オフラインネットワークからの Satellite Server のインストール

Red Hat Satellite 6.7

オフラインネットワークからの Red Hat Satellite Server のインストール

概要

本書では、オフラインネットワークから Red Hat Satellite Server のインストール方法、初期設定の実行方法、および外部サービスの設定方法を説明します。

第1章インストールのための環境準備
リンクのコピー

Satellite をインストールする前に、環境が以下の要件を満たしていることを確認する必要があります。

1.1. システム要件
リンクのコピー

ネットワーク接続されたベースのオペレーティングシステムには、以下の要件が適用されます。

x86_64 アーキテクチャー
Red Hat Enterprise Linux 7 Server の最新バージョン
最低 4 コア 2.0 GHz CPU
Satellite Server が機能するには、最低 20 GB のメモリーが必要です。また、最低 4 GB のスワップ領域が推奨されます。最低値よりも少ないメモリーで実行している Satellite は正常に動作しないことがあります。
一意なホスト名 (小文字、数字、ドット (.)、ハイフン (-) を使用できます)
現在の Red Hat Satellite サブスクリプション
管理ユーザー (root) アクセス
システム umask 0022
完全修飾ドメイン名を使用した完全な正引きおよび逆引きの DNS 解決

Satellite Server をインストールする前に、環境がインストール要件を満たしていることを確認する必要があります。

Satellite Server は、新たにプロビジョニングしたシステムにインストールしておく。Satellite Server が作成するローカルのユーザーとの競合を回避するため、新たにプロビジョニングしたシステムには、以下のユーザーを外部アイデンティティープロバイダーで設定して使用しないようにしてください。

postgres
mongodb
apache
qpidd
qdrouterd
squid
foreman
tomcat
foreman-proxy
puppet
puppetserver

注記

Red Hat Satellite Server と Capsule Server のバージョンは同じでなければなりません。たとえば、Satellite 6.7 Server は、以前のバージョンの Capsule Server を実行できません。Satellite Server と Capsule Server のバージョンが一致しないと、Capsule Server が警告なしで失敗します。

認定ハイパーバイザー

Satellite Server は、Red Hat Enterprise Linux の実行をサポートするハイパーバイザーで稼働する物理システムおよび仮想マシン両方で完全にサポートされます。認定ハイパーバイザーに関する詳細は、「Which hypervisors are certified to run Red Hat Enterprise Linux?」を参照してください。

FIPS モード

FIPS モードで稼働する Red Hat Enterprise Linux システムに、Satellite Server をインストールできます。詳細は、『Red Hat Enterprise Linux セキュリティーガイド』の「FIPS モードの有効化」を参照してください。

1.2. ストレージ要件
リンクのコピー

以下の表には、特定のディレクトリーのストレージ要件が詳細に記載されています。これらの値は、想定のユースケースシナリオに基づいており、各環境ごとに異なることがあります。

ランタイムサイズは Red Hat Enterprise Linux 6、7、および 8 のリポジトリーと同期して測定されました。

Expand

表1.1 Satellite Server インストールのストレージ要件
ディレクトリー	インストールサイズ	ランタイムサイズ
/var/cache/pulp/	1M バイト	30 GB
/var/lib/pulp/	1 MB	300 GB
/var/lib/mongodb/	3.5 GB	50 GB
/var/lib/qpidd/	25 MB	適用外
/var/log/	10 MB	10 GB
/var/lib/pgsql/	100 MB	10 GB
/var/spool/squid/	0 MB	10 GB
/usr	3 GB	適用外
/opt	3 GB	適用外
/opt/puppetlabs	500 MB	適用外

1.3. ストレージのガイドライン
リンクのコピー

Satellite Server をインストールして効率性を向上させる場合は、以下のガイドラインを考慮してください。

/tmp ディレクトリーを別のファイルシステムとしてマウントする場合は、 /etc/fstab ファイルの exec マウントオプションを使用する必要があります。/tmp が、noexec オプションを指定してすでにマウントされている場合は、オプションを exec に変更して、ファイルシステムを再マウントする必要があります。これは、puppetserver サービスが機能するために必要です。
Satellite Server データの多くは /var ディレクトリーに格納されるため、LVM ストレージに /var をマウントして、システムがスケーリングできるようにしてください。
/var/cache/pulp/ と /var/lib/pulp/ ディレクトリーに同じボリュームを使用することで、同期後に /var/cache/pulp/ から /var/lib/pulp/ にコンテンツを移動する時間を短縮できます。
/var/lib/qpidd/ ディレクトリーでは、goferd サービスが管理するコンテンツホスト 1 つに対して使用される容量は 2 MB を少し超えます。たとえば、コンテンツホストの数が 10,000 個の場合、/var/lib/qpidd/ に 20 GB のディスク容量が必要になります。
/var/lib/pulp/ ディレクトリーと /var/lib/mongodb/ ディレクトリーには、高帯域幅で低レイテンシーのストレージの使用をお勧めします。Red Hat Satellite には I/O を大量に使用する操作が多数あるため、高レイテンシーで低帯域幅のストレージを使用すると、パフォーマンス低下の問題が発生します。インストールに、毎秒 60 - 80 メガバイトのスピードがあることを確認してください。fio ツールを使用すると、このデータが取得できます。fio ツールの詳細な使用方法は、Red Hat ナレッジベースのソリューション「Impact of Disk Speed on Satellite Operations」を参照してください。

ファイルシステムのガイドライン

XFS ファイルシステムは、ext4 では存在する inode の制限がないため、Red Hat Satellite 6 では XFS ファイルシステムを使用してください。Satellite Server は多くのシンボリックリンクを使用するため、ext4 とデフォルトの数の inode を使用する場合は、システムで inode が足りなくなる可能性が高くなります。
MongoDB は従来の I/O を使用してデータファイルにアクセスしないので、MongoDB では NFS を使用しないでください。また、NFS でデータファイルとジャーナルファイルの両方がホストされている場合にはパフォーマンスの問題が発生します。NFS を使用する必要がある場合は、/etc/fstab ファイルで bg、nolock、および noatime のオプションを使用してボリュームをマウントします。
Pulp データストレージに NFS を使用しないでください。Pulp に NFS を使用すると、コンテンツの同期のパフォーマンスが低下します。
入出力レイテンシーが高すぎるため、GFS2 ファイルシステムは使用しないでください。

ログファイルのストレージ

ログファイルは、/var/log/messages/、/var/log/httpd/、および /var/lib/foreman-proxy/openscap/content/ に書き込まれます。logrotate を使って、これらのファイルのサイズを管理できます。詳細は『Red Hat Enterprise Linux 7 システム管理者のガイド』の「ログローテーション」を参照してください。

ログメッセージに必要なストレージの正確な容量は、インストール環境および設定により異なります。

NFS マウントを使用する場合の SELinux の考慮事項

NFS 共有を使用して /var/lib/pulp ディレクトリーをマウントすると、SELinux は同期プロセスをブロックします。これを避けるには、以下の行を /etc/fstab に追加して、ファイルシステムテーブル内の /var/lib/pulp ディレクトリーの SELinux コンテキストを指定します。

nfs.example.com:/nfsshare  /var/lib/pulp/content  nfs  context="system_u:object_r:httpd_sys_rw_content_t:s0"  1 2

nfs.example.com:/nfsshare  /var/lib/pulp/content  nfs  context="system_u:object_r:httpd_sys_rw_content_t:s0"  1 2

Copy to Clipboard

Toggle word wrap

NFS 共有が既にマウントされている場合は、上記の方法を使用して再マウントし、以下のコマンドを入力します。

chcon -R system_u:object_r:httpd_sys_rw_content_t:s0 /var/lib/pulp

# chcon -R system_u:object_r:httpd_sys_rw_content_t:s0 /var/lib/pulp

Copy to Clipboard

Toggle word wrap

重複パッケージ

同じパッケージが異なるリポジトリーで重複して存在する場合には、ディスク上に一度しか保存されません。そのため、重複するパッケージを別のリポジトリーに追加するときに必要な追加ストレージが少なくて済みます。ストレージの多くは、/var/lib/mongodb/ および /var/lib/pulp/ ディレクトリーにあります。これらのエンドポイントは手動で設定できません。ストレージの問題を回避するために、ストレージが /var ファイルシステムで利用可能であることを確認してください。

一時的なストレージ

/var/cache/pulp/ ディレクトリーは、同期中に、コンテンツを一時的に保存するために使用します。同期タスクがすべて完了したら、コンテンツは /var/lib/pulp/ ディレクトリーに移動されます。

RPM 形式のコンテンツの場合は、各 RPM ファイルは同期後に /var/lib/pulp ディレクトリーに移動されます。一度に、/var/cache/pulp/ ディレクトリーに保存される RPM ファイルは 5 つです。デフォルトでは、RPM コンテンツの同期タスクは最大 8 つまで同時に実行でき、それぞれ最大 1 GB のメタデータを使用します。

ソフトウェアコレクション

ソフトウェアコレクションは、/opt/rh/ ディレクトリーと /opt/theforeman/ ディレクトリーにインストールされます。

/opt ディレクトリーへのインストールには、root ユーザーによる書き込みパーミッションおよび実行パーミッションが必要です。

シンボリックリンク

/var/lib/pulp/ および /var/lib/mongodb/ にはシンボリックリンクは使用できません。

ISO イメージ

ISO 形式のコンテンツについては、同期タスクごとに ISO ファイルはすべて、タスクが完了するまで /var/cache/pulp/ に保存されます。タスクが完了すると /var/lib/pulp/ ディレクトリーに移動します。

インストールや更新に ISO イメージを使用する予定の場合は、外部ストレージを提供するか、ISO ファイルを一時的に保存するために /var/tmp に領域を空けるようにする必要があります。

たとえば、4 つの ISO ファイル (それぞれのサイズが 4 GB) を同期している場合は、/var/cache/pulp/ ディレクトリーに合計 16 GB 必要になります。これらのファイルに必要な一時ディスク容量は通常 RPM コンテンツのサイズを超えるので、同期する ISO ファイルの数を考慮してください。

1.4. サポート対象オペレーティングシステム
リンクのコピー

オペレーティングシステムは、ディスク、ローカル ISO イメージ、キックスタート、または Red Hat がサポートする方法であれば他の方法でもインストールできます。Red Hat Satellite Server は、Satellite Server 6.7 のインストール時に入手可能な Red Hat Enterprise Linux 7 Server の最新バージョンでのみサポートされています。EUS または z-stream を含む以前の Red Hat Enterprise Linux バージョンはサポートされません。

Red Hat Satellite Server には、@Base パッケージグループが含む Red Hat Enterprise Linux インストールが必要です。他のパッケージセットの変更や、サーバーの運用に直接必要でないサードパーティーの構成やソフトウェアは含めないようにしてください。この制限は、ハード化や Red Hat 以外の他社のセキュリティーソフトウェアが該当します。インフラストラクチャーにこのようなソフトウェアが必要な場合は、Satellite Server が完全に機能することを最初に確認し、その後でシステムのバックアップを作成して、Red Hat 以外のソフトウェアを追加します。

新しくプロビジョニングされたシステムに Satellite Server をインストールします。

Red Hat では、このシステムを Satellite Server の実行以外に使用するサポートはしていません。

1.5. サポート対象ブラウザー
リンクのコピー

Satellite は、最新版の Firefox および Google Chrome ブラウザーをサポートします。

Satellite Web UI とコマンドラインインターフェースは、英語、ポルトガル語、中国語 (簡体)、中国語(繁体)、韓国語、日本語、イタリア語、スペイン語、ロシア語、フランス語、ドイツ語に対応しています。

1.6. ポートとファイアウォールの要件
リンクのコピー

Satellite アーキテクチャーのコンポーネントで通信を行うには、ベースオペレーティングシステム上で、必要なネットワークポートが開放/解放されているようにしてください。また、ネットワークベースのファイアウォールでも、必要なネットワークポートを開放する必要があります。

この情報を使用して、ネットワークベースのファイアウォールを設定してください。クラウドソリューションによっては、ネットワークベースのファイアウォールと同様にマシンが分離されるので、特にマシン間の通信ができるように設定する必要があります。アプリケーションベースのファイアウォールを使用する場合には、アプリケーションベースのファイアウォールで、テーブルに記載のアプリケーションすべてを許可して、ファイアウォールに既知の状態にするようにしてください。可能であれば、アプリケーションのチェックを無効にして、プロトコルをベースにポートの通信を開放できるようにしてください。

統合 Capsule

Satellite Server には Capsule が統合されており、Satellite Server に直接接続されたホストは、以下のセクションのコンテキストでは Satellite のクライアントになります。これには、Capsule Server が実行されているベースオペレーティングシステムが含まれます。

Capsule のクライアント

Satellite と統合された Capsule ではない Capsule のクライアントであるホストには、Satellite Server へのアクセスは必要ありません。Satellite トポロジーの詳細は、『 Red Hat Satellite 6 の計画』の「Capsule の ネットワーク」を参照してください。

使用している設定に応じて、必要なポートは変わることがあります。

ポートのマトリックス表は、Red Hat ナレッジベースソリューションの「Red Hat Satellite List of Network Ports」を参照してください。

以下の表は、宛先ポートとネットワークトラフィックの方向を示しています。

Expand

表1.2 Satellite へのブラウザーベースユーザーインターフェース向けポート
ポート	プロトコル	サービス	用途
443	TCP	HTTPS	Satellite へのブラウザーベース UI アクセス
80	TCP	HTTP	Satellite に Web UI でアクセスするための HTTPS へのリダイレクション (オプション)

Expand

表1.3 クライアントが Satellite と通信するためのポート
ポート	プロトコル	サービス	用途
80	TCP	HTTP	Anaconda、yum、Katello 証明書およびテンプレートの取得向け、iPXE ファームウェアのダウンロード向け
443	TCP	HTTPS	サブスクリプション管理サービス、yum、Telemetry サービス、Katello エージェントへの接続向け
5646	TCP	AMQP	Capsule の Qpid ディスパッチルーターから Satellite の Qpid ディスパッチルーターへの通信
5647	TCP	AMQP	Satellite の Qpid ディスパッチルーターと通信する Katello エージェント
8000	TCP	HTTP	キックスタートテンプレートをホストにダウンロードする Anaconda、iPXE ファームウェアのダウンロード向け
8140	TCP	HTTPS	マスター接続に対する Puppet エージェント
9090	TCP	HTTPS	プロビジョニング時の検出イメージや、リモート実行 (Rex) 設定の SSH キーをコピーするための Satellite Server との通信で使用するために、統合 Capsule で SCAP レポートを送信
53	TCP および UDP	DNS	Satellite の統合 Capsule の DNS サービスへのクライアント DNS クエリー (オプション)
67	UDP	DHCP	Satellite の統合 Capsule ブロードキャストと、Satellite 統合 Capsule からプロビジョニングするクライアントに対する DHCP ブロードキャストを行うクライアント (オプション)
69	UDP	TFTP	プロビジョニングのために Satellite の統合 Capsule から PXE ブートイメージファイルをダウンロードするクライアント (オプション)
5000	TCP	HTTPS	Docker レジストリーのための Katello への接続 (オプション)

Satellite Server に直接接続された管理対象ホストは、統合された Capsule のクライアントとなるため、このコンテキストではクライアントになります。これには、Capsule Server が稼働しているベースオペレーティングシステムが含まれます。

Expand

表1.4 Capsule に通信する Satellite 向けポート
ポート	プロトコル	サービス	用途
443	TCP	HTTPS	Capsule の Pulp サーバーへの接続
9090	TCP	HTTPS	Capsule のプロキシーへの接続
80	TCP	HTTP	bootdisk のダウンロード (オプション)

Expand

表1.5 オプションのネットワークポート
ポート	プロトコル	サービス	用途
22	TCP	SSH	Remote Execution (Rex) および Ansible 向けの Satellite および Capsule からの通信
443	TCP	HTTPS	vCenter のコンピュートリソースに対する Satellite からの通信
5000	TCP	HTTP	OpenStack のコンピュートリソースまたは実行中のコンテナーに対する Satellite からの通信
22, 16514	TCP	SSH、SSL/TLS	libvirt のコンピュートリソースに対する Satellite からの通信
389、636	TCP	LDAP、LDAPS	LDAP およびセキュアな LDAP 認証ソースに対する Satellite からの通信
5900〜5930	TCP	SSL/TLS	ハイパーバイザー向け Web UI の NoVNC コンソールに対する Satellite からの通信

1.7. クライアントから Satellite Server への接続の有効化
リンクのコピー

Satellite Server の内部 Capsule のクライアントである Capsule とコンテンツホストは、Satellite のホストベースのファイアウォールとすべてのネットワークベースのファイアウォールを介したアクセスを必要とします。

以下の手順を使用して、Satellite のインストール先の Red Hat Enterprise Linux 7 システムでホストベースのファイアウォールを設定し、クライアントからの受信接続を有効にして、これらの設定をシステムの再起動後にも保持する方法について説明します。使用するポートの詳細は、「ポートとファイアウォールの要件」を参照してください。

手順

クライアントから Satellite の通信用のポートを開放するには、Satellite をインストールするベースオペレーティングシステムで以下のコマンドを入力します。

firewall-cmd \
--add-port="80/tcp" --add-port="443/tcp" \
--add-port="5647/tcp" --add-port="8000/tcp" \
--add-port="8140/tcp" --add-port="9090/tcp" \
--add-port="53/udp" --add-port="53/tcp" \
--add-port="67/udp" --add-port="69/udp" \
--add-port="5000/tcp"

# firewall-cmd \
--add-port="80/tcp" --add-port="443/tcp" \
--add-port="5647/tcp" --add-port="8000/tcp" \
--add-port="8140/tcp" --add-port="9090/tcp" \
--add-port="53/udp" --add-port="53/tcp" \
--add-port="67/udp" --add-port="69/udp" \
--add-port="5000/tcp"

Copy to Clipboard

Toggle word wrap

変更を永続化します。
```
firewall-cmd --runtime-to-permanent
```
```
# firewall-cmd --runtime-to-permanent
```
Copy to Clipboard Toggle word wrap

1.8. ファイアウォール設定の確認
リンクのコピー

この手順を使用して、ファイアウォール設定への変更を検証します。

手順

ファイアウォールの設定を検証するには、以下の手順を実行します。

以下のコマンドを入力します。
```
firewall-cmd --list-all
```
```
# firewall-cmd --list-all
```
Copy to Clipboard Toggle word wrap

詳細情報は、『Red Hat Enterprise Linux 7 セキュリティーガイド』の「firewalld の概要」を参照してください。

1.9. DNS 解決の検証
リンクのコピー

完全修飾ドメイン名を使用して完全な正引きおよび逆引き DNS 解決を検証すると、Satellite のインストール中の問題を回避できます。

手順

ホスト名とローカルホストが正しく解決されることを確認します。

ping -c1 localhost
ping -c1 `hostname -f` # my_system.domain.com

# ping -c1 localhost
# ping -c1 `hostname -f` # my_system.domain.com

Copy to Clipboard

Toggle word wrap

名前解決に成功すると、以下のような出力が表示されます。

ping -c1 localhost
ping -c1 `hostname -f`

# ping -c1 localhost
PING localhost (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.043 ms

--- localhost ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.043/0.043/0.043/0.000 ms

# ping -c1 `hostname -f`
PING hostname.gateway (XX.XX.XX.XX) 56(84) bytes of data.
64 bytes from hostname.gateway (XX.XX.XX.XX): icmp_seq=1 ttl=64 time=0.019 ms

--- localhost.gateway ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.019/0.019/0.019/0.000 ms

Copy to Clipboard

Toggle word wrap

静的および一時的なホスト名との不一致を避けるには、次のコマンドを入力して、システム上のすべてのホスト名を設定します。
```
hostnamectl set-hostname name
```
```
# hostnamectl set-hostname name
```
Copy to Clipboard Toggle word wrap

