OCI技術資料：OS管理サービス詳細

Transcript

1. OS管理サービス詳細 OS Management Service Level 200 Oracle Cloud Infrastructure 技術資料

   2023年6月

2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 2023/6/15

   Copyright © 2023 Oracle and/or its affiliates. 2

3. このレッスンを修了すると、次のことができるようになります • OS管理サービスの役割を理解すること • OS管理サービスを駆動させるため、適切なポリシー文を記述すること • OS管理サービスを用いて、パッケージ管理やプログラムの更新を行うこと • Oracle Autonomous

   Linuxの役割を理解し、必要に応じて利用すること • OS管理サービスにおけるWindows OS特有の事項を理解すること 目標 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 3

4. 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 4 OS管理サービスとは？

   Introduction of OS Management Service

5. • Linuxにおけるパッケージはソフトウェアを構成するファイル群やメタデータをひとまとめにしたもの • パッチはセキュリティ脆弱性やバグ、新機能の追加などのためにOSベンダーから提供される、パッケージの修正プログラム • Windows → Windows Updateで更新 •

   Oracle Linux → yum (dnf) updateで更新 パッケージ、パッチ管理の概要 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 5 YUMサーバ Windows Update Server Windowsサーバ Oracle Linuxサーバ アップデートを取得

6. • IaaSにおいてOS以上はユーザーに管理責任あり → 最新のパッチの適用、OSのトラブルへの対処はユーザーが行う OSの管理はユーザーの責任 2023/6/15 Copyright © 2023 Oracle

   and/or its affiliates. 6 アプリケーション OS ハイパーバイザ ミドルウェア ストレージ ネットワーク サーバ ユーザ管理 ベンダ管理

7. • クラウドではサーバの増大に伴う管理者の負担も増大 • サーバごとの未適用パッチ洗い出しの負担 • パッケージインストールやパッチ適用作業を一台ずつ行う負担 • 大量のOSの監視、個別に起こるトラブル対応の負担 複数OSの管理は大きな負担になる 2023/6/15

   Copyright © 2023 Oracle and/or its affiliates. 7 YUMサーバ Windows Update サーバ Oracle Linuxサーバ群 Windowsサーバ群 → 複数のサーバ（OS）を管理できる仕組みがあると便利

8. • OS管理サービスは次の機能をGUIベースで無償提供 • 複数インスタンスのパッケージ一括管理 • 包括的なパッチ適用 • OSの監視 • プロセスのモニタリング

   • OSのログ取得* • OS異常の際の通知* OS管理サービスとは 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 8 *Oracle Autonomous Linuxのみ YUMサーバ Windows Update サーバ Oracle Linuxサーバ群 Windowsサーバ群 パッチの一括適用 未適用パッチの情報を 収集・レポート コンプライアンス ・レポート プロセスの モニタリング パッチ、パッケージの一 括インストール OS管理サービスにより管理者の負担を軽減できる

9. • Oracle Cloud Agentはコンピュート・インスタンスで稼働するプロセス群である • OS管理エージェント、管理エージェントおよび付随して稼働するStack Monitoring Plugin、Oracle Autonomous PluginがOS管理サービスで利用される

   OS管理サービスで利用されるエージェントについて 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 9 Oracle Cloud Agent OS管理エージェント 管理エージェント Stack Monitoring Plugin ... Oracle Autonomous Plugin

10. • コンピュート・インスタンスの動的グループの定義する • インスタンス単位：instance.id=‘<インスタンスのOCID>’ • コンパートメント単位：ALL {instance.compartment.id=‘<コンパートメントのocid>’} • タグ単位：tag.<タグ名>.<タグキー>.value、 tag.<タグ名>.<タグキー>.value=‘<タグの値>’

    • 動的グループに所属している各インスタンス（インスタンス・プリンシパル）に機能に応じた管理エージェントが稼働する • 動的グループに対してポリシーで権限を付与し、インスタンス・プリンシパルがAPIコールを行えるようにする エージェントとポリシー付与の考え方：エージェントが稼働する管理対象インスタンスを 動的グループに設定し、APIコールを許可していく 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 10 動的グループ Policies Allow ListManagedInstances ListAvailablePackagesForManagedInstance ListPackagesInstalledOnManagedInstance ListAvailableUpdatesForManagedInstance DetachChildSoftwareSourceFromManagedInstance DetachParentSoftwareSourceFromManagedInstance ・ ・ ポリシーで利用が許可されたAPI群（例） Call 例えばOS管理エー ジェントがプロセスと して稼働

