第1章 インストールのための環境準備
1.1. システム要件
ネットワーク接続されたベースシステムには、以下の要件が適用されます。
- x86_64 アーキテクチャー
- Red Hat Enterprise Linux 7 Server の最新バージョン
- 最低 4 コア 2.0 GHz CPU
- Capsule Server が機能するには、最低 12 GB のメモリーが必要です。また、最低 4 GB のスワップ領域が推奨されます。最低値よりも少ないメモリーで実行している Capsule は正常に動作しないことがあります。
- 一意なホスト名 (小文字、数字、ドット (.)、ハイフン (-) を使用できます)
- 現在の Red Hat Satellite サブスクリプション
- 管理ユーザー (root) アクセス
- システム umask 0022
- 完全修飾ドメイン名を使用した完全な正引きおよび逆引きの DNS 解決
Capsule Server をインストールする前に、環境がインストール要件を満たしていることを確認する必要があります。
Capsule Server は、新たにプロビジョニングしたシステムにインストールしておく。このシステムは、Capsule Server を実行するためだけに使用するようにします。Capsule Server が作成するローカルのユーザーとの競合を回避するため、新たにプロビジョニングしたシステムには、外部アイデンティティープロバイダーで設定した、以下のユーザーを使用しないようにしてください。
- postgres
- mongodb
- apache
- tomcat
- foreman
- foreman-proxy
- qpidd
- qdrouterd
- squid
- puppet
Red Hat Satellite Server と Capsule Server のバージョンは同じでなければなりません。たとえば、Satellite 6.2 Server は 6.6 Capsule Server を実行できず、Satellite 6.6 Server は 6.2 Capsule Server を実行できません。Satellite Server と Capsule Server のバージョンが一致しないと、警告なしで Capsule Server が失敗します。
Capsule Server のスケーリングの詳細については、「Capsule Server のスケーラビリティーに関する考慮事項」を参照してください。
認定ハイパーバイザー
Capsule server は、Red Hat Enterprise Linux の実行をサポートするハイパーバイザーで稼働する物理システムおよび仮想マシン両方を完全にサポートしています。認定ハイパーバイザーに関する詳細は、「Red Hat Enterprise Linux の実行が認定されているハイパーバイザー 」を参照してください。
FIPS モード
FIPS モードで稼働する Red Hat Enterprise Linux システムに、Capsule Server をインストールできます。詳細は、『Red Hat Enterprise Linux セキュリティーガイド』の「FIPS モードの有効化」を参照してください。
1.2. ストレージ要件
以下の表には、特定のディレクトリーのストレージ要件が詳細に記載されています。これらの値は、想定のユースケースシナリオに基づいており、個別の環境に応じて異なることがあります。
ランタイムサイズは Red Hat Enterprise Linux 6、7、および 8 のリポジトリーと同期して測定されました。
ディレクトリー | インストールサイズ | ランタイムサイズ |
---|---|---|
/var/cache/pulp/ |
1M バイト |
20 GB (最小) |
/var/lib/pulp/ |
1 MB |
300 GB |
/var/lib/mongodb/ |
3.5 GB |
50 GB |
/opt |
500 MB |
適用外 |
1.3. ストレージのガイドライン
Capsule Server をインストールして効率性を向上する場合には、以下のガイドラインを考慮してください。
-
Capsule Server データの多くは
/var
ディレクトリーに格納されるため、LVM ストレージに/var
をマウントして、システムがスケーリングできるようにしてください。 -
/var/lib/pulp/
ディレクトリーと/var/lib/mongodb/
ディレクトリーには、ハードディスクドライブ (HDD) ではなく、帯域幅が高く、レーテンシーの低いストレージおよび SSD (ソリッドステートドライブ) を使用するようにしてください。Red Hat Satellite には I/O を大量に使用する操作が多数あるため、高レイテンシーで低帯域幅のストレージを使用すると、パフォーマンス低下の問題が発生します。インストールに、毎秒 60 - 80 メガバイトのスピードがあることを確認してください。fio
ツールを使用すると、このデータが取得できます。fio
ツールの詳細な使用方法は、Red Hat ナレッジベースのソリューション「Impact of Disk Speed on Satellite 6 Operations」を参照してください。 -
/var/lib/qpidd/
ディレクトリーでは、goferd
