Upload
moriwaka-kazuo
View
1.513
Download
3
Embed Size (px)
Citation preview
Agenda● Red Hat Satellite とは?
– 何ができるの?● Red Hat Satelliteの中身は?
– リポジトリ– 設定管理 → Puppet Enterprise との連携– プロビジョニング– コンテンツ管理– ライフサイクル管理– サブスクリプション管理
Red Hat Satelliteって何ですか?● RHELのライフサイクルを一括管理するシステムです
– パッケージの配布・適用– 構成情報の収集– 設定の配備– etc. 物理サーバ
仮想マシン
ハイエンドサーバ
デスクトップアップデート情報最新パッケージ
パッケージ &設定
構成情報収集
Web UIで操作
Satelliteで出来ること(1)「大きな脆弱性が新聞にも載ってたけど、うちのサーバは大丈夫?」
えーと、Heartbleed(CVE-2014-0160)対策がまだ済んでないサーバは..と.. RHSA-2014:0376Hosts RHEL-sv001
sv00abc-001sv20xx-003... こいつらです
→ 特定の脆弱性に該当するサーバを瞬時にピックアップ!
dbsv001-05Errata
Host
Satelliteで出来ること(2)「私んとこのサーバで、当ててない修正ってどんなの?」
えーと、あの部署のサーバの
状況は...とRHSA-2015:0794RHBA-2015:0772RHEA-2015:0717RHSA-2015:0674... これだけあります
→ 特定のサーバで未適用の修正を一覧表示
Satelliteで出来ること(3)「アップデートファイルのダウンロードが遅いんですけどー」
アップデート情報最新パッケージ
Capsule Server
→ Satelliteが全てのアップデートパッケージを一括ダウンロード拠点ごとにプロキシ(Capsule)を配置することも可能
Satelliteで出来ること(4)「今晩、うちのサーバ全台アップデートしといてね」
グループZ
グループX
グループXへRHSA-2015:0074即時適用
グループZへRHBA-2014:2018適用(夜間バッチ)
管理端末
管理端末
→ リモートからのアップデート指示が可能 サーバをグループ化して、一括指示OK
Satelliteで出来ること(5)「このパッチ当てても大丈夫?」
検証環境向けリリース(QA)
本番環境向けリリース(Prod)
ver 1.0- 2015-04-01時点の 最新パッケージ
ver 2.0- 2015-04-01時点の 最新パッケージ- kernelは5/1時点の 最新のものを利用
ver 3.0- 2015-04-01時点の 最新パッケージ- kernelは5/1時点の 最新のものを利用- VENOM対応追加
編集用ライブラリ
ver 2.0- 2015-04-01時点の 最新パッケージ- kernelは5/1時点の 最新のものを利用
ver 3.0- 2015-04-01時点の 最新パッケージ- kernelは5/1時点の 最新のものを利用- VENOM対応追加
ver 3.0- 2015-04-01時点の 最新パッケージ- kernelは5/1時点の 最新のものを利用- VENOM対応追加
検証サーバ
本番サーバ
PublishNew Ver.
PublishNew Ver.
Promote Promote
Promote
アップデート適用
アップデート適用
開発サーバ
アップデート適用
→ パッケージレポジトリ(コンテンツビュー)のバージョン管理で、 アップデート検証〜本番適用のワークフローが明確にNG!NG! OK!OK!
NG!NG!
OK!OK!
OK!OK!
