OS管理ハブ概要

OS管理ハブ概要 OS Management Hub Oracle Cloud Infrastructure 技術資料 2024年9月

Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊社の裁量により決定され、変更される可能性があります。 Copyright
© 2024 Oracle and/or its affiliates. 2

1. OS管理ハブの概要 2. OS管理ハブを使用するための準備 3. スタンドアロン構成とグループ構成 4. ライフサイクル環境 5. レポート、モニタリング
6. サービス制限、ライセンス資料目次 Copyright © 2024 Oracle and/or its affiliates. 3

共有セキュリティ・モデルにおいてIaaSでは、ユーザーはOS以上のレイヤーの管理責任を負います → パッチ適用、OSのトラブルへの対処はユーザーが実施する必要があります OSを管理することの課題 Copyright © 2024 Oracle and/or its
affiliates. 5 アプリケーション OS ハイパーバイザミドルウェアストレージネットワークサーバユーザ管理ベンダ管理 CVE-2024-XXXX ELSA-2024-XXXX 更新の適用

パッチ管理：OSベンダーから提供される、セキュリティ脆弱性やバグ、新機能の追加などのためのパッケージの修正プログラムを適用しますパッケージ/パッチ管理とは Copyright © 2024 Oracle and/or its affiliates.
6 YUMサーバ Oracle Linuxサーバ Windows Update Server Windowsサーバアップデートを取得 • パッケージ：ソフトウェアを構成するファイル群やメタデータのまとまり • モジュール：まとめてインストールする複数の関連パッケージのセット • リポジトリ：パッケージ、モジュールを保管・配布するサーバー（図のYumサーバー）やローカルのディレクトリ Windowsの場合：Windows Updateで更新 Oracle Linuxの場合：yum (dnf) updateで更新 • Windows Update：OS、ソフトウェアのパッチや更新

クラウドではサーバの増加に伴い、管理者の負担が増大 • サーバごとの未適用パッチ洗い出しの負担 • パッケージのインストールやパッチ適用作業を一台ずつ行う負担 • 大量のOSの監視、個別に起こるトラブル対応の負担複数OSの管理は大きな負担になる Copyright ©
2024 Oracle and/or its affiliates. 7 YUMサーバ Oracle Linuxサーバ群複数のサーバ（OS）を一括管理できる仕組みが求められる管理者

OCI提供の管理ソリューション OSのパッチ適用などをOCIコンソールで一括管理、自動化 OCI上のインスタンスと、オンプレミス/サードパーティ・クラウド上のインスタンスを管理対象とすることができます。パッケージの更新、追加インストール、削除などの操作が可能で、インスタンスの更新状況を把握できる管理画面を提供します。サポートされるOS（2024年9月時点）サードパーティ・クラウドはAWS、Microsoft Azureがサポートされています。 OS管理ハブ
Copyright © 2024 Oracle and/or its affiliates. 8 On-premises OCI 3rd party cloud Oracle Linux Windows Server OCI Oracle Linux 6/7/8/9 Windows Server 2016/2019/2022 オンプレミス/ サードパーティ・クラウド Oracle Linux 7/8/9 -

9 OS管理ハブのアーキテクチャ環境による構成の違い OCI オンプレミス/ サードパーティ・クラウド管理ステーション不要必要使用するエージェント
Oracle Cloud エージェント管理エージェント管理ステーション： • ソフトウェア・ソースをミラーして配布するためのインスタンス • ネットワークプロキシの役目も果たす Copyright © 2024 Oracle and/or its affiliates. FastConnect/VPN

ライフサイクル環境 Copyright © 2024 Oracle and/or its affiliates. 10
OS管理ハブは以下のリソースで構成されます。コンテンツを指定するリソース • ベンダー・ソフトウェア・ソース：ベンダー提供のリポジトリ • カスタム・ソフトウェア・ソース：リポジトリの中のパッケージを絞り込んだもので、リポジトリのスナップショットとしても使用可能。高度な構成管理に使用できるリソース • ライフサイクル環境：インスタンスのデプロイ管理の仕組みインスタンスとソフトウェア・ソースを紐づけるリソース • グループ：一括で管理する複数のインスタンスのまとまりと、適用するソフトウェア・ソース • プロファイル：インスタンス/グループに適用するソフトウェア・ソース、ライフサイクル環境を指定したもの OS管理ハブを構成するリソースベンダー・ソフトウェア・ソースカスタム・ソフトウェア・ソースグループプロファイルインスタンス