11. • 以下のプラットフォーム・イメージ、およびそれらに基づくカスタム・イメージでサポートされる • Oracle Linux • Oracle Linux 6.x •

    Oracle Linux 7.x • Oracle Linux 8.x • Oracle Linux 9.x • 2021年8月のプラットフォーム・イメージ以降のOracle Autonomous Linux（Oracle Autonomous Linuxは Oracle Linuxをベースにした自律型OSであり、自動パッチ適用や致命的なカーネル・エラー、カーネルOOPSのイ ベントをトリガー可能） • Windows • Windows Server 2012 R2 Standard、Datacenter • Windows Server 2016 Standard、Datacenter • Windows Server 2019 Standard、Datacenter OS管理サービスでサポートされているイメージ 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 11 最新情報と詳細な制約についてはこちらをご覧ください。

12. • 更新やパッケージの取得や、各インスタンスで稼働するエージェントとサービス間通信のための設定が必要で、インスタン スのOS（Windows/Oracle Linux）、さらにインスタンスを配置したサブネットの種類（パブリック/プライベート）に よって必須のゲートウェイ・コンポーネントが異なる（表1） • Windowsインスタンスは更新の取得のため、外部のWindows Updateサーバにアクセスする必要があるため、プラ イベート・サブネットにおいてはNAT-GWが必須であることに注意（Linuxインスタンスはリージョンのサービス・ネット ワーク内のYUMサーバにアクセスするため、NAT-GWの代わりにサービスGWを使用可能）

    • Windowsインスタンスを直接インターネットに向けて通信させないためにWSUSを構築可能（詳しくはこちら） パブリック・サブネットに配置した場合 プライベート・サブネットに配置した場合 Windows インターネットGW NAT-GW Oracle Linux インターネットGW NAT-GWかサービスGW OS管理サービスを利用するために前提となる設定 ～ネットワーク編～ 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 12 ステートレス 宛先 IPプロトコル ソース・ポート範囲 タイプとコード 許可 説明 いいえ 0.0.0.0/0 TCP All ポートのTCPトラフィック: All • 各種ゲートウェイを通る通信で、適切なルート・ルールやセキュリティ・ルールを設定することを忘れないように注意する （例えばステートフルなエグレス・セキュリティ・ルール：表2）

13. • 動的グループがOS管理サービスを利用するためのポリシー（テナンシ全体に適用するにはin句をin tenancyに） • Allow dynamic-group <動的グループ名> to read instance-family

    in compartment <コンパートメント名 > • Allow dynamic-group <動的グループ名> to use osms-managed-instances in compartment <コン パートメント名> • Oracle Cloud Agentのインストールがされ、実行されていること（現在のOracle提供イメージでデフォルト。古いイ メージにインストールにはこちら） • OS管理エージェントが起動していること（ポリシーの設定後には再起動が必要。詳しくはこちら） OS管理サービスを利用するために前提となる設定 ～エージェントとポリシー編～ 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 13

14. 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 14 1.

    複数インスタンスのパッケージ一括管理 Comprehensive Package Management

15. • ソフトウェアソース：パッケージのリポジトリ。必要に応じて追加、削除することができる • 使用可能なパッケージ：追加済みのソフトウェア・ソースに存在し、インストール可能なパッケージ OS管理サービスによるパッケージの提供 2023/6/15 Copyright © 2023 Oracle

    and/or its affiliates. 15 ... Oracle Linux

16. • ユーザーがベース・ソフトウェア・ソースにアクセスするためのポリシー • Allow group <ユーザーが所属するグループ> to read osms-software-sources in

    Tenancy ソフトウェア・ソースを利用するためのポリシー 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 16 Oracle Linux

17. • インスタンスの詳細 > 使用可能なパッケージから、適当なバージョンのパッケージを選択してインストール 個別インスタンスのRPMパッケージインストール例（MySQL Community Server） 2023/6/15 Copyright ©

