目次にジャンプページナビゲーションにジャンプ: 前のページ[アクセスキーp]/次のページ[アクセスキーn]
documentation.suse.com / Cockpitを使用したSUSE Linux Microの管理

Cockpitを使用したSUSE Linux Microの管理

発行日: 20/03/2025
概要

Cockpitを使用すると、システムの基本的な概要からストレージの管理、システムを最新の状態に保つことまで、多くの管理タスクを便利な方法で実行できます。

目的

この記事は、Cockpit Webインタフェースから実行できるタスクの概要を包括的に説明することを目的としています。

所要時間

どのくらいの時間を要するか不明。

目標

Cockpitを使用してシステムを管理できるようになります。

要件

Cockpitを使用してシステムを完全に管理するには、rootアクセス権またはsudo特権が必要です。

1 Cockpitについて

 

Cockpitは、ほとんどの管理タスクを1カ所で管理できるWebベースのグラフィカルインタフェースです。Cockpit用の資格情報を作成する必要はありません。Cockpitでは、サーバへのログインに使用する資格情報と同じ資格情報をデフォルトで使用するためです。また、Cockpitはシステムにすでに存在するAPIを使用し、システムにレイヤを追加しません。

Cockpitでは、次のタスクを実行できます。

  • コンテナイメージのダウンロードとコンテナの実行

  • サーバの更新

  • ネットワーク設定の検査と変更

  • ユーザアカウントの管理

  • システムログの表示

  • systemdサービスの検査と操作

  • Webブラウザでの、リモートサーバ上の端末の使用

2 Cockpitのインストール

 

2.1 概要

 

Cockpitは、提供されるdefaultタイプの事前構築のイメージに含まれています。baseタイプの事前構築のイメージには、Cockpitがインストールされていないため、2.3項 「Cockpitのインストール」の説明に従ってインストールする必要があります。

2.2 Cockpitのプラグイン

 

defaultタイプのイメージでは、Cockpitにプラグインの完全なセットが含まれています。ただし、システムにインストールされているテクノロジによっては、一部のプラグインが表示されない場合があります。たとえば、NFSが存在しない場合、対応するNFSパネルは表示されません。

2.3 Cockpitのインストール

 

Cookpitがシステムに存在しない場合は、次の手順に従ってインストールできます。

  1. 次のコマンドを実行して、Cockpitパターンをインストールします。 

                # 
            transactional-update pkg install -t pattern cockpit

  2. マシンを再起動して、最新のスナップショットに切り替えます。

  3. このCockpitインスタンスをプライマリインスタンスとして使用する場合は、次のコマンドを実行して、systemdでCockpitソケットを有効にする必要があります。 

    # systemctl enable --now cockpit.socket

    このコマンドを実行すると、サーバでデフォルトの9090ポートが公開され、systemdは9090ポートをリスンするcockpit-wsサービスを開始します。

  4. ファイアウォールを有効にしている場合は、次の手順に従います。

    1. Cockpitのファイアウォールを開きます。 

      # firewall-cmd --permanent --zone=public --add-service=cockpit

    2. 次のコマンドを実行して、ファイアウォール設定を再ロードします。 

      # firewall-cmd --reload

  5. これで、Webブラウザで次のアドレスを開いてCockpit Webインタフェースにアクセスできるようになります。 

    https://IP_ADDRESS_OF_MACHINE:9090

3 Cockpitへのアクセス

 

Cockpitでは、9090ポートを公開できる各マシンに直接ログインできます。このマシンはプライマリサーバと呼ばれることもあります。cockpit-wsを実行し、それを介して追加サーバへの接続を確立するのがプライマリサーバです。デフォルトでは、CockpitはHTTP接続とHTTPS接続の両方をリスンします。ただし、ローカルホストアクセスなどの例外を除き、ほとんどのHTTP接続はHTTPSにリダイレクトされます。

特定のマシンでこのポートにアクセスできなくても、そのマシンをセカンダリサーバとして使用することで、Cockpitを使用してマシンを管理できます。サーバをセカンダリとして追加する手順については、手順2「セカンダリとしてのサーバの追加」を参照してください。

注記
注記: セカンダリサーバの数の制限

1つのプライマリサーバから管理できるセカンダリサーバの数は20台に制限されています。それより多くのサーバを管理する必要がある場合は、別のプライマリサーバを追加するか、クラスタ管理に別のツールを使用します。

3.1 TLS証明書

 

デフォルトでは、Cockpitはディレクトリ/etc/cockpit/ws-certs.dから.certまたは.crt証明書をロードします。対応する秘密キーは、同じファイル名で接尾辞.keyが付いた別のファイルである必要があります。このキーが暗号化されていないことを確認します。

ディレクトリに証明書が見つからない場合、Cockpitは自己署名証明書(0-self-signed.cert)を生成してセキュリティ保護された接続を確立します。

Cockpitが使用する証明書を確認するには、次のコマンドを実行します。 

> sudo /usr/libexec/cockpit-certificate-ensure --check

3.2 認証

 

Cockpitにログインするために、別の資格情報は必要ありません。SUSE Linux Microへのログインに使用するのと同じ資格情報を使用します.ただし、新規インストールでは、rootを使用したログインはデフォルトで許可されません。3.2.2項 「パスワードを使用したrootでのログインを有効にする」の説明に従ってパスワードによるrootログインを有効にするか、Cockpitにアクセスするための非特権ユーザを作成します。以前のリリースからアップグレードされたインスタンスでは、rootログインが引き続き許可されます。いずれの場合も、3.2.1項 「2FA認証の有効化」で説明されているように2FAを追加してセキュリティを強化することをお勧めします。

非特権ユーザは、アクセスが制限された状態でCockpitにログインします。管理タスクを実行するには、右上のメニューの制限付きアクセスをクリックし、rootパスワードを入力して管理モードのロックを解除します。

3.2.1 2FA認証の有効化

 

SUSE Linux Microで2FAを設定するには、利用可能な任意のTOTPアプリケーションが必要です。次に、コマンドを実行して認証を設定します。次のセクションでは、2FAの設定を進める方法の詳細と、2FAが失敗した場合の手順について説明します。

3.2.1.1 TOTP 2FAを提供するアプリケーション
 

2FAを提供する次のアプリケーションは、SUSE Linux Microでサポートされています.