詳細は、『Red Hat Enterprise Linux 7 ネットワークガイド』の「hostnamectl を使ったホスト名の設定」を参照してください。

警告

Satellite 6 の運用には名前解決が非常に重要です。Satellite が完全修飾ドメイン名を適切に解決できない場合には、コンテンツ管理、サブスクリプション管理、プロビジョニングなどのタスクに失敗します。

第2章 Satellite Server のインストール
リンクのコピー

Satellite Server に使用予定のホストがオフライン環境にある場合には、外部のコンピューターを使用してパッケージの ISO イメージをダウンロードし、Satellite Server のインストール先にパッケージをコピーし、Satellite Server をインストールします。他の状況では、ISO イメージに最新の更新、バグ修正、機能が含まれていない可能性があるので、この手法は推奨していません。

以下の手順を使用して、Satellite Server をインストールし、初期設定を実行して、サブスクリプションマニフェストをインポートします。

作業を進める前に、使用している環境に適切なマニフェストを確認します。マニフェストに関する詳細は、『 コンテンツ管理ガイド』の「サブスクリプションの管理 」を参照してください。

注記

Satellite Server に自己登録することはできません。

2.1. バイナリー DVD イメージのダウンロード
リンクのコピー

以下の手順を使用して、Red Hat Enterprise Linux Server と Red Hat Satellite をダウンロードします。

手順

Red Hat カスタマーポータルに移動し、ログインします。
ダウンロード をクリックします。
Red Hat Enterprise Linux を選択します。
製品とバージョンがご使用の環境に適切であることを確認します。
- Product Variant (製品のバリアント) は Red Hat Enterprise Linux Server に設定します。
- Version (バージョン) は、ベースオペレーティングシステムとして使用する予定の製品の最新マイナーバージョンに設定します。
- Architecture (アーキテクチャー) は 64 ビットバージョンに設定します。
Product Software (製品ソフトウェア) タブで、最新の Red Hat Enterprise Linux Server バージョン向けのバイナリー DVD イメージをダウンロードします。
DOWNLOADS (ダウンロード) をクリックし、Red Hat Satellite を選択します。
製品とバージョンがご使用の環境に適切であることを確認します。
- Product Variant (製品のバリアント) は Red Hat Satellite に設定します。
- Version (バージョン) は、ベースオペレーティングシステムとして使用する予定の製品の最新マイナーバージョンに設定します。
- Architecture (アーキテクチャー) は 64 ビットバージョンに設定します。
Product Software (製品ソフトウェア) タブで、最新の Red Hat Satellite バージョン向けのバイナリー DVD イメージをダウンロードします。
ISO ファイルを Satellite ベースオペレーティングシステムの /var/tmp または他のアクセス可能なストレージデバイスにコピーします。
```
scp localfile username@hostname:remotefile
```
```
# scp localfile username@hostname:remotefile
```
Copy to Clipboard Toggle word wrap

2.2. オフラインリポジトリーでベースオペレーティングシステムの設定
リンクのコピー

以下の手順を使用して、Red Hat Enterprise Linux および Red Hat Satellite ISOイメージのオフラインリポジトリーを設定します。

手順

ベースオペレーティングシステムのバージョンに対応する ISO ファイルのマウントポイントとして使用するディレクトリーを作成します。
```
mkdir /media/rhel7-server
```
```
# mkdir /media/rhel7-server
```
Copy to Clipboard Toggle word wrap
Red Hat Enterprise Linux の ISO イメージをマウントポイントにマウントします。
```
mount -o loop rhel7-Server-DVD.iso /media/rhel7-server
```
```
# mount -o loop rhel7-Server-DVD.iso /media/rhel7-server
```
Copy to Clipboard Toggle word wrap

ISO ファイルのリポジトリーデータファイルをコピーします。

cp /media/rhel7-server/media.repo /etc/yum.repos.d/rhel7-server.repo

# cp /media/rhel7-server/media.repo /etc/yum.repos.d/rhel7-server.repo

Copy to Clipboard

Toggle word wrap

リポジトリーデータファイルを編集し、baseurl ディレクティブを追加します。
```
baseurl=file:///media/rhel7-server/
```
```
baseurl=file:///media/rhel7-server/
```
Copy to Clipboard Toggle word wrap
リポジトリーが設定されたことを確認します。
```
yum repolist
```
```
# yum repolist
```
Copy to Clipboard Toggle word wrap
Satellite Server の ISO ファイルのマウントポイントとして使用するディレクトリーを作成します。
```
mkdir /media/sat6
```
```
# mkdir /media/sat6
```
Copy to Clipboard Toggle word wrap
Red Hat Satellite Server の ISO イメージをマウントポイントにマウントします。
```
mount -o loop sat6-DVD.iso /media/sat6
```
```
# mount -o loop sat6-DVD.iso /media/sat6
```
Copy to Clipboard Toggle word wrap

2.3. オフラインリポジトリーからの Satellite パッケージのインストール
リンクのコピー

以下の手順を使用して、オフラインのリポジトリーからSatellite パッケージをインストールします。

手順

Red Hat Enterprise Linux Server と Red Hat Satellite の ISO イメージがマウントされていることを確認します。
```
findmnt -t iso9660
```
```
# findmnt -t iso9660
```
Copy to Clipboard Toggle word wrap

Red Hat GPG キーをインポートします。

rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release

# rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release

Copy to Clipboard

Toggle word wrap

バイナリー DVD イメージを使用してベースオペレーティングシステムを最新の状態にします。
```
yum update
```
```
# yum update
```
Copy to Clipboard Toggle word wrap
Satellite ISO がマウントされたディレクトリーに移動します。
```
cd /media/sat6/
```
```
# cd /media/sat6/
```
Copy to Clipboard Toggle word wrap
マウントされたディレクトリーでインストールスクリプトを実行します。
```
./install_packages
```
```
# ./install_packages
```
Copy to Clipboard Toggle word wrap
Satellite パッケージが正常にインストールされると、以下のメッセージが表示されます。Install is complete.Please run satellite-installer --scenario satellite.

2.4. パッケージの依存関係エラーの解決
リンクのコピー

Satellite Server パッケージのインストール中にパッケージの依存関係のエラーが発生した場合に、Red Hat カスタマーポータルからパッケージをダウンロードしてインストールすることで、エラーを解決できます。依存関係エラーの解決に関する詳細は、KCS ソリューション「How can I use the yum output to solve yum dependency errors?」を参照してください。

Satellite パッケージを正常にインストールした場合は、この手順をスキップしてください。

手順

Red Hat カスタマーポータルに移動して、ログインします。
ダウンロード をクリックします。
ダウンロードするパッケージが含まれる製品をクリックします。
環境に適した 製品バリアント、バージョン、アーキテクチャー が選択されていることを確認します。
パッケージ タブをクリックします。
検索フィールドに、パッケージの名前を入力します。
パッケージをクリックします。
バージョン リストからパッケージのバージョンを選択します。
ページの下部で、今すぐダウンロード をクリックします。
パッケージを Satellite のベースオペレーティングシステムにコピーします。
Satellite Server でパッケージが配置されているディレクトリーに、移動します。
```
cd /path-to-package/
```
```
# cd /path-to-package/
```
Copy to Clipboard Toggle word wrap
ローカルでパッケージをインストールします。
```
yum localinstall package_name
```
```
# yum localinstall package_name
```
Copy to Clipboard Toggle word wrap
Satellite ISO がマウントされたディレクトリーに移動します。
```
cd /media/sat6/
```
```
# cd /media/sat6/
```
Copy to Clipboard Toggle word wrap
Satellite Server パッケージをインストールして、パッケージの依存関係エラーを解決したことを確認してください。パッケージの依存関係エラーがさらにある場合は、この手順を繰り返します。
```
./install_packages
```
```
# ./install_packages
```
Copy to Clipboard Toggle word wrap
Satellite パッケージが正常にインストールされると、以下のメッセージが表示されます。Install is complete.Please run satellite-installer --scenario satellite.

2.5. chronyd とシステムクロックの同期
リンクのコピー

時間のずれを最小限に抑えるには、Satellite Server をインストールするベースオペレーティングシステムのシステムクロックを Network Time Protocol (NTP) サーバーと同期する必要があります。ベースオペレーティングシステムのクロックが正しく設定されていない場合には、証明書の検証に失敗する可能性があります。

chrony スイートに関する詳細は、『Red Hat Enterprise Linux 7 システム管理者ガイド』の「chrony スイートを使用した NTP 設定」を参照してください。

手順

chrony パッケージをインストールします。
```
yum install chrony
```
```
# yum install chrony
```
Copy to Clipboard Toggle word wrap
chronyd サービスを起動して、有効にします。
```
systemctl start chronyd
systemctl enable chronyd
```
```
# systemctl start chronyd
# systemctl enable chronyd
```
Copy to Clipboard Toggle word wrap

2.6. ベースオペレーティングシステムへの SOS パッケージのインストール
リンクのコピー

ベースオペレーティングシステムに sos パッケージをインストールし、Red Hat Enterprise Linux システムから設定および診断情報を取得できるようにします。このパッケージを使用すると、Red Hat テクニカルサポートへのサービスリクエストの起票時に必要な初期システム分析を提示できます。sos の使用方法に関する詳細は、カスタマーポータルのナレッジベースソリューション「What is a sosreport and how to create one in Red Hat Enterprise Linux 4.6 and later?」を参照してください。

手順

sos パッケージをインストールします。
```
yum install sos
```
```
# yum install sos
```
Copy to Clipboard Toggle word wrap

2.7. Satellite Server の設定
リンクのコピー

satellite-installer インストールスクリプトを使用して Satellite Server をインストールします。以下の手法から 1 つ選択します。

「Satellite の手動設定」.この手法では、1 つまたは複数のコマンドオプションを指定して、インストールスクリプトを実行します。コマンドオプションは、対応するデフォルトの初期設定オプションを上書きし、Satellite 応答ファイルに記録されます。必要なオプションの設定に、必要に応じてスクリプトは何回でも実行することができます。
「応答ファイルを使用した Satellite の自動設定」.この手法では、インストールスクリプトの実行時に設定プロセスを自動化する応答ファイルを使用します。デフォルトの Satellite の応答ファイルは /etc/foreman-installer/scenarios.d/satellite-answers.yaml です。使用中の応答ファイルは、/etc/foreman-installer/scenarios.d/satellite.yaml 設定ファイルの answer_file ディレクティブで設定します。

注記

Satellite インストーラーの実行時に使用するオプションによっては、設定が完了するのに数分かかることがあります。管理者は、両方の方法でこれまでに使用されたオプションを応答ファイルで確認できます。

2.7.1. Satellite の手動設定
リンクのコピー

初期設定では、組織、場所、ユーザー名、およびパスワードが作成されます。初期設定後に、必要に応じて追加の組織と場所を作成できます。初期設定では、MongoDB および PostgreSQL データベースも同じサーバーにインストールします。

インストールプロセスの完了には、数十分かかることがあります。システムにリモートで接続する場合は、リモートシステムから切断された場合にインストールの進捗を確認できるよう、通信セッションの一時中断または再接続を許可できる screen または tmux などのユーティリティーを使用してください。Red Hat ナレッジベースの記事「How to use the screen command」には screen のインストールについて記載されています。または、詳しくは screen の man ページを参照してください。インストールコマンドを実行しているシェルへの接続が切断された場合は、/var/log/foreman-installer/satellite.log のログを参照してプロセスが正常に完了したかどうかを確認します。

手動設定に関する考慮事項

satellite-installer --scenario satellite --help コマンドを使用して、利用可能なオプションとすべてのデフォルト値を表示します。値を指定しない場合は、デフォルト値が使用されます。
--foreman-initial-organization オプションに、意味を持つ値を指定します。たとえば、会社名を指定できます。値に一致する内部ラベルが作成されますが、このラベルは後で変更できません。値を指定しない場合は、ラベルが Default_Organization の Default Organization という名前の組織が作成されます。組織名は変更できますが、ラベルは変更できません。
デフォルトでは、インストーラーが設定するすべての設定ファイルが Puppet によって管理されます。satellite-installer を実行すると、Puppet が管理するファイルに手動で加えられた変更が初期値で上書きされます。Satellite Server は、デフォルトでは、サービスとして実行している Puppet エージェントを使用してインストールされます。必要に応じて、--puppet-runmode=none オプションを使用して、Satellite Server で Puppet エージェントを無効にできます。
DNS ファイルと DHCP ファイルを手動で管理する場合には、--foreman-proxy-dns-managed=false オプションと --foreman-proxy-dhcp-managed=false オプションを使用して、各サービスに関連するファイルが Puppet で管理されないようにします。他のサービスにカスタム設定を適用する方法は、付録A Red Hat Satellite へのカスタム設定の適用 を参照してください。

手順

使用する追加オプションを指定し、以下のコマンドを入力します。

satellite-installer --scenario satellite \
--foreman-initial-organization "initial_organization_name" \
--foreman-initial-location "initial_location_name" \
--foreman-initial-admin-username admin_user_name \
--foreman-initial-admin-password admin_password

# satellite-installer --scenario satellite \
--foreman-initial-organization "initial_organization_name" \
--foreman-initial-location "initial_location_name" \
--foreman-initial-admin-username admin_user_name \
--foreman-initial-admin-password admin_password

Copy to Clipboard

Toggle word wrap

このスクリプトは、進捗を表示し、/var/log/foreman-installer/satellite.log にログを記録します。

ISO イメージをアンマウントします。
```
umount /media/sat6
umount /media/rhel7-server
```
```
# umount /media/sat6
# umount /media/rhel7-server
```
Copy to Clipboard Toggle word wrap

2.7.2. 応答ファイルを使用した Satellite の自動設定
リンクのコピー

応答ファイルを使用すると、カスタマイズされたオプションでインストールを自動化できます。最初の応答ファイルには、部分的に情報が入力されます。応答ファイルには、satellite-installer スクリプトの初回実行後に、インストール向けの標準的なパラメーター値が入力されます。いつでも Satellite Server の設定は変更できます。

ネットワークの変更の場合は、可能な限り、IP アドレスの代わりに FQDN を使用する必要があります。

手順

デフォルトの応答ファイル /etc/foreman-installer/scenarios.d/satellite-answers.yaml をローカルファイルシステムの場所にコピーします。

cp /etc/foreman-installer/scenarios.d/satellite-answers.yaml \
/etc/foreman-installer/scenarios.d/my-answer-file.yaml

# cp /etc/foreman-installer/scenarios.d/satellite-answers.yaml \
/etc/foreman-installer/scenarios.d/my-answer-file.yaml

Copy to Clipboard

Toggle word wrap

設定可能なすべてのオプションを表示するには、satellite-installer --scenario satellite --help コマンドを実行します。
応答ファイルのコピーを開き、ご使用の環境に適した値を編集し、ファイルを保存します。
/etc/foreman-installer/scenarios.d/satellite.yaml ファイルを開き、カスタム応答ファイルを参照する応答ファイルエントリーを編集します。
```
:answer_file: /etc/foreman-installer/scenarios.d/my-answer-file.yaml
```
```
:answer_file: /etc/foreman-installer/scenarios.d/my-answer-file.yaml
```
Copy to Clipboard Toggle word wrap
satellite-installer スクリプトを実行します。
```
satellite-installer --scenario satellite
```
```
# satellite-installer --scenario satellite
```
Copy to Clipboard Toggle word wrap
ISO イメージをアンマウントします。
```
umount /media/sat6
umount /media/rhel7-server
```
```
# umount /media/sat6
# umount /media/rhel7-server
```
Copy to Clipboard Toggle word wrap

2.8. 切断モードの有効化
リンクのコピー

Satellite Server で切断モードを有効にします。切断モードが有効な場合には、Satellite Server は Red Hat コンテンツ配信ネットワーク (CDN) にアクセスしません。

手順

Satellite Web UI で、管理 > 設定に移動します。
コンテンツ タブをクリックします。
切断モード の値を はい に設定します。

CLI をご利用の場合

Satellite Server で以下のコマンドを入力します。

hammer settings set --name content_disconnected --value true

# hammer settings set --name content_disconnected --value true

Copy to Clipboard

Toggle word wrap

2.9. Satellite Server へのサブスクリプションマニフェストのインポート
リンクのコピー

以下の手順を使用して、サブスクリプションマニフェストを Satellite Server にインポートします。

前提条件

カスタマーポータルから、サブスクリプションマニフェストファイルをエクスポートしておくこと。詳細は、『Red Hat Subscription Management の使用』ガイドの「マニフェストの使用」を参照してください。
Satellite Server でオフラインモードが有効になっていることを確認する。詳細は、「切断モードの有効化」を参照してください。

手順

Satellite Web UI で、コンテキストが、使用する組織に設定されていることを確認します。
コンテンツ > サブスクリプション に移動して、マニフェストの管理 をクリックします。
マニフェストの管理ウィンドウで、参照をクリックします。
サブスクリプションマニフェストファイルが保存されている場所に移動して、表示をクリックします。マニフェストの管理ウィンドウが自動的に終了しない場合は、終了をクリックしてサブスクリプションウィンドウに戻ります。

CLI をご利用の場合

サブスクリプションマニフェストファイルをクライアントから Satellite Server にコピーします。
```
scp ~/manifest_file.zip root@satellite.example.com:~/.
```
```
$ scp ~/manifest_file.zip root@satellite.example.com:~/.
```
Copy to Clipboard Toggle word wrap
Satellite Server に root ユーザーとしてログインし、サブスクリプションマニフェストファイルをインポートします。
```
hammer subscription upload \
--file ~/manifest_file.zip \
--organization "organization_name"
```
```
# hammer subscription upload \
--file ~/manifest_file.zip \
--organization "organization_name"
```
Copy to Clipboard Toggle word wrap

第3章 Satellite Server での追加設定の実行
リンクのコピー

3.1. Satellite がローカルの CDN サーバーにコンテンツを同期するように設定する手順
リンクのコピー

オフライン環境で、最新のセキュリティー更新、エラータ、パッケージをシステムにプロビジョニングするために必要なコンテンツが Satellite Server に含まれていることを確認する必要があります。これには、Red Hat カスタマーポータルからコンテンツの ISO イメージをダウンロードして、ローカルの CDN サーバーにインポートする手順を実行してください。Satellite Server のベースオペレーティングシステムか、HTTP 経由で Satellite にアクセス可能なシステムで、ローカル CDN サーバーをホストできます。次に、Satellite Server がローカルの CDN サーバーとコンテンツを同期するように設定する必要があります。

