アクセスランキング

フォトアルバム
お問い合わせ先
ネットワールド ブログ運営事務局
blog.doc-info@networld.co.jp

2020/04/13

いまからでも余裕で間に合う!! NVIDIA GTC 2020

こんにちは、ネットワールドの海野です。

今回の記事ではNVIDIAの年次イベントであるGPU Technology Conference (GTC) についてお知らせしてまいります。

NVDIAIはかつて自作ユーザーにとっては Riva 128 などの高品質ビデオチップを供給するメーカーとしておなじみでしたが、

2020年現在ではVDIのためのvGPUの提供や、AI技術をリードしたりニンテンドースイッチの中身(GPU)を提供するなど、

謎の半導体メーカー テクノロジーカンパニーとしてよく知られています。

さて、このNVIDIA GTC 2020、今年は無償のデジタルイベントとして開催されています。

こちらからレジスト(登録)なしでもセッションの一覧を参照することができます。

主にディープラーニングやAIなどのイマドキ感あふれる華々しいセッションが目立ちますが、

もちろんvGPUのセッションもありますので、今回はレジストの方法から注目セッションをご紹介していきます。

vGPUを活用するVDIもここにきて超注目トレンドになってきましたので、ぜひご覧ください!


 

レジスト方法 (無料!!)

それでは早速GTC2020のレジスト方法を見ていきましょう。

以下のURLからRegistrationのページを開き、[Create Account]をクリックします。

https://reg.rainfocus.com/flow/nvidia/gtcsj20/digitalreg/login

001

名前やメールアドレスを入力し、[CONTINUE]をクリックします。

002r

ご自身の役職や勤務先の場所の情報などを入力し、[CONTINUE]で先へ進めます。

003r

興味のあるジャンル(ここではVirtualization!!)にチェックを入れ、[CONTINUE]をクリックします。

004

GTCのWebサイトへの名前掲載可否が確認されますので、お好きな方を選択し、[CONTUNE]をクリック。

005

特に寄付などをせず、セッションなどを見るだけでは費用は発生しませんので、DIGITAL CONFERENCE PASSにチェックが入っていることを確認し、[SUBMIT ORDER]をクリックします。

006

サマリ画面で$0.00となっていることを確認し、[CONTINUE]で進めます。

007

これで無事登録完了です。無料でGTCのセッションを楽しみましょう!

008

 


 

注目セッション!!

残念ながらJensen Huangによるキーノートはキャンセルとなってしまいましたが、

vGPUに関する注目セッションをご紹介します。

  1. Enabling Workloads Using High-End Graphics through Windows Virtual Desktop

    いま話題のWVD (Windows Virtual Desktop) について、Azure上でプロユースのワークステーションや高度なナレッジワーカー向けにどのようにデプロイするのがよいのか、
    そのベストプラクティスはどういったものかを解説するセッションです。

  2. How NVIDIA Quadro Virtual Workstations, Virtual PCs, and Virtual Apps are Transforming Industries 

    NGCAメンバーであるDane YoungやTony Foster、Sean Massey、Thomas Poppelgaard、 そしてNGCAのモデレーターであるJits Langedijkのセッションです。
    vGPUを搭載したVDIを足掛かりに、DeepLearningやHPCを学んでみたいひとへオススメの内容です。
    (来年は私もここに出たい!笑)

  3. Make Decisions with Real Data: How to Properly Size, Benchmark, and Configure a Proof of Concept with NVIDIA vGPU 

    vGPUをどのように導入していくのか、ユーザータイプやベンチマーキングなどのデータに沿ってPoCを進めていく方法を紹介しています。
    比較的初心者向けの内容になっているような気がします。

そんなところで、引き続きGTC2020のvGPUに関するレポートをブログに掲載する予定です。

記事担当者 : 海野 航 (うんの わたる)

2020/04/06

vSphere 7.0リリース情報まとめ

vSphere7.0が諸々リリースされました。


◆ vSphere7.0 (ESXi + vCenter)リリース ノート

https://docs.vmware.com/jp/VMware-vSphere/7.0/rn/vsphere-esxi-vcenter-server-70-release-notes.html

 

「本リリースへのアップグレードおよびインストールをサポートしない CPU」でCPUのサポートが明記されています。

vSphere 6.7 のサポート対象プロセッサのうち、次のプロセッサは vSphere 7.0 ではサポートされません。

  • Intel ファミリ 6、モデル = 2C (Westmere-EP)
  • Intel ファミリ 6、モデル = 2F (Westmere-EX)

インストールまたはアップグレード中に、インストーラによってホスト CPU と vSphere 7.0 の互換性がチェックされます。ホスト ハードウェアに互換性がないと非互換性情報メッセージを示すパープル スクリーンが表示され、vSphere 7.0 インストール プロセスが停止します。

 