Copyright © 2024 Oracle and/or its affiliates. 11 ベンダー・ソフトウェア・ソース •
ベンダー提供のソフトウェア・リポジトリ • ルート・コンパートメントでのみ追加可能（追加したものを他のコンパートメントにレプリケートすることが可能）カスタム・ソフトウェア・ソース • ベンダー・ソフトウェア・ソースのパッケージを絞り込んだユーザー定義のリポジトリ • フィルタもしくはパッケージ・リストを用いて、パッケージ/モジュール単位でソフトウェア・ソースに含める/除外するものを指定して作成 • パッケージのバージョンを限定することで、スナップショットして使用可能 • 含まれるパッケージ/モジュールを作成後に変更することができるバージョニング済カスタム・ソフトウェア・ソース • ライフサイクル環境を用いる際に使用するカスタム・ソフトウェア・ソース（プロファイルやグループにアタッチするものではない） • ライフサイクル環境のステージにプロモートされた際にパッケージがインストールされる • 含まれるパッケージ/モジュールを作成後に変更することはできないソフトウェア・ソースの種類カスタム・ソフトウェア・ソースバージョニング済カスタム・ソフトウェア・ソースベンダー・ソフトウェア・ソース ol8_baseos_latest-x86_64 ol8_appstream-x86_64 ol8_baseos_latest-x86_64 ルート・コンパートメント子コンパートメント追加レプリケートベンダー・ソフトウェア・ソースの追加ソフトウェア・ソースの関係ベンダー・ソフトウェア・ソース

Copyright © 2024 Oracle and/or its affiliates. 12 OS管理ハブを使用する基本的な流れ対象インスタンスで更新・インストールす
るパッケージ、モジュールを決定【必須操作】 • ベンダー・ソフトウェア・ソースの追加 • プロファイルの作成【オプション】 • カスタム・ソフトウェア・ソースの作成 • グループの作成 • ライフサイクル環境の作成インスタンスをOS管理ハブに登録【登録方式】 • OCI：Oracle Cloudエージェントを利用 • オンプレミス/サードパーティ・クラウド：管理エージェント、管理ステーションを利用パッケージ、モジュールの更新、インストール、削除を実行【操作】ジョブの作成（更新ジョブ、プロモート） • 即時実行またはスケジュール実行 • インスタンス/グループ/コンパートメント単位で実行可能ソフトウェア・ソース、プロファイル等の設定インスタンスの登録ジョブの実行

1. スタンドアロン構成 • インスタンス単位の管理 • プロファイル作成時にアタッチするソフトウェア・ソースを指定 • インスタンス登録後にインスタンス単位でソフトウェア・ソースを追加アタッチ/デタッチするこ
とも可能 2. グループ構成 • 複数のインスタンスをグループ単位で管理 • グループ作成時にアタッチするソフトウェア・ソースを指定、構成後に追加アタッチ/ デタッチも可能 • インスタンスは一括管理のため、インスタンス単位で個別に更新などを適用できない 3. ライフサイクル環境 • 複数のインスタンスをステージにアタッチして管理 • ステージ番号の小さいステージから順番にバージョニング済み・カスタム・ソフトウェア・ソースをプロモートして、パッケージやモジュールをインストールする構成のパターン Copyright © 2024 Oracle and/or its affiliates. 13 ベンダー・ソフトウェア・ソースプロファイルカスタム・ソフトウェア・ソースグループプロファイルベンダー・ソフトウェア・ソースカスタム・ソフトウェア・ソースプロファイルバージョニング済み・カスタム・ソフトウェア・ソースライフサイクル環境ベンダー・ソフトウェア・ソースステージ2 ステージ1 プロファイルアタッチアタッチプロモート