手順

Red Hat カスタマーポータル https://access.redhat.com へ移動し、ログインします。
画面の左上で、ダウンロード をクリックし、Red Hat Satellite を選択します。
コンテンツ ISO タブをクリックします。このページには、サブスクリプションで利用できるすべての製品が一覧表示されます。
Red Hat Enterprise Linux 7 Server (x86_64) などの製品名のリンクをクリックして、ISO イメージをダウンロードします。
すべての Satellite コンテンツ ISO イメージを、ローカル CDN サーバーとして使用するシステムにコピーします。たとえば、Satellite Server の /root/isos ディレクトリーなどです。
Satellite がインストールされているシステムにコンテンツを保存する必要はない点にご留意ください。CDN は、HTTP 経由で Satellite Server にアクセスできる限り、同じオフラインネットワーク内の別のシステムでホストできます。
ローカル CDN サーバーとして使用するシステムで、httpd 経由でアクセス可能なローカルディレクトリーを作成します。(例: /var/www/html/pub/sat-import/)
```
mkdir -p /var/www/html/pub/sat-import/
```
```
# mkdir -p /var/www/html/pub/sat-import/
```
Copy to Clipboard Toggle word wrap
マウントポイントを作成し、その場所に ISO イメージを一時的にマウントします。
```
mkdir /mnt/iso
mount -o loop /root/isos/first_iso /mnt/iso
```
```
# mkdir /mnt/iso
# mount -o loop /root/isos/first_iso /mnt/iso
```
Copy to Clipboard Toggle word wrap
最初の ISO イメージのコンテンツをローカルディレクトリーに再帰的にコピーします。
```
cp -ruv /mnt/iso/* /var/www/html/pub/sat-import/
```
```
# cp -ruv /mnt/iso/* /var/www/html/pub/sat-import/
```
Copy to Clipboard Toggle word wrap
マウントされたバイナリー DVD ISO イメージを使用する予定がない場合は、マウントポイントをアンマウントして削除します。
```
umount /mnt/iso
rmdir /mnt/iso
```
```
# umount /mnt/iso
# rmdir /mnt/iso
```
Copy to Clipboard Toggle word wrap
各 ISO で上記の作業を繰り返して、コンテンツ ISO イメージからすべてのデータを /var/www/html/pub/sat-import/ にコピーします。
ディレクトリーに正しい SELinux コンテキストが設定されていることを確認します。
```
restorecon -rv /var/www/html/pub/sat-import/
```
```
# restorecon -rv /var/www/html/pub/sat-import/
```
Copy to Clipboard Toggle word wrap
Satellite Web UI で、コンテンツ > サブスクリプション に移動します。
マニフェストの管理 をクリックします。
以下の例のように、ローカルの CDN サーバーとして使用するシステムのホスト名に、新規作成したディレクトリーを指定して参照するように、Red Hat CDN URL フィールドを編集します。
http://server.example.com/pub/sat-import/
更新をクリックして、マニフェストを Satellite にアップロードします。

3.2. キックスタートリポジトリーのインポート
リンクのコピー

キックスタートリポジトリーは、コンテンツ ISO イメージでは提供されません。オフラインの Satellite でキックスタートリポジトリーを使用するには、使用する Red Hat Enterprise Linux のバージョンのバイナリー DVD ISO ファイルをダウンロードし、キックスタートファイルを Satellite にコピーする必要があります。

Red Hat Enterprise Linux 7 のキックスタートリポジトリーをインポートするには、「Red Hat Enterprise Linux7 キックスタートリポジトリーのインポート」を実行します。

Red Hat Enterprise Linux 8 のキックスタートリポジトリーをインポートするには、「Red Hat Enterprise Linux 8 のキックスタートリポジトリーのインポート」を実行します。

3.2.1. Red Hat Enterprise Linux7 キックスタートリポジトリーのインポート
リンクのコピー

Red Hat Enterprise Linux 7 のキックスタートリポジトリーをインポートするには、Satellite で以下の手順を実行します。

手順

Red Hat カスタマーポータル https://access.redhat.com/ へ移動し、ログインします。
ウィンドウの右上隅で ダウンロード をクリックします。
Red Hat Enterprise Linux 7 の右側の Versions 7 and below をクリックします。
Version 一覧から、7.7 など Red Hat Enterprise Linux 7 で必要なバージョンを選択します。
Red Hat Enterprise Linux のダウンロードウィンドウで、ISO イメージのバイナリー DVD バージョン (たとえば、Red Hat Enterprise Linux 7.7 バイナリー DVD) を見つけて、今すぐダウンロード をクリックします。
ダウンロードが完了したら、ISO イメージを Satellite Server にコピーします。
Satellite Server で、マウントポイントを作成し、そのロケーションに ISO イメージを一時的にマウントします。
```
mkdir /mnt/iso
mount -o loop rhel-binary-dvd.iso /mnt/iso
```
```
# mkdir /mnt/iso
# mount -o loop rhel-binary-dvd.iso /mnt/iso
```
Copy to Clipboard Toggle word wrap

kickstart ディレクトリーを作成します。

mkdir --parents \
/var/www/html/pub/sat-import/content/dist/rhel/server/7/7.7/x86_64/kickstart/

# mkdir --parents \
/var/www/html/pub/sat-import/content/dist/rhel/server/7/7.7/x86_64/kickstart/

Copy to Clipboard

Toggle word wrap

ISO イメージから kickstart ファイルをコピーします。

cp -a /mnt/iso/* /var/www/html/pub/sat-import/content/dist/rhel/server/7/7.7/x86_64/kickstart/

# cp -a /mnt/iso/* /var/www/html/pub/sat-import/content/dist/rhel/server/7/7.7/x86_64/kickstart/

Copy to Clipboard

Toggle word wrap

次のエントリーをリストファイルに追加します。
/var/www/html/pub/sat-import/content/dist/rhel/server/7/listing ファイルで改行してバージョン番号を追加します。たとえば、RHEL 7.7 ISO の場合には、7.7 を追記します。
/var/www/html/pub/sat-import/content/dist/rhel/server/7/7.7/listing ファイルで改行して、アーキテクチャーを追加します。(例: x86_64)
/var/www/html/pub/sat-import/content/dist/rhel/server/7/7.7/x86_64/listing ファイルで改行して kickstart を追加します。

ISO イメージから .treeinfo ファイルをコピーします。

cp /mnt/iso/.treeinfo \
/var/www/html/pub/sat-import/content/dist/rhel/server/7/7.7/x86_64/kickstart/treeinfo

# cp /mnt/iso/.treeinfo \
/var/www/html/pub/sat-import/content/dist/rhel/server/7/7.7/x86_64/kickstart/treeinfo

Copy to Clipboard

Toggle word wrap

マウントされたバイナリー DVD ISO イメージを使用する予定がない場合は、ディレクトリーをアンマウントして削除します。
```
umount /mnt/iso
rmdir /mnt/iso
```
```
# umount /mnt/iso
# rmdir /mnt/iso
```
Copy to Clipboard Toggle word wrap
Satellite Web UI で、Kickstart リポジトリーを有効にします。

3.2.2. Red Hat Enterprise Linux 8 のキックスタートリポジトリーのインポート
リンクのコピー

Red Hat Enterprise Linux 8 のキックスタートリポジトリーをインポートするには、Satellite で以下の手順を実行します。

手順

Red Hat カスタマーポータル https://access.redhat.com/ へ移動し、ログインします。
ウィンドウの右上隅で ダウンロード をクリックします。
Red Hat Enterprise Linux 8 をクリックします。
Red Hat Enterprise Linux のダウンロードウィンドウで、ISO イメージのバイナリー DVD バージョン (たとえば、Red Hat Enterprise Linux 8.1 バイナリー DVD) を見つけて、今すぐダウンロード をクリックします。
ダウンロードが完了したら、ISO イメージを Satellite Server にコピーします。
Satellite Server で、マウントポイントを作成し、そのロケーションに ISO イメージを一時的にマウントします。
```
mkdir /mnt/iso
mount -o loop rhel-binary-dvd.iso /mnt/iso
```
```
# mkdir /mnt/iso
# mount -o loop rhel-binary-dvd.iso /mnt/iso
```
Copy to Clipboard Toggle word wrap

Red Hat Enterprise Linux 8 AppStream および BaseOS Kickstart リポジトリーのディレクトリーを作成します。

mkdir --parents \
/var/www/html/pub/sat-import/content/dist/rhel8/8.1/x86_64/appstream/kickstart
mkdir --parents \
 /var/www/html/pub/sat-import/content/dist/rhel8/8.1/x86_64/baseos/kickstart

# mkdir --parents \
/var/www/html/pub/sat-import/content/dist/rhel8/8.1/x86_64/appstream/kickstart

# mkdir --parents \
 /var/www/html/pub/sat-import/content/dist/rhel8/8.1/x86_64/baseos/kickstart

Copy to Clipboard

Toggle word wrap

ISO イメージから kickstart ファイルをコピーします。

cp -a /mnt/iso/AppStream/* \
/var/www/html/pub/sat-import/content/dist/rhel8/8.1/x86_64/appstream/kickstart
cp -a /mnt/iso/BaseOS/* /mnt/iso/images/ \
/var/www/html/pub/sat-import/content/dist/rhel8/8.1/x86_64/baseos/kickstart

# cp -a /mnt/iso/AppStream/* \
/var/www/html/pub/sat-import/content/dist/rhel8/8.1/x86_64/appstream/kickstart

# cp -a /mnt/iso/BaseOS/* /mnt/iso/images/ \
/var/www/html/pub/sat-import/content/dist/rhel8/8.1/x86_64/baseos/kickstart

Copy to Clipboard

Toggle word wrap

BaseOS の場合は、/mnt/iso/images/ ディレクトリーのコンテンツもコピーする必要があることに注意してください。

次のエントリーをリストファイルに追加します。
/var/www/html/pub/sat-import/content/dist/rhel8/8.1/x86_64/appstream/listing ファイルで改行して kickstart を追加します。
/var/www/html/pub/sat-import/content/dist/rhel8/8.1/x86_64/baseos/listing ファイルで改行して kickstart を追加します。
/var/www/html/pub/sat-import/content/dist/rhel8/listing ファイルで改行してバージョン番号を追加します。たとえば、RHEL 8.1 バイナリー ISO の場合は 8.1 を追加します。

ISO イメージから .treeinfo ファイルをコピーします。

cp /mnt/iso/.treeinfo \
/var/www/html/pub/sat-import/content/dist/rhel8/8.1/x86_64/appstream/kickstart/treeinfo
cp /mnt/iso/.treeinfo \
/var/www/html/pub/sat-import/content/dist/rhel8/8.1/x86_64/baseos/kickstart/treeinfo

# cp /mnt/iso/.treeinfo \
/var/www/html/pub/sat-import/content/dist/rhel8/8.1/x86_64/appstream/kickstart/treeinfo

# cp /mnt/iso/.treeinfo \
/var/www/html/pub/sat-import/content/dist/rhel8/8.1/x86_64/baseos/kickstart/treeinfo

Copy to Clipboard

Toggle word wrap

/var/www/html/pub/sat-import/content/dist/rhel8/8.1/x86_64/baseos/kickstart/treeinfo ファイルを開いて編集します。
[general] セクションで、以下の変更を加えます。
- packagedir = AppStream/Packages を packagedir = Packages に変更します。
- repository = AppStream を repository = . に変更します。
- variant = AppStream を variant = BaseOS に変更します。
- variants = AppStream,BaseOS を variants = BaseOS に変更します。
[tree] セクションで、variants = AppStream,BaseOS を variants = BaseOS に変更します。
[variant-BaseOS] セクションで、以下の変更を加えます。
- packages = BaseOS/Packages をpackages = Packages に変更します。
- repository = BaseOS を repository = . に変更します。
[media] および [variant-AppStream] のセクションを削除します。
ファイルを保存して閉じます。

/var/www/html/pub/sat-import/content/dist/rhel8/8.1/x86_64/baseos/kickstart/treeinfo ファイルが以下の形式であることを確認します。

[checksums]
images/efiboot.img = sha256:9ad9beee4c906cd05d227a1be7a499c8d2f20b3891c79831325844c845262bb6
images/install.img = sha256:e246bf4aedfff3bb54ae9012f959597cdab7387aadb3a504f841bdc2c35fe75e
images/pxeboot/initrd.img = sha256:a66e3c158f02840b19c372136a522177a2ab4bd91cb7269fb5bfdaaf7452efef
images/pxeboot/vmlinuz = sha256:789028335b64ddad343f61f2abfdc9819ed8e9dfad4df43a2694c0a0ba780d16

[general]
; WARNING.0 = This section provides compatibility with pre-productmd treeinfos.
; WARNING.1 = Read productmd documentation for details about new format.
arch = x86_64
family = Red Hat Enterprise Linux
name = Red Hat Enterprise Linux 8.1.0
packagedir = Packages
platforms = x86_64,xen
repository = .
timestamp = 1571146127
variant = BaseOS
variants = BaseOS
version = 8.1.0

[header]
type = productmd.treeinfo
version = 1.2

[images-x86_64]
efiboot.img = images/efiboot.img
initrd = images/pxeboot/initrd.img
kernel = images/pxeboot/vmlinuz

[images-xen]
initrd = images/pxeboot/initrd.img
kernel = images/pxeboot/vmlinuz

[release]
name = Red Hat Enterprise Linux
short = RHEL
version = 8.1.0

[stage2]
mainimage = images/install.img

[tree]
arch = x86_64
build_timestamp = 1571146127
platforms = x86_64,xen
variants = BaseOS

[variant-BaseOS]
id = BaseOS
name = BaseOS
packages = Packages
repository = .
type = variant
uid = BaseOS

[checksums]
images/efiboot.img = sha256:9ad9beee4c906cd05d227a1be7a499c8d2f20b3891c79831325844c845262bb6
images/install.img = sha256:e246bf4aedfff3bb54ae9012f959597cdab7387aadb3a504f841bdc2c35fe75e
images/pxeboot/initrd.img = sha256:a66e3c158f02840b19c372136a522177a2ab4bd91cb7269fb5bfdaaf7452efef
images/pxeboot/vmlinuz = sha256:789028335b64ddad343f61f2abfdc9819ed8e9dfad4df43a2694c0a0ba780d16

[general]
; WARNING.0 = This section provides compatibility with pre-productmd treeinfos.
; WARNING.1 = Read productmd documentation for details about new format.
arch = x86_64
family = Red Hat Enterprise Linux
name = Red Hat Enterprise Linux 8.1.0
packagedir = Packages
platforms = x86_64,xen
repository = .
timestamp = 1571146127
variant = BaseOS
variants = BaseOS
version = 8.1.0

[header]
type = productmd.treeinfo
version = 1.2

[images-x86_64]
efiboot.img = images/efiboot.img
initrd = images/pxeboot/initrd.img
kernel = images/pxeboot/vmlinuz

[images-xen]
initrd = images/pxeboot/initrd.img
kernel = images/pxeboot/vmlinuz

[release]
name = Red Hat Enterprise Linux
short = RHEL
version = 8.1.0

[stage2]
mainimage = images/install.img

[tree]
arch = x86_64
build_timestamp = 1571146127
platforms = x86_64,xen
variants = BaseOS

[variant-BaseOS]
id = BaseOS
name = BaseOS
packages = Packages
repository = .
type = variant
uid = BaseOS

Copy to Clipboard

Toggle word wrap

/var/www/html/pub/sat-import/content/dist/rhel8/8.1/x86_64/appstream/kickstart/treeinfo ファイルを開いて編集します。
[general] セクションで、以下の変更を加えます。
- packagedir = AppStream/Packages を packagedir = Packages に変更します。
- repository = AppStream を repository = . に変更します。
- variants = AppStream,BaseOS を variants = AppStream に変更します。
[tree] セクションで、variants = AppStream,BaseOS を variants = AppStream に変更します。
[variant-AppStream] セクションで、以下の変更を加えます。
- packages = AppStream/Packages を packages = Packages に変更します。
- repository = AppStream を repository = . に変更します。
ファイルから次のセクションを削除します: [checksums]、[images-x86_64]、[images-xen]、[media]、[stage2]、[variant-BaseOS]。
ファイルを保存して閉じます。

/var/www/html/pub/sat-import/content/dist/rhel8/8.1/x86_64/appstream/kickstart/treeinfo ファイルが以下の形式であることを確認します。

[general]
; WARNING.0 = This section provides compatibility with pre-productmd treeinfos.
; WARNING.1 = Read productmd documentation for details about new format.
arch = x86_64
family = Red Hat Enterprise Linux
name = Red Hat Enterprise Linux 8.1.0
packagedir = Packages
platforms = x86_64,xen
repository = .
timestamp = 1571146127
variant = AppStream
variants = AppStream
version = 8.1.0

[header]
type = productmd.treeinfo
version = 1.2

[release]
name = Red Hat Enterprise Linux
short = RHEL
version = 8.1.0

[tree]
arch = x86_64
build_timestamp = 1571146127
platforms = x86_64,xen
variants = AppStream

[variant-AppStream]
id = AppStream
name = AppStream
packages = Packages
repository = .
type = variant
uid = AppStream

[general]
; WARNING.0 = This section provides compatibility with pre-productmd treeinfos.
; WARNING.1 = Read productmd documentation for details about new format.
arch = x86_64
family = Red Hat Enterprise Linux
name = Red Hat Enterprise Linux 8.1.0
packagedir = Packages
platforms = x86_64,xen
repository = .
timestamp = 1571146127
variant = AppStream
variants = AppStream
version = 8.1.0

[header]
type = productmd.treeinfo
version = 1.2

[release]
name = Red Hat Enterprise Linux
short = RHEL
version = 8.1.0

[tree]
arch = x86_64
build_timestamp = 1571146127
platforms = x86_64,xen
variants = AppStream

[variant-AppStream]
id = AppStream
name = AppStream
packages = Packages
repository = .
type = variant
uid = AppStream

Copy to Clipboard

Toggle word wrap

マウントされたバイナリー DVD ISO イメージを使用する予定がない場合は、ディレクトリーをアンマウントして削除します。
```
umount /mnt/iso
rmdir /mnt/iso
```
```
# umount /mnt/iso
# rmdir /mnt/iso
```
Copy to Clipboard Toggle word wrap
Satellite Web UI で、Kickstart リポジトリーを有効にします。

3.3. Satellite Tools 6.7 リポジトリーの有効化
リンクのコピー

Satellite Tools 6.7 リポジトリーでは、Satellite Server に登録したクライアントに katello-agent、katello-host-tools、および puppet パッケージが提供されます。

前提条件

Satellite Server に必要なコンテンツの ISO イメージすべてをインポートするようにしてください。

手順

Satellite Web UI で、コンテンツ > Red Hat リポジトリー に移動します。
検索フィールドを使用して Satellite Tools 6.7（RHEL 7 Server 用）(RPM) のリポジトリー名を入力します。
利用可能なリポジトリーペインで、Satellite Tools 6.7（RHEL 7 Server 用）(RPM) をクリックして、リポジトリーセットを展開します。
Satellite Tools 6.7 の項目が表示されない場合は、カスタマーポータルから取得したサブスクリプションマニフェストにその項目が含まれないことが原因として考えられます。この問題を修正するには、カスタマーポータルにログインし、これらのリポジトリーを追加し、サブスクリプションマニフェストをダウンロードして、Satellite にインポートします。
x86_64 エントリーでは、有効化 アイコンをクリックして、リポジトリーを有効にします。

ホストで実行している Red Hat Enterprise Linux の各サポート対象メジャーバージョンに対して Satellite Tools 6.7 リポジトリーを有効にします。Red Hat リポジトリーの有効後に、このリポジトリーの製品が自動的に作成されます。

CLI をご利用の場合

hammer repository-set enable コマンドを使用して、Satellite Tools 6.7 リポジトリーを有効化します。

hammer repository-set enable --organization "initial_organization_name" \
--product 'Red Hat Enterprise Linux Server' \
--basearch='x86_64' \
--name 'Red Hat Satellite Tools 6.7 (for RHEL 7 Server) (RPMs)'

# hammer repository-set enable --organization "initial_organization_name" \
--product 'Red Hat Enterprise Linux Server' \
--basearch='x86_64' \
--name 'Red Hat Satellite Tools 6.7 (for RHEL 7 Server) (RPMs)'

Copy to Clipboard

Toggle word wrap

3.4. Satellite Tools 6.7 リポジトリーの同期
リンクのコピー

本セクションを使用して、Red Hat コンテンツ配信ネットワーク(CDN)から Satellite に Satellite Tools 6.7 リポジトリーを同期します。このリポジトリーは、Satellite Server に登録したクライアントに katello-agent、katello-host-tools、および puppet パッケージを提供します。

手順

Satellite Web UI で、コンテンツ > 同期の状態 に移動します。
同期可能な製品リポジトリーのリストが表示されます。
Red Hat Enterprise Linux Server 製品の横にある矢印をクリックして、利用可能なコンテンツを表示します。
Satellite Tools 6.7（RHEL 7 Server 用）RPMs x86_64 を選択します。
今すぐ同期 をクリックします。