サービスが管理するコンテンツホスト 1 つに対して使用される容量は 2 MB を少し超えます。たとえば、コンテンツホストの数が 10,000 個の場合、/var/lib/qpidd/
に 20 GB のディスク容量が必要になります。 -
/var/cache/pulp/
と/var/lib/pulp/
ディレクトリーに同じボリュームを使用することで、同期後に/var/cache/pulp/
から/var/lib/pulp/
にコンテンツを移動する時間を短縮できます。
ファイルシステムのガイドライン
-
XFS ファイルシステムは、
ext4
では存在する inode の制限がないため、Red Hat Satellite 6 では XFS ファイルシステムを使用してください。Capsule Server は多くのシンボリックリンクを使用するため、ext4
とデフォルトの数の inode を使用する場合は、システムで inode が足りなくなる可能性が高くなります。 -
MongoDB は従来の I/O を使用してデータファイルにアクセスしないので、MogoDB では NFS を使用しないでください。また、NFS でデータファイルとジャーナルファイルの両方がホストされている場合にはパフォーマンスの問題が発生します。NFS を使用する必要がある場合は、
/etc/fstab
ファイルでbg
、nolock
、およびnoatime
のオプションを使用してボリュームをマウントします。 - Pulp データストレージに NFS を使用しないでください。Pulp に NFS を使用すると、コンテンツの同期のパフォーマンスが低下します。
- 入出力レイテンシーが高すぎるため、GFS2 ファイルシステムは使用しないでください。
NFS マウントを使用する場合の SELinux の考慮事項
NFS 共有を使用して /var/lib/pulp
ディレクトリーをマウントすると、SELinux は同期プロセスをブロックします。これを避けるには、以下の行を /etc/fstab
に追加して、ファイルシステムテーブル内の /var/lib/pulp
ディレクトリーの SELinux コンテキストを指定します。
nfs.example.com:/nfsshare /var/lib/pulp/content nfs context="system_u:object_r:httpd_sys_rw_content_t:s0" 1 2
NFS 共有が既にマウントされている場合は、上記の方法を使用して再マウントし、以下のコマンドを入力します。
# chcon -R system_u:object_r:httpd_sys_rw_content_t:s0 /var/lib/pulp
重複パッケージ
異なるリポジトリーで重複するパッケージは、ディスク上に一度しか格納されないため、重複するパッケージを含む追加リポジトリーで必要なストレージが少なくて済みます。ストレージの多くは、/var/lib/mongodb/
ディレクトリーおよび /var/lib/pulp/
ディレクトリーに使用されます。これらのエンドポイントは手動で設定できません。ストレージの問題を回避するために、ストレージが /var
ファイルシステムで利用可能であることを確認してください。
一時的なストレージ
/var/cache/pulp/
ディレクトリーは、同期中にコンテンツを一時的に保管するために使用されます。RPM 形式のコンテンツの場合、このディレクトリーには保管されるファイルは最大 5 RPM になります。各ファイルは、同期後に /var/lib/pulp/
ディレクトリーに移動します。デフォルトでは、同時に最大 8 個の RPM コンテンツ同期タスクを実行でき、それぞれに対して最大 1 GB のメタデータが使用されます。
ISO イメージ
ISO 形式のコンテンツについては、同期タスクごとに ISO ファイルはすべて、タスクが完了するまで /var/cache/pulp/
に保存されます。タスクが完了すると /var/lib/pulp/
ディレクトリーに移動します。
インストールや更新に ISO イメージを使用する予定の場合には、外部ストレージを提供するか、ISO ファイルを一時的に保存するために /var/tmp
に領域を空けるようにする必要があります。
たとえば、4 つの ISO ファイル (それぞれのサイズが 4 GB) を同期している場合は、/var/cache/pulp/
ディレクトリーに合計 16 GB 必要になります。これらのファイルに必要な一時ディスク容量は通常 RPM コンテンツのサイズを超えるので、同期する ISO ファイルの数を考慮してください。
ソフトウェアコレクション
ソフトウェアコレクションは、/opt/rh/
ディレクトリーと /opt/theforeman/
ディレクトリーにインストールされます。
/opt
ディレクトリーへのインストールには、root ユーザーによる書き込みパーミッションおよび実行パーミッションが必要です。
シンボリックリンク
/var/lib/pulp/
および /var/lib/mongodb/
にはシンボリックリンクは使用できません。
ログのストレージ
ログファイルは、/var/log/messages/
、/var/log/httpd/
、および /var/lib/foreman-proxy/openscap/content/
の場所で確認できます。ログファイルのサイズを管理するには、logrotate 設定ファイルを使用します。詳細は、Red Hat Enterprise Linux 7 『システム管理者のガイド』の「ログローテーション」 を参照してください。