    2023 Oracle and/or its affiliates. 17 Oracle Linux

18. • パッケージの詳細画面からパッケージ提供元のソフトウェア・ソースを確認できる ソフトウェアソースの確認の例（MySQL Community Server） 2023/6/15 Copyright © 2023 Oracle

    and/or its affiliates. 18 Oracle Linux

19. • 必要なパッケージをインストールするために、管理対象インスタンス単位とそれらをまとめた管理対象インスタンス・グルー プ単位でソフトウェア・ソースを追加可能 • ソフトウェア・ソースの削除も可能。インストール済みのパッケージは削除されず、更新が提供されなることに注意 ソフトウェア・ソースの追加、削除 2023/6/15 Copyright © 2023

    Oracle and/or its affiliates. 19 Oracle Linux

20. 子ソフトウェア・ ソース1 子ソフトウェア・ ソースN OL7 Latest （親ソフトウェア・ ソース） ・ ・

    ・ 子ソフトウェア・ ソース2 パッケージを選択してカスタム・ソフトウェア・ソースを作成可能 Copyright © 2023 Oracle and/or its affiliates. 20 子ソフトウェア・ ソース1 子ソフトウェア・ ソースN ・ ・ ・ 子ソフトウェア・ ソース2 ・ ・ ・ 子ソフトウェア・ ソース1 子ソフトウェア・ ソースN 子ソフトウェア・ ソース2 ・ ・ ・ Oracle Linux YUMサーバー OL6 Latest （親ソフトウェア・ ソース） OL9 Latest （親ソフトウェア・ ソース） ・ ・ ・ 随時アップデート カスタム・ソフト ウェア・ソース 必要なバージョン のパッケージを選 択して登録 Oracle Linux

21. → 同じパッケージ構成を作ろうとした際、工程が煩雑でインストールの抜け漏れが生じかねない カスタム・ソフトウェア・ソースが無い場合 2023/6/15 Copyright © 2023 Oracle and/or its

    affiliates. 21 テナンシ （ルート・コンパートメント） 親ソフトウェア・ ソース 子ソフトウェア・ ソース1 子ソフトウェア・ ソースN ・ ・ ・ 子ソフトウェア・ ソース2 紐づいたインスタンスにパッケージを インストール Oracle Linux ※パッケージを選択する際、カスタム・ソフトウェア・ソースの参照も可

22. → インストールの抜け漏れも防げううえ、インスタンスが増えも簡単に同じパッケージ構成を作れる カスタム・ソフトウェア・ソースがある場合 2023/6/15 Copyright © 2023 Oracle and/or its

    affiliates. 22 親ソフトウェア・ ソース 子ソフトウェア・ ソース1 子ソフトウェア・ ソースN ・ ・ ・ 子ソフトウェア・ ソース2 Oracle Linux カスタム・ソフト ウェア・ソース 必要なバージョンの パッケージを選択し て登録 紐づいたインスタンスに パッケージをインストール テナンシ （ルート・コンパートメント） ※パッケージを選択する際、カスタム・ソフトウェア・ソースの参照も可

23. • 一つの親ソフトウェア・ソースを選択する必要あり → 同じ親ソースを持つインスタンスで、カスタム・ソフトウェア・ソースが子として表示される • デフォルトの親ソフトウェア・ソースはルート・コンパートメントに存在することに注意 • 追加するパッケージのソフトウェア・ソースとインスタンスのメジャー・リリースの関係に注意 カスタム・ソフトウェア・ソースの作成時の注意点 2023/6/15

    Copyright © 2023 Oracle and/or its affiliates. 23 Oracle Linux

24. カスタム・ソフトウェア・ソースからの一括インストール 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 24

    必要なパッケージ全てにチェック を付けたうえでインストールをク リック Oracle Linux

25. カスタム・ソフトウェア・ソースからの一括インストール 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 25