CLI をご利用の場合

hammer repository synchronize コマンドを使用して、Satellite Tools 6.7 リポジトリーを同期します。

hammer repository synchronize --organization "initial_organization_name" \
--product 'Red Hat Enterprise Linux Server' \
--name 'Red Hat Satellite Tools 6.7 for RHEL 7 Server RPMs x86_64' \
--async

# hammer repository synchronize --organization "initial_organization_name" \
--product 'Red Hat Enterprise Linux Server' \
--name 'Red Hat Satellite Tools 6.7 for RHEL 7 Server RPMs x86_64' \
--async

Copy to Clipboard

Toggle word wrap

3.5. 管理対象ホスト上での電源管理の有効化
リンクのコピー

Intelligent Platform Management Interface (IPMI) または類似するプロトコルを使用して管理対象ホストで電源管理タスクを実行するには、Satellite Server でベースボード管理コントローラー (BMC) モジュールを有効にする必要があります。

前提条件

すべての管理対象ホストには、BMC タイプのネットワークインターフェースが必要である。Satellite Server はこの NIC を使用して、適切な認証情報をホストに渡します。詳細は、『ホストの管理』ガイドの「ベースボード 管理コントローラー(BMC)インターフェースの追加 」を参照してください。

手順

BMC を有効にするには、以下のコマンドを入力します。

satellite-installer --foreman-proxy-bmc "true" \
--foreman-proxy-bmc-default-provider "freeipmi"

# satellite-installer --foreman-proxy-bmc "true" \
--foreman-proxy-bmc-default-provider "freeipmi"

Copy to Clipboard

Toggle word wrap

3.6. Satellite Server での DNS、DHCP および TFTP の設定
リンクのコピー

DNS、DHCP および TFTP サービスを Satellite Server で設定するには、お使いの環境に適したオプションを指定して satellite-installer コマンドを使用します。設定可能なオプションの全リストを表示するには、satellite-installer --scenario satellite --help コマンドを入力します。

設定を変更するには、satellite-installer コマンドを再び実行する必要があります。コマンドは複数回実行でき、実行するたびにすべての設定ファイルが変更された値で更新されます。

代わりに外部の DNS、DHCP および TFTP サービスを使用するには、4章外部サービスでの Satellite Server の設定 を参照してください。

Multihomed DHCP の詳細の追加

Multihomed DHCP を使用する場合は、ネットワークインターフェースファイルの更新が必要です。

/etc/systemd/system/dhcpd.service.d/interfaces.conf ファイルで、以下の行を編集して Multihomed DHCP を追加します。
```
[Service]
ExecStart=/usr/sbin/dhcpd -f -cf /etc/dhcp/dhcpd.conf -user dhcpd -group dhcpd --no-pid eth0 eth1 eth2
```
```
[Service]
ExecStart=/usr/sbin/dhcpd -f -cf /etc/dhcp/dhcpd.conf -user dhcpd -group dhcpd --no-pid eth0 eth1 eth2
```
Copy to Clipboard Toggle word wrap
このファイルがまだ存在しない場合は作成します。
以下のコマンドを入力して、デーモンのリロードを実行します。
```
systemctl --system daemon-reload
```
```
# systemctl --system daemon-reload
```
Copy to Clipboard Toggle word wrap
以下のコマンドを入力して、dhcpd サービスを再起動します。
```
systemctl restart dhcpd.service
```
```
# systemctl restart dhcpd.service
```
Copy to Clipboard Toggle word wrap

前提条件

以下の情報が利用可能であることを確認する。
- DHCP IP アドレス範囲
- DHCP ゲートウェイ IP アドレス
- DHCP ネームサーバー IP アドレス
- DNS 情報
- TFTP サーバー名
ネットワークの変更の場合は、可能な限り、IP アドレスの代わりに FQDN を使用します。
ネットワーク管理者に連絡して正しい設定が行われていることを確認する。

手順

お使いの環境に適したオプションで、satellite-installer コマンドを入力してください。以下の例では、完全なプロビジョニングサービスの設定を示しています。

satellite-installer --scenario satellite \
--foreman-proxy-dns true \
--foreman-proxy-dns-managed true \
--foreman-proxy-dns-interface eth0 \
--foreman-proxy-dns-zone example.com \
--foreman-proxy-dns-reverse 2.0.192.in-addr.arpa \
--foreman-proxy-dhcp true \
--foreman-proxy-dhcp-managed true \
--foreman-proxy-dhcp-interface eth0 \
--foreman-proxy-dhcp-range "192.0.2.100 192.0.2.150" \
--foreman-proxy-dhcp-gateway 192.0.2.1 \
--foreman-proxy-dhcp-nameservers 192.0.2.2 \
--foreman-proxy-tftp true \
--foreman-proxy-tftp-managed true \
--foreman-proxy-tftp-servername 192.0.2.3

# satellite-installer --scenario satellite \
--foreman-proxy-dns true \
--foreman-proxy-dns-managed true \
--foreman-proxy-dns-interface eth0 \
--foreman-proxy-dns-zone example.com \
--foreman-proxy-dns-reverse 2.0.192.in-addr.arpa \
--foreman-proxy-dhcp true \
--foreman-proxy-dhcp-managed true \
--foreman-proxy-dhcp-interface eth0 \
--foreman-proxy-dhcp-range "192.0.2.100 192.0.2.150" \
--foreman-proxy-dhcp-gateway 192.0.2.1 \
--foreman-proxy-dhcp-nameservers 192.0.2.2 \
--foreman-proxy-tftp true \
--foreman-proxy-tftp-managed true \
--foreman-proxy-tftp-servername 192.0.2.3

Copy to Clipboard

Toggle word wrap

プロンプトに表示される satellite-installer コマンドの進行状況を監視できます。/var/log/foreman-installer/satellite.log でログを表示できます。/etc/foreman-installer/scenarios.d/satellite-answers.yaml ファイルで、使用されている設定 (initial_admin_password パラメーターなど) を表示できます。

DHCP、DNS および TFTP サービスの設定に関する情報は、『プロビジョニングガイド』 の「ネットワークサービスの設定」セクションを参照してください。

3.7. 管理対象外ネットワークに対する DNS、DHCP、および TFTP の無効化
リンクのコピー

TFTP、DHCP および DNS サービスを手動で管理する場合には、Satellite がオペレーティングシステム上でこれらのサービスを管理しないようにし、オーケストレーションを無効にして、DHCP および DNS バリデーションエラーを回避する必要があります。ただし、Satellite ではオペレーティングシステムのバックエンドサービスは削除されません。

手順

Satellite Server で以下のコマンドを入力します。

satellite-installer --foreman-proxy-dhcp false \
--foreman-proxy-dns false \
--foreman-proxy-tftp false

# satellite-installer --foreman-proxy-dhcp false \
--foreman-proxy-dns false \
--foreman-proxy-tftp false

Copy to Clipboard

Toggle word wrap

Satellite Web UI で、インフラストラクチャー > Capsule に移動し、サブネットを選択します。
Capsules タブで、DHCP Capsule、TFTP Capsule、および 逆引き DNS Capsule を選択します。
インフラストラクチャー > ドメイン に移動し、ドメインを選択します。
DNS Capsule フィールドの内容を消去します。
オプション: サードパーティーが提供する DHCP サービスを使用する場合は、以下のオプションを渡すように DHCP サーバーを設定します。
```
Option 66: IP address of Satellite or Capsule
Option 67: /pxelinux.0
```
```
Option 66: IP address of Satellite or Capsule
Option 67: /pxelinux.0
```
Copy to Clipboard Toggle word wrap
DHCP オプションの詳細は「RFC 2132」を参照してください。

注記

Satellite 6 は、Capsule が該当するサブネットとドメインに設定されていない場合にオーケストレーションを実行しません。Capsule の関連付けを有効または無効にした場合に、想定のレコードと設定ファイルが存在しないと、既存のホストのオーケストレーションコマンドが失敗することがあります。オーケストレーションを有効にするために Capsule を関連付ける場合は、今後、ホストの削除に失敗しないように、既存の Satellite ホストに対して必要な DHCP レコード、DNS レコード、TFTP ファイルが所定の場所にあることを確認します。

3.8. Satellite Server での送信メールの設定
リンクのコピー

Satellite Server からメールメッセージを送信するには、SMTP サーバーまたは sendmail コマンドのいずれかを使用できます。

前提条件

前回のリリースからアップグレードしている場合は、設定ファイル /usr/share/foreman/config/email.yaml の名前を変更するか削除して、httpd サービスを再起動しておく。以下に例を示します。
```
mv /usr/share/foreman/config/email.yaml \
/usr/share/foreman/config/email.yaml-backup
systemctl restart httpd
```
```
# mv /usr/share/foreman/config/email.yaml \
/usr/share/foreman/config/email.yaml-backup
# systemctl restart httpd
```
Copy to Clipboard Toggle word wrap

手順

Satellite Web UI で、管理 → 設定に移動します。

Email タブをクリックして、希望する配信方法に一致する設定オプションを設定します。変更は即座に反映されます。

以下の例は、SMTP サーバーを使用する場合の設定オプションの例を示しています。

Expand

表3.1 配信方法に SMTP サーバーを使用する例
名前	値例
配信方法	SMTP
SMTP アドレス	smtp.example.com
SMTP 認証	ログイン
SMTP HELO/EHLO ドメイン	example.com
SMTP パスワード	パスワード
SMTP ポート	25
SMTP ユーザー名	user@example.com

SMTP ユーザー名 と SMTP パスワード では、SMTP サーバーのログイン認証情報を指定します。

以下の例では、gmail.com が SMTP サーバーとして使用されています。

Expand

表3.2 gmail.com を SMTP サーバーとして使用する例
名前	値例
配信方法	SMTP
SMTP アドレス	smtp.gmail.com
SMTP 認証	plain
SMTP HELO/EHLO ドメイン	smtp.gmail.com
SMTP enable StartTLS auto	あり
SMTP パスワード	パスワード
SMTP ポート	587
SMTP ユーザー名	user@gmail.com

以下の例では、sendmail コマンドが配信方法として使用されています。

Expand

表3.3 配信方法に sendmail を使用する例
名前	値例
配信方法	Sendmail
Sendmail の引数	-i -t -G

Sendmail の引数 では、sendmail コマンドに渡すオプションを指定します。デフォルト値は、-i -t です。詳細は、sendmail 1 の man ページを参照してください。

TLS 認証を使用する SMTP サーバーで電子メールを送信する場合は、以下のいずれかの手順を実行してください。
- SMTP サーバーの CA 証明書を信頼済みとしてマークします。このようにマークするには、Satellite Server で以下のコマンドを実行します。
  # cp mailca.crt /etc/pki/ca-trust/source/anchors/ # update-ca-trust enable # update-ca-trust
  Copy to Clipboard Toggle word wrap
  ここで、mailca.crt は SMTP サーバーの CA 証明書です。
- 別の方法では、Web UI の SMTP enable StartTLS auto オプションを No に設定します。
Test email をクリックしてユーザーのメールアドレスにテストメッセージを送信し、設定が機能していることを確認します。メッセージの送信に失敗する場合は、Web UI でエラーが表示されます。詳細については、/var/log/foreman/production.log のログを確認してください。

注記

個々のユーザーまたはユーザーグループに対する電子メール通知の設定に関する詳細は、『 Red Hat Satellite の管理』 の「メール通知の設定」を参照してください。

3.9. カスタムの SSL 証明書を使用した Satellite Server の設定
リンクのコピー

デフォルトでは、Red Hat Satellite 6 は自己署名の SSL 証明書を使用して、Satellite Server、外部の Capsule Server および全ホストの間で暗号化した通信ができるようにします。Satellite 自己署名の証明書を使用できない場合には、外部の証明局で署名した SSL 証明書を使用するように Satellite Server を設定できます。

カスタムの証明書で Satellite Server を設定するには、以下の手順を実行します。

「Satellite Server 向けのカスタム SSL 証明書の作成」
「カスタムの SSL 証明書の Satellite Server へのデプロイ」
「ホストへのカスタム SSL 証明書のデプロイ」
Satellite Server に外部の Capsule Server を登録した場合には、カスタムの SSL 証明書を使用して設定する必要があります。詳細は、『 Capsule Server の インストール』の「カスタム SSL 証明書を使用した Capsule Server の設定」を参照してください。

3.9.1. Satellite Server 向けのカスタム SSL 証明書の作成
リンクのコピー

この手順を使用して、Satellite Server 用にカスタムの SSL 証明書を作成します。Satellite Server 用のカスタムの SSL 証明書がある場合にはこの手順は省略してください。

カスタム証明書を使用して Satellite Server を設定する場合には、次の点を考慮してください。

SSL 証明書には、Privacy-Enhanced Mail (PEM) エンコードを使用する必要がある。
Satellite Server と Capsule Server の両方に、同じ証明書を使用できない。
同じ証明局を使用して Satellite Server と Capsule Server の証明書を署名する必要がある。

手順

カスタムの SSL 証明書を作成するには、以下の手順を実行します。

ソースの証明書ファイルすべてを保存するには、root ユーザーだけがアクセスできるディレクトリーを作成します。
```
mkdir /root/satellite_cert
```
```
# mkdir /root/satellite_cert
```
Copy to Clipboard Toggle word wrap
Certificate Signing Request (CSR) を署名する秘密鍵を作成します。
秘密鍵は暗号化する必要がないことに注意してください。パスワードで保護された秘密鍵を使用する場合は、秘密鍵のパスワードを削除します。
この Satellite Server の秘密鍵がすでにある場合は、この手順を省略します。
```
openssl genrsa -out /root/satellite_cert/satellite_cert_key.pem 4096
```
```
# openssl genrsa -out /root/satellite_cert/satellite_cert_key.pem 4096
```
Copy to Clipboard Toggle word wrap

証明書署名要求 (CSR) 用の /root/satellite_cert/openssl.cnf 設定ファイルを作成して、以下のコンテンツを追加します。

[ req ]
req_extensions = v3_req
distinguished_name = req_distinguished_name
x509_extensions = usr_cert
prompt = no

[ req_distinguished_name ] 
C  = Country Name (2 letter code)
ST = State or Province Name (full name)
L  = Locality Name (eg, city)
O  = Organization Name (eg, company)
OU = The division of your organization handling the certificate
CN = satellite.example.com 

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection
subjectAltName = @alt_names

[ usr_cert ]
basicConstraints=CA:FALSE
nsCertType = client, server, email
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection
nsComment = "OpenSSL Generated Certificate"
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer

[ alt_names ]
DNS.1 = satellite.example.com

[ req ]
req_extensions = v3_req
distinguished_name = req_distinguished_name
x509_extensions = usr_cert
prompt = no

[ req_distinguished_name ]


C  = Country Name (2 letter code)
ST = State or Province Name (full name)
L  = Locality Name (eg, city)
O  = Organization Name (eg, company)
OU = The division of your organization handling the certificate
CN = satellite.example.com



[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection
subjectAltName = @alt_names

[ usr_cert ]
basicConstraints=CA:FALSE
nsCertType = client, server, email
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection
nsComment = "OpenSSL Generated Certificate"
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer

[ alt_names ]
DNS.1 = satellite.example.com

Copy to Clipboard

Toggle word wrap

1: [ req_distinguished_name ] セクションに、貴社の組織の情報を入力します。
2: 証明書のコモンネーム CN を、Satellite Server の完全修飾ドメイン名 (FQDN) と一致するように設定します。FQDN を確認するには、対象の Satellite Server で hostname -f コマンドを入力します。これは、katello-certs-check コマンドが証明書を正しく検証することを確認するために必要です。
3: サブジェクトの別名 (SAN: Subject Alternative Name) DNS.1 を、お使いのサーバーの完全修飾ドメイン名 (FQDN) に一致する用に設定します。

証明書署名要求 (CSR) を作成します。

openssl req -new \
-key /root/satellite_cert/satellite_cert_key.pem \
-config /root/satellite_cert/openssl.cnf \
-out /root/satellite_cert/satellite_cert_csr.pem

# openssl req -new \
-key /root/satellite_cert/satellite_cert_key.pem \


-config /root/satellite_cert/openssl.cnf \


-out /root/satellite_cert/satellite_cert_csr.pem

Copy to Clipboard

Toggle word wrap

1: 秘密鍵へのパス
2: 設定ファイルへのパス
3: 生成する CSRへのパス

証明局に証明書署名要求を送信します。同じ証明局を使用して Satellite Server と Capsule Server の証明書を署名する必要がある。
要求を送信する場合は、証明書の有効期限を指定してください。証明書要求を送信する方法は異なるため、推奨の方法について認証局にお問い合わせください。要求への応答で、認証局バンドルと署名済み証明書を別々のファイルで受け取ることになります。

3.9.2. カスタムの SSL 証明書の Satellite Server へのデプロイ
リンクのコピー

この手順を使用して、Satellite Server が、認証局で署名されたカスタムの SSL 署名書を使用するように設定します。katello-certs-check コマンドは、入力した証明書ファイルを検証して、Satellite Server にカスタムの SSL 証明書をデプロイするのに必要なコマンドを返します。

手順

Satellite Server にカスタムの証明書をデプロイするには、以下の手順を実行します。

カスタムの SSL 証明書入力ファイルを検証します。katello-certs-check コマンドが正しく実行されるには、証明書のコモンネーム (CN) が Satellite Server の FQDN と一致する必要があることに注意してください。

katello-certs-check \
-c /root/satellite_cert/satellite_cert.pem \
-k /root/satellite_cert/satellite_cert_key.pem \
-b /root/satellite_cert/ca_cert_bundle.pem

# katello-certs-check \
-c /root/satellite_cert/satellite_cert.pem \


-k /root/satellite_cert/satellite_cert_key.pem \


-b /root/satellite_cert/ca_cert_bundle.pem

Copy to Clipboard

Toggle word wrap

1: 認証局が署名した Satellite Server の証明書ファイルへのパス
2: Capsule Server 証明書の署名に使用した秘密鍵へのパス
3: 認証局バンドルへのパス

このコマンドに成功すると、2 つの satellite-installer コマンドが返されます。1 つは、Satellite Server に証明書をデプロイするのに使用する必要があります。

katello-certs-check の出力例

Validation succeeded.

To install the Red Hat Satellite Server with the custom certificates, run:

  satellite-installer --scenario satellite \
    --certs-server-cert "/root/satellite_cert/satellite_cert.pem" \
    --certs-server-key "/root/satellite_cert/satellite_cert_key.pem" \
    --certs-server-ca-cert "/root/satellite_cert/ca_cert_bundle.pem"

To update the certificates on a currently running Red Hat Satellite installation, run:

  satellite-installer --scenario satellite \
    --certs-server-cert "/root/satellite_cert/satellite_cert.pem" \
    --certs-server-key "/root/satellite_cert/satellite_cert_key.pem" \
    --certs-server-ca-cert "/root/satellite_cert/ca_cert_bundle.pem" \
    --certs-update-server --certs-update-server-ca

Validation succeeded.

