OS管理ハブ 概要

Transcript

1. OS管理ハブ概要 OS Management Hub Oracle Cloud Infrastructure 技術資料 2025年1月

2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright

   © 2025 Oracle and/or its affiliates. 2

3. 1. OS管理ハブの概要 2. OS管理ハブを使用するための準備 3. スタンドアロン構成とグループ構成 4. ライフサイクル環境 5. レポート、モニタリング

   6. サービス制限、ライセンス 資料目次 Copyright © 2025 Oracle and/or its affiliates. 3

4. Copyright © 2025 Oracle and/or its affiliates. 4 OS管理ハブの概要

5. 共有セキュリティ・モデルにおいてIaaSでは、ユーザーはOS以上のレイヤーの管理責任を負います → パッチ適用、OSのトラブルへの対処はユーザーが実施する必要があります OSを管理することの課題 Copyright © 2025 Oracle and/or its

   affiliates. 5 アプリケーション OS ハイパーバイザ ミドルウェア ストレージ ネットワーク サーバ ユーザ管理 ベンダ管理 CVE-2024-XXXX ELSA-2024-XXXX 更新の適用

6. パッチ管理：OSベンダーから提供される、セキュリティ脆弱性やバグ、新機能の追加などのためのパッケージの修正プログ ラムを適用します パッケージ/パッチ管理とは Copyright © 2025 Oracle and/or its affiliates.

   6 YUMサーバ Oracle Linuxサーバ Windows Update Server Windowsサーバ アップデートを取得 • パッケージ：ソフトウェアを構成するファイル群やメタデータのまとまり • モジュール：まとめてインストールする複数の関連パッケージのセット • リポジトリ：パッケージ、モジュールを保管・配布するサーバー（図 のYumサーバー）やローカルのディレクトリ Windowsの場合：Windows Updateで更新 Oracle Linuxの場合：yum (dnf) updateで更新 • Windows Update：OS、ソフトウェアのパッチや更新

7. クラウドではサーバの増加に伴い、管理者の負担が増大 • サーバごとの未適用パッチ洗い出しの負担 • パッケージのインストールやパッチ適用作業を一台ずつ行う負担 • 大量のOSの監視、個別に起こるトラブル対応の負担 複数OSの管理は大きな負担になる Copyright ©

   2025 Oracle and/or its affiliates. 7 YUMサーバ Oracle Linuxサーバ群 複数のサーバ（OS）を一括管理できる仕組みが求められる 管理者

8. OCI提供の管理ソリューション OSのパッチ適用などをOCIコンソールで一括管理、自動化 OCI上のインスタンスと、オンプレミス/サードパーティ・クラウド上 のインスタンスを管理対象とすることができます。 パッケージの更新、追加インストール、削除などの操作が可能で、 インスタンスの更新状況を把握できる管理画面を提供します。 サポートされるOS（2024年9月時点） サードパーティ・クラウドはAWS、Microsoft Azureがサポートされています。 OS管理ハブ

   Copyright © 2025 Oracle and/or its affiliates. 8 On-premises OCI 3rd party cloud Oracle Linux Windows Server OCI Oracle Linux 6/7/8/9 Windows Server 2016/2019/2022 オンプレミス/ サードパーティ・クラウド Oracle Linux 7/8/9 -

9. 9 OS管理ハブのアーキテクチャ 環境による構成の違い OCI オンプレミス/ サードパーティ・クラウド 管理ステーション 不要 必要 使用するエージェント

   Oracle Cloud エージェント 管理エージェント 管理ステーション： • ソフトウェア・ソースをミラーして配布 するためのインスタンス • ネットワークプロキシの役目も果たす Copyright © 2025 Oracle and/or its affiliates. FastConnect/VPN