    必要なインスタンス全てにチェッ クを付けたうえでインストールを クリック Oracle Linux

26. • Oracle Linux 8以降、多くのリポジトリがBaseOSリポジトリとAppStreamリポジトリに統合され、簡略化された • BaseOSリポジトリ：OSの基本機能用のパッケージを提供（acl、bash、curl、iptablesなど） • AppStreamリポジトリ：ユーザー空間アプリケーション、ランタイム言語やDBを提供（mysql、nginx、python3 など）。Application Streams対象のパッケージを提供

    • RPM形式および、その拡張版であるモジュール形式でのパッケージを提供 • モジュール形式ではパッケージをインストールする際に、複数のバージョンから一つ選択してインストール Oracle Linux 8、9のリポジトリ 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 26 Oracle Linux ８、９

27. • あるモジュールの中には、バージョンに対応したストリームがあり（ストリームは複数存在しうる）、ストリームの中に用途 に応じてパッケージ群をまとめたプロファイルがある モジュールの概要 2023/6/15 Copyright © 2023 Oracle and/or

    its affiliates. 27 7.2 Stream common Profile devel Profile minimal Profile 7.3 Stream common Profile devel Profile minimal Profile 7.4 Stream common Profile devel Profile minimal Profile 8.0 Stream common Profile devel Profile minimal Profile phpモジュール php-cli php-common php-fpm php-json php-mbstring php-xml Oracle Linux ８、９

28. • モジュールでのパッケージ管理が可能 モジュール・ストリームによるパッケージ管理のイメージ 2023/6/15 Copyright © 2023 Oracle and/or its

    affiliates. 28 モジュール・ストリームを切り替え てインストールすることができる Oracle Linux ８、９

29. 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 29 2.

    包括的なパッチ適用 Comprehensive Patching by OSMS

30. • パッチは不具合の修正のためのものだけではない。また、不具合の修正もセキュリティ・ホールを防ぐものとバグを修正す るものなどに分けられる • それらのパッチは、OS管理サービスによってタイプ（OS管理カテゴリ）分けされたうえで提供される • Oracle LinuxとWindowsのOS管理カテゴリには違いがある パッチのOS管理カテゴリについて 2023/6/15

    Copyright © 2023 Oracle and/or its affiliates. 30

31. • セキュリティ、バグ修正、拡張、Ksplice、その他の五つのカテゴリで更新を提供しており、それぞれの説明は以下の通り Oracle LinuxのOS管理の更新カテゴリ 2023/6/15 Copyright © 2023 Oracle and/or

    its affiliates. 31 OS管理カテゴリ 説明 セキュリティ 報告されたセキュリティ脆弱性に対処する更新で、普通、CVE （共通脆弱性）名が1つ以上関連付けられている バグ修正 ユーザーや開発者によって報告されたバグを修正するための更新 拡張 パッケージソフトの新機能などを付加するための更新 Ksplice Kspliceによって用いられる更新で、セキュリティOS管理カテゴリの 更新にも含まれる その他 どのerrataにも関連付けられない更新 Oracle Linux

32. • セキュリティ、バグ修正、拡張、その他の四つのカテゴリで更新を提供しており、Windowsアップデートにおけるカテゴリと の対応は以下の通り WindowsのOS管理の更新カテゴリ 2023/6/15 Copyright © 2023 Oracle and/or

    its affiliates. 32 OS管理カテゴリ Windowsアップデート セキュリティ セキュリティ 定義 バグ修正 クリティカル ドライバ 更新 拡張 機能パック ツール その他 サービス・パック 更新ロールアップ Microsoft Windows

33. 1. 未適用パッチの洗い出し • インスタンス単位 → コンソールでの一覧、検索 • コンパートメント単位 → コンプライアンス・レポートの作成

    2. パッチ適用 • 複数台の一括適用も可能 • 適用スケジュールは以下のいずれかを設定できる • 特定のパッケージの更新を今すぐ行う • 特定のパッケージの更新を1回きりのスケジュールを設定して行う • すべてのパッケージ*の更新を繰り返しのスケジュールを設定して行う • 管理対象インスタンス・グループに対してスケジュールを行う • またはOracle Autonomous Linuxの日次更新の利用を検討 パッチ適用の流れ 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 33 *更新タイプとして、すべて、セキュリティ、Ksplice（Linuxのみ）、バグ修正、拡張、その他の中から更新の種類を選択することは可能