Copyright © 2024 Oracle and/or its affiliates. 15 OS管理ハブをご使用いただく前に、以下のリソースをご準備ください。全環境共通
• 対応するOSのインスタンス • 動的グループ、ポリシー（次ページに詳細） OCI上のインスタンスを登録する場合 • インターネット・ゲートウェイ、NATゲートウェイもしくはサービス・ゲートウェイのいずれかを持つサブネットオンプレミス/サードパーティ・クラウド上のインスタンスを登録する場合 • 管理エージェントのダウンロードキー（MACS）、管理エージェントがインストールされたインスタンス（手順はこちら） • ネットワーク • OCI <=> 管理ステーション間の通信管理ステーションがOCIリージョンのサービスにアクセス可能な状態（TCP:443番ポート） ※FastConnect、サイト間VPNの使用も可能です。 • 管理ステーション <=> 登録インスタンス間の通信登録インスタンスから管理ステーションへのプロキシ接続とyumリクエストの送信が可能な状態（管理ステーション作成時にTCP:任意のポート番号でそれぞれ設定）必要なリソース

Copyright © 2024 Oracle and/or its affiliates. 16 下記の状態を条件を満たす動的グループの設定が必要です。（以下の例はコンパートメント・レベルの権限設定） OCIの場合：登録するインスタンスを動的グループに含める
オンプレミス/サードパーティ・クラウドの場合：登録に用いる管理エージェントを動的グループに含める必要な動的グループ ALL {instance.compartment.id='<compartment_ocid>’} ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>’}

Copyright © 2024 Oracle and/or its affiliates. 17 下記の状態を条件を満たすポリシーの記述が必要です。（以下の例はコンパートメント・レベルの権限設定） •
OS管理ハブ関連リソースの管理権限 • 動的グループのOSMHアクセス権限 • （オンプレミスのインスタンスを登録する場合）管理エージェントの管理権限、インストール・キーの管理権限 • （必要に応じて）テナンシのプロファイルの参照権限 ※テナンシに存在するサービス提供プロファイル（Windows Server 2016/2019/2022）を利用するための権限です。 • テナンシのソフトウェア・ソースの参照権限 ※テナンシのベンダー・ソフトウェア・ソースを使用するコンパートメントにレプリケートするための権限です。ベンダー・ソフトウェア・ソースの追加の操作をするには”read”の箇所を”manage”と記述する必要があります。必要なポリシー allow group <group> to manage osmh-family in compartment <compartment> allow dynamic-group <dynamic-group> to {OSMH_MANAGED_INSTANCE_ACCESS} in tenancy where request.principal.id = target.managed-instance.id allow group <group> to manage management-agents in compartment <compartment> allow group <group> to manage management-agent-install-keys in compartment dev allow group <group> to read osmh-profiles in tenancy where target.compartment.id = ‘<tenancy_ocid>’ allow group <group> to read osmh-software-sources in tenancy where target.compartment.id = ‘<tenancy_ocid>’

構成、インスタンス登録、ジョブ実行の手順 Copyright © 2024 Oracle and/or its affiliates. 19 1
• ベンダー・ソフトウェア・ソースの追加使用するリポジトリを選択します。 2 • カスタム・ソフトウェア・ソースの追加リポジトリの内容を絞り込む場合や、内包するパッケージのスナップショットを作成する場合は、カスタム・ソフトウェア・ソースを作成します。 3 • グループの作成インスタンスをグループ構成で管理する場合はグループを作成して、ソフトウェア・ソースをアタッチします。 4 • プロファイルの作成インスタンスをOS管理ハブに登録するためのプロファイルを作成します。 5 • （オンプレミス/サードパーティ・クラウドの場合）管理ステーションの作成 OCI外の環境にソフトウェア・ソースをミラーする管理ステーションを作成します。 6 • インスタンスの登録インスタンスをプロファイルに関連付けて、OS管理ハブに登録します。 7 • ジョブの実行パッケージの更新、インストール、削除を実行します。オプション

【OCI上のインスタンスの場合】インスタンスの登録 Copyright © 2024 Oracle and/or its affiliates. 20
登録方法 • Oracle CloudエージェントのOS管理ハブのエージェントを有効化すると、OS管理ハブに登録されます（管理エージェントのプラグインも併せて自動で有効化されます）。この際に、インスタンスと関連付けるプロファイルを選択します。 • OS管理ハブのエージェントと管理エージェントが有効化されていて、OS管理ハブのインスタンス一覧に該当のインスタンスが表示されれば、登録完了です。 ※インスタンスにインストールされているOracle Cloudエージェントのバージョンが1.40以上である必要があります。有効化 ▼OS管理ハブのインスタンス一覧

