqdn "$CAPSULE"\ --certs-tar "~/$CAPSULE-certs.tar"\ --server-cert "/root/sat_cert/satellite_cert.pem"\ --server-cert-req "/root/sat_cert/satellite_cert_csr.pem"\ --server-key "/root/sat_cert/satellite_cert_key.pem"\ --server-ca-cert "/root/sat_cert/ca_cert_bundle.pem"\ To use them inside an EXISTING $CAPSULE, run this command INSTEAD: capsule-certs-generate --foreman-proxy-fqdn "$CAPSULE"\ --certs-tar "~/$CAPSULE-certs.tar"\ --server-cert "/root/sat_cert/satellite_cert.pem"\ --server-cert-req "/root/sat_cert/satellite_cert_csr.pem"\ --server-key "/root/sat_cert/satellite_cert_key.pem"\ --server-ca-cert "/root/sat_cert/ca_cert_bundle.pem"\ --certs-update-server
3.4.7.3. カスタム証明書パラメーターを使用した Satellite インストーラーの実行
この時点で SSL 証明書が作成され、Red Hat Satellite 6 で使用できることが確認されました。次の手順は、カスタム SSL 証明書を Satellite Server とそのすべてのホストにインストールすることです。
この手順は、Satellite Server がすでにインストールされているかどうかに応じて、少し異なります。Satellite Server が すでに インストールされている場合は、既存の証明書を証明書アーカイブの証明書で更新する必要があります。
このセクションのコマンドは、「Satellite Server の SSL 証明書の検証」 で説明されたように katello-certs-check
コマンドの出力を使用します。katello-certs-check
の出力は、ターミナルにコピーアンドペーストできます。
インストールの状況に応じて、
satellite-installer
コマンドを実行します。Satellite がすでにインストールされている場合は、Satellite サーバーで以下のコマンドを実行します。
# satellite-installer --scenario satellite \ --certs-server-cert /root/sat_cert/satellite_cert.pem \ --certs-server-cert-req /root/sat_cert/satellite_cert_csr.pem \ --certs-server-key /root/sat_cert/satellite_cert_key.pem \ --certs-server-ca-cert /root/sat_cert/ca_cert_bundle.pem \ --certs-update-server --certs-update-server-ca
このコマンドの重要なパラメーターは
--certs-update-server
と--certs-update-server-ca
です。これにより、サーバーの SSL 証明書と認証局を更新するよう指定されます。すべてのインストーラーのパラメーターの簡単な説明は、satellite-installer --scenario satellite --help
コマンドを実行します。注記satellite-installer
コマンドにおけるファイルはすべて、相対パス名ではなく完全パス名を使用します。インストーラーにより、すべてのファイルのパスと名前が記録されます。インストーラーを異なるディレクトリーから再び実行する場合は、元のファイルを見つけることができないため、失敗します。Satellite を まだインストールしていない 場合は、Satellite Server で以下のコマンドを実行します。
# satellite-installer --scenario satellite \ --certs-server-cert /root/sat_cert/satellite_cert.pem \ --certs-server-cert-req /root/sat_cert/satellite_cert_csr.pem \ --certs-server-key /root/sat_cert/satellite_cert_key.pem \ --certs-server-ca-cert /root/sat_cert/ca_cert_bundle.pem
注記satellite-installer
コマンドにおけるファイルはすべて、相対パス名ではなく完全パス名を使用します。インストーラーにより、すべてのファイルのパスと名前が記録されます。インストーラーを異なるディレクトリーから再び実行する場合は、元のファイルを見つけることができないため、失敗します。
-
証明書をホストにインストールする前に証明書が Satellite サーバーに正常にインストールされていることを確認します。Satellite サーバーへのネットワークアクセスがあるコンピューターで、Web ブラウザーを起動し、URL
https://satellite.example.com
に移動して、証明書の詳細を参照します。
3.4.7.4. Satellite Server に接続されたすべてのホストへの新しい証明書のインストール
カスタム SSL 証明書が Satellite サーバーにインストールされたので、Satellite サーバーに登録されている各ホストにもインストールする必要があります。すべての該当するホストで以下のコマンドを実行します。
ホスト上で現行の
katello-ca-consumer
パッケージを削除します。# yum remove 'katello-ca-consumer*'
ホストにカスタム SSL 証明書をインストールします。
# yum localinstall http://satellite.example.com/pub/katello-ca-consumer-latest.noarch.rpm
3.4.8. mongod へのアクセスの制限
データ損失の危険を減らすために、MongoDB データベースデーモン mongod
へのアクセスは apache
ユーザーと root
ユーザーにだけ許可する必要があります。
Satellite Server と Capsule Server で mongod
へのアクセスを制限するには、以下のコマンドを使用します。