34. インスタンス単位の未適用パッチの洗い出し：コンソールでの一覧 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 34

35. インスタンス単位の未適用パッチの洗い出し：コンソールでの検索 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 35

    例えばApache HTTP Serverを検索 その場でパッチ適用も可能 • 今すぐ • スケジュール

36. • テナンシ全体またはコンパートメントごとのセキュリティ・コンプライアンス・レポートを生成し、パッチ未適用のインスタンスお よび共通脆弱性識別子（Common Vulnerabilities and Exposures, CVE）、Windows未更新を一覧すること ができる • compliance_report.pyでコンプライアンス・レポート作成実行例（Pythonスクリプトはこちら）

    コンパートメント単位の未適用パッチの洗い出し： コンプライアンス・レポートの概要と作成方法 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 36 # python3 compliance_report.py --use-instance-principles --compartment-ocid=ocid1.tenancy.oc1..<unique_ID> --recursive -- show-details --region=eu-zurich-1

37. コンパートメント単位の未適用パッチの洗い出し： コンプライアンス・レポートの出力例 2023/6/15 Copyright © 2023 Oracle and/or its affiliates.

    37 # python3 compliance_report.py --use-instance-principles --compartment-ocid=ocid1.tenancy.oc1..<unique_ID> --recursive -- show-details --region=eu-zurich-1 （中略） Detected out of 7 managed instances, 7 are missing security patches! Managed Instance sqa-test-prod-zurich-win2019srvstd (ocid1.instance.oc1.eu-zurich-1..<unique_ID>) has the following outstanding security patches: 2020-04 Cumulative Update for Windows Server 2019 (1809) for x64-based Systems (KB4549949) （中略） Managed Instance sqatest-ol6-0 (ocid1.instance.oc1.eu-zurich-1..<unique_ID>) has the following outstanding security patches: libcurl CVEs: CVE-2019-5482 python CVEs: CVE-2018-20852 kernel-uek-firmware CVEs: CVE-2018-5953, CVE-2019-18806, CVE-2020-10942 （以下略） インスタンスの全数とパッチが未適用の台数を検知 Windowsインスタンスの 未更新をレポート Oracle Linuxインスタンス のパッチ未適用をレポート

38. • 複数のインスタンスをまとめて、同時に更新をインストールすることができる • OSファミリ（LinuxかWindows）を選択した後に、作成したグループにインスタンスを追加する • インスタンス・グループは、同じOSファミリであるだけでなく、同じリリースのインスタンスで構成することに注意 繰り返し更新のスケジュール手順（1/2）：管理対象インスタンス・グループ作成 2023/6/15 Copyright ©

    2023 Oracle and/or its affiliates. 38

39. • インスタンス・グループ右側の > すべての更新のイン ストール >インストールのスケジュールを選択 繰り返し更新のスケジュール手順（2/2）：カスタム・スケジュールの設定 2023/6/15 Copyright ©

    2023 Oracle and/or its affiliates. 39 • 一回目の更新の日付と時間を選択 • 繰り返しオプションを展開し、毎時、毎日、毎週、毎 月から一つを選択 • 間隔を設定

40. • 更新のインストールや削除は非同期処理であり、それぞれのアクションは作業リクエストとして管理され、ステータスを確 認できる 作業リクエスト 2023/6/15 Copyright © 2023 Oracle and/or

    its affiliates. 40

41. 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 41 3.

    OSの監視 OS Monitoring by OSMS

42. • コンピュートインスタンスで実行されているアプリケーションを検出し、CPUまたはメモリの使用率を追跡できる機能 • OCI Linux for ARM (AArch64)を除いたOCI Linuxインスタンスで利用可能 •

    リソースのモニターの対象アプリケーションは以下（最新の情報はこちら） • WebLogic Server • Oracle HTTP Server • Apacheサーバー • Tomcat • Oracle DBインスタンス（プラガブル・データベース・インスタンスを含まない） • Oracle DBリスナー • MySQL • さらに、上記のアプリケーション以外でCPUまたはメモリ使用率が高い上位10個のプロセスを上位プロセスとしてリソース の使用率を表示する リソース検出とモニタリング 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 42