【オンプレミス/サードパーティ・クラウドの場合】管理ステーションの作成・登録 Copyright © 2024 Oracle and/or its affiliates. 21
オンプレミス/サードパーティ・クラウド上のインスタンスをOS管理ハブに登録する場合は、管理ステーションの作成と登録が必要です。管理ステーションのインスタンスの要件 • OS：Oracle Linux 8 • CPUアーキテクチャ：x86_64 必要な操作（詳細はドキュメントを参照） 1. 管理ステーションの作成（OS管理ハブ側で操作） 2. 管理ステーションの登録（管理ステーションのインスタンスで操作） 3. ソフトウェアソースのアタッチ（OS管理ハブ側で操作）

[opc@onpremise-ol8 ~]$ sudo /opt/oracle/mgmt_agent/agent_inst/bin/setup.sh opts=/tmp/input.rsp Agent is already configured, skipping
setup steps Starting agent... Agent started successfully Agent setup completed and the agent is running. In the future agent can be started by directly running: sudo systemctl start mgmt_agent Please use OCI CLI or OCI Management Agent console to validate the successful activation of your agent. Please make sure that you delete /tmp/input.rsp or store it in secure location. 【オンプレミス/サードパーティ・クラウドのインスタンスの場合】インスタンスの登録 Copyright © 2024 Oracle and/or its affiliates. 22 登録方法（詳細はドキュメントを参照） 1. 登録するプロファイルの指定 2. 管理エージェントのインストール 3. 管理エージェントの設定 4. インスタンス登録（すべて登録するインスタンス側での操作です。）「4. インスタンス登録」に成功した場合の表示の例

登録したインスタンスの詳細画面では、未適用のセキュリティ/バグ更新を確認できます。スタンドアロン構成の場合は、個別のパッケージ単位で更新を実行できます。登録済みのインスタンス Copyright © 2024 Oracle and/or
its affiliates. 23 更新ジョブを作成して、セキュリティ/バグ更新を適用できます。

更新ジョブの作成 Copyright © 2024 Oracle and/or its affiliates. 24 ジョブの種類
• 更新ジョブ • 更新する内容の指定が可能（画像参照） • インスタンス単体で管理している場合は、個別パッケージの更新が可能 • パッケージ、モジュールのインストール/削除ジョブの実行範囲 • インスタンス：スタンドアロン構成のインスタンスで可能 • グループ • コンパートメント：スタンドアロン構成のインスタンスのみ対象ジョブの実行タイミング • 即時実行：ジョブの作成と同時に実行開始 • スケジュール：予約・自動実行（日時、頻度を選択）

リリース・パイプラインの各ステージでソフトウェア・ソースを適用するデプロイ管理ツールです。ライフサイクル環境とは Copyright © 2024 Oracle and/or its affiliates. 26
ライフサイクル環境 Development （開発） Test （テスト） Acceptance （受け入れ） Production （本番） v1.0 v2.0 ステージ▶ プロモート v1.0 v2.0 v1.0 v1.0 v1.0 バージョニング済み・カスタム・ソフトウェア・ソースプロモートを実行すると、ソフトウェア・ソースに含まれるすべてのパッケージとモジュールがステージにアタッチされたインスタンスにインストールされます。

ライフサイクル環境を構成・使用する手順 Copyright © 2024 Oracle and/or its affiliates. 27 1
•ライフサイクル環境の作成ライフサイクル環境とステージを作成します。2～5のステージが作成可能です。 2 •プロファイルの作成ステージごとのプロファイルを作成します。 3 •インスタンスの登録それぞれのプロファイルにインスタンスを関連付けて、インスタンスをOS管理ハブに登録、ライフサイクル環境にアタッチします。 4 •バージョニング済み・カスタム・ソフトウェア・ソースの作成バージョンを設定したカスタム・ソフトウェア・ソースを作成します。 5 •コンテンツのプロモート作成したカスタム・ソフトウェア・ソースをステージにプロモートして、インスタンスにパッケージやモジュールをインストールします。 ◀作成時にバージョンを入力

ダッシュボードでOS管理ハブに登録されたインスタンスの状態を一覧表示できます。フィルタを用いて、環境ごと（OCI/オンプレミス/サードパーティ・クラウド）の表示も可能です。グループ単位でダッシュボードを表示することもできます。ダッシュボード Copyright ©
2024 Oracle and/or its affiliates. 29

