SUSE Multi-Linux Manager 5.1プロキシの配備

このガイドでは、SL Micro 6.1またはSUSE Linux Enterprise Server 15 SP7上のSUSE Multi-Linux Manager 5.1プロキシコンテナの配備プロセスについて説明します。このガイドでは、SUSE Multi-Linux Manager 5.1サーバが正常に配備済みであることを想定しています。

SL Microは当面、通常のminion (デフォルト接続メソッド)としてのみサポートされます。SUSEでは、これをSalt SSHクライアント(salt-ssh接続メソッド)としても管理できるように取り組んでいます。

正常に配備するには、次のアクションを実行します。

プロシージャ: プロキシを配備する

  1. ハードウェア要件を確認します。

  2. SL Micro 6.1またはSUSE Linux Enterprise Server 15 SP7親チャンネルとサーバ上のプロキシ拡張機能の子チャンネルを同期します。

  3. ベアメタルマシンにSL MicroまたはSUSE Linux Enterprise Serverをインストールします。

  4. プロキシ拡張機能を使用してSaltアクティベーションキーを作成します。

  5. デフォルト接続メソッドを使用して、プロキシをクライアントとしてブートストラップします。

  6. プロキシ設定を生成します。

  7. サーバからプロキシにプロキシ設定を転送します。

  8. プロキシにパッケージをインストールします。

  9. プロキシ設定を使用して、クライアントをSUSE Multi-Linux Managerにプロキシとして登録します。

プロキシコンテナホストでサポートされるオペレーティングシステム

コンテナホストでサポートされているオペレーティングシステムはSL Micro 6.1とSUSE Linux Enterprise Server 15 SP7です。

コンテナホスト

コンテナホストは、コンテナを管理および配備できるPodmanなどのコンテナエンジンを搭載したサーバです。これらのコンテナは、アプリケーションと、ライブラリなどの重要な部品を保持していますが、完全なオペレーティングシステムは保持しないため軽量です。このセットアップにより、アプリケーションは異なる環境でも同じように動作します。CPU、メモリ、ストレージなど、これらのコンテナに必要なリソースはコンテナホストが提供します。

1. プロキシのハードウェア要件

SUSE Multi-Linux Managerプロキシを配備するためのハードウェア要件の詳細については、installation-and-upgrade:hardware-requirements.adoc#proxy-hardware-requirementsを参照してください。

2. 親とプロキシ拡張機能の子チャンネルの同期

このセクションは、サーバのWeb UIの管理  セットアップウィザード  組織の資格情報で組織の資格情報を入力済みであることを想定しています。製品は、管理  セットアップウィザード  製品ページに一覧表示されます。このチャンネルは、子チャンネルの[Proxy as an extension (プロキシを子チャンネルとして)]オプションを選択した状態で、サーバ上で完全に同期する必要があります。

プロシージャ: 親チャンネルとプロキシ拡張機能の同期

  1. SUSE Multi-Linux ManagerのWeb UIで、管理  製品を選択します。

  2. [製品]ページから、フィルタフィールドに「SL Micro」または「SUSE Linux Enterprise Server」と入力します。

  3. 続いて、ドロップダウンを使用して必要なアーキテクチャを選択します。この例では、[x86-64]を選択します。

  4. 製品説明フィールドで[SL Micro 6.1]または[SUSE Linux Enterprise Server 15 SP7]チェックボックスをオンにし、ドロップダウンを使用してSUSE Multi-Linux Manager Proxy Extension 5.1 x86_64拡張機能を選択します。

  5. 製品の追加をクリックします。

  6. 同期が完了するまで待ちます。

3. SUSE Multi-Linux Managerプロキシホストの準備

以下のサブセクションで、SLE MicroまたはSUSE Linux Enterprise Serverを使用してプロキシホストを準備します。

3.1. SL Micro 6.1ホストの準備

3.1.1. インストールメディアのダウンロード

プロシージャ: インストールメディアのダウンロード

  1. https://www.suse.com/download/sle-micro/でSL Micro 6.1のインストールメディアを見つけて、適切なメディアファイルをダウンロードします。