43. リソースの検出とモニタリングのイメージ 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 43

    稼働中のApache Serverを検知 メモリとCPUの使用 率を時系列で表示

44. • リソースの検出以外でCPUまたはメモリ使用率の高いプロセスが上位10個表示される 上位プロセスの検出のイメージ 2023/6/15 Copyright © 2023 Oracle and/or its

    affiliates. 44 CPU使用率別かメモリ使用率別で検出可能

45. • 管理エージェント（OS管理エージェントと異なることに注意）、スタック・モニタリング・プラグイン、それらに適切な権限を 付与するためのポリシー文が必要 • 手順に従うことで、リソースのモニタリングと上位プロセス検出に必要なスタック・モニタリング・プラグインおよび、スタック・モ ニタリングプラグインのインストールや必要な権限を与えることができる OS管理サービスのメトリックおよびモニタリングのための設定 2023/6/15 Copyright ©

    2023 Oracle and/or its affiliates. 45 動的グループ Policies Allow Call 管理エージェントが プロセスとして稼働 ポリシーで利用が許可されたAPI群（例） ListMetrics SummarizeMetricsData PostMetricData ・ ・

46. • OSMSがインスタンスをリストしたり、メタデータや実際のリソースを参照する権限を付与するポリシー（必ずテナンシーレ ベルで指定する） • Allow service osms to read instances

    in tenancy • OS管理サービス・エージェントが稼働していることを確認する リソースのモニタリングと上位プロセスの検出のための設定手順（1/4） 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 46

47. • 管理エージェント・リソースを動的グループとして定義するため、一致ルールを作成 • ALL {resource.type='managementagent', resource.compartment.id=‘<コンパートメントのOCID>’} • エージェント通信のポリシー作成 • 管理エージェントが管理エージェント・サービスと対話できるようにし、Oracle

    Cloud Infrastructure Monitoring サービスにデータをアップロードできるようにする • ALLOW DYNAMIC-GROUP <管理エージェントの動的グループ名> TO USE METRICS IN COMPARTMENT <コンパー トメント名> where target.metrics.namespace = 'oracle_appmgmt’ • ALLOW DYNAMIC-GROUP <インスタンスの動的グループ名> TO {MGMT_AGENT_DEPLOY_PLUGIN_CREATE, MGMT_AGENT_INSPECT, MGMT_AGENT_READ} IN COMPARTMENT <コンパートメント名> リソースのモニタリングと上位プロセスの検出のための設定手順（2/4） 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 47

48. • ユーザーグループにモニタリングと上位プロセス検出用のポリシーを付与する（ポリシー設定の前にコンピュート・インスタ ンスが存在した場合は、Oracle Cloud Agentを再起動するか、ポリシーが有効になるまで24時間待機する） • ALLOW GROUP <ユーザーグループ名> TO

    USE appmgmt-family IN COMPARTMENT <コンパートメント 名> • ALLOW GROUP <ユーザーグループ名> TO READ metrics IN COMPARTMENT <コンパートメント名> リソースのモニタリングと上位プロセスの検出のための設定手順（3/4） 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 48

49. • 定義されたコンパートメント内の各インスタンスで、管理エージェント・プラグインを自動的にインストールし、OS管理サー ビスの「モニター対象リソース」および「上位プロセス」機能に必要なスタック・モニタリング・プラグインをデプロイ可能（15 分以内に、UIにモニター対象リソース/上位プロセスが表示されるようになる） • ALLOW DYNAMIC-GROUP <インスタンスの動的グループ名> TO {APPMGMT_MONITORED_INSTANCE_READ,

    APPMGMT_MONITORED_INSTANCE_ACTIVATE} IN COMPARTMENT <コンパートメント名> where request.instance.id = target.monitored-instance.id • ALLOW DYNAMIC-GROUP <インスタンスの動的グループ名> TO {INSTANCE_UPDATE} IN COMPARTMENT <コンパートメント名> where request.instance.id = target.instance.id • ALLOW DYNAMIC-GROUP <インスタンスの動的グループ名> TO {APPMGMT_WORK_REQUEST_READ, INSTANCE_AGENT_PLUGIN_INSPECT} IN COMPARTMENT <コンパートメント名> • 何らかの理由で自動デプロイできなかった場合、手動で有効化することも可能（手順はこちら） リソースのモニタリングと上位プロセスの検出のための設定手順（4/4） 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 49