1.4. サポート対象オペレーティングシステム
オペレーティングシステムは、ディスク、ローカル ISO イメージ、キックスタート、または Red Hat がサポートする方法であれば他の方法でもインストールできます。Red Hat Capsule Server は、Capsule Server 6.6 のインストール時に入手可能な Red Hat Enterprise Linux 7 Server の最新バージョンでのみサポートされています。EUS または z-stream など、以前の Red Hat Enterprise Linux バージョンはサポートされません。
Red Hat Capsule Server には、@Base
パッケージグループを含む Red Hat Enterprise Linux インストールが必要です。他のパッケージセットの変更や、サーバーの運用に直接必要でないサードパーティーの構成やソフトウェアは含めないようにしてください。機能強化や Red Hat 以外のセキュリティーソフトウェアもこの制限に含まれます。インフラストラクチャーにこのようなソフトウェアが必要な場合は、Capsule Server が完全に機能することを最初に確認し、その後でシステムのバックアップを作成して、Red Hat 以外のソフトウェアを追加します。
新たにプロビジョニングされたシステムで、Capsule Server をインストールし、Capsule Server は Red Hat コンテンツ配信ネットワーク (CDN) に登録しないでください。Red Hat は、Capsule Server 以外を実行するシステムの使用はサポートしません。
1.5. ポートとファイアウォールの要件
Satellite アーキテクチャーのコンポーネントで通信を行うには、ベースオペレーティングシステム上で、必要なネットワークポートが開放/解放されているようにしてください。また、ネットワークベースのファイアウォールでも、必要なネットワークポートを開放する必要があります。
Satellite Server と Capsule Server の間のポートがインストール開始前に開放されていない場合には、Capsule Server のインストールに失敗します。
この情報を使用して、ネットワークベースのファイアウォールを設定してください。クラウドソリューションによっては、ネットワークベースのファイアウォールと同様にマシンが分離されるので、特にマシン間の通信ができるように設定する必要があります。アプリケーションベースのファイアウォールを使用する場合には、アプリケーションベースのファイアウォールで、テーブルに記載のアプリケーションすべてを許可して、ファイアウォールに既知の状態にするようにしてください。可能であれば、アプリケーションのチェックを無効にして、プロトコルをベースにポートの通信を開放できるようにしてください。
統合 Capsule
Satellite Server には Capsule が統合されており、Satellite Server に直接接続されたホストは、以下のセクションのコンテキストでは Satellite のクライアントになります。これには、Capsule Server が実行されているベースシステムが含まれます。
Capsule のクライアント
Satellite と統合された Capsule ではなく、Capsule のクライアントであるホストには、Satellite Server へのアクセスが必要ありません。Satellite トポロジーの詳細は『Red Hat Satellite 6 のプランニング』の「Capsule ネットワーク」を参照してください。
使用している設定に応じて、必要なポートは変わることがあります。
ポートのマトリックス表は、Red Hat ナレッジベースソリューションの「Red Hat Satellite 6.6 List of Network Ports」を参照してください。
以下の表は、宛先ポートとネットワークトラフィックの方向を示しています。
ポート | プロトコル | サービス | 用途 |
---|---|---|---|
5646 |
TCP |
AMQP |
Capsule の Qpid ディスパッチルーターから Satellite の Qpid ディスパッチルーターへの通信 |
ポート | プロトコル | サービス | 用途 |
---|---|---|---|
80 |
TCP |
HTTP |
Anaconda、yum、および Katello 証明書アップデートの取得向け |
443 |
TCP |
HTTPS |
Anaconda、yum、Telemetry サービス、および Puppet |
5647 |
TCP |
AMQP |
Capsule の Qpid ディスパッチルータと通信する Katello エージェント |
8000 |
TCP |
HTTPS |
キックスタートテンプレートをホストにダウンロードする Anaconda、iPXE ファームウェアのダウンロード向け |
8140 |
TCP |
HTTPS |
マスター接続に対する Puppet エージェント |
8443 |
TCP |
HTTPS |
サブスクリプション管理サービスおよび Telemetry サービス |
9090 |
TCP |
HTTPS |
Capsule のスマートプロキシーへの SCAP レポートの送信、プロビジョニング中の検出イメージ向け |