ファイヤーウォールを設定します。
# firewall-cmd --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p \ tcp -m tcp --dport 27017 -m owner --uid-owner apache -j ACCEPT \ && firewall-cmd --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p \ tcp -m tcp --dport 27017 -m owner --uid-owner apache -j ACCEPT \ && firewall-cmd --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p \ tcp -m tcp --dport 27017 -m owner --uid-owner root -j ACCEPT \ && firewall-cmd --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p \ tcp -m tcp --dport 27017 -m owner --uid-owner root -j ACCEPT \ && firewall-cmd --direct --add-rule ipv4 filter OUTPUT 1 -o lo -p \ tcp -m tcp --dport 27017 -j DROP \ && firewall-cmd --direct --add-rule ipv6 filter OUTPUT 1 -o lo -p \ tcp -m tcp --dport 27017 -j DROP \ && firewall-cmd --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p \ tcp -m tcp --dport 28017 -m owner --uid-owner apache -j ACCEPT \ && firewall-cmd --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p \ tcp -m tcp --dport 28017 -m owner --uid-owner apache -j ACCEPT \ && firewall-cmd --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p \ tcp -m tcp --dport 28017 -m owner --uid-owner root -j ACCEPT \ && firewall-cmd --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p \ tcp -m tcp --dport 28017 -m owner --uid-owner root -j ACCEPT \ && firewall-cmd --direct --add-rule ipv4 filter OUTPUT 1 -o lo -p \ tcp -m tcp --dport 28017 -j DROP \ && firewall-cmd --direct --add-rule ipv6 filter OUTPUT 1 -o lo -p \ tcp -m tcp --dport 28017 -j DROP
--permanent
オプションを追加してコマンドを繰り返し、設定を永続化します。# firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 \ -o lo -p tcp -m tcp --dport 27017 -m owner \ --uid-owner apache -j ACCEPT \ && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 \ -o lo -p tcp -m tcp --dport 27017 -m owner \ --uid-owner apache -j ACCEPT \ && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 \ -o lo -p tcp -m tcp --dport 27017 -m owner \ --uid-owner root -j ACCEPT \ && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 \ -o lo -p tcp -m tcp --dport 27017 -m owner \ --uid-owner root -j ACCEPT \ && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 \ -o lo -p tcp -m tcp --dport 27017 -j DROP \ && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 1 \ -o lo -p tcp -m tcp --dport 27017 -j DROP \ && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 \ -o lo -p tcp -m tcp --dport 28017 -m owner \ --uid-owner apache -j ACCEPT \ && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 \ -o lo -p tcp -m tcp --dport 28017 -m owner \ --uid-owner apache -j ACCEPT \ && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 \ -o lo -p tcp -m tcp --dport 28017 -m owner \ --uid-owner root -j ACCEPT \ && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 0 \ -o lo -p tcp -m tcp --dport 28017 -m owner \ --uid-owner root -j ACCEPT \ && firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 \ -o lo -p tcp -m tcp --dport 28017 -j DROP \ && firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT 1 \ -o lo -p tcp -m tcp --dport 28017 -j DROP