50. 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 50 Oracle

    Autonomous LinuxでのOS管理 OS Management for Oracle Autonomous Linux

51. 管理作業を自動化し、セキュリティ・リスクを低減する自律型オペレーティング・システム • Oracle Autonomous LinuxはOracle Autonomous Linuxプラグインが稼働しているインスタンス。Autonomous LinuxプラグインはOS管理サービス・エージェントにより起動される • Autonomous

    Linuxの役割は三つある • 自律型更新により問題を予防する • 問題が起こったときに通知する • 問題が起こったときの情報収集を行う • SOSreport：yum、selinux、kernel、bootなどのモジュールから重要なシステム情報を収集する • OSWatcher：定期的にOSコマンドを実行し、収集されたログ・ファイルに情報を出力する • Ksplice：カーネル・シンボル、カーネル・モジュール、Ksplice更新詳細、Ksplice Uptrackログを収集する Oracle Autonomous Linuxについて 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 51 Oracle Autonomous Linux

52. • 日次の自動更新（カーネル、OpenSSLおよびglibcライブラリのゼロダウンタイムKsplice更新を含む）が行われる • 更新の成功、失敗について、紐づけた通知トピックにより連絡が来る 自律型更新 2023/6/15 Copyright © 2023 Oracle

    and/or its affiliates. 52 Oracle Autonomous Linux 時間の変更が可能

53. The Autonomous Linux Service has successfully applied the daily security

    updates to instance AL_VM ocid1（省略）. However, daily errata updates failed to apply. The service was unable to remediate problems encountered with the update job after 1 retry/retries. Failed: Packages failed to install properly The Autonomous Linux Service has rescheduled the update job and it will run again tomorrow in the next scheduled update window. No action is required at this time. Failed: Packages failed to install properly: Package perl-Carp-0:1.50-439.module+el8.6.0+20545+312b6629.noarch is not available for installation Package perl-Data-Dumper-0:2.174- 440.module+el8.6.0+20545+312b6629.x86_64 is not available for installation Package perl-Digest-0:1.20- 1.module+el8.6.0+20545+312b6629.noarch is not available for installation Package perl-Digest-MD5-0:2.58- 1.module+el8.6.0+20545+312b6629.x86_64 is not available for installation Package perl-Encode-4:3.08- 461.module+el8.6.0+20545+312b6629.x86_64 is not available for installation Package perl-Errno-0:1.30- 471.module+el8.6.0+20545+312b6629.x86_64 is not available for installation Package perl-Exporter-0:5.74- 458.module+el8.6.0+20545+312b6629.noarch is not available for installation Package perl-File-Path-0:2.16- 439.module+el8.6.0+20545+312b6629.noarch is not available for installation Package perl-File-Temp-1:0.231.100- 1.module+el8.6.0+20545+312b6629.noarch is not available for installation Package perl-Getopt-Long-1:2.52-1.module+el8.6. The following packages were installed/updated: perl-Digest-MD5-2.58-1.module+el8.6.0+20545+312b6629 perl-Digest-1.20-1.module+el8.6.0+20545+312b6629 perl-IO-1.43-471.module+el8.6.0+20545+312b6629:0（以下略） 自律型更新結果の通知（イメージ） 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 53 Oracle Autonomous Linux

54. • 必要に応じてin句をin tenancyに変更する • ユーザーに必要なポリシー • Allow group <グループ名> to

    manage osms-events in compartment <コンパートメント名> • Autonomous Linuxのインスタンスを含む動的グループに必要なポリシー • Allow dynamic-group <動的グループ名> to read instance-family in compartment <コンパートメント名 > • Allow dynamic-group <動的グループ名> to use osms-managed-instances in compartment <コン パートメント名> • Allow dynamic-group <動的グループ名> to manage osms-events in compartment <コンパートメント名 > Autonomous Linuxの機能を活用するために必要になるポリシー（1/2） 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 54 Oracle Autonomous Linux