次の CPU は vSphere 7.0 リリースでサポートされていますが、今後の vSphere リリースではサポートされない可能性があります。これを踏まえて、使用するハードウェアを決定してください。

  • Intel ファミリ 6、モデル = 2A (Sandy Bridge DT/EN, GA 2011)
  • Intel ファミリ 6、モデル = 2D (Sandy Bridge EP, GA 2012)
  • Intel ファミリ 6、モデル = 3A (Ivy Bridge DT/EN, GA 2012)
  • AMD ファミリ 0x15、モデル = 01 (Bulldozer, GA 2012)

◆ VMware Site Recovery Manager 8.3 リリース ノート

https://docs.vmware.com/en/Site-Recovery-Manager/8.3/rn/srm-releasenotes-8-3.html

 

◆ VMware vSphere with Kubernetes リリース ノート

https://docs.vmware.com/jp/VMware-vSphere/7.0/rn/vsphere-esxi-vcenter-server-7-vsphere-with-kubernetes-release-notes.html

◆ VMware vSAN 7.0 リリース ノート

https://docs.vmware.com/jp/VMware-vSphere/7.0/rn/vmware-vsan-70-release-notes.html


現状vSphere7.0と互換性があるのは、Horizon 7.1.2、SRM8.3、LogInsight8.0、vRealize Automationくらいで、NSX-v,NSX-T,vReralize Operationsなどは4/6現在サポートが提供されてないので注意が必要です。

https://www.vmware.com/resources/compatibility/sim/interop_matrix.php

Fireshot_capture_375_vmware_product


vSphere7.0 関連のKB

◆ Important information before upgrading to vSphere 7.0 (78487)

https://kb.vmware.com/s/article/78487?lang=en_US

 

◆ Update sequence for vSphere 7.0 and its compatible VMware products (78221)

いつもの鉄板のアップデートの順番について

https://kb.vmware.com/s/article/78221?lang=en_US

 

◆ Enhanced Guest OS information for disks in vSphere 7.0 (78427)

https://kb.vmware.com/s/article/78427?lang=en_US

 

◆ Third party CIM Providers are unavailable after upgrading to vSphere 7.0 (78136)

32ビットのCIM Providerが非サポートになっているらしいので注意

https://kb.vmware.com/s/article/78136?lang=en_US

 

◆ vSphere 7 Best Practices (78205)

https://kb.vmware.com/s/article/78205?lang=en_US

 

◆ Upgrading Load Balanced PSCs 6.x to vCenter Server 7.0 (78446)

https://kb.vmware.com/s/article/78446?lang=en_US

 

◆ New Kernel options available on ESXi 7.0 (77009)

https://kb.vmware.com/s/article/77009?lang=en_US

 

◆ Devices deprecated and unsupported in ESXi 7.0 (77304)

https://kb.vmware.com/s/article/77304


というわけで大量のアップデート情報がありますが、vCenter Server 6.5&6.7は、アップデートの提供が2021/11/15まで、サポートの提供が2023/11/15までとなっています。計画的にvSphere 7.0への移行をしていきましょう。

https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/support/product-lifecycle-matrix.pdf

2020/03/26

VRチャットシステムあかねちゃん

はじめに

こんにちは、Watson技術担当の山下です。

最近作ったもの「VRチャットシステムあかねちゃん」というシステムの技術解説をしようと思います。

本アプリは、IBM主催の「DXチャレンジ 2019」に応募するために作成しました。

■ DXチャレンジ 2019

最新のデジタル・テクノロジーを活用して、業界及び地域社会の課題を解決する全く新しいアイデアを創出いただき、事業化を目指していただく事を目的としたコンテストとなります。

■ コンテンストの様子

全国大会でのプレゼンの様子/表彰式

■ コンテストでのプレゼン資料

あかねちゃんでテレワーク推進&新人が働きやすい環境を作ろう

あかねちゃんとは

以下のように、モーションキャプチャでアバター(あかねちゃん)がいきいきと動いて、テレワークとかで PC作業してても、あかねちゃんと一緒に楽しく仕事してるかのようなイメージを持てるシステムになります



あかねちゃんの機能

メインは Watson APIを活用して、仕事に必要な情報をいつでも入手/検索できるフレンドリーなチャットボットになります。

スクリーンショット 2020-03-25 17.23.20.png

今回のシステムはおもしろさを優先して、「あかねちゃん」に極振りすることにしました。このため、アバターを活用した機能が大きな特徴になってます。

★ それでは、メイン4機能を以下に紹介させてください。


1. 勤怠管理

本システムにアクセスするだけで(顔モーション検知して)、勤怠処理OKになります。めんどうな事務作業発生しないのが楽で、本業に集中できてうれしいですね


2. チャットボット

チャットボットへの文字入力って(質問文考えたり/質問文に工夫が必要だったりと)、わりと面倒だったりするんですよね、、あかねちゃんならボタン選択で対話できるので、簡単にサクサク欲しい情報にアクセスできます!