53 |
TCP および UDP |
DNS |
Capsule の DNS サービスに問い合わせるクライアント DNS (オプション) |
67 |
UDP |
DHCP |
Capsule ブロードキャストと、Capsule からプロビジョニングするクライアントに対する DHCP ブロードキャストを行うクライアント (オプション) |
69 |
UDP |
TFTP |
プロビジョニングのために Capsule から PXE ブートイメージファイルをダウンロードするクライアント (オプション) |
5000 |
TCP |
HTTPS |
Docker レジストリーのための Katello への接続 (オプション) |
ポート | プロトコル | サービス | 用途 |
---|---|---|---|
7 |
TCP および UDP |
ICMP |
DHCP Capsule からクライアントネットワークへ、IP アドレスが空きであることを確認するために ICMP ECHO を送信 (オプション) |
68 |
UDP |
DHCP |
クライアントブロードキャストと、Capsule からプロビジョニングするクライアントに対する DHCP ブロードキャストを行うクライアント (オプション) |
8443 |
TCP |
HTTP |
プロビジョニング中に検出済みホストに送信する Capsule からクライアントへの "reboot" コマンド (オプション) |
Satellite Server に直接接続された管理対象ホストは、統合された Capsule のクライアントとなるため、このコンテキストではクライアントになります。これには、Capsule Server が稼働しているベースシステムが含まれます。
ポート | プロトコル | サービス | 用途 |
---|---|---|---|
22 |
TCP |
SSH |
Remote Execution (Rex) および Ansible 向けの Satellite および Capsule からの通信 |
7911 |
TCP |
DHCP |
|
DHCP Capsule は ICMP ECHO を送信して、IP アドレスが空であることを確認します。応答なし などが返されるはずです。ICMP はネットワークベースのファイアウォールで切断される場合がありますが、どのような 応答でも IP アドレスの割り当てが妨げられます。
1.6. Capsule Server から Satellite Server への接続の有効化
Satellite Server で、Capsule Server から Satellite Server に対する受信接続を有効にして、再起動後にもルールが保持されるようにする必要があります。
前提条件
- Capsule Server は Satellite Server のクライアントであるため、クライアント が Satellite と通信できるように、Satellite Server でファイアウォールルールが有効にされていること。詳細は、『オンラインネットワークからの Satellite Server のインストール』の「クライアントから Satellite Server への接続の有効化」を参照してください。
手順
Satellite Server で、次のコマンドを入力して Capsule から Satellite への通信に使用するポートを開放します。
# firewall-cmd --add-port="5646/tcp"
変更を永続化します。
# firewall-cmd --runtime-to-permanent
1.7. Satellite Server およびクライアントから Capsule Server への接続の有効化
Capsule のインストール先のベースオペレーティングシステムで、Satellite Server およびクライアントから Capsule Server への受信接続を有効にして、再起動後にもこれらのルールが維持されるようにします。
手順
Capsule のインストール先のベースオペレーティングシステムで、次のコマンドを入力して、Satellite Server およびクライアントから Capsule Server への通信に使用するポートを開放します。
# firewall-cmd --add-port="53/udp" --add-port="53/tcp" \ --add-port="67/udp" --add-port="69/udp" \ --add-port="80/tcp" --add-port="443/tcp" \ --add-port="5000/tcp" --add-port="5647/tcp" \ --add-port="8000/tcp" --add-port="8140/tcp" \ --add-port="8443/tcp" --add-port="9090/tcp"
変更を永続化します。
# firewall-cmd --runtime-to-permanent
1.8. ファイアウォール設定の確認
この手順を使用して、ファイアウォール設定への変更を検証します。
手順
ファイアウォールの設定を検証するには、以下の手順を実行します。
以下のコマンドを実行します。
# firewall-cmd --list-all
詳細情報は、『Red Hat Enterprise Linux 7 セキュリティーガイド』の「firewalld の概要」を参照してください。