  2. インストール用のDVDまたはUSBフラッシュドライブ(ダウンロードした.isoイメージを含む)を準備します。

3.1.2. SL Micro 6.1のインストール

マシン(仮想または物理)の準備の詳細については、SL Micro配備ガイドを参照してください。

プロシージャ: SL Micro 6.1のインストール

  1. SLE Micro 6.1のインストールイメージを含むDVDまたはUSBフラッシュドライブ(USBディスクまたはキー)を挿入します。

  2. システムをブートまたは再起動します。

  3. 矢印キーを使用してインストールを選択します。

  4. キーボードと言語を調整します。

  5. チェックボックスをクリックしてライセンス契約に同意します。

  6. 次へをクリックして続行します。

  7. 登録はスキップします。SL Micro 6.1エンタイトルメントは、SUSE Multi-Linux Managerエンタイトルメント内に含まれているため、別途登録コードは必要ありません。

  8. 次へをクリックして続行します。

  9. NTP設定ページで、次へをクリックします。

  10. Authentication for the System (システムの認証)ページで、rootユーザのパスワードを入力します。次へをクリックします。

  11. インストール設定ページで、インストールをクリックします。

これで、拡張機能としてのSL Micro 6.1とSUSE Multi-Linux Manager 5.1のインストールが完了しました。

3.1.3. システムの更新

プロシージャ: システムの更新

  1. rootとしてログインします。

  2. transactional-updateを実行します。

    transactional-update

  3. 再起動します。

SL Microはデフォルトで自己更新するように設計されており、更新を適用すると再起動します。ただし、SUSE Multi-Linux Manager環境ではこの動作は望ましくありません。サーバの自動更新を防ぐには、SUSE Multi-Linux Managerでブートストラッププロセス中にtransactional-updateのタイマを無効にします。

SL Microのデフォルトの動作を使用したい場合は、次のコマンドを実行してタイマを有効にします。

systemctl enable --now transactional-update.timer

配備を続行するには、カスタム永続ストレージの設定を参照してください。

3.2. SUSE Linux Enterprise Server 15 SP7ホストの準備

または、SUSE Linux Enterprise Server 15 SP7にSUSE Multi-Linux Managerを配備することもできます。

次のプロシージャでは、インストールプロセスの主なステップについて説明します。

3.2.1. SUSE Linux Enterprise ServerにSUSE Multi-Linux Manager拡張機能をインストールする

プロシージャ: SUSE Linux Enterprise ServerにSUSE Multi-Linux Manager拡張機能をインストールする

  1. https://www.suse.com/download/sles/でSUSE Linux Enterprise Server 15 SP7 .isoを見つけてダウンロードします。

  2. ホストオペレーティングシステム(SUSE Linux Enterprise Server 15 SP7)と拡張機能の両方の登録コードがあることを確認します。

  3. SUSE Linux Enterprise Server 15 SP7のインストールを開始します。

    1. Language, Keyboard and Product Selection(言語、キーボードおよび製品の選択)で、インストールする製品を選択します。

    2. ライセンス契約で契約を読み、[I Agree to the License Terms( ライセンス条項に同意します)にチェックを付けます。

  4. 登録はスキップします。

  5. 次へをクリックして続行します。

    SUSE Linux Enterprise Server 15 SP7には、有効なSUSE Linux Enterprise Serverサブスクリプションがサーバに設定されている必要があることに注意してください。

