KernelCareの説明で予告していた大規模orエアギャップ環境でKernelCareを使う場合の投稿です。
KernelCareの仕組み上、Kernelのパッチはどこかからダウンロードする必要があります。ですので、なんらかの方法でダウンロード先(パッチ配信サーバ)を確保する必要があります。
今回説明するePortalはオンプレミス上に作成できるパッチ配信の管理サーバーです。
ePortalの機能
ePortalには以下のような機能があります。
- KernelCareのクラウド上からパッチをダウンロード
- KernelCare Agentのパッチ取得先として指定可能
- Webベースの管理UIを提供
通常のePortalではクラウド上からパッチをダウンロードする必要があるため、完全なエアギャップ(インターネットにはどんな方法でも接続できない)環境では利用ができません。プロキシ経由でなんとか接続する、もしくはお手数ですがお問い合わせをいただければと思います。
ePortalのトライアル方法
Web上でのトライアルの申込ができません。お手数ですが弊社までご連絡ください。
ePortalをインストールして使ってみる
環境
システム要件は下記になります。
https://docs.kernelcare.com/jp/kernelcare_enterprise/
今回は下記のLinuxサーバーを用意しました。
- OS: CentOS 7.5
- HW: VMware Virtual Machine
- CPU: 4core
- memory: 4GB
- disk: 200GB (homeディレクトリは作成せず)
プロキシーなしでインターネットに接続できる環境です。
インストール
対象OSに root でSSH接続した状態で作業をします。
SELinuxの設定変更
今回は検証ですので、SELinuxを Permissive に変更しています。
vi /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
Nginxのリポジトリ設定
ePortalはNginxを利用します。Nginxの取得のためリポジトリを指定します。
cat > /etc/yum.repos.d/nginx.repo <[nginx]
name=nginx repo
baseurl=http://nginx.org/packages/centos/7/\$basearch/
gpgcheck=0
enabled=1
EOL
KernelCare ePortalのリポジトリ設定
ePortalのリポジトリを設定します。
cat > /etc/yum.repos.d/kcare-eportal.repo <[kcare-eportal]
name=KernelCare ePortal
baseurl=https://repo.eportal.kernelcare.com/x86_64.el7/
enabled=1
gpgkey=https://repo.cloudlinux.com/kernelcare/RPM-GPG-KEY-KernelCare
gpgcheck=1
EOL
ePortalのインストール
インストールします。
yum install -y kcare-eportal
※画像をクリックしてポップアップウインドウでご覧ください。
ユーザーの作成
ePortalのWebUI管理用に "admin" ユーザーを作成します。
今回は下記のユーザー情報で作成します。
- ユーザー名: admin
- パスワード: password
kc.eportal -a admin -p password
ePortalへアクセス
ePortalのアクセスURLは下記になります。
- http://(ePortal サーバーIPアドレス)/admin
ユーザー名、パスワードは ユーザーの作成 で作成したユーザーを使います。
パッチソースへのアクセス設定
KernelCareのパッチ取得先とアクセスする際のユーザー情報を指定します。
ユーザー情報はベンダー(日本は代理店から)個別に提供が行われます。
情報は、Source(URL) , Login , Password の3つが提供されます。
- 管理UI -> Settings -> Patch Source
パッチセットのダウンロード
パッチのデータをダウンロードします。Webアクセスの場合はパッチセットのリンクをクリックしダウンロードします。
パッチのダウンロードにはしばらく時間がかかります。
- 管理UI -> Feeds -> Default Feeds
Keyの作成と管理
KeyはKernelCareエージェントを導入後、パッチ取得先(今回はePortal)に接続するためのキー情報になります。
ePortalではePortal上でKeyを発行し、そのキーをKernelCare Agent上で利用する形になります。
- 管理UI -> Keys -> Create タブ
ePortalに接続するKernelCare Agentをインストールする
接続先サーバーを指定してインストールします。
サンプルは下記です。
export KCARE_PATCH_SERVER=http://10.1.10.115/
export KCARE_REGISTRATION_URL=http://10.1.10.115/admin/api/kcare
export KCARE_MAILTO=admin@mycompany.com
curl -s https://repo.cloudlinux.com/kernelcare/kernelcare_install.sh | bash
kcarectl --register demokey1
サーバーのIPアドレス 10.1.10.115 は自身のePortalサーバーに置き換えます。
admin@mycompany.com も自身の管理者用メールアドレスに置き換えます。
demokey1 はKey情報になります。Keyの作成と管理で作成したKeyを指定します。
動作確認
ePortal
ePortalのWebUI上で管理しているサーバーの一覧や適用されているKernelバージョン(KernelCare適用時のKernelバージョン)を確認することができます。
Agent
コマンドはクラウドを利用した場合と何も変わりません。
kcarectl -i
でステータスを確認できます。
また、接続先サーバーの情報などはConfファイルに保存されています。
# cat /etc/sysconfig/kcare/kcare.conf
AUTO_UPDATE = YES
PATCH_SERVER=http://xxx.xxx.xxx.xxx/
REGISTRATION_URL=http://xxx.xxx.xxx.xxx/admin/api/kcare
まとめ
今回はePortalの紹介とインストール・設定方法の基本的な部分と投稿しました。
大量のLinuxに対してKernelCareを適用するにはやはり必要になってくるかと思いますので、大規模環境でKernelCareをご検討される際にはePortalも思い出して頂ければと思います。
お問い合わせはここからお願いします。
すずきけ