To install the Red Hat Satellite Server with the custom certificates, run:

  satellite-installer --scenario satellite \
    --certs-server-cert "/root/satellite_cert/satellite_cert.pem" \
    --certs-server-key "/root/satellite_cert/satellite_cert_key.pem" \
    --certs-server-ca-cert "/root/satellite_cert/ca_cert_bundle.pem"

To update the certificates on a currently running Red Hat Satellite installation, run:

  satellite-installer --scenario satellite \
    --certs-server-cert "/root/satellite_cert/satellite_cert.pem" \
    --certs-server-key "/root/satellite_cert/satellite_cert_key.pem" \
    --certs-server-ca-cert "/root/satellite_cert/ca_cert_bundle.pem" \
    --certs-update-server --certs-update-server-ca

Copy to Clipboard

Toggle word wrap

要件に合わせて katello-certs-check コマンドの出力から、satellite-installer コマンドを入力し、カスタムの SSL 証明書で新しい Satellite をインストールするか、現在実行中の Satellite の証明書を更新します。
実行するコマンドが不明な場合には、/etc/foreman-installer/scenarios.d/.installed が存在するかをチェックし、Satellite がインストールされていることが確認できます。ファイルが存在する場合には、2 番目の satellite-installer コマンドを実行すると証明書が更新されます。
重要
証明書のデプロイ後に、証明書のアーカイブファイルを削除しないでください。Satellite Server のアップグレード時などに必要です。
Satellite Server にネットワークでアクセスできるコンピューターで、この URL ( https://satellite.example.com) に移動します。
ブラウザーで、証明書の詳細を表示して、デプロイした証明書を確認します。

3.9.3. ホストへのカスタム SSL 証明書のデプロイ
リンクのコピー

Satellite Server がカスタムの SSL 証明書を使用する用に設定した後に、Satellite Server に登録されている全ホストに katello-ca-consumer パッケージもインストールする必要があります。

手順

各ホストに katello-ca-consumer パッケージをインストールします。

yum localinstall \
http://satellite.example.com/pub/katello-ca-consumer-latest.noarch.rpm

# yum localinstall \
http://satellite.example.com/pub/katello-ca-consumer-latest.noarch.rpm

Copy to Clipboard

Toggle word wrap

3.10. Satellite での外部データベースの使用
リンクのコピー

Red Hat Satellite のインストールプロセスの一部として、satellite-installer コマンドは MongoDB および PostgreSQL のデータベースを Satellite と同じサーバー上にインストールします。Satellite のデプロイメントによっては、デフォルトのローカルにあるデータベースの代わりに外部データベースを使用すると、サーバーの負荷を軽減される場合があります。外部データベースに MongoDB と PostgreSQL のどちらのデータベースが使用できるか (または両方使用できるか) については、要件によって異なります。

Red Hat では、外部データベースのメンテナンスのサポートやそのためのツールは提供していません。これにはバックアップ、アップグレード、データベースのチューニングが含まれます。外部データベースをサポートし、管理する自社のデータベース管理者が必要です。

外部データベースとして MongoDB を使用する際の注意点および外部データベースとして PostgreSQL を使用する際の注意点を参照して、Satellite デプロイメントに外部データベースを使用するかどうかを決定します。

Satellite 用に外部データベースを作成して使用するには、以下の手順を実行します。

「外部データベース用のホストの準備」: 外部データベースをホストするように Red Hat Enterprise Linux 7 サーバーを準備します。
「MongoDB のインストール」.pulp_database を所有する pulp ユーザーで MongoDB を準備します。
「PostgreSQL のインストール」.Satellite および Candlepin のデータベースおよびそれらを所有する専用ユーザーで PostgreSQL を準備します。
「外部データベースを使用するための Satellite の設定」.新規データベースを参照するように satellite-installer のパラメーターを編集し、satellite-installer を実行します。

3.10.1. 外部データベースとして MongoDB を使用する際の注意点
リンクのコピー

Pulp は MongoDB データベースを使用します。MongoDB を外部データベースとして使用する場合は、以下の情報を参照してお使いの Satellite 設定にこのオプションが適しているかどうかを判別してください。Satellite は MongoDB バージョン 3.4 をサポートしています。

外部 MongoDB の利点

Satellite 上の空きメモリーと空き CPU が増えます。
Satellite 操作にマイナスの影響をもたらすことなく MongoDB サーバーのシステムを調整する柔軟性が得られます。

外部 MongoDB のマイナス点

デプロイメントの複雑性が増し、問題解決がより困難になります。
外部 MongoDB サーバーの場合は、パッチおよびメンテナンス対象に新たなシステムが加わることになります。
Satellite または Mongo データベースサーバーのいずれかにハードウェアまたはストレージ障害が発生すると、Satellite が機能しなくなります。
Satellite と外部データベースサーバーの間でレイテンシーが発生すると、パフォーマンスに影響が出る可能性があります。

FIPS 関連の制限

FIPS モードの Satellite で外部 MongoDB を使用することはできません。

3.10.2. 外部データベースとして PostgreSQL を使用する際の注意点
リンクのコピー

Foreman、Katello、および Candlepin は PostgreSQL データベースを使用します。PostgreSQL を外部データベースとして使用する場合は、以下の情報を参照してお使いの Satellite 設定にこのオプションが適しているかどうかを判別してください。Satellite は PostgreSQL バージョン 9.2 をサポートします。

外部 PostgreSQL の利点

Satellite 上の空きメモリーと空き CPU が増えます。
PostgreSQL データベースで shared_buffers を高い値に設定しても、Satellite 上の他のサービスの妨げるリスクがありません。
Satellite 操作にマイナスの影響をもたらすことなく PostgreSQL サーバーのシステムを調整する柔軟性が得られます。

外部 PostgreSQL のマイナス点

デプロイメントの複雑性が増し、問題解決がより困難になります。
外部 PostgreSQL サーバーの場合は、パッチおよびメンテナンス対象に新たなシステムが加わることになります。
Satellite または PostgreSQL データベースサーバーのいずれかにハードウェアまたはストレージ障害が発生すると、Satellite が機能しなくなります。
Satellite Server とデータベースサーバーの間でレイテンシーが発生すると、パフォーマンスに影響が出ます。

お使いの Satellite 上の PostgreSQL データベースが原因でパフォーマンスの低下が生じている可能性がある場合は、「Satellite 6: How to enable postgres query logging to detect slow running queries」を参照して時間のかかっているクエリーがあるかどうか判定します。1 秒以上かかるクエリーがある場合は、通常、大規模インストールのパフォーマンスが原因であることが多く、外部データベースに移行しても問題解決が期待できません。時間のかかっているクエリーがある場合は、Red Hat サポートチームまでお問い合わせください。

3.10.3. 外部データベース用のホストの準備
リンクのコピー

新しくプロビジョニングされたシステムに最新の Red Hat Enterprise Linux 7 サーバーをインストールして、外部データベースをホストします。

Red Hat Software Collections および Red Hat Enterprise Linux のサブスクリプションでは、外部データベースと Satellite を併用する場合に、正しいサービスレベルアグリーメントが提供されません。外部データベースに使用するベースオペレーティングシステムにも、Satellite サブスクリプションをアタッチする必要があります。

前提条件

Red Hat Enterprise Linux 7 サーバーは Satellite のストレージ要件を満たしている必要があります。

手順

「 Satellite Infrastructure サブスクリプションのアタッチ」の手順に従い、サーバーに Satellite サブスクリプションをアタッチします。

すべてのリポジトリーを無効にし、以下のリポジトリーのみを有効にします。

subscription-manager repos --disable '*'
subscription-manager repos --enable=rhel-server-rhscl-7-rpms \
--enable=rhel-7-server-rpms

# subscription-manager repos --disable '*'
# subscription-manager repos --enable=rhel-server-rhscl-7-rpms \
--enable=rhel-7-server-rpms

Copy to Clipboard

Toggle word wrap

3.10.4. MongoDB のインストール
リンクのコピー

インストール可能な MongoDB は、内部データベースのインストール中に satellite-installer ツールでインストールされたものと同じバージョンの MongoDB のみになります。MongoDB はサポート対象のバージョンであれば、Red Hat Software Collections (RHSCL) リポジトリーからまたは外部ソースからインストールすることが可能です。Satellite は MongoDB バージョン 3.4 をサポートしています。

手順

MongoDB をインストールするには、以下のコマンドを入力します。
```
yum install rh-mongodb34 rh-mongodb34-syspaths
```
```
# yum install rh-mongodb34 rh-mongodb34-syspaths
```
Copy to Clipboard Toggle word wrap

rh-mongodb34 サービスを起動して有効にします。

systemctl start rh-mongodb34-mongod
systemctl enable rh-mongodb34-mongod

# systemctl start rh-mongodb34-mongod
# systemctl enable rh-mongodb34-mongod

Copy to Clipboard

Toggle word wrap

pulp_database データベース用に、MongoDB に Pulp ユーザーを作成します。

mongo pulp_database \
--eval "db.createUser({user:'pulp',pwd:'pulp_password',roles:[{role:'dbOwner', db:'pulp_database'},{ role: 'readWrite', db: 'pulp_database'}]})"

# mongo pulp_database \
--eval "db.createUser({user:'pulp',pwd:'pulp_password',roles:[{role:'dbOwner', db:'pulp_database'},{ role: 'readWrite', db: 'pulp_database'}]})"

Copy to Clipboard

Toggle word wrap

/etc/opt/rh/rh-mongodb34/mongod.conf ファイルでバインド IP を指定します。
```
bindIp: your_mongodb_server_bind_IP,::1
```
```
bindIp: your_mongodb_server_bind_IP,::1
```
Copy to Clipboard Toggle word wrap
/etc/opt/rh/rh-mongodb34/mongod.conf ファイルを編集して security セクションの認証を有効にします。
```
security:
  authorization: enabled
```
```
security:
  authorization: enabled
```
Copy to Clipboard Toggle word wrap
rh-mongodb34-mongod サービスを再起動します。
```
systemctl restart rh-mongodb34-mongod
```
```
# systemctl restart rh-mongodb34-mongod
```
Copy to Clipboard Toggle word wrap

MongoDB にポート 27017 を開きます。

firewall-cmd --add-port=27017/tcp
firewall-cmd --runtime-to-permanent

# firewall-cmd --add-port=27017/tcp
# firewall-cmd --runtime-to-permanent

Copy to Clipboard

Toggle word wrap

Satellite Server から、データベースにアクセスできることをテストします。接続が成功すると、コマンドから 1 が返ります。

scl enable rh-mongodb34 " mongo --host mongo.example.com \
-u pulp -p pulp_password --port 27017 --eval 'ping:1' pulp_database"

# scl enable rh-mongodb34 " mongo --host mongo.example.com \
-u pulp -p pulp_password --port 27017 --eval 'ping:1' pulp_database"

Copy to Clipboard

Toggle word wrap

3.10.5. PostgreSQL のインストール
リンクのコピー

インストール可能な PostgreSQL は、内部データベースのインストール中に satellite-installer ツールでインストールされたものと同じバージョンの PostgreSQL のみになります。PostgreSQL はサポート対象のバージョンであれば、Red Hat Enteprise Linux Server 7 リポジトリーからまたは外部ソースからインストールすることが可能です。Satellite は PostgreSQL バージョン 9.2 をサポートします。

手順

PostgreSQL をインストールするには、以下のコマンドを入力します。
```
yum install postgresql-server
```
```
# yum install postgresql-server
```
Copy to Clipboard Toggle word wrap
PostgreSQL サービスを初期化して起動し、有効にするには、以下のコマンドを実行します。
```
postgresql-setup initdb
systemctl start postgresql
systemctl enable postgresql
```
```
# postgresql-setup initdb
# systemctl start postgresql
# systemctl enable postgresql
```
Copy to Clipboard Toggle word wrap
/var/lib/pgsql/data/postgresql.conf ファイルを編集します。
```
vi /var/lib/pgsql/data/postgresql.conf
```
```
# vi /var/lib/pgsql/data/postgresql.conf
```
Copy to Clipboard Toggle word wrap
# を削除して、着信接続をリッスンするようにします。
```
listen_addresses = '*'
```
```
listen_addresses = '*'
```
Copy to Clipboard Toggle word wrap
/var/lib/pgsql/data/pg_hba.conf ファイルを編集します。
```
vi /var/lib/pgsql/data/pg_hba.conf
```
```
# vi /var/lib/pgsql/data/pg_hba.conf
```
Copy to Clipboard Toggle word wrap
以下の行をファイルに追加します。
```
  host  all   all   Satellite_ip/24   md5
```
```
  host  all   all   Satellite_ip/24   md5
```
Copy to Clipboard Toggle word wrap
PostgreSQL サービスを再起動して、変更を適用します。
```
systemctl restart postgresql
```
```
# systemctl restart postgresql
```
Copy to Clipboard Toggle word wrap

外部 PostgreSQL サーバーで postgresql ポートを開きます。

firewall-cmd --add-service=postgresql
firewall-cmd --runtime-to-permanent

# firewall-cmd --add-service=postgresql
# firewall-cmd --runtime-to-permanent

Copy to Clipboard

Toggle word wrap

postgres ユーザーに切り替え、PostgreSQL クライアントを起動します。
```
su - postgres -c psql
```
```
$ su - postgres -c psql
```
Copy to Clipboard Toggle word wrap

Satellite と Candlepin 用にそれぞれ、データベース、および専用ロールを作成します。

CREATE USER "foreman" WITH PASSWORD 'Foreman_Password';
CREATE USER "candlepin" WITH PASSWORD 'Candlepin_Password';
CREATE DATABASE foreman OWNER foreman;
CREATE DATABASE candlepin OWNER candlepin;

CREATE USER "foreman" WITH PASSWORD 'Foreman_Password';
CREATE USER "candlepin" WITH PASSWORD 'Candlepin_Password';
CREATE DATABASE foreman OWNER foreman;
CREATE DATABASE candlepin OWNER candlepin;

Copy to Clipboard

Toggle word wrap

postgres ユーザーをログアウトします。
```
\q
```
```
# \q
```
Copy to Clipboard Toggle word wrap

Satellite Server から、データベースにアクセスできることをテストします。接続に成功した場合には、コマンドは 1 を返します。

PGPASSWORD='Foreman_Password' psql -h postgres.example.com  -p 5432 -U foreman -d foreman -c "SELECT 1 as ping"
PGPASSWORD='Candlepin_Password' psql -h postgres.example.com -p 5432 -U candlepin -d candlepin -c "SELECT 1 as ping"

# PGPASSWORD='Foreman_Password' psql -h postgres.example.com  -p 5432 -U foreman -d foreman -c "SELECT 1 as ping"
# PGPASSWORD='Candlepin_Password' psql -h postgres.example.com -p 5432 -U candlepin -d candlepin -c "SELECT 1 as ping"

Copy to Clipboard

Toggle word wrap

3.10.6. 外部データベースを使用するための Satellite の設定
リンクのコピー

satellite-installer コマンドを使用して Satellite が外部の MongoDB と PostgreSQL データベースに接続するように設定します。

前提条件

Red Hat Enterprise Linux サーバーに MongoDB および PostgreSQL データベースをインストールおよび設定していること。

手順

Satellite の外部データベースを設定するには以下のコマンドを入力します。

satellite-installer --scenario satellite \
  --foreman-db-host postgres.example.com \
  --foreman-db-password Foreman_Password \
  --foreman-db-database foreman \
  --katello-candlepin-db-host postgres.example.com \
  --katello-candlepin-db-name candlepin \
  --katello-candlepin-db-password Candlepin_Password \
  --katello-candlepin-manage-db false \
  --katello-pulp-db-username pulp \
  --katello-pulp-db-password pulp_password \
  --katello-pulp-db-seeds mongo.example.com:27017 \
  --katello-pulp-db-name pulp_database

satellite-installer --scenario satellite \
  --foreman-db-host postgres.example.com \
  --foreman-db-password Foreman_Password \
  --foreman-db-database foreman \
  --katello-candlepin-db-host postgres.example.com \
  --katello-candlepin-db-name candlepin \
  --katello-candlepin-db-password Candlepin_Password \
  --katello-candlepin-manage-db false \
  --katello-pulp-db-username pulp \
  --katello-pulp-db-password pulp_password \
  --katello-pulp-db-seeds mongo.example.com:27017 \
  --katello-pulp-db-name pulp_database

Copy to Clipboard

Toggle word wrap

データベースのステータスを確認します。
- PostgreSQL の場合は、以下のコマンドを実行します。
  # satellite-maintain service status --only postgresql
  Copy to Clipboard Toggle word wrap
- MongoDB の場合は、以下のコマンドを実行します。
  # satellite-maintain service status --only rh-mongodb34-mongod
  Copy to Clipboard Toggle word wrap

3.11. mongod へのアクセスの制限
リンクのコピー

データ損失の危険を減らすために、MongoDB データベースデーモン mongod へのアクセスは apache ユーザーと root ユーザーにだけ設定する必要があります。

ご使用の Satellite Server の mongod へのアクセスを制限するには、ファイアウォール構成を更新する必要があります。

手順

以下のコマンドを入力して、ファイアウォール構成を更新します。

firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p \
tcp -m tcp --dport 27017 -m owner --uid-owner apache -j ACCEPT \
&& firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p \
tcp -m tcp --dport 27017 -m owner --uid-owner apache -j ACCEPT \
&& firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p \
tcp -m tcp --dport 27017 -m owner --uid-owner root -j ACCEPT \
&& firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p \
tcp -m tcp --dport 27017 -m owner --uid-owner root -j ACCEPT \
&& firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 1 -o lo -p \
tcp -m tcp --dport 27017 -j DROP \
&& firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 1 -o lo -p \
tcp -m tcp --dport 27017 -j DROP \
&& firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p \
tcp -m tcp --dport 28017 -m owner --uid-owner apache -j ACCEPT \
&& firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p \
tcp -m tcp --dport 28017 -m owner --uid-owner apache -j ACCEPT \
&& firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p \
tcp -m tcp --dport 28017 -m owner --uid-owner root -j ACCEPT \
&& firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p \
tcp -m tcp --dport 28017 -m owner --uid-owner root -j ACCEPT \
&& firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 1 -o lo -p \
tcp -m tcp --dport 28017 -j DROP \
&& firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 1 -o lo -p \
tcp -m tcp --dport 28017 -j DROP

# firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p \
tcp -m tcp --dport 27017 -m owner --uid-owner apache -j ACCEPT \
&& firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p \
tcp -m tcp --dport 27017 -m owner --uid-owner apache -j ACCEPT \
&& firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p \
tcp -m tcp --dport 27017 -m owner --uid-owner root -j ACCEPT \
&& firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p \
tcp -m tcp --dport 27017 -m owner --uid-owner root -j ACCEPT \
&& firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 1 -o lo -p \
tcp -m tcp --dport 27017 -j DROP \
&& firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 1 -o lo -p \
tcp -m tcp --dport 27017 -j DROP \
&& firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p \
tcp -m tcp --dport 28017 -m owner --uid-owner apache -j ACCEPT \
&& firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p \
tcp -m tcp --dport 28017 -m owner --uid-owner apache -j ACCEPT \
&& firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 0 -o lo -p \
tcp -m tcp --dport 28017 -m owner --uid-owner root -j ACCEPT \
&& firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 0 -o lo -p \
tcp -m tcp --dport 28017 -m owner --uid-owner root -j ACCEPT \
&& firewall-cmd  --direct --add-rule ipv4 filter OUTPUT 1 -o lo -p \
tcp -m tcp --dport 28017 -j DROP \
&& firewall-cmd  --direct --add-rule ipv6 filter OUTPUT 1 -o lo -p \
tcp -m tcp --dport 28017 -j DROP

Copy to Clipboard

Toggle word wrap

変更を永続化します。
```
firewall-cmd --runtime-to-permanent
```
```
# firewall-cmd --runtime-to-permanent
```
Copy to Clipboard Toggle word wrap

3.12. 事前定義済みプロファイルを使用した Satellite Server の調整
リンクのコピー

Satellite のデプロイメントに 5000 台を超えるホストが含まれる場合には、事前定義済みのチューニングプロファイルを使用して Satellite Server のパフォーマンスを向上できます。