10. ライフサイクル 環境 Copyright © 2025 Oracle and/or its affiliates. 10

    OS管理ハブは以下のリソースで構成されます。 コンテンツを指定するリソース • ベンダー・ソフトウェア・ソース：ベンダー提供のリポジトリ • カスタム・ソフトウェア・ソース：リポジトリの中のパッケージ を絞り込んだもので、リポジトリのスナップショットとしても使用 可能。 高度な構成管理に使用できるリソース • ライフサイクル環境：インスタンスのデプロイ管理の仕組み インスタンスとソフトウェア・ソースを紐づけるリソース • グループ：一括で管理する複数のインスタンスのまとまりと、 適用するソフトウェア・ソース • プロファイル：インスタンス/グループに適用するソフトウェ ア・ソース、ライフサイクル環境を指定したもの OS管理ハブを構成するリソース ベンダー・ソフトウェア・ソース カスタム・ソフトウェア・ソース グループ プロファイル インスタンス

11. Copyright © 2025 Oracle and/or its affiliates. 11 ベンダー・ソフトウェア・ソース •

    ベンダー提供のソフトウェア・リポジトリ • ルート・コンパートメントでのみ追加可能（追加したものを他のコンパートメントにレプ リケートすることが可能） カスタム・ソフトウェア・ソース • ベンダー・ソフトウェア・ソースのパッケージを絞り込んだユーザー定義のリポジトリ • フィルタもしくはパッケージ・リストを用いて、パッケージ/モジュール単位でソフトウェア・ ソースに含める/除外するものを指定して作成 • パッケージのバージョンを限定することで、スナップショットして使用可能 • 含まれるパッケージ/モジュールを作成後に変更することができる バージョニング済カスタム・ソフトウェア・ソース • ライフサイクル環境を用いる際に使用するカスタム・ソフトウェア・ソース （プロファイルやグループにアタッチするものではない） • ライフサイクル環境のステージにプロモートされた際にパッケージがインストールされる • 含まれるパッケージ/モジュールを作成後に変更することはできない ソフトウェア・ソースの種類 カスタム・ソフトウェア・ソース バージョニング済 カスタム・ソフトウェア・ソース ベンダー・ ソフトウェア・ソース ol8_baseos_latest-x86_64 ol8_appstream-x86_64 ol8_baseos_latest-x86_64 ルート・コンパートメント 子コンパートメント 追加 レプリケート ベンダー・ソフトウェア・ソースの追加 ソフトウェア・ソースの関係 ベンダー・ ソフトウェア・ソース

12. Copyright © 2025 Oracle and/or its affiliates. 12 OS管理ハブを使用する基本的な流れ 対象インスタンスで更新・インストールす

    るパッケージ、モジュールを決定 【必須操作】 • ベンダー・ソフトウェア・ソースの追加 • プロファイルの作成 【オプション】 • カスタム・ソフトウェア・ソースの作成 • グループの作成 • ライフサイクル環境の作成 インスタンスをOS管理ハブに登録 【登録方式】 • OCI：Oracle Cloudエージェントを 利用 • オンプレミス/サードパーティ・クラウ ド：管理エージェント、管理ステー ションを利用 パッケージ、モジュールの更新、インス トール、削除を実行 【操作】 ジョブの作成（更新ジョブ、プロモート） • 即時実行またはスケジュール実行 • インスタンス/グループ/コンパートメン ト単位で実行可能 ソフトウェア・ソース、 プロファイル等の設定 インスタンスの登録 ジョブの実行

13. 1. スタンドアロン構成 • インスタンス単位の管理 • プロファイル作成時にアタッチするソフトウェ ア・ソースを指定 • インスタンス登録後にインスタンス単位でソ フトウェア・ソースを追加アタッチ/デタッチするこ

    とも可能 2. グループ構成 • 複数のインスタンスをグループ単位で管理 • グループ作成時にアタッチするソフトウェア・ ソースを指定、構成後に追加アタッチ/ デタッ チも可能 • インスタンスは一括管理のため、インスタン ス単位で個別に更新などを適用できない 3. ライフサイクル環境 • 複数のインスタンスをステージにアタッチして 管理 • ステージ番号の小さいステージから順番に バージョニング済み・カスタム・ソフトウェア・ ソースをプロモートして、パッケージやモジュー ルをインストールする 構成のパターン Copyright © 2025 Oracle and/or its affiliates. 13 ベンダー・ソフトウェア・ソース プロファイル カスタム・ソフトウェア・ソース グループ プロファイル ベンダー・ソフトウェア・ソース カスタム・ソフトウェア・ソース プロファイル バージョニング済み・ カスタム・ソフトウェア・ソース ライフサイクル環境 ベンダー・ソフトウェア・ソース ステージ2 ステージ1 プロファイル アタッチ アタッチ プロモート