レポート Copyright © 2024 Oracle and/or its affiliates. 30 インスタンス単位で以下の3種類のレポートを利用することができ
ます。 • セキュリティ更新レポートセキュリティ関連の更新がエラッタ（ELSA）、ナレッジベース（KB）ごとに表示されます。 • バグ更新レポートバグ関連の更新がエラッタ（ELBA）、ナレッジベース（KB）ごとに表示されます。 • インスタンス・アクティビティ・レポートインスタンスのステータスなどの情報が表示されます。

インスタンスの詳細 Copyright © 2024 Oracle and/or its affiliates. 31 インスタンスの詳細を表示すると、以下の項目を確認できます。
• 更新更新するパッケージ、更新前後のバージョンとエラッタ、セキュリティ更新の場合は該当するCVEを表示します。 • パッケージインストール済み、インストール可能な（ソフトウェア・ソースに含まれる）パッケージを表示します。スタンドアロン構成のインスタンスの場合は、この画面で個別のパッケージを直接指定して更新・インストールすることができます。 • モジュール導入済みのモジュールとストリーム、ステータス（有効化/無効化）を表示します。 • ソフトウェア・ソースインスタンスに適用されているソフトウェア・ソースを一覧表示します。スタンドアロン構成のインスタンスの場合はこの画面でソフトウェア・ソースのアタッチ/デタッチの操作ができます。 • ジョブインスタンスに関連するジョブを表示します。 • レポートインスタンス単位の脆弱性レポート（CSVでダウンロード可能）と変更履歴を表示します。

OS管理ハブに登録されているOCI上のOracle Linuxインスタンスで稼働しているリソースを自動検出して、モニタリングできます。下記のリソースのプロセスを自動で検出して、状態、CPU/メモリ使用率を表示します。 • Oracle Database • MySQL
Database • Listener • WebLogicサーバー • Oracle HTTP Server • Apacheサーバー • Tomcat 取得されたメトリックはOCIモニタリングでも利用可能です。リソースの検出とモニタリング Copyright © 2024 Oracle and/or its affiliates. 33

その他の制限項目 • カスタム・ソフトウェア・ソース：最大 50 • バージョニング済みカスタム・ソフトウェア・ソース：最大 75 • OS管理ハブはFree Tier環境では使用できません
サービス制限（デフォルト値） Copyright © 2024 Oracle and/or its affiliates. 35 リソース制限名 Oracle Universal Credits Pay as You Go もしくはトライアルライフサイクル環境 lifecycle-environment-count 100 100 グループ managed-instance-group-count 100 100 管理ステーション management-station-count 100 100 プロファイル profiles-count 100 100 スケジュール済みジョブ scheduled-job-count 100 100

OS管理ハブは無料サービスですが、ご利用には登録するインスタンスのOSライセンスが必要となります。 OCIの場合（別途ライセンス契約は不要） • Oracle Linux：コンピュート・サービスに同梱されているOracle Linux Premier Supportで利用可能です。 • Windows
Server：プラットフォーム・イメージのライセンスで利用可能です。オンプレミス/サードパーティ・クラウドの場合（ライセンス契約が必要） • Oracle Linux：Oracle Linux Basic SupportもしくはOracle Linux Premier Supportが必要です。ライセンス Copyright © 2024 Oracle and/or its affiliates. 36

動画コンテンツ（英語） • 【概要紹介】 Oracle Learning: Oracle OS Management Hub: Overview
https://youtu.be/zBDX5VmurZM?si=VgwAuyZVEzOrqa5C • 【チュートリアル動画】 Oracle Learning: Oracle OS Management Hub https://youtube.com/playlist?list=PLKCk3OyNwIzvL2cIZri305uCRIo1TmMZW&si=y81-Lq6Hkd6ZHQbV • 【ラーニング・トラック】 Oracle Linux Training Station: OS Management Hub https://oracle-samples.github.io/oltrain/tracks/osmh/ ドキュメント • OS管理ハブ https://docs.oracle.com/ja-jp/iaas/osmh/doc/home.htm 関連リンク Copyright © 2024 Oracle and/or its affiliates. 37

OS管理ハブ概要

OS管理ハブ概要

Oracle Cloud Infrastructure ソリューション・エンジニア

More Decks by Oracle Cloud Infrastructure ソリューション・エンジニア

Other Decks in Technology

Featured

Transcript