3. 情報共有

あかねちゃん専用スマホアプリをいれれば、あかねちゃんのボット機能と連携できるので、、外出中社員の状況をリアルタイムに把握しながら仕事できていい感じですね


4. コミュニケーション

社員同士のコミュニケーション機能も搭載されてます。ネット上にリアルの顔を晒すことに抵抗ある人はわりといると思うのですが(在宅での緊急会議に顔出ししたくないケースあったり)、、そのようなシチュエーションでも、好みのアバターに変身して、積極的にコミュニケーションをとることが可能になります。

リアルの顔の表情を、AIがしっかりアバターに反映してくれるので、感情もより伝わりやすくなってコミュニケーション活性化すると思います!


まとめ

というわけで、あかねちゃんのメイン機能4点を紹介させていただきました。少し長くなりましたので、各機能の技術詳細や活用法は、次回ブログで連載させていただこうと思います。

次回ブログ更新は、弊社メーリングリストで またご案内させていただければと思います。

それでは、また次回よろしくお願いいたします!


VR対応版について


あかねちゃんは カメラ付きPCで動作するWEBブラウザ版と、OculusやHTC ViveのようなVRヘッドマウントディスプレイで動作するVR版の2つの動作環境での対応を予定しております。さきほど説明したのは全てWEBブラウザ版の機能になります。

VR版は字幕付き音声チャット機能のみの対応で(他の機能は現在開発中)、動作イメージは以下になります

2020/03/16

NVIDIA vGPU でよく聞かれること

こんにちは、ネットワールドの海野です。

おかげさまで NVIDIA 様より NVIDI vGPU Community Advisor (NGCA) の認定をいただきました。

NGCA についてはこちらをご覧いただければと思います。

さて、このブログをご覧のみなさまは EUC についてご存知の方も多いと思いますが、今回は NVIDIA の vGPU について、よくいただくご質問を解説してまいります。


  • vGPU は何に効果があるの?

    VDI においては、 vGPU が搭載されることにより画面の描画に割いていた CPU リソースを GPU にオフロードすることができ、「 VDI ホスト(物理サーバーのクラスター)の CPU リソースの縮減」と「 VDI 画面転送の高品質化」が期待されます。

    なお、ネットワールドが利用している VDI では以下のようなワークロード(作業)が主に利用され、 GPU マークが付いている項目の CPU 負荷軽減に有効です。

    1_2

    ※ Lakeside SysTrack にてデータ収集を実施しました。

  • ざっくり事務用 VDI の vGPU サイジングはどうすればいいの?

    よくいただくご質問ですが、それを紐解くには NVIDIA のオフィシャルドキュメントを確認し、 vGPU のプロファイルについて知る必要があります。

    ※本来は物理 PC や既存の VDI のアセスメントを実施いただき、それに基づいたサイジングを実施いただく必要がありますが、ここでは説明の簡単化およびプロファイルの概念の理解を目的としたサイジング指針を前提とします。

    2020年3月現在、オフィスユースの VDI には Tesla M10 という GPU がよく利用されますが、このドキュメントには Tesla M10 Virtual GPU Types という項目があり、こちらに詳細が記載されています。

    上記のURLを開くと一覧表がありますが、まずは vGPU の使用目的 (Intended Use Case) を確認します。

    • Virtual Wokstation : CAD などのプロユース VDI
    • Virtuak Desktops : 一般的な仮想デスクトップ ( OA 用途)
    • Virtual Applications : Windows Serverによる公開アプリ (Citrix Virtual Apps や VMware Horizon Apps など)

    ここでは ざっくり事務用 VDI のサイジングですので、 Virtual Desktops を選定します。

    これがSTEP1です。

    次にひとつのVDIあたりに割り当てるグラフィックメモリ ( Frame Buffer ) を考えていきますが、ここで注意しなければならないのは Windows 10 では少なくとも 1024 MB 以上のグラフィックメモリの割り当てが推奨されるという指針です。

    2019年12月にリリースされている NVIDIA GRID: Windows 10 vGPU Profile Sizing Guidance の P.10 において、仮想マシン単位のグラフィックメモリの使用量サンプルが記載されていますが、グラフィックメモリの割り当てによって増減はあるものの、M10-1Bのアイドル時でも240MB以上のグラフィックメモリを使用することがわかります。
    これを踏まえますと、 M10-0B のグラフィックメモリ 512MB では Windows 10 を動作させるには心もとない容量であるということが言えます。