14. Copyright © 2025 Oracle and/or its affiliates. 14 OS管理ハブを使用するための準備

15. Copyright © 2025 Oracle and/or its affiliates. 15 OS管理ハブをご使用いただく前に、以下のリソースをご準備ください。 全環境共通

    • 対応するOSのインスタンス • 動的グループ、ポリシー（次ページに詳細） OCI上のインスタンスを登録する場合 • インターネット・ゲートウェイ、NATゲートウェイもしくはサービス・ゲートウェイのいずれかを持つサブネット（次ページに詳細） オンプレミス/サードパーティ・クラウド上のインスタンスを登録する場合 • 管理エージェントのダウンロードキー（MACS）、管理エージェントがインストールされたインスタンス（手順はこちら） • ネットワーク • OCI <=> 管理ステーション間の通信 管理ステーションからOCIリージョンのサービスにアクセス可能な状態（TCP/443） ※FastConnect、サイト間VPNの使用も可能です。 • 管理ステーション <=> 登録インスタンス間の通信 登録インスタンスから管理ステーションへのプロキシ接続とyumリクエストの送信が可能な状態 （管理ステーション作成時にTCP/任意のポート番号でそれぞれ設定） 必要なリソース

16. Copyright © 2025 Oracle and/or its affiliates. 16 パッチ適用のネットワーク要件 OCI

    Region パブリック・サブネット プライベート・サブネット VCN Oracle Linux インスタンス Oracle Services Network Oracel Linux インスタンス Windows Server インスタンス Windows Server インスタンス Oracle Linuxインスタンス • インスタンスがOracle Servicies Networkにある OS管理ハブのリポジトリ（ソフトウェア・ソース）にア クセスできる通信経路が必要 Windows Serverインスタンス • インスタンスがインターネット上のWindows Update サーバーに接続できる通信経路が必要 ※WSUSを配置してインスタンスがWSUSからパッチを 取得する構成も可能 OS管理ハブの ソフトウェア・ソース Windows Update サーバー サービス・ ゲートウェイ NAT ゲートウェイ インターネット・ ゲートウェイ

17. Copyright © 2025 Oracle and/or its affiliates. 17 下記の状態を条件を満たす動的グループの設定が必要です。（以下の例はコンパートメント・レベルの権限設定） OCIの場合：登録するインスタンスを動的グループに含める

    オンプレミス/サードパーティ・クラウドの場合：登録に用いる管理エージェントを動的グループに含める 必要な動的グループ instance.compartment.id='<compartment_ocid>’ ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>’}

18. Copyright © 2025 Oracle and/or its affiliates. 18 下記の状態を条件を満たすポリシーの記述が必要です。（以下の例はコンパートメント・レベルの権限設定） •

    OS管理ハブ関連リソースの管理権限 • 動的グループのOSMHアクセス権限 • （必要に応じて）テナンシのプロファイルの参照権限 ※テナンシに存在するサービス提供プロファイル（Windows Server 2016/2019/2022）を利用するための権限です。 • テナンシのソフトウェア・ソースの参照権限 ※テナンシのベンダー・ソフトウェア・ソースを使用するコンパートメントにレプリケートするための権限です。 ベンダー・ソフトウェア・ソースの追加の操作をするには”read”の箇所を”manage”と記述する必要があります。 • （オンプレミスのインスタンスを登録する場合）管理エージェントの管理権限、インストール・キーの管理権限 必要なポリシー allow group <group> to manage osmh-family in compartment <compartment> allow dynamic-group <dynamic-group> to {OSMH_MANAGED_INSTANCE_ACCESS} in compartment <compartment> where request.principal.id = target.managed-instance.id allow group <group> to manage management-agents in compartment <compartment_name> allow group <group> to manage management-agent-install-keys in compartment <compartment_name> allow group <group> to read osmh-profiles in tenancy where target.compartment.id = ‘<tenancy_ocid>’ allow group <group> to read osmh-software-sources in tenancy where target.compartment.id = ‘<tenancy_ocid>’ OS管理ハブのポリシー・アドバイザ機能を使用して、必要なポリ シー、グループ、動的グループを一括で作成することも可能です。