クラウドストレージを使用

  • PSONO- Firefox、Chrome、Docker、iOS、Androidで利用可能

  • Google 認証システム - Android、iOS、Wear OSで利用可能

  • Okta Verify- Android、iOS、macOS、Windowsで利用可能

ローカルストレージのみを使用
3.2.1.2 2FAの設定
 

各ユーザが独自の2FAを設定することも、rootがシステム上の任意の通常ユーザに対して2FAを設定することもできます。実行中のシステムからユーザの2FAを設定するには、次の手順に従います。

  1. 次のコマンドを実行します。 

                    > 
                sudo
                /sbin/jeos-config otp

  2. 上記の任意のTOTPアプリケーションでコードをスキャンします。

  3. OTPコードを入力してプロセスを確認します。

3.2.1.3 アクセスの回復
 

2FAの設定はオプションです。ただし、一度設定すると、Cockpitへのログインには2番目の要素が必須になります。2番目の要素が使用できなくなった場合は、変更するか無効にすることができます。2番目の要素がなくても、SSHを使用して、またはコンソールから直接マシンにログインできます。ログイン後、次の2つのオプションを使用できます。

2番目の要素を変更する

rootとして、またはsudoを使用してユーザ名を用いてコマンドを実行します。 

> sudo /sbin/jeos-config otp
2FAを無効にする

影響を受けるユーザのホームディレクトリからファイル.pam_oath_usersfileを削除します。

3.2.2 パスワードを使用したrootでのログインを有効にする

 
警告
警告: パスワードによるrootログインは安全ではありません

セキュリティ上の理由から、パスワードによるrootログインを有効にしないことを強くお勧めします。

新しいSUSE Linux Microインストールでは、セキュリティ上の理由から、パスワードを使用したrootログインはデフォルトで無効になっています。パスワードによるrootログインを許可するには、次の手順に従います。

  1. /etc/cockpit/disallowed-usersファイルを開きます。

  2. ファイルからrootを削除します。

3.3 プライマリサーバへの直接ログイン

 

9090ポートにネットワークで直接アクセスできる場合は、常に資格情報を使用してサーバに直接ログインできます。そのためには、手順1「プライマリサーバへのログイン」に従います。

注記
注記: Cockpit専用の資格情報は必要ない

デフォルトでは、アクセスは/usr/lib/pam.d/cockpitにあるCockpit固有のPAMスタックで制御されます。デフォルト設定では、そのシステムのローカルアカウントに使用するものと同じユーザ名とパスワードでログインできます。

手順 1: プライマリサーバへのログイン
 

  1. ブラウザで次のアドレスを開いて、Cockpitのログインページに移動します。 

    https://IP_ADDRESS_OF_MACHINE:9090

  2. 資格情報を入力します。

3.4 セカンダリサーバへのログイン

 

ご使用のマシンが9090ポートに直接アクセスできない場合は、このマシンをセカンダリサーバとして使用できます。そのマシンにCockpitがインストールされている必要があることに注意してください。

セカンダリサーバにログインする方法は2つあります。セカンダリサーバに直接ログインする方法と、プライマリサーバを使用する方法です。

3.4.1 セカンダリサーバへの直接ログイン

 

最初にプライマリサーバにログインすることなく、セカンダリサーバにログインできます。このソリューションは、プライマリサーバの資格情報がない場合に便利です。プライマリサーバをブリッジとして使用し、SSHを使用してセカンダリサーバに接続します。

セカンダリサーバに接続するには、次の手順に従います。

  1. ブラウザで次のアドレスを開いて、Cockpitのログインページに移動します。 

    https://IP_ADDRESS_OF_MACHINE:9090

  2. セカンダリサーバの資格情報を入力します。

  3. ログイン画面で他のオプションを展開します。

  4. セカンダリサーバのIPアドレスを入力します。

  5. ログインをクリックして続行します。

  6. 初めてログインしようとする場合は、指紋の検証を求められます。その後、キーを受け入れてログインをクリックします。

3.4.2 プライマリサーバからセカンダリサーバへのアクセス

 

プライマリサーバの資格情報がある場合は、プライマリサーバからセカンダリサーバにアクセスできます。手順2「セカンダリとしてのサーバの追加」で説明されているように、まずセカンダリサーバを追加する必要があることに注意してください。

手順 2: セカンダリとしてのサーバの追加
 

  1. 「システム管理者」の役割を持つアカウントを使用してプライマリサーバにログインします。

  2. 左上隅にあるUSERNAME@HOSTNAMEをクリックします。

  3. 新規ホストの追加をクリックします。

  4. サーバへのログインに使用するホストIDと、オプションでユーザ名を入力します。マシンに色を割り当てることができます。詳細をすべて入力したら、追加をクリックします。

  5. 追加するサーバで指紋を検証します。指紋が一致する場合、またはSSH接続を設定していない場合は、キーを受け入れてログインをクリックして続行します。

  6. パスワードを入力し、必要に応じて自動ログインをオンにします。Cockpitにより、ユーザの新しいSSHキーが生成され、次回から自動的にログインします。

3.5 管理モードへの切り替え

 

デフォルトでは、通常のユーザは制限付きのアクセスでCockpitにログインできますが、このアクセス権ではユーザアカウントの管理、システムの更新などの管理タスクを実行できません。

管理アクセスに切り替えるには、次の手順を実行します。

  1. 制限付きアクセスボタンをクリックします。

  2. rootパスワードを入力します。

  3. 認証するをクリックして確定します。

管理モードをオフにするには、次の手順に従います。

  1. 管理アクセスをクリックします。

  2. 確認のため、アクセスの制限をクリックします。

4 Cockpitを使用したサーバの設定

 

Cockpitの概要の部分を使用して、デフォルトのサーバ設定や、手動インストール中に指定した設定を変更できます。この部分では、ホスト名を変更したり、システムの日付やタイムゾーンを変更したりできます。

4.1 サーバのホスト名の変更

 

ホスト名を変更するには、次の手順に従います。

手順 3: ホスト名の変更
 

  1. 概要ページに移動します。

  2. 設定部分で、編集をクリックします。

  3. 次の情報を入力します。

    • プリティホスト名 - ユーザ定義のフリーフォームのホスト名

    • 実際のホスト名 - ネットワーク内でのデバイスの名前

4.2 システムの時間またはタイムゾーンの変更

 

システムの時間またはタイムゾーンを変更するには、次の手順に従います。

手順 4: システムの時間またはタイムゾーンの変更
 

  1. 概要ページに移動します。

  2. システム時間の値をクリックします。

  3. ポップアップウィンドウで、以下を変更できます。

    • タイムゾーン - 手動インストール中に設定した値、または生イメージの場合はUTCに設定します。

    • 時間の設定 - デフォルトでは、NTPが時刻の同期に使用されます。時刻を手動で設定できます。代替NTPサーバを定義している場合は、それらのNTPサーバを時刻の同期に使用できます。

4.3 暗号ポリシーの変更

 

暗号ポリシーを変更するには、次の手順に従います。

  1. 概要ページに移動します。

  2. 暗号化ポリシーの横にあるデフォルトをクリックします。

  3. ポップアップウィンドウで、次のポリシータイプのいずれかをクリックします。

    デフォルト

    TLS 1.2とTLS 1.3プロトコル、およびIKEv2とSSH2プロトコルが許可されます。Diffie-Hellmanパラメータは、ビット長が2048以上であれば使用できます。このレベルでは少なくとも112ビットのセキュリティが提供されます。ただし、DNSSECでは現在も一般的であるSHA-1署名が許可されることを除きます。

    DEFAULT:SHA1 (デフォルト: SHA1)

    SHA-1アルゴリズムの使用を有効にする、defaultのサブポリシーです。

    LEGACY (レガシ)

    このポリシーでは、レガシシステムとの互換性が最大限確保されます。安全性は劣り、TLS 1.0、TLS 1.1、SSH2以降のプロトコルがサポートされます。DSA、3DES、およびRC4のアルゴリズムが許可され、RSAおよびDiffie-Hellmanパラメータは1023ビットより長い場合にのみ使用できます。このレベルでは少なくとも64ビットのセキュリティが提供されます。

    LEGACY:AD-SUPPORT (レガシ: AD-SUPPORT)