    ということで、ここでは最小要件として グラフィックメモリ 1024MB を選定します。

    これがSTEP2です。

    この2点が決まると自動的に M10-1B という Virtual GPU Type に決まります。

    これにより1枚の Tesla M10 あたり、32台の VDI に vGPU を割り当てることが可能です。

  • vGPU プロファイルの読み解き方

    さて、この M10-1B というプロファイルですが、他にもいろいろなタイプがあることがお分かりいただけるかと思います。

    例えば、M10-8Q であるとかM10-1Aであるとか…。

    これにはどんな意味があるのかを下図で解説しました。

    2

これからも NVIDIA vGPU についての情報発信をしてまいりますので、よろしくお願いいたします。

記事担当者 : 海野 航 (うんの わたる)

2019/12/25

実録 Xi Frame 構築血風録

こんにちは、ネットワールドの海野です。

今日はNutanix Advent Calendar 2019の最終日ということで、Xi Frame on AHVに関する内容をご紹介いたします。

とはいえ、シンプルが売りのNutanixプロダクトですので、基本的には公式ドキュメントに則って構築を進めていけば問題なく構築ができます。

と書いてしまうと身も蓋もないので、ハマりそうなポイントを含めて構築の流れを紹介してまいります。

Nutanixクラスターは要件を満たしており、必要なバイナリなどはあらかじめダウンロードされていることが前提です。

詳しくはこちらをご覧ください。

  1. Prepare your Nutanix Cluster

    ここはドキュメントに記載の通りです。ただし、アカウント名やカテゴリはハードコーディングと思われ、厳密に文字列を判別しますので、TYPOに注意が必要です。

  2. Create a Gold Master Image

    注意しなければならない点として、コンソールの接続方式があります。

    PRISMのコンソールではなく、リモートデスクトップで接続するようにしてください。

    画面が見えなくなってしまいます。

    Frame Guest Agentのインストール画面はこのような感じです。

    001


    002_2


    Warningとして、Windows Updateを止めろとの記載がありますが、具体的な設定方法はMicrosoftのドキュメントに記載があります。

    GPOまたは直接レジストリで設定する方式になりますが、Xi FrameではADによるGPO適用が若干面倒くさいので、レジストリで適用する方法がいいのでは、と思います。

  3. Frame Cloud Connector Appliance Setup

    ネットワークの割り当ては後から変更することはできません!

    十分な注意が必要です。

    また、Cloud Connectorのディスクの使われ方としてブートはISOイメージから、ログはディスクに書き込まれます。

  4. Connect your AHV Cluster to Frame

    ここで仮想マシンのインスタンスサイズを定義するプロセスがありますが、後から追加・変更することはできません。

    それを踏まえて、ある程度必要と思われるインスタンスサイズはあらかじめ準備しておく必要があります。

    ちなみに、本筋と離れてしまいますが、このCloud Connectorは CentOS 7がベースとなっています。

    つまり、NTPの設定はChronyで実施する必要がありますのでご注意ください。

  5. その他 (Cloud Account登録時のエラーについて)

    Xi FrameのコントロールプレーンにAHVを登録しますが、この画面でエラーになってしまうときがあります。

    003


    手順通りにやっていて、ネットワーク的にも問題がなさそうな状況でエラーが発生し、何回か繰り返しても改善されない状況がありました。

    そんなときは、すぐにサポートにてCaseをオープンすることをオススメします。

    上記の状況はユーザー側ではなく、クラウド側に問題が発生していたようで、対応完了の通知以降は正常にCloud Accountが登録できるようになりました。

Nutanix Xi Frame まとめ

ネットワークがフラットなら初めてでも3時間あれば構築できます。

困ったらすぐにCaseをオープンしましょう。

記事担当者 : SI技術本部 海野 航 (うんの わたる)

2019/12/11

KernelCare ePortal を使ってみた

KernelCareの説明で予告していた大規模orエアギャップ環境でKernelCareを使う場合の投稿です。 KernelCareの仕組み上、Kernelのパッチはどこかからダウンロードする必要があります。ですので、なんらかの方法でダウンロード先(パッチ配信サーバ)を確保する必要があります。
今回説明するePortalはオンプレミス上に作成できるパッチ配信の管理サーバーです。


ePortalの機能

ePortalには以下のような機能があります。

  • KernelCareのクラウド上からパッチをダウンロード
  • KernelCare Agentのパッチ取得先として指定可能
  • Webベースの管理UIを提供

通常のePortalではクラウド上からパッチをダウンロードする必要があるため、完全なエアギャップ(インターネットにはどんな方法でも接続できない)環境では利用ができません。プロキシ経由でなんとか接続する、もしくはお手数ですがお問い合わせをいただければと思います。


ePortalのトライアル方法

Web上でのトライアルの申込ができません。お手数ですが弊社までご連絡ください。


ePortalをインストールして使ってみる


環境

システム要件は下記になります。

https://docs.kernelcare.com/jp/kernelcare_enterprise/

今回は下記のLinuxサーバーを用意しました。

  • OS: CentOS 7.5
  • HW: VMware Virtual Machine
    • CPU: 4core
    • memory: 4GB
    • disk: 200GB (homeディレクトリは作成せず)