19. Copyright © 2025 Oracle and/or its affiliates. 19 スタンドアロン構成とグループ構成

20. 構成、インスタンス登録、ジョブ実行の手順 Copyright © 2025 Oracle and/or its affiliates. 20 1

    • ベンダー・ソフトウェア・ソースの追加 使用するリポジトリを選択します。 2 • カスタム・ソフトウェア・ソースの追加 リポジトリの内容を絞り込む場合や、内包するパッケージのスナップショットを作成する場合は、カスタム・ソフトウェア・ソースを作成します。 3 • グループの作成 インスタンスをグループ構成で管理する場合はグループを作成して、ソフトウェア・ソースをアタッチします。 4 • プロファイルの作成 インスタンスをOS管理ハブに登録するためのプロファイルを作成します。 5 • （オンプレミス/サードパーティ・クラウドの場合）管理ステーションの作成 OCI外の環境にソフトウェア・ソースをミラーする管理ステーションを作成します。 6 • インスタンスの登録 インスタンスをプロファイルに関連付けて、OS管理ハブに登録します。 7 • ジョブの実行 パッケージの更新、インストール、削除を実行します。 オ プ シ ョ ン

21. 【OCI上のインスタンスの場合】 インスタンスの登録 Copyright © 2025 Oracle and/or its affiliates. 21

    登録方法 • Oracle CloudエージェントのOS管理ハブのエージェントを 有効化すると、OS管理ハブに登録されます（管理エー ジェントのプラグインも併せて自動で有効化されます）。 この際に、インスタンスと関連付けるプロファイルを選択しま す。 • OS管理ハブのエージェントと管理エージェントが有効化され ていて、OS管理ハブのインスタンス一覧に該当のインスタン スが表示されれば、登録完了です。 ※インスタンスにインストールされているOracle Cloudエージェ ントのバージョンが1.40以上である必要があります。 有効化 ▼OS管理ハブのインスタンス一覧

22. オンプレミス、サードパーティ・クラウド環境 OCI: Oracle Services Network 【オンプレミス/サードパーティ・クラウドの場合】 管理ステーションの作成・登録 Copyright © 2025

    Oracle and/or its affiliates. 22 オンプレミス/サードパーティ・クラウド上のインスタンスをOS管理ハブに 登録する場合は、管理ステーションの作成と登録が必要です。 管理ステーションのインスタンスの要件 • OS：Oracle Linux 8 • CPUアーキテクチャ：x86_64 必要な操作（詳細はドキュメントを参照） 1. 管理ステーションの作成（OS管理ハブ側で操作） 2. 管理ステーションの登録（管理ステーションのインスタンスで操作） 3. ソフトウェアソースのアタッチ（OS管理ハブ側で操作） リスニング・ポート（プロキシ・リクエスト用） : 任意のポート番号 ミラー・リスニング・ポート（httpまたはhttpsのyumリクエスト用） : 任意のポート番号 管理ステーションを 冗長構成することも可能 Oracle Linux インスタンス 管理ステーション インスタンス tcp/443 ロードバランサー インスタンスからの通信 管理ステーション1 管理ステーション2 ソフトウェア・ソースを ミラーして保持