Satellite が管理するホストの数と利用可能なハードウェアリソースに応じて、プロファイルの 1 つを選択できます。tuning プロファイルは、/usr/share/foreman-installer/config/foreman.hiera/tuning/sizes ディレクトリーにあります。

default

管理対象ホスト数: 0-5000

RAM: 20G

CPU コア数: 4

medium

管理対象ホスト数: 5001-10000

RAM: 32G

CPU コア数: 8

large

管理対象ホスト数: 10001-20000

RAM: 64G

CPU コア数: 16

extra-large

管理対象ホスト数: 20001-60000

RAM: 128G

CPU コア数: 32

extra-extra-large

管理対象ホスト数: 60000+

RAM: 256G

CPU コア数: 48+

手順

Satellite デプロイメントのチューニングプロファイルを設定するには、--tuning オプションを指定して satellite-installer コマンドを入力します。たとえば、medium tuning プロファイル設定を適用するには、以下のコマンドを入力します。
```
satellite-installer --tuning medium
```
```
# satellite-installer --tuning medium
```
Copy to Clipboard Toggle word wrap

第4章外部サービスでの Satellite Server の設定
リンクのコピー

Satellite Server で DNS、DHCP、および TFTP サービスを設定しない場合は、外部 DNS、DHCP、および TFTP サービスと連携させる Satellite Server の設定のセクションを使用します。

4.1. 外部 DNS を使用した Satellite Server の設定
リンクのコピー

外部 DNS を使用して Satellite Server を設定できます。Satellite Server は nsupdate ユーティリティ−を使用して、リモートサーバーで DNS レコードを更新します。

変更を永続的に保存するには、お使いの環境に適したオプションを指定して、satellite-installer コマンドを入力する必要があります。

前提条件

外部 DNS サーバーが構成されている必要がある。

手順

bind-utils パッケージをインストールしておく。
```
yum install bind bind-utils
```
```
# yum install bind bind-utils
```
Copy to Clipboard Toggle word wrap
外部 DNS サーバーの /etc/rndc.key ファイルを Satellite Server にコピーします。
```
scp root@dns.example.com:/etc/rndc.key /etc/rndc.key
```
```
# scp root@dns.example.com:/etc/rndc.key /etc/rndc.key
```
Copy to Clipboard Toggle word wrap

所有者、パーミッション、SELinux コンテキストを設定します。

restorecon -v /etc/rndc.key
chown -v root:named /etc/rndc.key
chmod -v 640 /etc/rndc.key

# restorecon -v /etc/rndc.key
# chown -v root:named /etc/rndc.key
# chmod -v 640 /etc/rndc.key

Copy to Clipboard

Toggle word wrap

nsupdate ユーティリティーをテストするには、ホストをリモートで追加します。

echo -e "server DNS_IP_Address\n \
update add aaa.virtual.lan 3600 IN A Host_IP_Address\n \
send\n" | nsupdate -k /etc/rndc.key
nslookup aaa.virtual.lan DNS_IP_Address
echo -e "server DNS_IP_Address\n \
update delete aaa.virtual.lan 3600 IN A Host_IP_Address\n \
send\n" | nsupdate -k /etc/rndc.key

# echo -e "server DNS_IP_Address\n \
update add aaa.virtual.lan 3600 IN A Host_IP_Address\n \
send\n" | nsupdate -k /etc/rndc.key
# nslookup aaa.virtual.lan DNS_IP_Address
# echo -e "server DNS_IP_Address\n \
update delete aaa.virtual.lan 3600 IN A Host_IP_Address\n \
send\n" | nsupdate -k /etc/rndc.key

Copy to Clipboard

Toggle word wrap

foreman-proxy ユーザーは、手動で named グループに割り当てます。通常、satellite-installer は foreman-proxy ユーザーが named UNIX グループに所属させますが、今回のシナリオでは、Satellite でユーザーとグループを管理していないので、foreman-proxy ユーザーを named グループに手作業で割り当てる必要があります。
```
usermod -a -G named foreman-proxy
```
```
# usermod -a -G named foreman-proxy
```
Copy to Clipboard Toggle word wrap

satellite-installer コマンドを入力して、以下の永続的な変更を /etc/foreman-proxy/settings.d/dns.yml ファイルに加えます。

satellite-installer --foreman-proxy-dns=true \
--foreman-proxy-dns-managed=false \
--foreman-proxy-dns-provider=nsupdate \
--foreman-proxy-dns-server="DNS_IP_Address" \
--foreman-proxy-keyfile=/etc/rndc.key \
--foreman-proxy-dns-ttl=86400

# satellite-installer --foreman-proxy-dns=true \
--foreman-proxy-dns-managed=false \
--foreman-proxy-dns-provider=nsupdate \
--foreman-proxy-dns-server="DNS_IP_Address" \
--foreman-proxy-keyfile=/etc/rndc.key \
--foreman-proxy-dns-ttl=86400

Copy to Clipboard

Toggle word wrap

foreman-proxy サービスを再起動します。
```
systemctl restart foreman-proxy
```
```
# systemctl restart foreman-proxy
```
Copy to Clipboard Toggle word wrap
Satellite Server Web UI にログインします。
インフラストラクチャー > Capsules に移動し、Satellite Server の場所を特定して、Actions コラムの一覧から、Refresh を選択します。
DNS サービスに適切なサブネットとドメインを関連付けます。

4.2. 外部 DHCP を使用した Satellite Server の設定
リンクのコピー

外部の DHCP で Satellite Server を設定するには、以下の手順を実行します。

「Satellite Server を使用するための外部 DHCP サーバーの設定」
「外部 DHCP サーバーを使用した Satellite Server の設定」

4.2.1. Satellite Server を使用するための外部 DHCP サーバーの設定
リンクのコピー

外部の DHCP サーバーを Red Hat Enterprise Linux サーバーの Satellite Server で使用できるように設定するには、ISC DHCP Service と Berkeley Internet Name Domain (BIND) パッケージをインストールする必要があります。また、DHCP 設定とリースフィアルを Satellite Server と共有する必要があります。この手順の例では、分散型の Network File System (NFS) プロトコルを使用して DHCP 設定とリースファイルを共有します。

注記

外部の DHCP サーバーとして dnsmasq を使用する場合には、dhcp-no-override の設定を有効にします。Satellite は grub2/ サブディレクトリーの配下にある TFTP サーバーに設定ファイルを作成するので、この設定を必ず有効にしてください。dhcp-no-override 設定が無効な場合には、クライアントは root ディからブートローダーと設定をフェッチするのでエラーが発生する可能性があります。

手順

Red Hat Enterprise Linux Server で、ISC DHCP サービスおよび BIND (Berkeley Internet Name Domain) パッケージをインストールします。
```
yum install dhcp bind
```
```
# yum install dhcp bind
```
Copy to Clipboard Toggle word wrap
セキュリティートークンを生成します。
```
dnssec-keygen -a HMAC-MD5 -b 512 -n HOST omapi_key
```
```
# dnssec-keygen -a HMAC-MD5 -b 512 -n HOST omapi_key
```
Copy to Clipboard Toggle word wrap
上記のコマンドを実行すると、2 つのファイルで構成されるキーペアが現在のディレクトリーに作成されます。
キーからシークレットハッシュをコピーします。
```
cat Komapi_key.+*.private |grep ^Key|cut -d ' ' -f2
```
```
# cat Komapi_key.+*.private |grep ^Key|cut -d ' ' -f2
```
Copy to Clipboard Toggle word wrap

すべてのサブネットに対して dhcpd 設定ファイルを編集し、キーを追加します。以下に例を示します。

cat /etc/dhcp/dhcpd.conf
default-lease-time 604800;
max-lease-time 2592000;
log-facility local7;

subnet 192.168.38.0 netmask 255.255.255.0 {
	range 192.168.38.10 192.168.38.100;
	option routers 192.168.38.1;
	option subnet-mask 255.255.255.0;
	option domain-search "virtual.lan";
	option domain-name "virtual.lan";
	option domain-name-servers 8.8.8.8;
}

omapi-port 7911;
key omapi_key {
	algorithm HMAC-MD5;
	secret "jNSE5YI3H1A8Oj/tkV4...A2ZOHb6zv315CkNAY7DMYYCj48Umw==";
};
omapi-key omapi_key;

# cat /etc/dhcp/dhcpd.conf
default-lease-time 604800;
max-lease-time 2592000;
log-facility local7;

subnet 192.168.38.0 netmask 255.255.255.0 {
	range 192.168.38.10 192.168.38.100;
	option routers 192.168.38.1;
	option subnet-mask 255.255.255.0;
	option domain-search "virtual.lan";
	option domain-name "virtual.lan";
	option domain-name-servers 8.8.8.8;
}

omapi-port 7911;
key omapi_key {
	algorithm HMAC-MD5;
	secret "jNSE5YI3H1A8Oj/tkV4...A2ZOHb6zv315CkNAY7DMYYCj48Umw==";
};
omapi-key omapi_key;

Copy to Clipboard

Toggle word wrap

option routers の値は、外部の DHCP サービスと使用する Satellite または Capsule IP アドレスに置き換える点に注意してください。

キーファイルが作成されたディレクトリーから、2 つのキーファイルを削除します。
Satellite Server で各サブネットを定義します。定義済みのサブネットに DHCP Capsule は設定しないでください。
競合を回避するには、リースと予約範囲を別に設定します。たとえば、リース範囲を 192.168.38.10 から 192.168.38.100 に設定した場合には、Satellite Web UI で予約範囲を 192.168.38.101 から 192.168.38.250 に設定します。
DHCP サーバーに外部アクセスできるように、ファイアウォールを設定します。
```
firewall-cmd --add-service dhcp \
&& firewall-cmd --runtime-to-permanent
```
```
# firewall-cmd --add-service dhcp \
&& firewall-cmd --runtime-to-permanent
```
Copy to Clipboard Toggle word wrap
Satellite Server で foreman ユーザーの UID と GID を指定します。
```
id -u foreman
id -g foreman
```
```
# id -u foreman
993
# id -g foreman
990
```
Copy to Clipboard Toggle word wrap
DHCP サーバーで、1 つ前の手順で定義した ID と同じ foreman ユーザーとグループを作成します。
```
groupadd -g 990 foreman
useradd -u 993 -g 990 -s /sbin/nologin foreman
```
```
# groupadd -g 990 foreman
# useradd -u 993 -g 990 -s /sbin/nologin foreman
```
Copy to Clipboard Toggle word wrap

設定ファイルにアクセスできるように、読み取りおよび実行フラグを復元します。

chmod o+rx /etc/dhcp/
chmod o+r /etc/dhcp/dhcpd.conf
chattr +i /etc/dhcp/ /etc/dhcp/dhcpd.conf

# chmod o+rx /etc/dhcp/
# chmod o+r /etc/dhcp/dhcpd.conf
# chattr +i /etc/dhcp/ /etc/dhcp/dhcpd.conf

Copy to Clipboard

Toggle word wrap

DHCP サービスを起動します。
```
systemctl start dhcpd
```
```
# systemctl start dhcpd
```
Copy to Clipboard Toggle word wrap

NFS を使用して DHCP 設定ファイルおよびリースファイルをエクスポートします。

yum install nfs-utils
systemctl enable rpcbind nfs-server
systemctl start rpcbind nfs-server nfs-lock nfs-idmapd

# yum install nfs-utils
# systemctl enable rpcbind nfs-server
# systemctl start rpcbind nfs-server nfs-lock nfs-idmapd

Copy to Clipboard

Toggle word wrap

NFS を使用してエクスポートする DHCP 設定ファイルとリースファイルのディレクトリーを作成します。
```
mkdir -p /exports/var/lib/dhcpd /exports/etc/dhcp
```
```
# mkdir -p /exports/var/lib/dhcpd /exports/etc/dhcp
```
Copy to Clipboard Toggle word wrap

作成したディレクトリーにマウントポイントを作成するには、以下の行を /etc/fstab ファイルに追加します。

/var/lib/dhcpd /exports/var/lib/dhcpd none bind,auto 0 0
/etc/dhcp /exports/etc/dhcp none bind,auto 0 0

/var/lib/dhcpd /exports/var/lib/dhcpd none bind,auto 0 0
/etc/dhcp /exports/etc/dhcp none bind,auto 0 0

Copy to Clipboard

Toggle word wrap

/etc/fstab のファイルシステムをマウントします。
```
mount -a
```
```
# mount -a
```
Copy to Clipboard Toggle word wrap

/etc/exports に以下の行があることを確認します。

/exports 192.168.38.1(rw,async,no_root_squash,fsid=0,no_subtree_check)

/exports/etc/dhcp 192.168.38.1(ro,async,no_root_squash,no_subtree_check,nohide)

/exports/var/lib/dhcpd 192.168.38.1(ro,async,no_root_squash,no_subtree_check,nohide)

/exports 192.168.38.1(rw,async,no_root_squash,fsid=0,no_subtree_check)

/exports/etc/dhcp 192.168.38.1(ro,async,no_root_squash,no_subtree_check,nohide)

/exports/var/lib/dhcpd 192.168.38.1(ro,async,no_root_squash,no_subtree_check,nohide)

Copy to Clipboard

Toggle word wrap

入力する IP アドレスは、外部 DHCP サービスで使用する Satellite または Capsule IP アドレスを指定する点に注意してください。

NFS サーバーをリロードします。
```
exportfs -rva
```
```
# exportfs -rva
```
Copy to Clipboard Toggle word wrap

ファイアウォールで DHCP omapi ポート 7911 を設定します。

firewall-cmd --add-port="7911/tcp" \
&& firewall-cmd --runtime-to-permanent

# firewall-cmd --add-port="7911/tcp" \
&& firewall-cmd --runtime-to-permanent

Copy to Clipboard

Toggle word wrap

オプション: NFS に外部からアクセスできるようにファイアウォールを設定します。クライアントは NFSv3 を使用して設定します。

firewall-cmd --zone public --add-service mountd \
&& firewall-cmd --zone public --add-service rpc-bind \
&& firewall-cmd --zone public --add-service nfs \
&& firewall-cmd --runtime-to-permanent

# firewall-cmd --zone public --add-service mountd \
&& firewall-cmd --zone public --add-service rpc-bind \
&& firewall-cmd --zone public --add-service nfs \
&& firewall-cmd --runtime-to-permanent

Copy to Clipboard

Toggle word wrap

4.2.2. 外部 DHCP サーバーを使用した Satellite Server の設定
リンクのコピー

外部 DHCP サーバーを使用した Satellite Server を設定できます。

前提条件

外部の DHCP サーバーを設定し、Satellite Server と DHCP 設定ファイルとリースファイルを共有していることを確認する。詳細は、「Satellite Server を使用するための外部 DHCP サーバーの設定」を参照してください。

手順

nfs-utils ユーティリティーをインストールします。
```
yum install nfs-utils
```
```
# yum install nfs-utils
```
Copy to Clipboard Toggle word wrap
NFS 用の DHCP ディレクトリーを作成します。
```
mkdir -p /mnt/nfs/etc/dhcp /mnt/nfs/var/lib/dhcpd
```
```
# mkdir -p /mnt/nfs/etc/dhcp /mnt/nfs/var/lib/dhcpd
```
Copy to Clipboard Toggle word wrap
ファイルの所有者を変更します。
```
chown -R foreman-proxy /mnt/nfs
```
```
# chown -R foreman-proxy /mnt/nfs
```
Copy to Clipboard Toggle word wrap
NFS サーバーとの通信とリモートプロシージャコール (RPC: Remote Procedure Call) 通信パスを検証します。
```
showmount -e DHCP_Server_FQDN
rpcinfo -p DHCP_Server_FQDN
```
```
# showmount -e DHCP_Server_FQDN
# rpcinfo -p DHCP_Server_FQDN
```
Copy to Clipboard Toggle word wrap

/etc/fstab ファイルに以下の行を追加します。

DHCP_Server_FQDN:/exports/etc/dhcp /mnt/nfs/etc/dhcp nfs
ro,vers=3,auto,nosharecache,context="system_u:object_r:dhcp_etc_t:s0" 0 0

DHCP_Server_FQDN:/exports/var/lib/dhcpd /mnt/nfs/var/lib/dhcpd nfs
ro,vers=3,auto,nosharecache,context="system_u:object_r:dhcpd_state_t:s0" 0 0

DHCP_Server_FQDN:/exports/etc/dhcp /mnt/nfs/etc/dhcp nfs
ro,vers=3,auto,nosharecache,context="system_u:object_r:dhcp_etc_t:s0" 0 0

DHCP_Server_FQDN:/exports/var/lib/dhcpd /mnt/nfs/var/lib/dhcpd nfs
ro,vers=3,auto,nosharecache,context="system_u:object_r:dhcpd_state_t:s0" 0 0

Copy to Clipboard

Toggle word wrap

/etc/fstab でファイルシステムをマウントします。
```
mount -a
```
```
# mount -a
```
Copy to Clipboard Toggle word wrap
foreman-proxy ユーザーがネットワークで共有したファイルにアクセスできることを確認するには、DHCP 設定ファイルとリースファイルを表示します。
```
su foreman-proxy -s /bin/bash
```
```
# su foreman-proxy -s /bin/bash
bash-4.2$ cat /mnt/nfs/etc/dhcp/dhcpd.conf
bash-4.2$ cat /mnt/nfs/var/lib/dhcpd/dhcpd.leases
bash-4.2$ exit
```
Copy to Clipboard Toggle word wrap

satellite-installer コマンドを入力して、以下の永続的な変更を /etc/foreman-proxy/settings.d/dhcp.yml ファイルに加えます。

satellite-installer --foreman-proxy-dhcp=true \
--foreman-proxy-dhcp-provider=remote_isc \
--foreman-proxy-plugin-dhcp-remote-isc-dhcp-config /mnt/nfs/etc/dhcp/dhcpd.conf \
--foreman-proxy-plugin-dhcp-remote-isc-dhcp-leases /mnt/nfs/var/lib/dhcpd/dhcpd.leases \
--foreman-proxy-plugin-dhcp-remote-isc-key-name=omapi_key \
--foreman-proxy-plugin-dhcp-remote-isc-key-secret=jNSE5YI3H1A8Oj/tkV4...A2ZOHb6zv315CkNAY7DMYYCj48Umw== \
--foreman-proxy-plugin-dhcp-remote-isc-omapi-port=7911 \
--enable-foreman-proxy-plugin-dhcp-remote-isc \
--foreman-proxy-dhcp-server=DHCP_Server_FQDN

# satellite-installer --foreman-proxy-dhcp=true \
--foreman-proxy-dhcp-provider=remote_isc \
--foreman-proxy-plugin-dhcp-remote-isc-dhcp-config /mnt/nfs/etc/dhcp/dhcpd.conf \
--foreman-proxy-plugin-dhcp-remote-isc-dhcp-leases /mnt/nfs/var/lib/dhcpd/dhcpd.leases \
--foreman-proxy-plugin-dhcp-remote-isc-key-name=omapi_key \
--foreman-proxy-plugin-dhcp-remote-isc-key-secret=jNSE5YI3H1A8Oj/tkV4...A2ZOHb6zv315CkNAY7DMYYCj48Umw== \
--foreman-proxy-plugin-dhcp-remote-isc-omapi-port=7911 \
--enable-foreman-proxy-plugin-dhcp-remote-isc \
--foreman-proxy-dhcp-server=DHCP_Server_FQDN

Copy to Clipboard

Toggle word wrap

foreman-proxy サービスを再起動します。
```
systemctl restart foreman-proxy
```
```
# systemctl restart foreman-proxy
```
Copy to Clipboard Toggle word wrap
Satellite Server Web UI にログインします。
インフラストラクチャー > Capsules に移動し、Satellite Server の場所を特定して、Actions コラムの一覧から、Refresh を選択します。
DHCP サービスに適切なサブネットとドメインを関連付けます。