プロキシーなしでインターネットに接続できる環境です。


インストール

対象OSに root でSSH接続した状態で作業をします。


SELinuxの設定変更

今回は検証ですので、SELinuxを Permissive に変更しています。

vi /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted


Nginxのリポジトリ設定

ePortalはNginxを利用します。Nginxの取得のためリポジトリを指定します。

cat > /etc/yum.repos.d/nginx.repo < [nginx]
name=nginx repo
baseurl=http://nginx.org/packages/centos/7/\$basearch/
gpgcheck=0
enabled=1
EOL


KernelCare ePortalのリポジトリ設定

ePortalのリポジトリを設定します。

cat > /etc/yum.repos.d/kcare-eportal.repo < [kcare-eportal]
name=KernelCare ePortal
baseurl=https://repo.eportal.kernelcare.com/x86_64.el7/
enabled=1
gpgkey=https://repo.cloudlinux.com/kernelcare/RPM-GPG-KEY-KernelCare
gpgcheck=1
EOL


ePortalのインストール

インストールします。

yum install -y kcare-eportal

Kceportalinst


※画像をクリックしてポップアップウインドウでご覧ください。


ユーザーの作成

ePortalのWebUI管理用に "admin" ユーザーを作成します。
今回は下記のユーザー情報で作成します。

  • ユーザー名: admin
  • パスワード: password

kc.eportal -a admin -p password


ePortalへアクセス

ePortalのアクセスURLは下記になります。

  • http://(ePortal サーバーIPアドレス)/admin

ユーザー名、パスワードは ユーザーの作成 で作成したユーザーを使います。

Eportal_0



パッチソースへのアクセス設定

KernelCareのパッチ取得先とアクセスする際のユーザー情報を指定します。
ユーザー情報はベンダー(日本は代理店から)個別に提供が行われます。

情報は、Source(URL) , Login , Password の3つが提供されます。

  • 管理UI -> Settings -> Patch Source

Eportal_1



パッチセットのダウンロード

パッチのデータをダウンロードします。Webアクセスの場合はパッチセットのリンクをクリックしダウンロードします。
パッチのダウンロードにはしばらく時間がかかります。

  • 管理UI -> Feeds -> Default Feeds

Eportal_2



Keyの作成と管理

KeyはKernelCareエージェントを導入後、パッチ取得先(今回はePortal)に接続するためのキー情報になります。
ePortalではePortal上でKeyを発行し、そのキーをKernelCare Agent上で利用する形になります。

  • 管理UI -> Keys -> Create タブ

Eportal_3



ePortalに接続するKernelCare Agentをインストールする

接続先サーバーを指定してインストールします。
サンプルは下記です。

export KCARE_PATCH_SERVER=http://10.1.10.115/
export KCARE_REGISTRATION_URL=http://10.1.10.115/admin/api/kcare
export KCARE_MAILTO=admin@mycompany.com
curl -s https://repo.cloudlinux.com/kernelcare/kernelcare_install.sh | bash

kcarectl --register demokey1

サーバーのIPアドレス 10.1.10.115 は自身のePortalサーバーに置き換えます。 admin@mycompany.com も自身の管理者用メールアドレスに置き換えます。
demokey1 はKey情報になります。Keyの作成と管理で作成したKeyを指定します。


動作確認


ePortal

ePortalのWebUI上で管理しているサーバーの一覧や適用されているKernelバージョン(KernelCare適用時のKernelバージョン)を確認することができます。

20191129_14h19_52a



Agent

コマンドはクラウドを利用した場合と何も変わりません。

kcarectl -i でステータスを確認できます。

また、接続先サーバーの情報などはConfファイルに保存されています。

# cat /etc/sysconfig/kcare/kcare.conf
AUTO_UPDATE = YES
PATCH_SERVER=http://xxx.xxx.xxx.xxx/
REGISTRATION_URL=http://xxx.xxx.xxx.xxx/admin/api/kcare


まとめ

今回はePortalの紹介とインストール・設定方法の基本的な部分と投稿しました。
大量のLinuxに対してKernelCareを適用するにはやはり必要になってくるかと思いますので、大規模環境でKernelCareをご検討される際にはePortalも思い出して頂ければと思います。

お問い合わせはここからお願いします。

すずきけ

2019/12/10

KernelCareをさくっとインストールしてみた。

みなさん、こんにちは。すずきです。 前回、KernelCareというKernelの脆弱性に対してLive Patchを当てるソリューションについて投稿しました。
となると次はとりあえず動かしてみよう!ということで、インストールしてみました。


用意した環境

  • OS: CentOS 7.5
  • HW: VMware VirtualMachine
    • cpu: 4core
    • memory: 8GB
    • disk: 30GB
  • Network: インターネット接続が可能な状態