23. [opc@onpremise-ol8 ~]$ sudo /opt/oracle/mgmt_agent/agent_inst/bin/setup.sh opts=/tmp/input.rsp Agent is already configured, skipping

    setup steps Starting agent... Agent started successfully Agent setup completed and the agent is running. In the future agent can be started by directly running: sudo systemctl start mgmt_agent Please use OCI CLI or OCI Management Agent console to validate the successful activation of your agent. Please make sure that you delete /tmp/input.rsp or store it in secure location. 【オンプレミス/サードパーティ・クラウドのインスタンスの場合】 インスタンスの登録 Copyright © 2025 Oracle and/or its affiliates. 23 登録方法（詳細はドキュメントを参照） 1. 登録するプロファイルの指定 2. 管理エージェントのインストール 3. 管理エージェントの設定 4. インスタンス登録 （すべて登録するインスタンス側での操作です。） 「4. インスタンス登録」に成功した場合の表示の例

24. 登録したインスタンスの詳細画面では、未適用のセキュリ ティ/バグ更新を確認できます。 スタンドアロン構成の場合は、個別のパッケージ単位で更 新を実行できます。 登録済みのインスタンス Copyright © 2025 Oracle and/or

    its affiliates. 24 更新ジョブを作成して、セキュリティ/バグ更新を適用でき ます。

25. 更新ジョブの作成 Copyright © 2025 Oracle and/or its affiliates. 25 ジョブの種類

    • 更新ジョブ • 更新する内容の指定が可能（画像参照） • インスタンス単体で管理している場合は、個別パッケージの更新 が可能 • パッケージ、モジュールのインストール/削除 ジョブの実行範囲 • インスタンス：スタンドアロン構成のインスタンスで可能 • グループ • コンパートメント：スタンドアロン構成のインスタンスのみ対象 ジョブの実行タイミング • 即時実行：ジョブの作成と同時に実行開始 • スケジュール：予約・自動実行（日時、頻度を選択）

26. 26 ライフサイクル環境 Copyright © 2025 Oracle and/or its affiliates.

27. リリース・パイプラインの各ステージでソフトウェア・ソースを適用するデプロイ管理ツールです。 ライフサイクル環境とは Copyright © 2025 Oracle and/or its affiliates. 27

    ライフサイクル環境 Development （開発） Test （テスト） Acceptance （受け入れ） Production （本番） v1.0 v2.0 ステージ▶ プロモート v1.0 v2.0 v1.0 v1.0 v1.0 バージョニング済み・カスタム・ソフトウェア・ソース プロモートを実行すると、ソフトウェア・ソースに含まれるすべての パッケージとモジュールがステージにアタッチされたインスタンスにイ ンストールされます。

28. ライフサイクル環境を構成・使用する手順 Copyright © 2025 Oracle and/or its affiliates. 28 1

    •ライフサイクル環境の作成 ライフサイクル環境とステージを作成します。2～5のステージが作成可能です。 2 •プロファイルの作成 ステージごとのプロファイルを作成します。 3 •インスタンスの登録 それぞれのプロファイルにインスタンスを関連付けて、インスタンスをOS管理ハブに登録、ライフサイクル環境にアタッチします。 4 •バージョニング済み・カスタム・ソフトウェア・ソースの作成 バージョンを設定したカスタム・ソフトウェア・ソースを作成します。 5 •コンテンツのプロモート 作成したカスタム・ソフトウェア・ソースをステージにプロモートして、インスタンスにパッケージやモジュールをインストールします。 ◀作成時にバージョンを入力

29. 29 レポート、モニタリング Copyright © 2025 Oracle and/or its affiliates.

30. ダッシュボードでOS管理ハブに登録されたイン スタンスの状態を一覧表示できます。 フィルタを用いて、環境ごと（OCI/オンプレミ ス/サードパーティ・クラウド）の表示も可能で す。 グループ単位でダッシュボードを表示すること もできます。 ダッシュボード Copyright ©

    2025 Oracle and/or its affiliates. 30

31. レポート Copyright © 2025 Oracle and/or its affiliates. 31 インスタンス単位で以下の3種類のレポートを利用することができ

    ます。 • セキュリティ更新レポート セキュリティ関連の更新がエラッタ（ELSA）、ナレッジベース（KB） ごとに表示されます。 • バグ更新レポート バグ関連の更新がエラッタ（ELBA）、ナレッジベース（KB）ごとに 表示されます。 • インスタンス・アクティビティ・レポート インスタンスのステータスなどの情報が表示されます。