    LEGACYのサブポリシーであり、Active Directoryとの相互運用性があります。

    FIPS

    FIPS 140-2の要件に準拠したレベル。このポリシーは、システムをFIPS 140-2準拠モードに切り替えることができるfips-mode-setupツールで内部的に使用されます。このレベルでは少なくとも112ビットのセキュリティが提供されます。

    FIPS:OSPP

    コモンクライテリア(CC)の制限があるFIPSのサブポリシー。

    FUTURE (将来)

    近い将来の攻撃に耐えると考えられる控えめなセキュリティレベル。このレベルでは署名アルゴリズムにSHA-1を使用することはできません。このレベルでは、ポスト量子暗号化を256ビット対称暗号化要件としてサポートするための準備も一部提供されます(完全ではありません)。RSAおよびDiffie-Hellmanパラメータは、3071ビットより長ければ使用できます。このレベルでは少なくとも128ビットのセキュリティが提供されます。

  4. 変更内容を適用するには、適用して再起動するをクリックします。

5 Cockpitログのフィルタ

 

次の条件に従ってログをフィルタできます。

  • 時間。詳細については、5.1項 「時間によるフィルタ」を参照してください。

  • 優先度。詳細については、5.2項 「優先度によるフィルタ」を参照してください。

  • 識別子。特定のサービス、デーモン、またはプロセスのログをフィルタできます。利用可能な識別子は、現在表示されているログから、設定したフィルタに従って解析されます。

  • フリーフォームのフィルタ。詳細については、5.3項 「ログフィルタ」を参照してください。

注記
注記: フィルタ条件を組み合わせる

時間、優先度、または識別子のいずれかの条件を変更しても、他の条件は引き続き適用されることに注意してください。たとえば、時間の条件を過去24時間に変更しても、優先度と識別子の条件は同じままです。

5.1 時間によるフィルタ

 

特定の時間に従ってログをフィルタするには、次の値から選択できます。

現在の起動

現在の起動のログのみを表示します。再開ボタンをクリックすると、現在表示されているログを継続的に更新できます。

以前のブート

以前のブートに関連するログを表示します。

過去 24 時間

過去24時間以内に記録されたログを表示します。

過去 7 日間

過去7日以内に記録されたログを表示します。

5.2 優先度によるフィルタ

 

syslogの標準の重要度レベルが使用されます(重要度が最も高いものから最も低いものへソートされます)。

緊急のみ

システムは使用できません。これはパニック状態です。

アラート以上のレベル

このログには早急な対応が必要です。

重大以上のレベル

プライマリシステムの障害。直ちに問題を修正する必要があります。

エラー以上のレベル

緊急のエラーではないものの、特定の時間内に処理する必要があります。

警告以上

エラーではないものの、対応しなければエラーが発生する可能性があることを示します。

注意以上のレベル

エラーではない異常なイベント。すぐに対応する必要はありません。

情報以上のレベル

システムが適切に動作していることの確認として機能する通常の操作メッセージ。

デバッグ以上のレベル

これらのメッセージは、システムをデバッグする目的でのみ使用します。

5.3 ログフィルタ

 

次の条件に従ってログの表示を絞り込むことができます。

フィルタ開始時刻

指定した日付以降のログが表示されます。次の方法で時間を指定できます。

  • YYYY-MM-DDの形式で絶対日付を使用する。

  • yesterdaytodaytomorrow、およびnowのいずれかの条件を使用する。

  • 値に-または+のプレフィクスを付けて単位を指定し、相対時間を使用する。使用できる単位は、secondsまたはsminutesまたはminhoursまたはhdaysまたはdweeksまたはwmonthsまたはm、およびyearsまたはyです。

フィルタ終了時刻

指定した日付以前のログが表示されます。次の方法で時間を指定できます。

  • YYYY-MM-DDの形式で絶対日付を使用する。

  • yesterdaytodaytomorrow、およびnowのいずれかの条件を使用する。

  • 値に-または+のプレフィクスを付けて単位を指定し、相対時間を使用する。使用できる単位は、secondsまたはsminutesまたはminhoursまたはhdaysまたはdweeksまたはwmonthsまたはm、およびyearsまたはyです。

ブート

整数を入力します。0は現在のブート、-1は直前のブート、1は最初のブート、2は2番目のブートなどを意味します。

ユニット

ログを表示するために使用するsystemdユニットを指定します。次のいずれかの形式を使用します。

  • _SYSTEMD_UNIT=NAME.service

  • COREDUMP_UNIT=NAME.service

  • UNIT=NAME.service

フリーフォーム検索

ログメッセージ内で検索する文字列を入力します。PERL-compatible regular expressionsも使用できます。または、FIELD=VALUEという形式のメッセージのログフィールドに従ってメッセージをフィルタできます。たとえば、「CODE_LINE=349」と入力すると、この値が含まれるログが表示されます。

6 Cockpitを使用したストレージの管理

 

ストレージページでは、ドライブ上のトラフィックの監視、システムの再パーティション、NFSマウントの管理、ストレージログの表示、およびRAIDまたは論理ボリューム管理の作成を行うことができます。

6.1 ディスク上のデータフローの監視

 

ストレージページのグラフには、デバイスに対する読み込みおよび書き込みデータフローが表示されます。グラフ内のデバイスごとに色が異なります。表示されるデータフローのピークにカーソルを合わせると、デバイス名を特定できます。

Cockpitストレージ
図 1: データフロービュー
 

6.2 ファイルシステムの管理

 

ファイルシステムビューでは、パーティションテーブルを作成したり、ファイルシステムをフォーマットまたはマウントしたりできます。マウントされたパーティションを名前またはマウントポイントに従ってソートできます。

6.2.1 Cockpitを使用したパーティションのフォーマット

 

パーティションをフォーマットするには、次の手順に従います。

手順 5: パーティションのフォーマット
 

  1. ストレージページに移動します。

  2. ファイルシステムビューで、フォーマットするパーティションをクリックします。

  3. 特定のパーティションの説明の横にあるフォーマットをクリックして、[フォーマット]ウィンドウを開きます。

  4. パーティションの固有の名前を入力します。

  5. マウントポイントで、パーティションをマウントするディレクトリを指定します。マウントポイントフィールドは必須であることに注意してください。

  6. タイプで、ファイルシステムのタイプを選択します。/パーティションではBtrfsが必須です。

  7. 必要に応じて、暗号化を設定します。

    [パスフレーズ]および[確認]

    暗号化されたパーティションのロックを解除するためのパスフレーズを入力します。

    パスフレーズの保存

    パスフレーズは、/etc/luks-keysに保存され、次回のブート時にパスフレーズの入力は求められません。

    暗号化オプション

    supported encrypted optionsで説明されているオプションのリストを渡すことができます。

  8. マウントオプションを選択します。カスタムのマウントオプションテキストフィールドに、オプションのコンマ区切りリストを入力できます。一般的なオプションについては、File system Independent Mount Optionsを参照してください。これらのオプションは、/etc/fstabファイルのoptionsの部分で使用されます。

6.2.2 Cockpitを使用したパーティションのマウント

 
注記
注記: パーティションのフォーマットが必要

パーティションまたはディスクをマウントしようとする前に、まずデバイスをフォーマットする必要があります。詳細については、手順5「パーティションのフォーマット」を参照してください。