ライセンス

日本の代理店であるGDEPソリューションズ様のWebから申込が可能です。

https://www.gdep-sol.co.jp/form_trial_kernelcare.html


インストールに関連したドキュメント

https://docs.kernelcare.com/jp/installation/
日本語のドキュメントもあります。


インストールしてみる

用意した環境に root アカウントでSSH接続しインストールを開始します。


インストール

インストールは1コマンドの実行で完了します。

curl -s -L https://kernelcare.com/installer | bash


ライセンスの適用

ライセンスは2種類あります。

  • Keyベース
  • IPベース

トライアルライセンスは Keyベース になりますので下記を実行します。

/usr/bin/kcarectl --register [KEY]

[KEY]の値は別途トライアル申込時に下記のようなメールが届いていますのでKEYの値をご確認ください。

20191129_11h12_30



ライセンスの確認

念のため、ライセンスが適用されているか確認します。

kcarectl --license-info

# kcarectl --license-info
Key-based valid license found


パッチの適用確認

KernelCareのパッチは4時間に1回Web上から自動的に取得、適用されます。 まず、適用状態を確認してみます。

kcarectl --info

# kcarectl --info
kpatch-state: patch is applied
kpatch-for: Linux version 3.10.0-862.el7.x86_64 (builder@kbuilder.dev.centos.org) (gcc version 4.8.5 20150623 (Red Hat 4.8.5-28) (GCC) ) #1 SMP Fri Apr 20 16:44:24 UTC 2018 kpatch-build-time: Fri Dec 6 21:42:58 2019
kpatch-description: 27-:1575746834;3.10.0-1062.4.3.el7


管理方法

管理はCLIコマンドが用意されています。

  • kcarectl
  • kcare-uname

また、KernelCareを導入している端末の適用状況、ステータスについてはKernelCareのクラウドにWebインターフェースを持っています。

  • URL: https://cln.cloudlinux.com/console/auth/login

Web管理UIへのログインID、Passwordはトライアル申請時に別途メールにて送付されます。


kcarectl

このコマンドでステータスの確認やオンデマンドでUpdateすることなどができます。詳細については下記のURLをご確認ください。

  • https://docs.kernelcare.com/jp/command_line/#kcarectl


kcare-uname

KernelCareで適用した状態のKernelバージョンを見ることができます。シンタックスは uname と同じです。
KernelCareではKernelの脆弱性部分にのみパッチを適用するため、Kernelバージョンは更新されません。KernelCareで保護された状態のKernelのバージョン情報を確認するにはこのコマンドを利用します。

# uname -a
Linux agent4.local 3.10.0-862.el7.x86_64 #1 SMP Fri Apr 20 16:44:24 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
# kcare-uname -a
Linux agent4.local 3.10.0-1062.4.3.el7.x86_64 #1 SMP Fri Apr 20 16:44:24 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux


WebUI

WebUIはここからログインします。
KernelCareで保護しているLinuxの一覧や、購入済みのライセンスの情報、期限などが確認できます。

Kcportal



その他


現在のOS Kernelとの互換性の確認

対象のOS KernelにKernelCareが対応しているかも簡単に確認できます。

curl -s -L https://kernelcare.com/checker | python


まとめ

今回はKernelCareのインストール方法を投稿しました。
インストール自体は1コマンドの実行のみで手軽に動作しますし、最低限必要な設定はインストール時に行われています。 驚くほど簡単に動かせますので是非試してみてください。

お問い合わせはここからお願いします。


すずきけ

2019/12/09

(KernelCare)Linux Kernelの脆弱性対応できていますか?

昨今のサイバーセキュリティの分野では、脆弱性をついた攻撃が多く観測されています。 それらに対応するため各企業様では まずは脆弱性管理 をしましょう!といった形で様々な製品を導入されているかと思います。

弊社でも **Tenable** という脆弱性管理をメインとした製品を取り扱っています。管理もまだこれから!というユーザー様やパートナー様がいらっしゃれば是非ご連絡ください!!

ただ、当然ですが、管理だけしてその先はどうするの?という疑問が出てくるかと思います。 管理をして重要度別に対策するのはもちろんですが、各システムで共通の部分は作業なしで対策できるとよいですよね?
そんなご要望にお答えするのが Linux Kernel のライブパッチソリューションの KernelCare になります。


KernelCareとは?