32. インスタンスの詳細 Copyright © 2025 Oracle and/or its affiliates. 32 インスタンスの詳細を表示すると、以下の項目を確認できます。

    • 更新 更新するパッケージ、更新前後のバージョンとエラッタ、セキュリティ更新の場合は 該当するCVEを表示します。 • パッケージ インストール済み、インストール可能な（ソフトウェア・ソースに含まれる）パッケー ジを表示します。 スタンドアロン構成のインスタンスの場合は、この画面で個別のパッケージを直接 指定して更新・インストールすることができます。 • モジュール 導入済みのモジュールとストリーム、ステータス（有効化/無効化）を表示します。 • ソフトウェア・ソース インスタンスに適用されているソフトウェア・ソースを一覧表示します。 スタンドアロン構成のインスタンスの場合はこの画面でソフトウェア・ソースのアタッ チ/デタッチの操作ができます。 • ジョブ インスタンスに関連するジョブを表示します。 • レポート インスタンス単位の脆弱性レポート（CSVでダウンロード可能）と変更履歴を表 示します。

33. エラッタ（errata）の詳細 Copyright © 2025 Oracle and/or its affiliates. 33 エラッタの詳細を表示すると、以下の項目をリスト表示することが

    できます。 • 関連するパッケージ • 影響するインスタンス

34. OS管理ハブに登録されているOCI上のOracle Linuxインスタン スで稼働しているリソースを自動検出して、モニタリングできます。 下記のリソースのプロセスを自動で検出して、状態、CPU/メモリ 使用率を表示します。 • Oracle Database • MySQL

    Database • Listener • WebLogicサーバー • Oracle HTTP Server • Apacheサーバー • Tomcat 取得されたメトリックはOCIモニタリングでも利用可能です。 リソースの検出とモニタリング Copyright © 2025 Oracle and/or its affiliates. 34

35. Copyright © 2025 Oracle and/or its affiliates. 35 サービス制限、ライセンス Service

    Limits

36. その他の制限項目 • カスタム・ソフトウェア・ソース：最大 50 • バージョニング済みカスタム・ソフトウェア・ソース：最大 75 • OS管理ハブはFree Tier環境では使用できません

    サービス制限（デフォルト値） Copyright © 2025 Oracle and/or its affiliates. 36 リソース 制限名 Oracle Universal Credits Pay as You Go もしくは トライアル ライフサイクル環境 lifecycle-environment-count 100 100 グループ managed-instance-group-count 100 100 管理ステーション management-station-count 100 100 プロファイル profiles-count 100 100 スケジュール済みジョブ scheduled-job-count 100 100

37. OS管理ハブは無料サービスですが、ご利用には登録するインスタンスのOSのサブスクリプション、ライセンスが必要となりま す。 OCIの場合（別途ライセンス契約は不要） • Oracle Linux：コンピュート・サービスに同梱されているOracle Linux Premier Supportで利用可能です。 •

    Windows Server：プラットフォーム・イメージのライセンスで利用可能です。 オンプレミス/サードパーティ・クラウドの場合（サブスクリプション契約が必要） • Oracle Linux：Oracle Linux Basic SupportもしくはOracle Linux Premier Supportが必要です。 サブスクリプション、ライセンス Copyright © 2025 Oracle and/or its affiliates. 37

38. 動画コンテンツ（英語） • 【概要紹介】 Oracle Learning: Oracle OS Management Hub: Overview

    https://youtu.be/zBDX5VmurZM?si=VgwAuyZVEzOrqa5C • 【チュートリアル動画】 Oracle Learning: Oracle OS Management Hub https://youtube.com/playlist?list=PLKCk3OyNwIzvL2cIZri305uCRIo1TmMZW&si=y81-Lq6Hkd6ZHQbV • 【ラーニング・トラック】 Oracle Linux Training Station: OS Management Hub https://oracle-samples.github.io/oltrain/tracks/osmh/ ドキュメント • OS管理ハブ https://docs.oracle.com/ja-jp/iaas/osmh/doc/home.htm 関連リンク Copyright © 2025 Oracle and/or its affiliates. 38
39. None