  6. 拡張とモジュールの選択で、以下にチェックを付けます。

    • ベースシステムモジュール

    • Containersモジュール

  7. 次へをクリックして続行します。

  8. インストールを完了します。

  9. インストールが完了したら、rootとして新しくインストールしたサーバにログインします。

  10. システムを更新します(オプション。インストール時にシステムが更新をダウンロードするように設定されていない場合)。

    zypper up

  11. 再起動します。

配備を続行するには、カスタム永続ストレージの設定を参照してください。

4. カスタム永続ストレージの設定

永続ストレージの設定はオプションですが、コンテナのディスクがいっぱいになった状態での深刻な問題を回避する唯一の方法です。インフラストラクチャにカスタム永続ストレージが必要な場合は、mgr-storage-proxyツールを使用してください。

詳細については、mgr-storage-proxy --helpを参照してください。このツールを使用すると、コンテナストレージとSquidキャッシュボリュームの作成が容易になります。

このコマンドは次のように使用します。

mgr-storage-proxy <storage-disk-device>

例:

mgr-storage-proxy /dev/nvme1n1

このコマンドは、/var/lib/containers/storage/volumesに永続ストレージを作成します。

詳細については、以下を参照してください。

5. プロキシのアクティベーションキーの作成

プロシージャ: アクティベーションキーの作成

  1. システム  アクティベーションキーに移動し、キーの作成をクリックします。

  2. SL Micro 6.1またはSUSE Linux Enterprise Server 15 SP7を親チャンネルとして使用して、プロキシホストのアクティベーションキーを作成します。

    このキーには、推奨されるすべてのチャンネルと、拡張機能の子チャンネルとしてのプロキシを含める必要があります。

  3. 続行して、プロキシホストをデフォルトクライアントとしてブートストラップします。

6. クライアントとしてのプロキシホストのブートストラップ

プロシージャ: プロキシホストのブートストラップ

  1. システム  ブートストラップを選択します。

  2. プロキシホストのフィールドに入力します。

  3. ドロップダウンから、前のステップで作成したアクティベーションキーを選択します。

  4. Click ブートストラップをクリックします。

  5. ブートストラッププロセスが完了するまで待ちます。Saltメニューをチェックし、Saltキーが一覧表示されていて受け入れられていることを確認します。

  6. オペレーティングシステムがSL Microの場合はプロキシホストを再起動します。

  7. すべてのイベントが終了したら、システムの一覧からホストを選択してSL Microの場合は2回目の再起動をトリガし、オンボーディングを完了します。

プロシージャ: プロキシホストの更新

  1. システムの一覧からホストを選択し、すべてのパッチを適用してホストを更新します。

  2. オペレーティングシステムがSL Microの場合はプロキシホストを再起動します。

7. プロキシ設定の生成

SUSE Multi-Linux Managerプロキシの設定アーカイブはSUSE Multi-Linux Managerサーバによって生成されます。追加のプロキシごとに専用の設定アーカイブが必要です。

コンテナ化されたSUSE Multi-Linux Managerプロキシの場合、変更を有効にするには、新しいプロキシ設定ファイルを構築してから、コンテナを再配備する必要があります。 これは、SSL証明書を含む、設定を更新するためのプロセスです。

Podmanの配備では、このプロキシ設定を生成する前に、SUSE Multi-Linux ManagerプロキシのコンテナホストをSUSE Multi-Linux Managerサーバにクライアントとして登録する必要があります。

プロキシFQDNを使用して、登録済みのクライアントではないプロキシコンテナ設定を生成すると(Kubernetesのユースケースと同様)、新しいシステムエントリがシステム一覧に表示されます。この新しいエントリは、以前に入力されたプロキシFQDN値の下に表示され、外部システムタイプになります。

周辺機器サーバは常にサードパーティSSL証明書を使用しています。 ハブサーバが周辺機器サーバの証明書を生成している場合は、各プロキシの証明書も生成する必要があります。 ハブサーバで、次のコマンドを実行します。

mgrctl exec -ti -- rhn-ssl-tool --gen-server --dir="/root/ssl-build" --set-country="COUNTRY" \
  --set-state="STATE" --set-city="CITY" --set-org="ORGANIZATION" \
  --set-org-unit="ORGANIZATION UNIT" --set-email="name@example.com" \
  --set-hostname=PROXY --set-cname="proxy.example.com"