一言でいうと、Linuxカーネルの脆弱性パッチを自動適用する製品 です。

大きなメリットは3つあります。

  • ダウンタイムの大幅な削減
  • 重要なパッチの見逃しが無くなる
  • 導入・運用全てでリブートが不要

システムの運用を行っていると、システム側で再起動がどうしても必要なことが多々あるかと思います。
しかし、Kernelに対してのセキュリティ対応はユーザーにサービスを提供する視点からするとユーザーが受けたいサービスとはちょっとずれてきます(決してセキュリティ対応は不要という話ではありません) そして、ユーザーはサービスが止まることは望んでおらず、いつでも使いたいと思っています。

また、脆弱性管理は行っていたとしても複数のOSバージョンやディストリビューションが混在している環境だとそれぞれに対してパッチの適用を行う必要もでてきますし、Kernelの更新時にほかの昨日もアップデートされ、アプリケーションに影響がでないかと気にする必要がでてきます。

KernelCareはメリットにもあるように、既存のシステムに対して簡単にインストール(事前検証は必須です)でき、Kernelの脆弱性について自動でパッチ適用し、既存のアプリケーションにも影響を与えないということを再起動不要で行うことができます。


サポート対象OS

現時点でのサポート対象OSは下記のようなものがあります。

  • Amazon Linux
  • CentOS / RHEL
  • CloudLinux
  • Oracle Linux
  • Debian Linux
  • Ubuntu
  • Proxmox ※詳細バージョンはお問い合わせください。

多くのLinuxディストリビューションをサポートしています。


パッチの作成はだれが行う?

Kernelのパッチ作成はKernelCareの開発元である、CloudLinux社が行っています。


パッチはどうやって動いているか?

パッチはメモリ領域に展開されて動作中の Linux カーネルに適用されます。 カーネルアドレススペースにパッチをロードし、実行パスをオリジナルのコードブロックからアップデートされたコードブロックへと安全に切り替えるという仕組みで動いています。

メモリ上で展開しているので、再起動するとパッチは消えてしまいますが、再起動直後にKernelCareエージェントがパッチを取得し適用します。


アプリケーションに影響がないのはなぜ?

パッチが提供するのは脆弱性部分についてのみで、その他のカーネルの機能にはパッチを提供しないためです。 よって、カーネルのバージョンもあがりません。


動作の仕組み

Kernelcare1_2


今回投稿しませんが次回以降に大規模やエアギャップな環境に導入する方法についてご案内いたします。


事例は?

そんなクリティカルな製品だと事例を聞きたいですよね。

2019年10月時点で 1700社 46万台 の稼働実績があります。 採用企業はハードウェアベンダー、インフラ系事業者、クラウド事業者、ホスティング事業者、などになります。 採用理由はメリット部分が主な理由でセキュア、ダウンタイムなしなどやSOC2準拠などがあります。


まとめ

今回、さらっと製品の説明をしました。 別途製品説明資料が欲しい!といったご要望や脆弱性対応どうしよう?とか古いLinuxがそのまま残ってる・・・などなどLinuxの脆弱性対策をお考えの方はぜひ弊社までご連絡ください。

Webでのお問い合わせはここからになります。

また、次回以降インストール方法など使い方や他製品との連携についても投稿していきますのでよろしくお願いします。

すずきけ

2019/12/03

Amazon RDS on VMwareを触ってみる ~前編~

この投稿は vExpert Advent Calendar 2019 の 3日目です。

Amazon RDS on VMwareとは?

クラウド上で展開されるDBaaSのAmazon RDSをオンプレミスにあるvSphere上で稼働するソリューションAmazon RDS on VMwareが提供されるようになりました。Amazon RDS on VMwareはVMware社が販売するものではなく、AWSの提供するAmazon RDSのサービスとして販売されるので注意が必要です。実際に管理画面もvCenterではなくAWSコンソールから行うことができます。

Fireshot_capture_050_rds_aws_consol

Amazon RDS on VMware でどんなことができるの?

Amazon RDS on VMwareではデータベースサーバで発生する通常業務の多くをフルマネージドサービスとして利用することができます。

  • データベースサーバの展開(パブリッククラウド上のAmazon RDSと比較するとOracleとAuroraは未サポート)
  • データベースの作成
  • データベースのバックアップ・リストア
  • データベースのクローン
  • データベースソフトウェアのアップデート

Amazon RDS on VMwareの仕組み

Amazon RDS on VMwareでは管理プレーンはクラウド上のAWSコンソール、コントロールプレーンはAWSとVPN経由で接続されたオンプレミスのvSphereに展開された仮想マシン群が、データはもちろんオンプレミスのvSphereに配置されます。

Ss1

Ss2

Amazon RDSにしてみると、オンプレミスのvSphereがAWSの既存リージョンの一部(Availability Zone)として認識され通常のAmazon RDSと同じように利用することができます。

そのためAWS CLIやTerraformを使った展開といった、API経由のアクセスも通常のRDSを利用する感覚で従来までの運用を踏襲できるところもAmazon RDS on VMwareの強みになります。

また現在は米国東部(バージニア北部)のリージョンでのみ利用することが可能なサービスです。

Amazon RDS on VMwareの事前準備 ~AWS編~

Amazon RDS on VMwareを実際にセットアップする前にAWS側で事前準備しておくポイントが2つあります。https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/RDSonVMwareUserGuide/setting-up-rds-on-vmware.html