パーティションをマウントするには、次の手順に従います。

  1. ストレージページに移動します。

  2. ファイルシステムビューで、マウントするデバイスをクリックします。

  3. マウントをクリックして、ファイルシステムをマウントしますウィンドウを開きます。

  4. マウントポイントを指定します。

  5. カスタムのマウントオプションテキストフィールドでマウントオプションを選択します。オプションのコンマ区切りリストを入力できます。一般的なオプションについては、File system Independent Mount Optionsを参照してください。これらのオプションは、/etc/fstabファイルのoptionsの部分で使用されます。

  6. どのブートステージでパーティションをマウントする必要があるかを選択します。

  7. マウントをクリックして続行します。

6.3 NFSマウントポイントの管理

 

ストレージページの下にあるNFSマウントビューで、NFSマウントを追加、編集、または削除できます。

6.3.1 NFSマウントポイントの追加

 

NFSマウントポイントを追加するには、次の手順に従います。

  1. ストレージページに移動します。

  2. 3本線メニューから新しいNFSマウントビューを選択します。

  3. 次の値を指定します。

    サーバアドレス

    NFSサーバのIPアドレスまたは名前を指定します。

    サーバのパス

    NFSサーバ上で利用可能な、マウントできるパスを選択します。

    ローカルマウントポイント

    パスをマウントする、ローカルシステム上のディレクトリを指定します。

    マウントオプション

    いずれかのオプションをオンにします。

    • 起動時にマウント - システムが起動または再起動するたびにパスを自動的にマウントします。

    • 読み取り専用でマウント - NFSパス上のデータに変更を加えることができなくなります。

    • カスタムのマウントオプション - mountコマンドオプションのコンマ区切りリストです。

6.3.2 既存のNFSマウントポイントの編集

 

NFSマウントを編集するには、次の手順に従います。

  1. ストレージページに移動します。

  2. NFSマウントビューで、特定のNFSマウントをクリックします。

  3. 次の画面で、編集をクリックし、NFS mount detailsに記載されている詳細を指定します。

6.4 Cockpitを使用したRAIDの管理

 

Cockpitを使用して、さまざまなレベルのソフトウェアRAIDを作成または変更できます。

6.4.1 Cockpitを使用したRAIDの作成

 
注記
注記: 十分な数のディスク

RAIDレベルに応じて十分な数のディスクが利用可能であることを確認してください。

ソフトウェアRAIDを作成するには、次の手順に従います。

手順 6: RAIDの作成
 

  1. ストレージページに移動します。

  2. デバイスビューの3本線メニューからRAID デバイスの作成を選択します。

  3. RAIDの次のパラメータを入力します。

    名前

    RAIDの固有の名前を入力します。

    RAIDレベル

    いずれかのRAIDレベルを選択します。RAIDレベルの詳細については、RAID levelsを参照してください。

    チャンクサイズ

    KB単位のチャンクのサイズ。チャンクとは、1回の読み込み/書き込み操作中にアレイ内の各データディスクに対して読み込まれるか書き込まれるデータの最小量です。

    ディスク

    RAIDに含めるディスクを選択します。必要なディスク数は、選択したRAIDレベルによって異なります。

  4. 作成をクリックして、パラメータを確認します。これにより、RAIDがDevices (デバイス)部分に表示されます。

6.4.2 RAIDの変更

 

Cockpitのストレージプラグインを使用して、RAIDを停止または削除できます。ここでアレイからディスクを削除したり、アレイにディスクを追加したりすることもできます。

既存のRAIDを変更するには、次の手順に従います。

  1. ストレージページに移動します。

  2. デバイスでRAIDをクリックし、RAIDの詳細ビューを開きます。

  3. 詳細ビューでは、RAIDの停止または削除、ディスクの追加または削除、およびデバイスのフォーマットを行うことができます。

    特定のRAIDレベルでは、ディスクが一時的に切断された後に変更のみを同期できるBitmap (ビットマップ)オプションをオンにすることができます。Bitmap (ビットマップ)がオフの場合は、ディスク上のすべてのデータが同期されます。

注記
注記: ディスクの削除または追加

アレイのディスク数を変更すると、再同期が実行されます。これには多少時間がかかる場合があります。各RAIDレベルでは最小限の数のディスクが必要であるため、特定のRAIDレベルで必要なディスクをCockpitで削除することはできないことに注意してください。

6.5 ボリュームグループと論理ボリューム管理の管理

 

6.5.1 ボリュームグループの作成

 

ディスクのボリュームグループを作成するには、次の手順に従います。

  1. ストレージをクリックします。

  2. デバイスの3本線メニューで、LVM2 ボリュームグループの作成を選択します。

  3. ボリュームグループ名を入力します。

  4. ボリュームグループに参加させるディスクを選択します。

  5. 作成でデータを確認します。ボリュームグループがDevices (デバイス)ビューに表示されます。

6.5.2 論理ブロックボリュームの作成

 

ボリュームグループがある場合は、そこから論理ブロックボリュームを作成できます。次の手順に従います。

  1. ストレージページに移動します。

  2. デバイスで、使用するボリュームグループをクリックします。

  3. 論理ボリュームの新規作成をクリックします。

  4. 論理ボリューム名を指定します。ブロックデバイスを選択し、使用するサイズを選択します。

  5. ファイルシステム用ブロックデバイスを選択します。

  6. 使用するサイズを選択します。

  7. 作成をクリックして、詳細を確認します。

  8. フォーマットをクリックし、ステップ 4の説明に従って詳細を入力して、ブロックボリュームをフォーマットします。

6.5.3 シン論理ボリュームの作成

 

ボリュームグループがある場合は、以下の説明に従ってシン論理ボリュームを作成できます。

手順 7: シン論理ボリュームの作成
 

  1. ストレージページに移動します。

  2. デバイスでボリュームグループをクリックします。

  3. ボリュームグループの詳細で、論理ボリュームの新規作成をクリックします。

  4. 論理ボリューム名を指定します。

  5. シンプロビジョニングされたボリュームのプールを選択します。

  6. 使用するサイズを選択します。

  7. 作成をクリックして、詳細を確認します。

  8. シンボリュームの作成をクリックして、シンボリュームを作成します。

  9. 固有の名前を入力します。

  10. ボリュームのサイズを選択します。

  11. 作成をクリックして、シンボリュームを確認します。

  12. 再度シンボリュームの作成をクリックして上記の手順を繰り返すことで、特定のボリュームグループの複数のボリュームを作成できます。

  13. フォーマットをクリックし、ステップ 4の説明に従って詳細を入力して、ボリュームをフォーマットします。

6.5.4 論理ボリュームの管理

 

既存の論理ボリュームで管理タスクを実行するには、次の手順に従います。

  1. ストレージページに移動します。

  2. ファイルシステムビューで、論理ボリュームをクリックします。

  3. ここで、既存の論理ボリュームに対して次の操作を実行できます。

    Deactivate/Activate (解除/有効化)

    縦3点リーダメニューで、非アクティブ化または有効化を選択します。

    マウント

    マウントをクリックしてマウントポイントとオプションを入力すると、ボリュームがマウントされます。

    縮小/増加

    [縮小]/[増加]機能は、すべてのファイルシステムで利用できるわけではないことに注意してください。

    ボリュームに関する展開された詳細で、縮小または増加をクリックします。

    削除

    縦3点リーダメニューで、削除を選択します。

7 Cockpitを使用したネットワーキングの管理

 