使用するファイルは、 * ルートCAとして、/root/ssl-build/RHN-ORG-TRUSTED-SSL-CERT * プロキシ証明書として/root/ssl-build/<hostname>/server.crt、 * プロキシ証明書のキーとして/root/ssl-build/<hostname>/server.keyです。

7.1. Web UIを使用したプロキシ設定の生成

プロシージャ: Web UIを使用してプロキシコンテナ設定を生成する

  1. Web UIで、システム  プロキシの設定に移動し、必要なデータを入力します。

  2. プロキシFQDN]フィールドに、プロキシの完全修飾ドメイン名を入力します。

  3. 親FQDN]フィールドに、SUSE Multi-Linux Managerサーバまたは別のSUSE Multi-Linux Managerプロキシの完全修飾ドメイン名を入力します。

  4. プロキシSSHポート]フィールドに、SSHサービスがSUSE Multi-Linux ManagerプロキシでリスンしているSSHポートを入力します。デフォルトの8022を維持することをお勧めします。

  5. Squidの最大キャッシュサイズ[MB]]フィールドタイプで、Squidキャッシュの最大許容サイズ。コンテナで使用可能なストレージの最大80%で使用することを推奨します。

    2 GBはプロキシSquidのデフォルトのキャッシュサイズを表します。これは、環境に合わせて調整する必要があります。

SSL証明書]選択リストで、SUSE Multi-Linux Managerプロキシ用に新しいサーバ証明書を生成するか、既存のサーバ証明書を使用するかを選択します。 生成された証明書は、SUSE Multi-Linux Manager組み込みの(自己署名)証明書とみなすことができます。

+

選択に応じて、新しい証明書を生成するための署名CA証明書へのパス、またはプロキシ証明書として使用される既存の証明書とそのキーへのパスのいずれかを指定します。

+

サーバによって生成されたCA証明書は、/var/lib/containers/storage/volumes/root/_data/ssl-buildディレクトリに保存されます。

+

既存の証明書またはカスタム証明書、および企業証明書と中間証明書の概念の詳細については、SSL証明書のインポートを参照してください。

  1. 生成をクリックして、SUSE Multi-Linux Managerサーバに新しいプロキシFQDNを登録し、コンテナホストの詳細を含む設定アーカイブ(config.tar.gz)を生成します。

  2. しばらくすると、ダウンロードするファイルが表示されます。このファイルをローカルに保存します。

7.2. spacecmdと自己署名証明書を使用したプロキシ設定の生成

spacecmdを使用してプロキシ設定を生成できます。

プロシージャ: spacecmdと自己署名証明書を使用してプロキシ設定を生成する

  1. SSHでコンテナホストに接続します。

  2. 次のコマンドを実行してサーバとプロキシFQDNを置き換えます。

    mgrctl exec -ti 'spacecmd proxy_container_config_generate_cert -- dev-pxy.example.com dev-srv.example.com 2048 email@example.com -o /tmp/config.tar.gz'

  3. 生成された設定をサーバコンテナからコピーします。

    mgrctl cp server:/tmp/config.tar.gz .

7.3. spacecmdとカスタム証明書を使用したプロキシ設定の生成

デフォルトの自己署名証明書ではなくカスタム証明書に対してspacecmdを使用して、プロキシ設定を生成できます。

プロシージャ: spacecmdとカスタム証明書を使用してプロキシ設定を生成する

  1. サーバコンテナホストにSSHで接続します。

  2. 次のコマンドを実行してサーバとプロキシFQDNを置き換えます。

    for f in ca.crt proxy.crt proxy.key; do
  mgrctl cp $f server:/tmp/$f
done
mgrctl exec -ti 'spacecmd proxy_container_config -- -p 8022 pxy.example.com srv.example.com 2048 email@example.com /tmp/ca.crt /tmp/proxy.crt /tmp/proxy.key -o /tmp/config.tar.gz'