4.3. 外部 TFTP での Satellite Server の設定
リンクのコピー

外部 TFTP サービスを使用して Satellite Server を設定できます。

手順

NFS 用に TFTP ディレクトリーを作成します。
```
mkdir -p /mnt/nfs/var/lib/tftpboot
```
```
# mkdir -p /mnt/nfs/var/lib/tftpboot
```
Copy to Clipboard Toggle word wrap

/etc/fstab ファイルで以下の行を追加します。

TFTP_Server_IP_Address:/exports/var/lib/tftpboot /mnt/nfs/var/lib/tftpboot nfs rw,vers=3,auto,nosharecache,context="system_u:object_r:tftpdir_rw_t:s0" 0 0

TFTP_Server_IP_Address:/exports/var/lib/tftpboot /mnt/nfs/var/lib/tftpboot nfs rw,vers=3,auto,nosharecache,context="system_u:object_r:tftpdir_rw_t:s0" 0 0

Copy to Clipboard

Toggle word wrap

/etc/fstab のファイルシステムをマウントします。
```
mount -a
```
```
# mount -a
```
Copy to Clipboard Toggle word wrap
satellite-installer コマンドを入力して、以下の永続的な変更を /etc/foreman-proxy/settings.d/tffp.yml ファイルに加えます。
```
satellite-installer --foreman-proxy-tftp=true \
--foreman-proxy-tftp-root /mnt/nfs/var/lib/tftpboot
```
```
# satellite-installer --foreman-proxy-tftp=true \
--foreman-proxy-tftp-root /mnt/nfs/var/lib/tftpboot
```
Copy to Clipboard Toggle word wrap
DHCP サービスとは異なるサーバーで TFTP サービスを実行している場合は、TFTP サービスを実行するサーバーの FQDN または IP アドレスに、tftp_servername 設定を更新します。
```
satellite-installer --foreman-proxy-tftp-servername=TFTP_Server_FQDN
```
```
# satellite-installer --foreman-proxy-tftp-servername=TFTP_Server_FQDN
```
Copy to Clipboard Toggle word wrap
Satellite Server Web UI にログインします。
インフラストラクチャー > Capsules に移動し、Satellite Server の場所を特定して、Actions コラムの一覧から、Refresh を選択します。
TFTP サービスに適切なサブネットとドメインを関連付けます。

4.4. 外部 IdM DNS を使用した Satellite Server の設定
リンクのコピー

Satellite Server がホストの DNS レコードを追加する時には、まずどの Capsule が対象のドメインに DNS を提供しているかを判断します。次に、デプロイメントに使用する DNS サービスを提供するように設定された Capsule と通信し、レコードを追加します。ホストはこのプロセスには関与しません。そのため、IdM サーバーを使用して管理するドメインに DNS サービスを提供するように設定された Satelliteまたは Capsule に IdM クライアントをインストールし、設定する必要があります。

Satellite Server は、 Red Hat Identity Management (IdM) サーバーを使って DNS サービスを提供するように設定できます。Red Hat Identity Management の詳細は、『Linux ドメイン ID、認証、およびポリシーガイド』を参照してください。

Red Hat Identity Management (IdM) サーバーを使用して DNS サービスを提供するように Satellite Server を設定するには、以下の手順のいずれかを使用します。

「GSS-TSIG 認証を使用した動的 DNS 更新の設定」
「TSIG 認証を使用した動的 DNS 更新の設定」

内部 DNS サービスに戻すには、次の手順を使用します。

「内部 DNS サービス使用への復元」

注記

DNS の管理に、Satellite Server を使用する必要はありません。Satellite のレルム登録機能を使用しており、プロビジョニングされたホストが自動的に IdM に登録されている場合は、ipa-client-install スクリプトでクライアント用に DNS レコードが作成されます。外部の IdM DNS とレルム登録を同時に使用して、Satellite Server を設定することはできません。レルム登録の設定に関する詳細は、『 Red Hat Satellite の管理』 の「プロビジョンされたホストの外部認証」を参照してください。

4.4.1. GSS-TSIG 認証を使用した動的 DNS 更新の設定
リンクのコピー

RFC3645 で定義されている秘密鍵トランザクション (GSS-TSIG) 技術の一般的なセキュリティーサービスアルゴリズムを使用するように IdM サーバーを設定できます。IdM サーバーが GSS-TSIG 技術を使用するように設定するには、Satellite Server のベースオペレーティングシステムに IdM クライアントをインストールする必要があります。

前提条件

IdM サーバーがデプロイされ、ホストベースのファイアウォールが正確に設定されている。詳細は『Linux ドメイン ID、認証、およびポリシーガイド』の「ポート要件」を参照してください。
IdM サーバーの管理者に問い合わせて、IdM サーバーでゾーンを作成するパーミッションが割り当てられた、IdM サーバーのアカウントを取得する。
デプロイメントに DNS サービスを提供するように Satellite Server または Capsule Server が設定されていることを確認する。
デプロイメントの DNS サービスを管理する Satellite または Capsule のいずれかのベースオペレーティングシステムで DNS 、DHCP および TFTP サービスを設定する必要がある。
応答ファイルのバックアップを作成しておく。応答ファイルが破損した場合に、元の状態に戻せるように、バックアップを使用できます。詳細は、「 Satellite Server の設定」を参照してください。

手順

GSS-TSIG 認証で動的 DNS 更新を設定するには、以下の手順を実行します。

IdM サーバーでの Kerberos プリンシパルの作成

IdM 管理者から取得したアカウントの Kerberos チケットを取得します。
```
kinit idm_user
```
```
# kinit idm_user
```
Copy to Clipboard Toggle word wrap
IdM サーバーでの認証に使用する Satellite Server の新規 Kerberos プリンシパルを作成します。
```
ipa service-add satellite.example.com
```
```
# ipa service-add satellite.example.com
```
Copy to Clipboard Toggle word wrap

IdM クライアントのインストールおよび設定

デプロイメントの DNS サービスを管理する Satellite または Capsule のベースオペレーティングシステムで ipa-client パッケージをインストールします。
- Satellite Server で以下のコマンドを入力します。
  # yum install ipa-client
  Copy to Clipboard Toggle word wrap
- Capsule Server で以下のコマンドを入力します。
  # yum install ipa-client
  Copy to Clipboard Toggle word wrap
インストールスクリプトとそれに続くプロンプトを実行して、IdM クライアントを設定します。
```
ipa-client-install
```
```
# ipa-client-install
```
Copy to Clipboard Toggle word wrap
Kerberos チケットを取得します。
```
kinit admin
```
```
# kinit admin
```
Copy to Clipboard Toggle word wrap
既存の keytab を削除します。
```
rm /etc/foreman-proxy/dns.keytab
```
```
# rm /etc/foreman-proxy/dns.keytab
```
Copy to Clipboard Toggle word wrap
このシステムの keytab を取得します。
```
ipa-getkeytab -p capsule/satellite.example.com@EXAMPLE.COM \
-s idm1.example.com -k /etc/foreman-proxy/dns.keytab
```
```
# ipa-getkeytab -p capsule/satellite.example.com@EXAMPLE.COM \
-s idm1.example.com -k /etc/foreman-proxy/dns.keytab
```
Copy to Clipboard Toggle word wrap
注記
サービス中の元のシステムと同じホスト名を持つスタンバイシステムに keytab を追加する際には、r オプションを追加します。これにより、新規の認証情報が生成されることを防ぎ、元のシステムの認証情報が無効になります。
dns.keytab ファイルのグループと所有者を foreman-proxy に設定します。
```
chown foreman-proxy:foreman-proxy /etc/foreman-proxy/dns.keytab
```
```
# chown foreman-proxy:foreman-proxy /etc/foreman-proxy/dns.keytab
```
Copy to Clipboard Toggle word wrap
オプション: keytab ファイルが有効であることを確認するには、以下のコマンドを入力します。
```
kinit -kt /etc/foreman-proxy/dns.keytab \
capsule/satellite.example.com@EXAMPLE.COM
```
```
# kinit -kt /etc/foreman-proxy/dns.keytab \
capsule/satellite.example.com@EXAMPLE.COM
```
Copy to Clipboard Toggle word wrap

IdM Web UI での DNS ゾーンの設定

管理するゾーンを作成して、設定します。
1. Network Services (ネットワークサービス) > DNS > DNS Zones (DNS ゾーン) に移動します。
2. 追加を選択し、ゾーン名を入力します。(例: example.com)
3. Add and Edit をクリックします。
4. 設定タブをクリックして BIND アップデートポリシー ボックスで、以下のようにセミコロン区切りのエントリーを追加します。
  grant capsule/047satellite.example.com@EXAMPLE.COM wildcard * ANY;
  Copy to Clipboard Toggle word wrap
5. Dynamic update を True に設定します。
6. Allow PTR sync を有効にします。
7. Save をクリックして、変更を保存します。
逆引きゾーンを作成して設定します。
1. Network Services (ネットワークサービス) > DNS > DNS Zones (DNS ゾーン) に移動します。
2. Add をクリックします。
3. Reverse zone IP network を選択して、CIDR 形式でネットワークアドレスを追加し、逆引き参照を有効にします。
4. Add and Edit をクリックします。
5. 設定タブの BIND アップデートポリシー ボックスで、以下のようにセミコロン区切りのエントリーを追加します。
  grant capsule\047satellite.example.com@EXAMPLE.COM wildcard * ANY;
  Copy to Clipboard Toggle word wrap
6. Dynamic update を True に設定します。
7. Save をクリックして、変更を保存します。

ドメインの DNS サービスを管理する Satellite または Capsule Server の設定

satellite-installer コマンドを使用して、ドメインの DNS サービスを管理するように Satellite または Capsule を設定します。

Satellite で以下のコマンドを入力します。

satellite-installer --scenario satellite \
--foreman-proxy-dns=true \
--foreman-proxy-dns-managed=true \
--foreman-proxy-dns-provider=nsupdate_gss \
--foreman-proxy-dns-server="idm1.example.com" \
--foreman-proxy-dns-tsig-principal="capsule/satellite.example.com@EXAMPLE.COM" \
--foreman-proxy-dns-tsig-keytab=/etc/foreman-proxy/dns.keytab \
--foreman-proxy-dns-reverse="55.168.192.in-addr.arpa" \
--foreman-proxy-dns-zone=example.com \
--foreman-proxy-dns-ttl=86400

satellite-installer --scenario satellite \
--foreman-proxy-dns=true \
--foreman-proxy-dns-managed=true \
--foreman-proxy-dns-provider=nsupdate_gss \
--foreman-proxy-dns-server="idm1.example.com" \
--foreman-proxy-dns-tsig-principal="capsule/satellite.example.com@EXAMPLE.COM" \
--foreman-proxy-dns-tsig-keytab=/etc/foreman-proxy/dns.keytab \
--foreman-proxy-dns-reverse="55.168.192.in-addr.arpa" \
--foreman-proxy-dns-zone=example.com \
--foreman-proxy-dns-ttl=86400

Copy to Clipboard

Toggle word wrap

Capsule で、以下のコマンドを実行します。

satellite-installer --scenario capsule \
--foreman-proxy-dns=true \
--foreman-proxy-dns-managed=true \
--foreman-proxy-dns-provider=nsupdate_gss \
--foreman-proxy-dns-server="idm1.example.com" \
--foreman-proxy-dns-tsig-principal="capsule/satellite.example.com@EXAMPLE.COM" \
--foreman-proxy-dns-tsig-keytab=/etc/foreman-proxy/dns.keytab \
--foreman-proxy-dns-reverse="55.168.192.in-addr.arpa" \
--foreman-proxy-dns-zone=example.com \
--foreman-proxy-dns-ttl=86400

satellite-installer --scenario capsule \
--foreman-proxy-dns=true \
--foreman-proxy-dns-managed=true \
--foreman-proxy-dns-provider=nsupdate_gss \
--foreman-proxy-dns-server="idm1.example.com" \
--foreman-proxy-dns-tsig-principal="capsule/satellite.example.com@EXAMPLE.COM" \
--foreman-proxy-dns-tsig-keytab=/etc/foreman-proxy/dns.keytab \
--foreman-proxy-dns-reverse="55.168.192.in-addr.arpa" \
--foreman-proxy-dns-zone=example.com \
--foreman-proxy-dns-ttl=86400

Copy to Clipboard

Toggle word wrap

Satellite または Capsule のプロキシーサービスを再起動します。
```
systemctl restart foreman-proxy
```
```
# systemctl restart foreman-proxy
```
Copy to Clipboard Toggle word wrap

satellite-installer コマンドを実行して Capsule 設定に変更を加えた後に、Satellite Web UI で変更のある Capsule ごとに設定を更新する必要があります。

Satellite Web UI での設定更新

インフラストラクチャー > Capsules に移動し、Satellite Server の場所を特定して、Actions コラムの一覧から、Refresh を選択します。
ドメインを設定します。
1. インフラストラクチャー > ドメイン に移動し、ドメイン名を選択します。
2. ドメイン タブで、DNS Capsule が、サブネットが接続されている Capsule に設定されていることを確認します。
サブネットを設定します。
1. インフラストラクチャー > サブネット に移動し、サブネット名を選択します。
2. サブネット タブで、IPAM を None に設定します。
3. ドメイン タブで、IdM サーバーを使用して管理するドメインを選択します。
4. Capsules タブで、Reverse DNS Capsule が、サブネットが接続されている Capsule に設定されていることを確認します。
5. 送信をクリックして変更を保存します。

4.4.2. TSIG 認証を使用した動的 DNS 更新の設定
リンクのコピー

IdM サーバーが DNS (TSIG) テクノロジーの秘密鍵トランザクション認証を使用するように設定できます。このテクノロジーは、認証に rndc.key キーファイルを使用します。TSIG プロトコルについては RFC2845 に定義されています。

前提条件

IdM サーバーがデプロイされ、ホストベースのファイアウォールが正確に設定されている。詳細は『Linux ドメイン ID、認証、およびポリシーガイド』の「ポート要件」を参照してください。
IdM サーバーで root 権限を取得する必要があります。
デプロイメントに DNS サービスを提供するように Satellite Server または Capsule Server が設定されていることを確認する。
デプロイメントの DNS サービスを管理する Satellite または Capsule のいずれかのベースオペレーティングシステムで DNS 、DHCP および TFTP サービスを設定する必要がある。
応答ファイルのバックアップを作成しておく。応答ファイルが破損した場合に、元の状態に戻せるように、バックアップを使用できます。詳細は、「 Satellite Server の設定」を参照してください。

手順

TSIG 認証で動的 DNS 更新を設定するには、以下の手順を実行します。

IdM サーバーの DNS ゾーンに対する外部アップデートの有効化

IdM サーバーで、以下の内容を /etc/named.conf ファイルの先頭に追加します。

EmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmpty include "/etc/rndc.key"; controls { inet IdM_Server_IP_Address port 953 allow { Satellite_IP_Address; } keys { "rndc-key"; }; }; EmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmpty

EmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmpty include "/etc/rndc.key"; controls { inet IdM_Server_IP_Address port 953 allow { Satellite_IP_Address; } keys { "rndc-key"; }; }; EmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmptyEmpty

Copy to Clipboard

Toggle word wrap

named サービスをリロードして、変更を有効にします。
```
systemctl reload named
```
```
# systemctl reload named
```
Copy to Clipboard Toggle word wrap
IdM Web UI で、ネットワークサービス > DNS > DNS ゾーン に移動して、ゾーンの名前をクリックします。設定タブで、以下の変更を適用します。
1. BIND update policy (BIND アップデートポリシー) ボックスで以下の内容を追加します。
  grant "rndc-key" zonesub ANY;
  Copy to Clipboard Toggle word wrap
2. Dynamic update を True に設定します。
3. Update (更新) をクリックして変更を保存します。
IdM サーバーから Satellite Server のベースオペレーティングシステムに /etc/rndc.key ファイルをコピーします。以下のコマンドを入力します。
```
scp /etc/rndc.key root@satellite.example.com:/etc/rndc.key
```
```
# scp /etc/rndc.key root@satellite.example.com:/etc/rndc.key
```
Copy to Clipboard Toggle word wrap
rndc.key ファイルに適切な所有者、パーミッション、SELinux コンテキストを設定するには、以下のコマンドを入力します。
```
restorecon -v /etc/rndc.key
chown -v root:named /etc/rndc.key
chmod -v 640 /etc/rndc.key
```
```
# restorecon -v /etc/rndc.key
# chown -v root:named /etc/rndc.key
# chmod -v 640 /etc/rndc.key
```
Copy to Clipboard Toggle word wrap
foreman-proxy ユーザーは、手動で named グループに割り当てます。通常、satellite-installer は foreman-proxy ユーザーが named UNIX グループに所属させますが、今回のシナリオでは、Satellite でユーザーとグループを管理していないので、foreman-proxy ユーザーを named グループに手作業で割り当てる必要があります。
```
usermod -a -G named foreman-proxy
```
```
# usermod -a -G named foreman-proxy
```
Copy to Clipboard Toggle word wrap

Satellite Server で以下の satellite-installer コマンドを入力して、Satellite が外部の DNS サーバーを使用するように設定します。

satellite-installer --scenario satellite \
--foreman-proxy-dns=true \
--foreman-proxy-dns-managed=false \
--foreman-proxy-dns-provider=nsupdate \
--foreman-proxy-dns-server="IdM_Server_IP_Address" \
--foreman-proxy-keyfile=/etc/rndc.key \
--foreman-proxy-dns-ttl=86400

# satellite-installer --scenario satellite \
--foreman-proxy-dns=true \
--foreman-proxy-dns-managed=false \
--foreman-proxy-dns-provider=nsupdate \
--foreman-proxy-dns-server="IdM_Server_IP_Address" \
--foreman-proxy-keyfile=/etc/rndc.key \
--foreman-proxy-dns-ttl=86400

Copy to Clipboard

Toggle word wrap

IdM サーバーの DNS ゾーンに対する外部アップデートのテスト

bind-utils ユーティリティーをインストールします。
```
yum install bind-utils
```
```
# yum install bind-utils
```
Copy to Clipboard Toggle word wrap
Satellite Server 上の /etc/rndc.key ファイルのキーが IdM サーバーで使用されているキーファイルと同じであることを確認します。
```
key "rndc-key" {
        algorithm hmac-md5;
        secret "secret-key==";
};
```
```
key "rndc-key" {
        algorithm hmac-md5;
        secret "secret-key==";
};
```
Copy to Clipboard Toggle word wrap
Satellite Server で、ホストのテスト DNS エントリーを作成します。(例: 192.168.25.1 の IdM サーバーに、192.168.25.20 の A レコードを指定した test.example.com ホストなど)
```
echo -e "server 192.168.25.1\n \
update add test.example.com 3600 IN A 192.168.25.20\n \
send\n" | nsupdate -k /etc/rndc.key
```
```
# echo -e "server 192.168.25.1\n \
update add test.example.com 3600 IN A 192.168.25.20\n \
send\n" | nsupdate -k /etc/rndc.key
```
Copy to Clipboard Toggle word wrap

Satellite Server で、DNS エントリーをテストします。

nslookup test.example.com 192.168.25.1

# nslookup test.example.com 192.168.25.1
Server:		192.168.25.1
Address:	192.168.25.1#53

Name:	test.example.com
Address: 192.168.25.20

Copy to Clipboard

Toggle word wrap

IdM Web UI でエントリーを参照するために、Network Services (ネットワークサービス) > DNS > DNS Zones (DNS ゾーン) に移動します。ゾーンの名前をクリックし、名前でホストを検索します。

正常に解決されたら、テスト DNS エントリーを削除します。

echo -e "server 192.168.25.1\n \
update delete test.example.com 3600 IN A 192.168.25.20\n \
send\n" | nsupdate -k /etc/rndc.key

# echo -e "server 192.168.25.1\n \
update delete test.example.com 3600 IN A 192.168.25.20\n \
send\n" | nsupdate -k /etc/rndc.key