ネットワーキングをクリックすると、システム上のトラフィックの表示、ファイアウォールの管理、ネットワークインタフェースの管理、ネットワークログの表示を行うことができます。

7.1 ファイアウォールルールとゾーンの管理

 

Cockpitでは、新しいゾーンの作成や既存のゾーンの更新を行うことができます。ファイアウォールの設定で、ゾーンにサービスを追加したり、ポートへのアクセスを許可したりできます。

注記
注記: Cockpitサービスは必須

Cockpitサービスをデフォルトのファイアウォールゾーンから削除しないでください。Cockpitサービスがブロックされ、サーバから切断される可能性があります。

7.1.1 ファイアウォールゾーンの追加

 

public zone (パブリックゾーン)はデフォルトのファイアウォールゾーンです。新しいゾーンを追加するには、次の手順に従います。

手順 8: 新しいファイアウォールゾーンの追加
 

  1. ネットワーキングページに移動します。

  2. ルールとゾーンを編集するをクリックします。

  3. ゾーンの追加をクリックします。

  4. 信頼レベルを選択します。ネットワーク接続の各信頼レベルには、付属するサービスの事前定義済みのセットがあります(Cockpitサービスはすべての信頼レベルに付属します)。

  5. ゾーン内で許可するアドレスを定義します。次のいずれかの値を選択します。

    • サブネット全体 - サブネット内のすべてのアドレスを許可します。

    • 範囲 - IPアドレスとルーティングプレフィクスのコンマ区切りリスト。たとえば、192.0.2.0/24, 2001:db8::/32です。

  6. ゾーンの追加を選択して続行します。

7.1.2 ゾーンへの許可するサービスとポートの追加

 

次に説明するように、既存のファイアウォールゾーンにサービスを追加できます。

手順 9: ファイアウォールゾーンへのサービスの追加
 

  1. ネットワーキングページに移動します。

  2. ルールとゾーンを編集するをクリックします。

  3. サービスの追加をクリックします。

  4. サービスを追加するには、サービスをオンにして、リストからサービスを選択します。

  5. カスタムポートを許可するには、カスタムポートをオンにして、UDPまたはTCP、あるいはその両方のポート値を指定します。このポートに識別子を割り当てることができます。

  6. 変更を確認するには、サービスの追加またはポートの追加をそれぞれクリックします。

7.2 ネットワークボンドについて

 

ボンドインタフェースとは、複数のネットワークインタフェースを1つのボンドに組み合わせたものです。モード(後述)によっては、ネットワークボンディングを使用してネットワークのスループットと帯域幅を増やし、パフォーマンスを向上させることができます。さらに、ボンディングしたインタフェースの一部が機能しなくなっても全体的な接続性が維持され、耐障害性も向上させることができます。

7.2.1 ボンドの管理

 
7.2.1.1 ボンドの追加
 

ボンドを追加するには、次の手順に従います。

  1. ネットワーキングページに移動します。

  2. ボンディングの追加をクリックします。

  3. ボンドインタフェースの次のパラメータを指定します。

    名前

    インタフェースの固有の名前を入力します。

    インタフェース

    ボンドでグループ化するネットワークインタフェースを選択します。

    MAC

    基礎となるインタフェースの特定のMACアドレスを選択するか、または次のオプションのいずれかを使用することができます。

    永続

    デバイスにMACアドレスがある場合は、永続的なハードウェアアドレスを使用します。

    保存

    ボンドを有効化する際にMACアドレスを変更しません。

    ランダム

    接続を試行するたびにランダムなMACアドレスを作成します。

    安定

    ハッシュされたMACアドレスを作成します。

    モード

    デフォルトのモードを維持するか、次のいずれかのモードを選択します。

    ラウンドロビン

    利用可能な最初のインタフェースから最後のインタフェースにパケットを転送します。このモードは耐障害性と負荷分散を提供します。

    アクティブなバックアップ

    ボンディング内の1つのインタフェースのみがアクティブになります。アクティブなインタフェースに障害が発生すると、バックアップが有効になります。

    XOR

    送信ハッシュポリシーを使用した負荷分散。デフォルトはデバイス数のモジュロです。別のポリシーを選択するには、オプションフィールドで[xmit_hash_policy]オプションを指定します。

    ブロードキャスト

    すべての情報がすべてのインタフェースで送信されます。

    適応送信のロードバランス

    特別なスイッチのサポートを必要としないチャネルボンディング。発信トラフィックは、各インタフェースの現在の負荷に従って分散されます。

    適応ロードバランス

    アダプティブ送信負荷分散と受信負荷分散が含まれ、特別なスイッチのサポートは必要ありません。

    プライマリ

    これは、アクティブなバックアップモードでのみ選択できます。プライマリとして使用する特定のインタフェースを選択し、ボンド内の他のインタフェースはセカンダリとして使用できます。

    リンクのモニタリング

    リンクの監視のタイプを選択します。

    監視間隔

    特定のリンクモニタがチェックを実行する間隔を指定します。値はミリ秒単位です。

    リンクアップの遅延

    リンクが有効になってからボンドが無効になるまでの時間をミリ秒単位で定義します。値は監視間隔の値の倍数である必要があります。そうでない場合、最も近い値に丸められます。MIIリンクモニタでのみ利用可能です。

    リンクダウンの遅延

    リンクの障害が検出された場合にボンドが無効になる時間をミリ秒単位で定義します。値は監視間隔の値の倍数である必要があります。そうでない場合、最も近い値に丸められます。MIIリンクモニタでのみ利用可能です。

    ターゲットの監視

    監視するホストIPアドレスのリストを指定します。ARPリンクモニタでのみ利用可能です。

  4. Apply (適用)で続行します。

7.2.1.2 ボンドの変更
 

ボンドを変更するには、次の手順に従います。

  1. ネットワーキングページに移動します。

  2. 特定のボンド名をクリックして、詳細を開きます。

  3. ボンドの次のパラメータを変更できます。

    ボンディング

    リストからMACアドレスを選択します。

    自動的に接続

    ボンドはデフォルトで自動的に接続されます。自動接続を無効にするには、このボックスのチェックを外します。

    IPv4およびIPv6

    編集をクリックすると、IPアドレスを設定して、特定のDNS、DNS検索ドメイン、およびルートを設定できます。

    MTU

    編集をクリックすると、最大送信単位の特定の値をバイト単位で指定できます。

    ボンディング

    編集をクリックすると、ボンドインタフェース作成時と同じパラメータを編集できます。

7.3 ネットワークブリッジの管理

 

ネットワークブリッジは、複数のネットワークから単一の集約ネットワークを作成するデバイスです。

7.3.1 ネットワークブリッジの作成

 

ネットワークブリッジを作成するには、次の手順に従います。

  1. ネットワーキングページに移動します。

  2. インターフェースビューでブリッジの追加をクリックします。

  3. 次の項目を指定します。

    名前

    ブリッジの固有の名前を入力します。

    ポート

    ブリッジに含めるインタフェースを選択します。

    スパニングツリープロトコル(STP)