55. • 動的グループが通知サービスを利用するために必要なポリシー • Allow dynamic-group <動的グループ名> to use ons-topics in

    compartment <コンパ―ト名> Autonomous Linuxの機能を活用するために必要になるポリシー（2/2） 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 55 Oracle Autonomous Linux 動的グループ Policies Allow ListTopics GetTopic CreateSubscription UpdateSubscription DeleteSubscription GetSubscription ResendSubscriptionConfirmation PublishMessage ポリシーで利用が許可されたAPI群 Call response (apiEndpoint) OS管理エージェント がプロセスとして稼働 Call

56. 致命的なイベントのトリガー 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 56

    Oracle Autonomous Linux 致命的な問題が起こったときはイベント に表示される（通知トピックを作成すれ ば通知も可能）

57. • トピックとサブスクリプションの設定により、致命的なイベントが通知される 致命的なイベントの通知 2023/6/15 Copyright © 2023 Oracle and/or its

    affiliates. 57 Oracle Autonomous Linux

58. • イベント発生時に収集されたファイルをOCIコンソールまたはインスタンスから取得可能（図はインスタンスの /var/lib/oracle-cloud-agent/plugins/oci-alx/oops/reports/配下のファイル） ユーティリティによる情報収集 2023/6/15 Copyright © 2023 Oracle and/or

    its affiliates. 58 [root@al-vm reports]# tree 4912a8bf5c1308b671ced6442eb57def67b8c09a.2023-04-26T02:02:17.000Z -L 3 4912a8bf5c1308b671ced6442eb57def67b8c09a.2023-04-26T02:02:17.000Z ├── info.json ├── logs │ ├── backtrace │ ├── dmesg │ ├── ksplice │ ├── OSWatcher │ │ ├── archive │ │ └── log │ ├── soscleaner.tar.gz │ ├── uptrack.log │ └── vmcore └── support.json 3 directories, 9 files Oracle Autonomous Linux

59. 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 59 WindowsのOS管理における特筆事項

    Notes for OS Management for Windows

60. • Windows OSのアクティブ時間は、更新ができないので注意 • OS管理サービス・エージェント・プラグインによってOCAOSMSサービス・アカウントが作成されるので削除しないこと WindowsにおけるOS管理の注意点 2023/6/15 Copyright © 2023

    Oracle and/or its affiliates. 60 Windows

61. • サーバがインターネットを経由する通信を行うことを禁止する要件がある場合はWindows Server Update Service (WSUS)の使用を検討 Windows Updateはインターネットを経由して取得することに注意 2023/6/15 Copyright

    © 2023 Oracle and/or its affiliates. 61 VCN Windows更新を取得 Windowsインスタンス・グループ Windows Subnet NAT/Internet GW

62. • 管理対象のインスタンスから直接インターネットに向けて通信させたくない場合は、VCN内にWSUSを構築可能 • WSUSの設定やアップデートの取得先を指定するグループポリシーの設定についてはMicrosoftのドキュメントを参照 WSUSの利用が可能 Copyright © 2023 Oracle and/or

    its affiliates. 62 WSUSサーバ Subnet VCN Windows更新を取得 更新を提供 Windowsインスタンス・グループ Windows NAT/Internet GW Subnet

63. このレッスンでは、次のことを学習しました • OS管理サービスは定期的なパッチ適用やアップデートを管理グループ単位で行うことができたり、CPUやメモリの使 用状況を追跡することができる機能である • 管理対象インスタンスの動的グループ、ユーザーやOS管理サービスをサブジェクトとして割り当てるべきポリシー文 • パッケージ管理やプログラムの更新の具体的な設定方法 • Oracle

    Autonomous Linuxは自律型更新を行えるだけでなく、OSのトラブルシューティングに役立てられること。 またその具体的な設定方法 • Windows OSにおいては、OCAOSMSサービス・アカウントを削除しないこと、WSUSを利用できること まとめ 2023/6/15 Copyright © 2023 Oracle and/or its affiliates. 63

64. Thank you 2023/6/15 Copyright © 2023 Oracle and/or its affiliates.

    64
65. None

66. Our mission is to help people see data in new

    ways, discover insights, unlock endless possibilities.