Copy to Clipboard

Toggle word wrap

DNS エントリーが削除されたことを確認します。
```
nslookup test.example.com 192.168.25.1
```
```
# nslookup test.example.com 192.168.25.1
```
Copy to Clipboard Toggle word wrap
レコードが正常に削除されている場合は、上記の nslookup コマンドが失敗し、SERVFAIL エラーメッセージを返します。

4.4.3. 内部 DNS サービス使用への復元
リンクのコピー

Satellite Server および Capsule Server を DNS プロバイダーとして使用するように戻すことができます。外部の DNS を設定する前に作成した応答ファイルのバックアップを使用するか、応答ファイルのバックアップを作成します。応答ファイルに関する詳細は、「 Satellite Server の設定」を参照してください。

手順

ドメインの DNS サーバーを管理するように設定する Satellite または Capsule Server で、以下の手順を実行します。

DNS サーバーとしての Satellite または Capsule の設定

外部の DNS を設定する前に応答ファイルのバックアップを作成済みの場合には、応答ファイルを復元して、satellite-installer コマンドを入力します。
```
satellite-installer
```
```
# satellite-installer
```
Copy to Clipboard Toggle word wrap

応答ファイルの適切なバックアップがない場合には、ここで応答ファイルのバックアップを作成します。応答ファイルを使用せずに Satellite または Capsule を DNS サーバーとして設定するには、Satellite と影響のある各 Capsule で、以下の satellite-installer コマンドを入力します。

satellite-installer \
--foreman-proxy-dns=true \
--foreman-proxy-dns-managed=true \
--foreman-proxy-dns-provider=nsupdate \
--foreman-proxy-dns-server="127.0.0.1"  \
--foreman-proxy-dns-tsig-principal="foremanproxy/satellite.example.com@EXAMPLE.COM" \
--foreman-proxy-dns-tsig-keytab=/etc/foreman-proxy/dns.keytab

# satellite-installer \
--foreman-proxy-dns=true \
--foreman-proxy-dns-managed=true \
--foreman-proxy-dns-provider=nsupdate \
--foreman-proxy-dns-server="127.0.0.1"  \
--foreman-proxy-dns-tsig-principal="foremanproxy/satellite.example.com@EXAMPLE.COM" \
--foreman-proxy-dns-tsig-keytab=/etc/foreman-proxy/dns.keytab

Copy to Clipboard

Toggle word wrap

詳細は、「 Capsule Server での DNS、DHCP および TFTP の設定」を参照してください。

satellite-installer コマンドを実行して Capsule 設定に変更を加えた後に、Satellite Web UI で変更のある Capsule ごとに設定を更新する必要があります。

Satellite Web UI での設定更新

インフラストラクチャー > Capsules に移動します。
更新する各 Capsule で、アクション リストから リフレッシュ を選択します。
ドメインを設定します。
1. インフラストラクチャー > ドメイン に移動して、設定するドメイン名をクリックします。
2. ドメイン タブで、DNS Capsule を、サブネットの接続先の Capsule に設定します。
サブネットを設定します。
1. インフラストラクチャー > サブネット に移動し、サブネット名を選択します。
2. サブネット タブで、IPAM を DHCP または Internal DB に設定します。
3. ドメイン タブで、Satellite または Capsule で管理するドメインを選択します。
4. Capsules タブで、Reverse DNS Capsule を、サブネットの接続先の Capsule に設定します。
5. 送信をクリックして変更を保存します。

付録A Red Hat Satellite へのカスタム設定の適用
リンクのコピー

satellite-installer を使用して初めて Satellite をインストールし、設定する場合には、--foreman-proxy-dns-managed=false と --foreman-proxy-dhcp-managed=false のインストーラーフラグを使用して、DNS および DHCP 設定ファイルが Puppet で管理されないように指定してください。これらのフラグがインストーラーの初回実行時に指定されていない場合には、アップグレードの目的で再実行する場合など、インストーラーを再実行すると、手動で変更した内容がすべて上書きされます。変更が上書きされた場合には、復元の手順を実行して手動の変更を復元する必要があります。詳細は、付録B Puppet 実行で上書きされた手動変更の復元 を参照してください。

カスタム設定に利用可能なすべてのインストーラーフラグを表示するには、satellite-installer --scenario satellite --full-help を実行します。Puppet クラスには、Satellite インストーラーに公開されていないものもあります。これらのクラスを手動で管理して、インストーラーが値を上書きしないようにするには、設定ファイル /etc/foreman-installer/custom-hiera.yaml にエントリーを追加して設定値を指定します。この設定ファイルは YAML 形式で、<puppet class>::<parameter name>: <value> という形式を 1 行あたり 1 エントリーで記入します。このファイルで指定した設定値は、インストーラーを再起動しても維持されます。

一般的な例を示します。

Apache で ServerTokens ディレクティブが製品名のみを返すように設定するには、以下のようにします。
```
apache::server_tokens: Prod
```
```
apache::server_tokens: Prod
```
Copy to Clipboard Toggle word wrap
Apache サーバー署名をオフにするには、以下のようにします。
```
apache::server_signature: Off
```
```
apache::server_signature: Off
```
Copy to Clipboard Toggle word wrap
Pulp で pulp ワーカーの数を設定するには、以下のようにします。
```
pulp::num_workers: 8
```
```
pulp::num_workers: 8
```
Copy to Clipboard Toggle word wrap

Satellite インストーラー用の Puppet モジュールは、/usr/share/foreman-installer/modules に保存されています。クラス、パラメーター、および値を調べるには、.pp ファイル (例: moduleName/manifests/example.pp) を確認してください。別の方法では、grep コマンドでキーワード検索を実行します。

値の設定によっては、Red Hat Satellite のパフォーマンスや機能に影響が出る意図しない結果がもたらされる場合があります。設定を適用する前に変更の影響を考慮して、実稼働以外の環境で最初に変更をテストしてください。実稼働以外の Satellite 環境がない場合は、Satellite インストーラーを --noop と --verbose のオプションを追加して実行します。変更によって問題が発生する場合は、該当箇所を custom-hiera.yaml から削除し、Satellite インストーラーを再実行します。特定の値を変更することが安全かどうかを確認する場合は、Red Hat サポートにお問い合わせください。

付録B Puppet 実行で上書きされた手動変更の復元
リンクのコピー

Puppet 実行で手動による設定が上書きされた場合でも、ファイルを元の状態に戻すことができます。以下の例では、Puppet 実行で上書きされた DHCP 設定ファイルを復元します。

手順

復元するファイルをコピーします。こうすることで、アップグレードに必要な変更があるか、ファイル間で比較できます。これは DNS や DHCP サービスでは一般的ではありません。
```
cp /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.backup
```
```
# cp /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.backup
```
Copy to Clipboard Toggle word wrap
ログファイルを確認して、上書きされたファイルの md5sum をメモします。以下に例を示します。
```
journalctl -xe
```
```
# journalctl -xe
...
/Stage[main]/Dhcp/File[/etc/dhcp/dhcpd.conf]: Filebucketed /etc/dhcp/dhcpd.conf to puppet with sum 622d9820b8e764ab124367c68f5fa3a1
...
```
Copy to Clipboard Toggle word wrap

上書きされたファイルを復元します。

puppet filebucket restore --local --bucket \
/var/lib/puppet/clientbucket /etc/dhcp/dhcpd.conf \ 622d9820b8e764ab124367c68f5fa3a1

# puppet filebucket restore --local --bucket \
/var/lib/puppet/clientbucket /etc/dhcp/dhcpd.conf \ 622d9820b8e764ab124367c68f5fa3a1

Copy to Clipboard

Toggle word wrap

バックアップしたファイルと復元されたファイルを比べます。復元されたファイルに、アップグレードに必要な変更を追加します。

付録C Red Hat CDN からコンテンツをダウンロードするために Satellite を戻す
リンクのコピー

お使いの環境がオフラインからオンラインに変更された場合は、Red Hat CDN から直接コンテンツをダウンロードするようにオフラインの Satellite を再設定することができます。

手順

Satellite Web UI で、コンテンツ > サブスクリプション に移動します。
マニフェストの管理 をクリックします。
Red Hat CDN URL フィールドを編集して、Red Hat CDN URL をポイントします。
https://cdn.redhat.com
保存をクリックします。

これで Satellite Server は、次にリポジトリーを同期するときに CDN からコンテンツをダウンロードするように設定されました。

オフラインネットワークからの Satellite Server のインストール

オフラインネットワークからの Red Hat Satellite Server のインストール

第1章 インストールのための環境準備リンクのコピーリンクがクリップボードにコピーされました!

1.1. システム要件リンクのコピーリンクがクリップボードにコピーされました!

1.2. ストレージ要件リンクのコピーリンクがクリップボードにコピーされました!

1.3. ストレージのガイドラインリンクのコピーリンクがクリップボードにコピーされました!

1.4. サポート対象オペレーティングシステムリンクのコピーリンクがクリップボードにコピーされました!

1.5. サポート対象ブラウザーリンクのコピーリンクがクリップボードにコピーされました!

1.6. ポートとファイアウォールの要件リンクのコピーリンクがクリップボードにコピーされました!

1.7. クライアントから Satellite Server への接続の有効化リンクのコピーリンクがクリップボードにコピーされました!

1.8. ファイアウォール設定の確認リンクのコピーリンクがクリップボードにコピーされました!

1.9. DNS 解決の検証リンクのコピーリンクがクリップボードにコピーされました!

第2章 Satellite Server のインストールリンクのコピーリンクがクリップボードにコピーされました!

2.1. バイナリー DVD イメージのダウンロードリンクのコピーリンクがクリップボードにコピーされました!

2.2. オフラインリポジトリーでベースオペレーティングシステムの設定リンクのコピーリンクがクリップボードにコピーされました!

2.3. オフラインリポジトリーからの Satellite パッケージのインストールリンクのコピーリンクがクリップボードにコピーされました!

2.4. パッケージの依存関係エラーの解決リンクのコピーリンクがクリップボードにコピーされました!

2.5. chronyd とシステムクロックの同期リンクのコピーリンクがクリップボードにコピーされました!

2.6. ベースオペレーティングシステムへの SOS パッケージのインストールリンクのコピーリンクがクリップボードにコピーされました!

2.7. Satellite Server の設定リンクのコピーリンクがクリップボードにコピーされました!

2.7.1. Satellite の手動設定リンクのコピーリンクがクリップボードにコピーされました!

2.7.2. 応答ファイルを使用した Satellite の自動設定リンクのコピーリンクがクリップボードにコピーされました!

2.8. 切断モードの有効化リンクのコピーリンクがクリップボードにコピーされました!

2.9. Satellite Server へのサブスクリプションマニフェストのインポートリンクのコピーリンクがクリップボードにコピーされました!

第3章 Satellite Server での追加設定の実行リンクのコピーリンクがクリップボードにコピーされました!

3.1. Satellite がローカルの CDN サーバーにコンテンツを同期するように設定する手順リンクのコピーリンクがクリップボードにコピーされました!

3.2. キックスタートリポジトリーのインポートリンクのコピーリンクがクリップボードにコピーされました!

3.2.1. Red Hat Enterprise Linux7 キックスタートリポジトリーのインポートリンクのコピーリンクがクリップボードにコピーされました!

3.2.2. Red Hat Enterprise Linux 8 のキックスタートリポジトリーのインポートリンクのコピーリンクがクリップボードにコピーされました!

3.3. Satellite Tools 6.7 リポジトリーの有効化リンクのコピーリンクがクリップボードにコピーされました!

3.4. Satellite Tools 6.7 リポジトリーの同期リンクのコピーリンクがクリップボードにコピーされました!

3.5. 管理対象ホスト上での電源管理の有効化リンクのコピーリンクがクリップボードにコピーされました!

3.6. Satellite Server での DNS、DHCP および TFTP の設定リンクのコピーリンクがクリップボードにコピーされました!

3.7. 管理対象外ネットワークに対する DNS、DHCP、および TFTP の無効化リンクのコピーリンクがクリップボードにコピーされました!

3.8. Satellite Server での送信メールの設定リンクのコピーリンクがクリップボードにコピーされました!

3.9. カスタムの SSL 証明書を使用した Satellite Server の設定リンクのコピーリンクがクリップボードにコピーされました!

3.9.1. Satellite Server 向けのカスタム SSL 証明書の作成リンクのコピーリンクがクリップボードにコピーされました!

3.9.2. カスタムの SSL 証明書の Satellite Server へのデプロイリンクのコピーリンクがクリップボードにコピーされました!

3.9.3. ホストへの カスタム SSL 証明書のデプロイリンクのコピーリンクがクリップボードにコピーされました!

3.10. Satellite での外部データベースの使用リンクのコピーリンクがクリップボードにコピーされました!

3.10.1. 外部データベースとして MongoDB を使用する際の注意点リンクのコピーリンクがクリップボードにコピーされました!

3.10.2. 外部データベースとして PostgreSQL を使用する際の注意点リンクのコピーリンクがクリップボードにコピーされました!

3.10.3. 外部データベース用のホストの準備リンクのコピーリンクがクリップボードにコピーされました!

3.10.4. MongoDB のインストールリンクのコピーリンクがクリップボードにコピーされました!

3.10.5. PostgreSQL のインストールリンクのコピーリンクがクリップボードにコピーされました!

3.10.6. 外部データベースを使用するための Satellite の設定リンクのコピーリンクがクリップボードにコピーされました!

3.11. mongod へのアクセスの制限リンクのコピーリンクがクリップボードにコピーされました!

3.12. 事前定義済みプロファイルを使用した Satellite Server の調整リンクのコピーリンクがクリップボードにコピーされました!

第4章 外部サービスでの Satellite Server の設定リンクのコピーリンクがクリップボードにコピーされました!

4.1. 外部 DNS を使用した Satellite Server の設定リンクのコピーリンクがクリップボードにコピーされました!

4.2. 外部 DHCP を使用した Satellite Server の設定リンクのコピーリンクがクリップボードにコピーされました!

4.2.1. Satellite Server を使用するための外部 DHCP サーバーの設定リンクのコピーリンクがクリップボードにコピーされました!

4.2.2. 外部 DHCP サーバーを使用した Satellite Server の設定リンクのコピーリンクがクリップボードにコピーされました!

4.3. 外部 TFTP での Satellite Server の設定リンクのコピーリンクがクリップボードにコピーされました!

4.4. 外部 IdM DNS を使用した Satellite Server の設定リンクのコピーリンクがクリップボードにコピーされました!

4.4.1. GSS-TSIG 認証を使用した動的 DNS 更新の設定リンクのコピーリンクがクリップボードにコピーされました!

4.4.2. TSIG 認証を使用した動的 DNS 更新の設定リンクのコピーリンクがクリップボードにコピーされました!

4.4.3. 内部 DNS サービス使用への復元リンクのコピーリンクがクリップボードにコピーされました!

付録A Red Hat Satellite へのカスタム設定の適用リンクのコピーリンクがクリップボードにコピーされました!

付録B Puppet 実行で上書きされた手動変更の復元リンクのコピーリンクがクリップボードにコピーされました!

付録C Red Hat CDN からコンテンツをダウンロードするために Satellite を戻すリンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第1章インストールのための環境準備
リンクのコピー

1.1. システム要件
リンクのコピー

1.2. ストレージ要件
リンクのコピー

1.3. ストレージのガイドライン
リンクのコピー

1.4. サポート対象オペレーティングシステム
リンクのコピー

1.5. サポート対象ブラウザー
リンクのコピー

1.6. ポートとファイアウォールの要件
リンクのコピー

1.7. クライアントから Satellite Server への接続の有効化
リンクのコピー

1.8. ファイアウォール設定の確認
リンクのコピー

1.9. DNS 解決の検証
リンクのコピー

第2章 Satellite Server のインストール
リンクのコピー

2.1. バイナリー DVD イメージのダウンロード
リンクのコピー

2.2. オフラインリポジトリーでベースオペレーティングシステムの設定
リンクのコピー

2.3. オフラインリポジトリーからの Satellite パッケージのインストール
リンクのコピー

2.4. パッケージの依存関係エラーの解決
リンクのコピー

2.5. chronyd とシステムクロックの同期
リンクのコピー

2.6. ベースオペレーティングシステムへの SOS パッケージのインストール
リンクのコピー

2.7. Satellite Server の設定
リンクのコピー

2.7.1. Satellite の手動設定
リンクのコピー

2.7.2. 応答ファイルを使用した Satellite の自動設定
リンクのコピー

2.8. 切断モードの有効化
リンクのコピー

2.9. Satellite Server へのサブスクリプションマニフェストのインポート
リンクのコピー

第3章 Satellite Server での追加設定の実行
リンクのコピー

3.1. Satellite がローカルの CDN サーバーにコンテンツを同期するように設定する手順
リンクのコピー

3.2. キックスタートリポジトリーのインポート
リンクのコピー

3.2.1. Red Hat Enterprise Linux7 キックスタートリポジトリーのインポート
リンクのコピー

3.2.2. Red Hat Enterprise Linux 8 のキックスタートリポジトリーのインポート
リンクのコピー

3.3. Satellite Tools 6.7 リポジトリーの有効化
リンクのコピー

3.4. Satellite Tools 6.7 リポジトリーの同期
リンクのコピー

3.5. 管理対象ホスト上での電源管理の有効化
リンクのコピー

3.6. Satellite Server での DNS、DHCP および TFTP の設定
リンクのコピー

3.7. 管理対象外ネットワークに対する DNS、DHCP、および TFTP の無効化
リンクのコピー

3.8. Satellite Server での送信メールの設定
リンクのコピー

3.9. カスタムの SSL 証明書を使用した Satellite Server の設定
リンクのコピー

3.9.1. Satellite Server 向けのカスタム SSL 証明書の作成
リンクのコピー

3.9.2. カスタムの SSL 証明書の Satellite Server へのデプロイ
リンクのコピー

3.9.3. ホストへのカスタム SSL 証明書のデプロイ
リンクのコピー

3.10. Satellite での外部データベースの使用
リンクのコピー

3.10.1. 外部データベースとして MongoDB を使用する際の注意点
リンクのコピー

3.10.2. 外部データベースとして PostgreSQL を使用する際の注意点
リンクのコピー

3.10.3. 外部データベース用のホストの準備
リンクのコピー

3.10.4. MongoDB のインストール
リンクのコピー

3.10.5. PostgreSQL のインストール
リンクのコピー

3.10.6. 外部データベースを使用するための Satellite の設定
リンクのコピー

3.11. mongod へのアクセスの制限
リンクのコピー

3.12. 事前定義済みプロファイルを使用した Satellite Server の調整
リンクのコピー

第4章外部サービスでの Satellite Server の設定
リンクのコピー

4.1. 外部 DNS を使用した Satellite Server の設定
リンクのコピー

4.2. 外部 DHCP を使用した Satellite Server の設定
リンクのコピー

4.2.1. Satellite Server を使用するための外部 DHCP サーバーの設定
リンクのコピー

4.2.2. 外部 DHCP サーバーを使用した Satellite Server の設定
リンクのコピー

4.3. 外部 TFTP での Satellite Server の設定
リンクのコピー

4.4. 外部 IdM DNS を使用した Satellite Server の設定
リンクのコピー

4.4.1. GSS-TSIG 認証を使用した動的 DNS 更新の設定
リンクのコピー

4.4.2. TSIG 認証を使用した動的 DNS 更新の設定
リンクのコピー

4.4.3. 内部 DNS サービス使用への復元
リンクのコピー

付録A Red Hat Satellite へのカスタム設定の適用
リンクのコピー

付録B Puppet 実行で上書きされた手動変更の復元
リンクのコピー

付録C Red Hat CDN からコンテンツをダウンロードするために Satellite を戻す
リンクのコピー