    STPはEthernetネットワークで使用されるネットワークプロトコルです。ネットワークスイッチが複数のリンクで接続されている場合は常に優先リンクを設定し、ブリッジループを防止します。この優先リンクは、障害が発生しない限り、すべてのEthernetトラフィックに使用されます。障害が発生した場合は、代わりに冗長リンクが使用されます。STPに関する詳細については、STPを参照してください。

    STPプロトコルを有効にした場合は、次の設定を編集できます。

    STP 優先度

    優先度が低いほど、そのスイッチがルートスイッチになる確率が高くなります。

    STP フォワード遅延

    リスンおよび学習状態で費やす時間(秒単位)を指定します。デフォルト値は15秒ですが、4~30秒の任意の値を使用できます。

    STP Hello タイム

    ポート上で送信される各ブリッジプロトコルデータユニット(BDPU)の間隔を秒単位で指定します。デフォルト値は2秒ですが、推奨される範囲は1~10秒です。

    STP メッセージ最大期間

    ブリッジポートがその設定BPDU情報を保存するまでの最大経過時間を指定します。

7.3.2 既存のブリッジの変更または削除

 

ブリッジを変更または削除するには、次の手順に従います。

  1. ネットワーキングページに移動します。

  2. インターフェースビューで、ブリッジ名をクリックして詳細を開きます。

  3. 削除をクリックしてブリッジを削除するか、次のいずれかの詳細を変更してブリッジを変更できます。

    全般

    ブリッジはデフォルトで自動的に接続されます。自動接続を無効にするには、このオプションをオフにします。

    IPv4およびIPv6

    編集をクリックすると、IPアドレスを設定して、特定のDNS、DNS検索ドメイン、およびルートを設定できます。

    ブリッジ

    編集をクリックして、ブリッジのすべてのパラメータを編集できます。

7.4 Cockpitを使用したVLANの管理

 

仮想ローカルエリアネットワークは、別の物理LANのデバイスをグループ化する論理サブネットワークです。

7.4.1 仮想ローカルエリアネットワークの作成

 

VLANを追加するには、次の手順に従います。

  1. ネットワーキングページに移動します。

  2. インターフェースビューでVLAN の追加をクリックします。

  3. VLANの詳細を入力します。

    親ネットワークインタフェースを選択します。

    VLAN ID

    1~4094の範囲のIDを指定します。

    名前

    VLANの名前を入力します。

7.4.2 既存のVLANの変更または削除

 

既存のVLANを変更または削除するには、次の手順に従います。

  1. ネットワーキングページに移動します。

  2. インターフェースビューでVLANの名前をクリックします。

  3. 削除をクリックしてVLANを削除するか、VLANの詳細を変更します。

    親ネットワークインタフェースを選択します。

    VLAN ID

    1~4094の範囲のIDを指定します。

    名前

    VLANの名前を入力します。

8 コンテナの操作

 

Cockpitの初回ログイン後に、Podmanを起動する必要があります。デフォルトのチェックボックスをオンにしたままにしておくと、ブートするたびにPodmanが自動的に起動します。

Podman コンテナーページでは、レジストリからイメージをプルしたり、コンテナを管理したりできます。フィルタフィールドにフィルタ条件を入力して、ビューをフィルタすることもできます。

8.1 コンテナイメージの管理

 
注記
注記: openSUSEレジストリとDocker Hubはデフォルトでは有効になっていない

openSUSEレジストリとDocker Hubはデフォルトのインストールでは設定されません。これらのレジストリからコンテナイメージをダウンロードするには、次のように/etc/containers/registries.confファイルにレジストリを追加する必要があります。 

unqualified-search-registries = ["registry.suse.com", "registry.opensuse.org", "docker.io"]

イメージビューでは、すでにプルされたイメージを、ダウンロード、更新、または削除できます。各機能は縦3点リーダメニューで利用できます。メニューをクリックすると、次のオプションが表示されます。

  • 新しいイメージのダウンロード: イメージのダウンロードの進め方は、手順10「新しいイメージのダウンロード」で説明しています。

  • すべてのイメージのプル: Cockpitは、すでにダウンロードしたコンテナイメージの新しいバージョンをプルします。

  • 未使用のイメージをすべて削除: どのコンテナでも使用されていないイメージはすべて削除されます。

手順 10: 新しいイメージのダウンロード
 

  1. Podman コンテナー › イメージビューで、縦3点リーダメニューを開き、新しいイメージのダウンロードを選択します。

  2. 所有者を選択し、ダウンロードしたイメージを表示できるユーザを定義します。システムでは、イメージの表示が管理アクセスを持つユーザに制限されます。ユーザーの所有者でダウンロードしたイメージは、通常のユーザだけでなく、管理アクセスを持つ他のすべてのユーザにも表示されます。

  3. 優先イメージレジストリを選択するか、All registriesで続行します。

  4. タグを定義します。デフォルト値はlatestです。

  5. 検索フィールドにイメージ名と説明を入力し、検索を開始します。

    入力した名前、レジストリ、およびタグに従って、可能性のあるイメージが提案されます。

  6. 目的のイメージを選択して、ダウンロードをクリックします。

8.2 Cockpitを使用したコンテナの管理

 

8.2.1 イメージからの新しいコンテナの実行

 
注記
注記: コンテナの実行に必要なイメージ

コンテナを実行するにはコンテナイメージが必要です。イメージは、PodmanまたはCockpitを使用してプルできます。Cockpitを使用する場合は、手順10「新しいイメージのダウンロード」で説明するように事前にイメージをプルするか、または以下で説明するようにコンテナーの作成フォームから直接イメージをプルすることができます。Podmanを使用する場合は、Podman guideを参照してください。

新しいコンテナを実行するには、次の手順に従います。

  1. Podman コンテナーページに移動します。

  2. 事前にイメージをプルした場合:

    1. イメージビューで、イメージの表示をクリックします。

    2. 使用するイメージの横にあるコンテナーの作成をクリックします。

  3. イメージがない場合は、コンテナビューでコンテナーの作成をクリックします

  4. コンテナーの作成ウィンドウで、次の説明に従ってコンテナの詳細を入力します。一部のオプションは、システム管理者のみが利用できることに注意してください。

    詳細タブで、次の詳細を入力します。

    所有者

    sudo特権を持つユーザにのみコンテナを表示するかどうかを選択するには、システムを選択します。ユーザでは、特権ユーザと通常のユーザにコンテナを表示するように定義されます。

    名前

    コンテナに固有の名前を指定します。

    イメージ

    このフィールドは、イメージがない場合に有効になります。イメージ名の入力を開始すると、Cockpitは設定されたレジストリ内のイメージの提案を行います。

    最新イメージのプル

    このチェックボックスは、ダウンロード済みのイメージからコンテナを作成している場合に使用できます。選択すると、コンテナが起動する前に最新のイメージバージョンがプルされます。

    コマンド

    コンテナで実行するコマンドを指定できます。

    端末の使用

    このオプションは、端末を使用してコンテナにアクセスできる場合に選択します。選択しない場合、コンテナは切断された状態になります。

    メモリー制限

    このボックスをオンにして制限を指定すると、コンテナの最大メモリ消費量を制限できます。

    CPU 共有

    CPU時間を使用するためのコンテナの重みを指定します。デフォルトの重みは1024です。この重みは、コンテナの負荷が高い場合にのみ適用されます。あるコンテナ内のタスクがアイドル状態の場合、そのコンテナのCPU時間を他のコンテナで使用できます。