  • オンプレミスに配置するAmazon RDS on VMwareのコンポーネントがAWSコンソールにアクセスするためのIAMユーザのアカウント
  • Amazon RDS on VMwareで展開された暗号化DBで利用する証明書

Amazon RDS on VMwareの事前準備 ~vSphere編~

Amazon RDS on VMwareはAWS社のフルマネージドサービスとして提供されます。もちろんvShere基盤は対象外となりますが、ハイパーバイザーより上位のソフトウェアスタックはすべてAWS社がサポートを行います。

そのため、そのサポートされるvSphere環境にはいくつかの要件があります。

  • vSphereのバージョンとしては6.5以降に24 vCPU,24 GBメモリ,180 GBのストレージのリソース
  • ネットワークセグメントは4つ準備が必要
  • 参照するDNSで「rdsonvmware.rds.amazonaws.com」の転送設定が必要
  • vSphere環境からインターネットに接続時に利用されるグローバルIP(VPN接続で必要)

Ss3

ネットワークの4つのセグメントがそれぞれDHCPがひつようであったり、vmkernelポートが接続されたポートグループを指定しないといけなかったりするのでAmazon RDS on VMware用に事前準備が必ず必要になります。 必ず以下のドキュメントを熟読してネットワークの準備をしましょう。https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/RDSonVMwareUserGuide/getting-started-with-rds-on-vmware.pre-onboarding.html

ここまででだいぶ文量が多くなってきたので想定外の後編につづく形にします。

Amazon RDS on VMwareを触ってみる~後編につづく~

後編では、実際のセットアップの流れと簡単な動作について紹介していきたいと思います。

Nutanix Era でDBサーバ運用を自動化くん

この投稿は、[4枚目]Nutanix Advent Calendar 2019 の 3日目です。

Nutanix Eraとは?

Nutanix EraはNutanixインフラの上でDatabase as a Service(DBaaS)を実現するソリューションです。パブリッククラウド界隈ではAWSのRDS,AzureのAzure Database for xx,Azure SQL Database的なことをオンプレミスにも構築しちゃうぞ!というものになります。乱暴な言い方をするとデータベースの自動販売機を作ることができます。

Nutanix Eraでどんなことができるの?

Nutanix Eraではデータベースサーバで発生する通常業務の多くを1Clickで実現することができます。

  • データベースサーバの展開(Oracle,MSSSQL,PostgreSQLはクラスタ構成もサポート)
  • データベースの作成
  • データベースのバックアップ・リストア
  • データベースのクローン
  • データベースソフトウェアのアップデート

Era1

Nutanix Eraによるデータベースサーバの展開とデータベースの作成

Nutanix Eraではデータベースの自動販売機化のために、データベースにまつわる設定を標準化するためにいくつかのプロファイルを組み合わせてデータベースを展開できるようにしています。

  • ソフトウェアプロファイル
  • コンピュートプロファイル
  • ネットワークプロファイル
  • DBパラメータプロファイル

AWSのRDSでMySQLを展開する際のウィザードをベースに、Nutanix Eraのプロファイルを関連付けると以下のようになります。

Rds1_2

Rds2_2

実際にNutanix Eraでウィザードを進めるとこんな形で進んでいきます。

Era10_2

Era15

Nutanix Eraによるデータベースのバックアップ・リストア

Nutanix EraではSLAと呼ばれるデータ保護ポリシーをデータベースに関連付けることで、ポリシーに準拠したデータ保護を担保することができます。Nutanix EraではTime Machineと呼ばれるトランザクションログをベースとした、任意の時間にロールバックすることが可能です。

Fireshot_capture_048_era_10125081

Nutanix Eraによるデータベースのクローン

Nutanix Eraでは取得したスナップショット、バックアップと連携してデータベースのクローンを高速に展開することが可能です。Time Machine機能とも連携可能で、ソースデータベースの時間をしてそのクローンを作成することもできます。

Nutanix Eraによるデータベースソフトウェアのアップデート

Nutanix Eraではデータベースソフトウェアの更新も管理することが可能です。しかしパブリッククラウドで展開されるDBaaSと違って、更新用のソフトウェアのイメージ(ソフトウェアプロファイル)はNutanix Eraの管理者が準備する必要があるので注意が必要です。仮想デスクトップのソリューションをご存知の方であれば、Windows10のマスターイメージの更新を想像してもらえるとわかりやすいかもしれません。また既に社内で利用しているDBサーバがある場合は、そちらを持ち込んでNutanix Eraの機能を利用することも当然可能です。

Era2

Nutanix Era まとめ

Nutanix Eraを利用することで、アプリケーションサーバやWebサーバはDevOpsのフローを実現できているけど、DBサーバだけは従来のフローのままになってしまう、開発者からの作成依頼をこなすだけで運用担当者が忙殺されてしまうといったことから解放することができるようになります。

Fireshot_capture_049_demo_nutanix_d