太 鼓 判
Satelliteで出来ること(6)「セキュリティ監査やっといて」
SCAP XCCDF形式のセキュリティポリシー
定期的なセキュリティ監査
→ OpenSCAPによるセキュリティ監査を自動実行&集計
他にも嬉しいことたくさん..● インストールサーバにして、ネットワーク経由で自動インストール● Puppetマスターにして、自動プロビジョニング&構成管理
– Satelliteのグループ管理との連携● サブスクリプションの割当管理によるコンプライアンス遵守● 部門別に権限移譲して、システム管理操作の柔軟な運用● Satellite導入で、管理者一人あたりのサーバ数が2倍に(IDC調査)→ 投資回収期間:4.8ヶ月、3年間ROI:338%● サーバ全体をRHELに統一してSatelliteで管理すると、標準化によってさらに運用効率アップ
設定管理● Puppetによる設定管理
– 望ましい状態を宣言的に定義する– 予想していない変化があれば検出して緩和する– 変更の監査とレポート– Satelliteが管理する各種情報を利用したマニフェスト– SatelliteのグループとPuppetのクラスの対応づけ
● 同梱PuppetだけでなくPuppet Enterpriseと連携も可能– https://forge.puppetlabs.com/puppetlabs/satellite_pe_tools
プロビジョニング● Foremanによるプロビジョニング
– ベアメタル、仮想化、各種クラウド環境へのインストール● kickstartによる自動構築● イメージのクローンによる自動構築● 既存システムの更新
– グループ化、自動登録– 新規ハードウェアの自動検出
● インストールと初期設定の自動化により新規サーバの構築・追加を省力化● 既存システムの状態把握とパッケージ追加・削除・更新などの操作
コンテンツ管理● Katelloによるコンテンツ管理● 仮想マシンや物理マシンを入れ物とし「コンテンツ」として以下を考える
– どのパッケージが含まれるか– どの設定がされているか
● Satelliteでは– 新旧全てのパッケージと設定をリポジトリに集約– リポジトリ内の製品を組み合わせ、スナップショットとして”コンテンツビュー”を作成
● 例: 「RHEL7」をリポジトリとして「httpdとruby」をインストールするコンテンツビューを作成。“2015年10月1日版”をversion 3としてリリース
Contents Viewの作成製品製品に含まれる
リポジトリを指定Yum, Puppetリポジトリ群
フィルタ
● パッケージと設定を含むリポジトリを選択して「製品」を定義● 製品内の必要/不要なコンポーネントを指定してフィルタしたサブセット(CV: Contents View)を作成● システムにはCVのスナップショットが導入される
– スナップショットを作成、バージョン番号付与– ホストへスナップショットを割り当て– 別途パッケージのアップデートや追加を行ってもスナップショット時点のバージョンを提供される
Content viewの合成
複数のContent view を合成した合成Content viewを作る● Red Hat Enterprise Linux 7 ● Web server● Red Hat JBoss Middleware
Composite content view例: mywebserver
ライフサイクル管理
DEV QA● 本番環境にはテスト環境でテストされたものしか配備したくない● 最新版を適用するとテスト環境より新しいものが配備される懸念● Satelliteは「コンテンツのライフサイクル」を管理してステージングに対応
– Content Viewのスナップショットを作成(publish)。ライブラリへ登録。– テストを実施。問題がなければスナップショットを 開発環境→QA環境→本番環境 と出世(promote)させていく。– 各システムは自分が属する環境に割りあてられたスナップショットにだけアクセスできる
LIB PROD
サブスクリプション管理● Candlepinによるサブスクリプション管理
– 製品・サポートレベル・期限などを集中管理– 各システムとサブスクリプションの対応付け– 正確な本数と使用状況を維持– グループ毎の利用状況管理も可能
● 部門毎のコスト管理やサーバ毎の更新● 更新漏れによるサポート不能の予防
– サブスクリプションの期限切れ3ヶ月前に警告
その他いろいろな機能……● 複数組織、複数拠点への対応
– 部門ごとのサブスクリプション割り当て– 拠点間のネットワーク通信の削減
● DNS, DHCP, TFTPサーバの統合– PXEを利用したオートディスカバリ– PXEを利用したベアメタルプロビジョニング
● Red Hat Identity ManagerまたはActive Directoryへのホスト自動登録● OpenSCAPによる自動セキュリティ監査
– ポリシーへの適合をチェック、レポート、記録
まとめ● Red Hat Satelliteは多数のRHELを構築、運用するためのソフトウェアスイートです
– ソフトウェアおよび設定を適切に配備、更新するための機能が充実しています– 全コンポーネントがOSSとして開発されています
● Satelliteはセキュリティ保持にも役立ちます– 既存システムの現状把握– ソフトウェアアップデートの徹底– OpenSCAPとの連携によるベースライン保持
● SatelliteはPuppet 3.6.2を内蔵しています
参考資料● Red Hat Satellite製品ページ
– https://access.redhat.com/products/red-hat-satellite● SatelliteでのPuppetサポートポリシー
– https://access.redhat.com/articles/1200003