    コンテナが4つあり、2つのCPU共有が512で、その他2つのCPU共有が1024であるとします。したがって、高負荷時には、CPU共有の低いコンテナは16.5%のCPU時間しか得られないのに対し、CPU共有が1024のコンテナは33%のCPU時間が得られます。

    再起動ポリシー

    コンテナの終了後にコンテナを再起動するタイミングを指定します。

    インテグレーションタブで、次のパラメータを入力できます。

    ポートマッピング

    ポートマッピングの追加ボタンをクリックしてから、ホストIPアドレス、コンテナポートをマップするホストポート、コンテナポートを指定し、プロトコルを選択します。ホストIPアドレスを設定しないか、値を0.0.0.0に設定すると、ポートは「すべて」のホストIPアドレスにバインドされます。ホストポートを省略すると、ランダムなポートがマッピングに使用されます。

    ボリューム

    このフィールドは、コンテナ内のパスをホストマシン上のパスにマップします。ホストパス、コンテナパスを入力し、SELinuxラベルを選択します。

    SELinuxラベルのプライベートを選択すると、特定のコンテナからのみ、そのボリュームにアクセスできるように定義されます。共有ラベルは、すべてのコンテナがボリュームにアクセスできることを意味します。

    環境変数

    コンテナ内の環境変数を定義するには、変数の追加をクリックして、キーに入力します。行を追加して、複数の変数を入力できます。

    ヘルスチェックタブで、コマンドをトリガしてコンテナのステータスをチェックする期間を設定できます。次のパラメータを入力します。

    コマンド

    コンテナのステータスをチェックするためにトリガするコマンドを指定します。

    間隔

    チェックの間隔を秒単位で指定します。

    タイムアウト

    間隔を失敗と見なすまでの最大時間を秒単位で指定します。

    開始期間

    コンテナの起動後にヘルスチェックを実行しない間隔。

    再試行回数

    ステータスを「異常」と見なすまでに何回チェックを実行できるかを指定します。

    異常な場合

    コンテナが「異常」と見なされた後に実行するアクションを選択します。

  5. コンテナを作成するには、作成または作成して実行するをクリックして、コンテナを作成して起動します。

8.2.2 実行中のコンテナでの他のアクション

 

縦3点リーダメニューで、次のアクションを実行できます。

  • コンテナの削除。

  • コンテナの一時停止。

  • コンテナに対して実行した変更のコミット(コンテナへのパッケージのインストールなど)。

  • コンテナのチェックポイント - コンテナの状態をディスクに書き込み、コンテナを停止する。

  • コンテナの再起動。通常の再起動ではコンテナ内で実行中のプロセスが停止されます。再起動の強制ではプロセスが強制終了され、データが失われる可能性があります。

  • コンテナの停止。通常の停止停止の強制、またはチェックポイントのいずれかを使用します。チェックポイントを使用すると、コンテナ内のすべてのプロセスの状態がディスクに書き込まれ、次回起動後に、コンテナが停止前の同じポイントに復元されます。

コンテナの詳細を展開すると、コンソールタブでコンテナの端末にアクセスし、他のタブでその情報を表示できます。

8.3 ポッドの管理

 

8.3.1 ポッドの作成

 

Cockpitでポッドを作成し、そのポッドの中にコンテナを作成できます。ポッドを作成するには、次の手順に従います。

  1. Podman コンテナーページに移動します。

  2. Pod の作成をクリックします。

  3. ポッドの詳細を入力します。

    名前

    ポッドの固有の名前を入力します。

    所有者

    ポッドをroot特権でのみ表示するか、通常のユーザにも表示するかを指定します。

    ポートマッピング

    ポートマッピングの追加をクリックすると、ポッドポートをホストポートにマップできます。コンテナポートを指定し、目的のホストポートとIPアドレスを割り当てます。ホストIPアドレスを設定しないか、0.0.0.0に設定すると、ポートはすべてのホストIPアドレスにバインドされます。ホストポート番号を省略すると、ランダムなポート番号がマッピングに割り当てられます。

    ボリューム

    ボリュームの追加をクリックすると、ホスト上のディレクトリをコンテナのボリュームにマップできます。ホストパスを選択し、コンテナ内のパスを入力して、SELinuxラベルを選択します。

  4. 作成をクリックして、ポッドの作成を確認します。

8.3.2 ポッド内でのコンテナの作成

 
重要
重要: 既存のコンテナはポッドに追加できない

計画の際には、ポッド内で実行できるのは新しいコンテナだけであることに注意してください。ポッドで実行されていない作成済みのコンテナをポッドに追加することはできません。

ポッド内にコンテナを作成するには、次の手順に従います。

  1. Podman コンテナーページに移動します。

  2. 目的のポートグループで、Pod でのコンテナーの作成をクリックします。

  3. 8.2.1項 「イメージからの新しいコンテナの実行」の説明に従ってコンテナの詳細を入力します。新しいコンテナの所有者はその特定のポッドの所有者と同じになることに注意してください。

9 Cockpitを使用したユーザ管理

 
注記
注記: ユーザ管理はサーバ管理者専用

管理アクセスを持つユーザのみが他のユーザを編集できます。

Cockpitのアカウント画面を使用して、次のタスクを実行できます。

9.1 既存のユーザアカウントの変更

 

ユーザアカウントを変更するには、次の手順に従います。

  1. アカウントページに移動します。

  2. 変更したいアカウントをクリックします。

  3. ユーザの詳細ビューで、次のアクションを実行できます。

    ユーザの削除

    削除をクリックして、システムからユーザを削除します。

    ユーザのセッションの終了

    セッションの終了をクリックすることで、特定のユーザをシステムからログアウトできます。

    アカウントへのアクセスの管理

    アカウントが失効する日付を設定できます。デフォルトでは失効しません。

    ユーザがパスワードを使用してログインできないようにすることができます。その場合、ユーザは別の認証方法を使用する必要があります。

    ユーザのパスワードの管理

    パスワードの設定をクリックして、アカウントの新しいパスワードを設定します。

    変更の強制をクリックすると、ユーザは次回ログイン時にパスワードの変更が必要になります。

    編集をクリックして、パスワードを失効させるかどうか、またはパスワードの有効期限を設定します。

    SSHキーの追加

    SSHを介してパスワードレス認証を行うためのSSHキーを追加できます。キーの追加をクリックして、SSH公開鍵の内容を貼り付けて、追加をクリックして確認します。

9.2 Cockpitを使用したユーザアカウントの作成

 

Cockpitを使用して、実行中のシステムにユーザを追加し、システム管理者特権をアカウントに割り当てることができます。

新しいユーザをシステムに追加するには、次の手順に従います。

  1. アカウントページに移動します。

  2. アカウントの新規作成をクリックして、新しいユーザを追加できるウィンドウを開きます。

  3. ユーザアカウントの詳細を入力します。ホームディレクトリードロップダウンメニューで、ユーザに別のホームディレクトリを割り当てることができます。ディレクトリを指定しない場合、標準の/home/USERNAMEパスが使用されます。

    パスワード認証を禁止するを選択した場合、ユーザはパスワードを入力する以外の認証方法(SSHログインなど)を使用する必要があります。

  4. 作成をクリックして、アカウントを確認します。

  5. SSHキーをアカウントに追加するには、9.1項 「既存のユーザアカウントの変更」の説明に従ってアカウントを変更する必要があります。

9.3 ユーザグループの作成

 

