Red Hat Satellite 6 ご紹介 › cms › managed-files › RedHat...3 Red Hat...
Transcript of Red Hat Satellite 6 ご紹介 › cms › managed-files › RedHat...3 Red Hat...
Red Hat Satellite 6 ご紹介Kazuo Moriwaka
Solution Architect, Red Hat K.K. 2017-10-04
2
Agenda
● Red Hat Satellite とは?– 何ができるの?
● Red Hat Satelliteの中身は?– ソフトウェアおよび設定のリポジトリ– 設定管理– プロビジョニング– コンテンツ管理– ライフサイクル管理– サブスクリプション管理
3
Red Hat Satelliteって何ですか?● RHELのライフサイクルを一括管理するシステムです
– パッケージの配布・適用– 構成情報の収集– 設定の配備– etc.
物理サーバ仮想マシン
ハイエンドサーバデスクトップアップデート情報
最新パッケージ
パッケージ &設定
構成情報収集
Web UIで操作
4
Satelliteで出来ること(1)
「大きな脆弱性が新聞にも載ってたけど、うちのサーバは大丈夫?」えーと、Heartbleed
(CVE-2014-0160)対策がまだ済んでないサーバは..と..
RHSA-2014:0376Hosts RHEL-sv001
sv00abc-001sv20xx-003... こいつらです
→ 特定の脆弱性に該当するサーバを瞬時にピックアップ!
5
dbsv001-05Errata
Host
Satelliteで出来ること(2)
「私んとこのサーバで、当ててない修正ってどんなの?」えーと、
あの部署のサーバの状況は...とRHSA-2015:0794
RHBA-2015:0772RHEA-2015:0717RHSA-2015:0674... これだけ
あります
→ 特定のサーバで未適用の修正を一覧表示
6
Satelliteで出来ること(3)
「アップデートファイルのダウンロードが遅いんですけどー」
アップデート情報最新パッケージ
Capsule Server
→ Satelliteが全てのアップデートパッケージを一括ダウンロード拠点ごとにプロキシ(Capsule)を配置することも可能
7
Satelliteで出来ること(4)
「今晩、うちのサーバ全台アップデートしといてね」
グループZ
グループX
グループXへRHSA-2015:0074即時適用
グループZへRHBA-2014:2018適用(夜間バッチ)
管理端末
管理端末
→ リモートからのアップデート指示が可能 サーバをグループ化して、一括指示OK
8
Satelliteで出来ること(5)
「このパッチ当てても大丈夫?」
検証環境向けリリース(QA)
本番環境向けリリース(Prod)
ver 1.0- 2015-04-01時点の 最新パッケージ
ver 2.0- 2015-04-01時点の 最新パッケージ- kernelは5/1時点の 最新のものを利用
ver 3.0- 2015-04-01時点の 最新パッケージ- kernelは5/1時点の 最新のものを利用- VENOM対応追加
編集用ライブラリ
ver 2.0- 2015-04-01時点の 最新パッケージ- kernelは5/1時点の 最新のものを利用
ver 3.0- 2015-04-01時点の 最新パッケージ- kernelは5/1時点の 最新のものを利用- VENOM対応追加
ver 3.0- 2015-04-01時点の 最新パッケージ- kernelは5/1時点の 最新のものを利用- VENOM対応追加
検証サーバ
本番サーバ
PublishNew Ver.
PublishNew Ver.
Promote Promote
Promote
アップデート適用
アップデート適用
開発サーバ
アップデート適用
→ パッケージレポジトリ(コンテンツビュー)のバージョン管理で、 アップデート検証〜本番適用のワークフローが明確に
NG!NG! OK!OK!
NG!NG!
OK!OK!
OK!OK!
太 鼓
判
9
Satelliteで出来ること(6)
「セキュリティ監査やっといて」
SCAP XCCDF形式のセキュリティポリシー
定期的なセキュリティ
監査
→ OpenSCAPによるセキュリティ監査を自動実行&集計
10
他にも嬉しいことたくさん..● インストールサーバにして、ネットワーク経由で自動インストール● Puppetマスターにして、自動プロビジョニング&構成管理
– Satelliteのグループ管理との連携● サブスクリプションの割当管理によるコンプライアンス遵守● 部門別に権限移譲して、システム管理操作の柔軟な運用● Satellite導入で、管理者一人あたりのサーバ数が2倍に(IDC調査)
→ 投資回収期間:4.8ヶ月、3年間ROI:338%● サーバをRHELに統一してSatelliteで管理すると、標準化によりさら
に運用効率アップ
Red Hat Satellite の中身は?