  3. 設定で中間CAを使用する場合は、それもコピーし、-iオプション付きでコマンドに含めます(必要に応じて複数回指定できます)。

    mgrctl cp intermediateCA.pem server:/tmp/intermediateCA.pem
mgrctl exec -ti 'spacecmd proxy_container_config -- -p 8022 -i /tmp/intermediateCA.pem pxy.example.com srv.example.com 2048 email@example.com /tmp/ca.crt /tmp/proxy.crt /tmp/proxy.key -o /tmp/config.tar.gz'

  4. 生成された設定をサーバコンテナからコピーします。

    mgrctl cp server:/tmp/config.tar.gz .

8. プロキシ設定の転送

Web UIによって設定アーカイブが生成されます。このアーカイブをプロキシコンテナホストで利用できるようにする必要があります。

プロシージャ: プロキシ設定をコピーする

  1. まだ実行していない場合は、前のステップで生成された設定アーカイブ (config.tar.gz)をサーバコンテナからサーバホストにコピーします。

    mgrctl cp server:/root/config.tar.gz .

  2. まだ実行していない場合は、サーバホストからプロキシホストにファイルをコピーします。

    scp config.tar.gz <proxy-FQDN>:/root

9. パッケージをインストールし、podmanを有効にする

プロキシを使用する前に、いくつかのパッケージがホスト上に存在し、podmanが実行されている必要があります。

プロシージャ: 前提条件の準備

  1. プロキシホストで、以下のパッケージがインストールされていることを確認します。

    • podman

    • mgrpxy-bash-completion

    • suse-multi-linux-manager-5.1-x86_64-proxy-httpd-image

    • suse-multi-linux-manager-5.1-x86_64-proxy-salt-broker-image

    • suse-multi-linux-manager-5.1-x86_64-proxy-squid-image

    • suse-multi-linux-manager-5.1-x86_64-proxy-ssh-image

    • suse-multi-linux-manager-5.1-x86_64-proxy-tftpd-image

  2. システムを再起動するか、次のコマンドを実行して、プロキシホストでPodmanサービスを起動します。

    systemctl enable --now podman.service

  3. プロキシホストで、次のコマンドを使用してプロキシをインストールします。

    mgrpxy install podman config.tar.gz

10. SUSE Multi-Linux Managerプロキシの起動

mgrpxyコマンドを使用してコンテナを起動できます。

プロシージャ: プロキシを起動してステータスを確認する

  1. 次のコマンドを呼び出してプロキシを起動します。

    mgrpxy start

  2. 次のコマンドを呼び出してコンテナのステータスを確認します。

    mgrpxy status

    5つのSUSE Multi-Linux Managerプロキシコンテナが存在し、また、proxy-podコンテナポッドの一部である必要があります。

    • proxy-salt-broker

    • proxy-httpd

    • proxy-tftpd

    • proxy-squid

    • proxy-ssh

11. サービスにカスタムコンテナイメージを使用する

デフォルトでは、SUSE Multi-Linux Managerプロキシスイートは、そのサービスごとに同じイメージバージョンとレジストリパスを使用するように設定されています。ただし、-tagおよび-imageで終わるインストールパラメータを使用して、特定のサービスのデフォルト値を上書きすることは可能です。

例:

mgrpxy install podman --httpd-tag 0.1.0 --httpd-image registry.opensuse.org/uyuni/proxy-httpd /path/to/config.tar.gz

これは、httpdサービスの設定ファイルを調整してから再起動します。registry.opensuse.org/uyuni/proxy-httpdsは使用するイメージ、0.1.0はバージョンタグです。

値をデフォルトにリセットするには、これらのパラメータを指定せずにもう一度installコマンドを実行します。

mgrpxy install podman /path/to/config.tar.gz

このコマンドは、すべてのサービスの設定をグローバルデフォルトにリセットして再ロードします。