このトピックでは、ユーザグループの作成について説明します。

ユーザグループを作成するには、次の手順に従います。

  1. アカウントページに移動します。

  2. グループの新規作成をクリックします。

  3. グループの固有の名前を入力して指定するか、デフォルトの名前のままにします。

    注記
    注記

    既存のグループIDは上書きできません。1000未満のグループIDは通常、システムアカウントやサービスなどのために予約されています。1000未満のIDでグループを作成した場合、後でCockpitを使用してそのグループを削除することはできません。

10 Cockpitを使用したサービスの管理

 

以下のセクションでは、サービス、ターゲット、ソケット、タイマ、またはパスを起動、停止、および再起動する方法について説明します。

10.1 systemdユニットの管理

 

systemdユニットを管理するには、次の手順に従います。

  1. サービスページをクリックします。

  2. 適切なタブ(System services (システムサービス)ターゲットソケットタイマー、またはパス)を選択します。

  3. 管理したいユニットをクリックします。

  4. ユニットの詳細で、他のsystemdユニットとの関係やユニットのステータスを表示したり、3点リーダメニューにある次のアクションを実行したりできます。

    • 起動 - ユニットが実行されていない場合。

    • 再起動 - 実行中のユニットが対象。

    • 停止 - 実行中のユニットが対象。

    • 実行を禁止 - すべての依存関係を含む、サービスを完全に停止します。依存サービスは他のユニットで使用されている可能性があります。そのため、ユニットを禁止すると、システムに深刻な問題が発生する可能性があることに注意してください。

10.2 新しいタイマの作成

 

systemdタイマは繰り返しタスクを自動化するのに役立ちます。systemdタイマは、systemdサービスのトリガとイベントの処理を制御できます。

注記
注記: 既存のタイマの無効化

systemdタイマのデフォルトセットは、/usr/lib/systemdに保存されています。すでに存在する名前でタイマを作成した場合、デフォルトのユニットファイルは上書きされませんが、新しいユニットファイルが/etc/systemd/system/に作成され、こちらがデフォルトのユニットファイルよりも優先されます。デフォルトのタイマに戻すには、/etc/systemd/system/にあるタイマユニットファイルを削除します。

/etc/systemd/system/ディレクトリにすでに存在するタイマを作成しようとすると、ユニットファイルが上書きされ、以前に行った変更が失われます。

Cockpitを使用してsystemdタイマを作成するには、次の手順に従います。

  1. サービスに移動します。

  2. タイマータブで、タイマーの作成をクリックします。

  3. 次の詳細を入力します。

    名前

    タイマの名前。ユニット名およびサービスユニット名にも使用されます。たとえば、「example」という名前を指定すると、ユニットファイル/etc/systemd/system/example.timer/etc/systemd/system/example.serviceが作成されます。

    説明

    タイマの簡単な説明を入力できます。

    コマンド

    タイマがトリガされたときに呼び出されるコマンド。

    トリガ

    マシンを再起動するたびに、または特定の時間にタイマをトリガできます。システムブート後オプションでは、サービスを呼び出すまでの遅延を定義できます。特定の時間オプションでは、サービスを呼び出す時間を指定します。

11 SELinuxモードとポリシー

 

SELinuxツールを使用すると、SELinuxのモードを切り替えたり、SELinuxポリシーの現在の変更内容を表示したりできます。

重要
重要: SELinuxモジュールが見つからない場合

SELinux Cockpitモジュールは、システムでSELinuxが有効になっている場合にのみ表示されます。モジュールにアクセスできない場合は、SELinuxが無効になっている可能性があります。SELinuxが有効になっていることを確認するには、次のコマンドを実行します。 

> sestatus

SUSE Linux Microでは、SELinuxはデフォルトで強制モードになっています。一時的に許容モードに切り替えるには、Enforcingというラベルが付いたボタンをクリックします。この変更は次回のブートまでしか持続しないことに注意してください。モードを永続的に変更する必要がある場合は、設定ファイル/etc/selinux/configを編集します。詳細については、security guideを参照してください。

システム変更には、デフォルトのSELinuxポリシーに対して実行された変更すべてが一覧にされます。変更をエクスポートして別のサーバで再利用する場合は、オートメーションスクリプトの表示をクリックします。新しいウィンドウで、他のサーバに適用可能なシェルスクリプトやAnsible設定ファイルをコピーできます。

11.1 SELinuxのアクセスに関する問題の解決

 

SELinuxページで、監査ログからアクセス拒否メッセージを表示できます。さらに、Cockpitはアクセス拒否を解決可能な方法を提供します。そのためには、次の手順に従います。

  1. SELinuxページに移動します。

  2. SELinux アクセス制御エラーで、アクセス拒否に関する詳細を展開します。

  3. 監査ログレコードを表示するには、監査ログをクリックします。

  4. 考えられる解決策を表示するには、ソリューションをクリックします。一部のソリューションは、このソリューションの適用をクリックすることで、Cockpit経由で直接適用できます。

12 更新とスナップショット

 

Cockpitを使用して新しいシステム更新を検索し、Webインタフェースから直接適用できます。さらに、以前のスナップショットにロールバックすることもできます。

重要
重要: システムを登録しないとシステム更新は利用できない

システムが登録されていないと、更新が利用できず、更新のチェックに失敗します。したがって、利用可能な更新を表示するには、システムを登録してください。

注記
注記: スナップショットと更新の管理はシステム管理者専用

システムの更新や別のスナップショットへのロールバックを実行できるのは、Server administrator (サーバ管理者)役割を持つユーザだけです。

CockpitでSUSE Linux Microインスタンスを更新したり、Software Updatesメニューからロールバックを実行したりできます。

12.1 Cockpitを使用したSUSE Linux Microの更新

 

システムを更新するには、次の手順に従います。

  1. ソフトウェア更新ページに移動します。

  2. 更新の確認をクリックすると、システムで利用可能な新しいパッケージの更新とパッチのリストが取得されます。重要というマークが付いたパッチはできるだけ早くインストールすることをお勧めします。

  3. これでシステムを更新できます。すぐに再起動することも、再起動を延期することもできます。

    1. 更新して再起動をクリックして、パッチと更新を適用します。更新が完了すると、システムが再起動し、新しいスナップショットでブートします。

    2. 更新後に再起動を延期するには、再起動せずに更新を選択します。更新を含むスナップショットを有効にするには、システムを再起動する必要があることに注意してください。事前にシステムを再起動せずにさらに変更を加えた場合、新しいスナップショットは、更新を含むスナップショットと同じポイントから作成されます。したがって、新しいスナップショットに更新は含まれません。

12.2 ロールバックの実行

 

システムのロールバックを実行するには、次の手順に従います。

  1. ソフトウェア更新ページに移動します。

  2. ロールバックを実行するスナップショットの横にある3点リーダメニューでロールバックして再起動または再起動せずにロールバックをクリックします。

システムの再起動後、ロールバック先のスナップショットがアクティブとして設定されます。ロールバック先のスナップショットがアクティブになっていないため、システムを再起動する前に変更(更新やパッケージのインストールなど)を行わないでください。システムの再起動前に行った変更は、現在アクティブなスナップショットから開始されます。