12
ソフトウェアおよび設定のリポジトリ● ソフトウェアおよび設定をまとめて保持・配信します
– Red Hat製品および任意のyumリポジトリ– コンテナ– Puppetマニフェスト
13
設定管理● Puppetによる設定管理
– 望ましい状態を宣言的に定義– 予想していない変化があれば検出して緩和する– 変更の履歴保持とレポート– Satelliteが管理する各種情報を利用したマニフェスト– SatelliteのグループとPuppetのクラスの対応づけ
14
プロビジョニング● Foremanによるプロビジョニング
– ベアメタル、仮想化、各種クラウド環境へのインストール● kickstart, イメージのクローン● 既存システムの更新
– ルールによるグループへの自動登録– 新規ハードウェアの検出(PXEまたは登録専用イメージ)
● インストールと初期設定の自動化● 既存システムの状態把握とパッケージの操作
15
コンテンツ管理● Katelloによるコンテンツ管理● マシンを入れ物とし「コンテンツ」として以下を考える
– パッケージ– puppetでの設定
● Satelliteでは– pulpで管理するリポジトリを"製品"にまとめる– "製品"のスナップショットとして”コンテンツビュー”を作成
例: 「RHEL7」製品の“2015年10月1日版”をversion 3としてリリース「httpdとruby」をインストールする。
16
Contents Viewの作成製品製品に含まれる
リポジトリを指定
SatelliteのYum, Puppetリポジトリ群
フィルタ
● パッケージと設定を含むリポジトリを選択して「製品」を定義● 製品に日時や排除したいパッケージを指定してフィルタしたサ
ブセット(CV: Contents View)を作成● CVのスナップショットを任意のタイミングで作成(publish)
17
Content viewの合成
複数のContent view を合成した
合成Content viewを作る● Red Hat Enterprise Linux 7 ● Web server● Red Hat JBoss Middleware
Composite content view例: mywebserver
18
ライフサイクル管理
DEV QA● システムをライフサイクル環境に分類してステージングしたい● Satelliteは「コンテンツのライフサイクル」を管理してステージングに対応
– Content Viewのスナップショットを作成するとライブラリへ登録– CVのスナップショットを 開発環境→QA環境→本番環境 と出世
(promote)させていく。– 各システムは自分が属する環境に割りあてられたCVにだけアクセス
LIB PROD
19
サブスクリプション管理● Candlepinによるサブスクリプション管理
– 製品・サポートレベル・期限などを集中管理– 各システムとサブスクリプションの対応付け– 正確な本数と使用状況を維持– グループ毎の利用状況管理も可
● 部門毎のコスト管理やサーバ毎の更新● 更新漏れによるサポート不能の予防
– サブスクリプションの期限切れ3ヶ月前に警告
20
その他いろいろな機能……● 複数組織、複数拠点への対応
– 部門ごとのサブスクリプション割り当て– Capsule Serverによる拠点間のネットワーク通信の削減
● DNS, DHCP, TFTPサーバの統合– PXEを利用したオートディスカバリ– PXEを利用したベアメタルプロビジョニング
● Red Hat Identity Managerへのホスト自動登録● OpenSCAPによる自動セキュリティ監査
– ポリシーへの適合をチェック、レポート、記録
21
まとめ● Red Hat Satelliteは多数のRHELを構築、運用するための製品です
– ソフトウェアおよび設定を適切に配備、更新するための機能を提供– 全コンポーネントがOSSとして開発されています
● Satelliteはセキュリティ保持にも役立ちます– 既存システムの現状把握– ソフトウェアアップデートの状況把握、実施– OpenSCAP連携によるベースライン保持
22
参考資料● Red Hat Satellite製品ページ
– https://access.redhat.com/products/red-hat-satellite● SatelliteでのPuppetサポートポリシー
– https://access.redhat.com/articles/1200003
Thank You
24
screenshots
25
26
27
28
29
30
31
32
33