第12章 Kspliceオフライン・クライアントの構成
Linuxカーネルは、セキュリティ更新およびバグ修正を毎月平均約1回受信します。 通常、このような更新を適用するには、更新済のカーネルRPMの取得およびインストール、ダウンタイムのスケジュール設定、クリティカル更新を適用した新しいカーネルでのサーバーの再起動が必要です。 多くの相互依存性により、システム設定はより複雑になっており、サーバーおよびアプリケーションへのアクセスをできるだけ中断しないようにする必要があるため、このような再起動のスケジュールは、より難しく多くのコストがかかるようになっています。
Oracle Kspliceでは、最新のカーネル、Xenハイパーバイザ更新、およびキー・ユーザー領域のセキュリティとバグ修正の更新でシステムの安全性と高可用性を維持する方法を提供しています。 Oracle Kspliceは、再起動せずに実行中のオペレーティング・システムとXenハイパーバイザを更新します。 システムにはOSの脆弱性のパッチが適用されており、ダウンタイムは最小限に抑えられています。 Kspliceの更新は、適用されると直ちに有効になります。 更新は、その後の再起動後にのみ有効なオン・ディスクの変更と同じではありません。
オラクル社では、オラクル社またはLinuxカーネル・コミュニティのいずれかに基づくカーネル更新から各Ksplice更新を作成します。
「Kspliceオフライン・クライアント」は、イントラネット上のサーバーがOracle Uptrackサーバーに直接接続するための要件を削除します。 サポートされている各カーネル・バージョンで利用可能なすべてのKsplice更新は、そのバージョンに固有のRPMにバンドルされており、このパッケージは、新しいKspliceパッチがカーネルで使用可能になるたびに更新されます。
Ksplice Offline Clientは、Oracle Linuxプレミア・サポートにサブスクライブしているOracle Linuxのお客様には無料でご利用いただけます。 Oracle Linux Basic、Basic LimitedまたはNetwork Supportのサブスクライバの場合、Premier Supportプランへのサプスクリプションのアップグレードについて、営業担当者に問い合せてください。
Spacewalkサーバーを、ULNのOracle Linuxチャネル用Kspliceのミラーとして構成できます。 Spacewalkサーバーは、Oracle Uptrackサーバーへのアクセスを必要としません。 代わりに、最新のKsplice更新パッケージをソフトウェア・チャネルにダウンロードするようSpacewalkをスケジュールします。 Kspliceが以前に更新された場合は、アーカイブ・チャネルが使用可能です。 _archive
接尾辞は、通常、アーカイブ・パッケージをホストするチャネルに追加されます。 第2.1項、「ソフトウェア・チャネルの構成について」を参照してください。
Spacewalkクライアント・システムにKsplice Offline Clientをインストールすると、SpacewalkサーバーからKsplice更新パッケージをインストールできます。 また、クライアントはOracle Uptrackサーバーにアクセスする必要もありません。
Ksplice Offline Clientを実行しているシステムはhttps://status-ksplice.oracle.com/に登録されていないため、webインタフェースまたはKsplice Uptrack APIを使用してモニターすることはできません。
Kspliceの詳細は、「Oracle® Linux: Kspliceユーザー・ガイド」を参照してください。
12.1 サポートされているカーネル
Ksplice Uptrackを使用すると、最新の重要なセキュリティ・パッチとバグ修正パッチを適用して、次のOracle Linuxカーネルを最新にすることができます。
-
公式リリース以降のすべてのOracle Linux 6およびOracle Linux 7カーネル。
-
Oracle Linux 6のすべてのOracle Unbreakable Enterprise Kernelバージョン。2.6.32-100.28.9 (2011年3月16日リリース)で始まります。
特定のカーネルがサポートされているかどうか確認するには、カーネルを実行しているシステムにUptrackクライアントをインストールします。
サポートされているカーネルについては、電子メールでksplice-support_ww@oracle.comにお問い合わせください。
12.2 Kspliceミラーとして機能するSpacewalk Serverの構成
Kspliceミラーとして機能するSpacewalkサーバーを構成するには、Kspliceオフライン・クライアントを実行するクライアントのOracle Linuxリリースおよびアーキテクチャのリポジトリおよび関連するソフトウェア・チャネルを構成します。 各Kspliceチャネルは、適切なベース・ソフトウェア・チャネルの子である必要があります。 2.4項、「リポジトリの操作」と2.5項、「ソフトウェア・チャネルの使用」を参照してください。
次の表は、Oracle Linux上のKspliceで使用可能なチャネルを示しています。
チャネル名 |
チャネル・ラベル |
説明 |
---|---|---|
Oracle Linux 6 (i386)のKsplice |
|
i386システム上のOracle Linux 6用のOracle Kspliceクライアント、更新および依存性。 |
Oracle Linux 6 (x86_64)のKsplice |
|
Oracle Linux 6 (x86-64システム)のOracle Kspliceクライアント、更新および依存性。 |
Oracle Linux 7 (x86_64)のKsplice |
|
x87_64システム上のOracle Linux 6用のOracle Kspliceクライアント、更新および依存性。 |
Oracle Linux 6 (x86_64)のKsplice対応ユーザー領域パッケージ |
|
Ksplice対応ユーザー領域パッケージfor Oracle Linux 6 (x86_64)の最新パッケージ。 このチャネルは、Ksplice拡張クライアントとしか使用できません。 |
Ksplice対応のOracle Linux 7 (x86_64)のユーザー領域パッケージ。 |
|
Ksplice対応ユーザー空間パッケージfor Oracle Linux 7 (x86_64)。 このチャネルは、Ksplice拡張クライアントとしか使用できません。 |
たとえば、次のようにULN上のKsplice for Oracle Linux 6 (x86_64)チャネルのURLを指定します。
uln:///ol6_x86_64_ksplice
Ksplice Offlineパッケージで消費される領域全体を減らすために、Oracleではリポジトリ・フィルタを使用して、ダウンロードされるパッケージをクライアント・システムで必要なパッケージのみに制限することを強くお薦めします。 web UIの「リポジトリの管理」ページでリポジトリ構成にフィルタを適用するか、spacewalk-repo-syncコマンドラインで-iまたは--includeパラメータを指定します。次に例を示します:
#spacewalk-repo-sync --channel ol6_x86_64_ksplice -t uln
\-i uptrack-updates-
installed kernel base version
,...
12.3 Kspliceオフライン・クライアントとしてのクライアント・システムのプロビジョニング
クライアント・システムをKspliceオフライン・クライアントとしてプロビジョニングするには、次のようにキックスタート・プロファイルを構成します:
-
「キックスタート詳細」の下で、「オペレーティング·システム」タブを選択し、Kspliceの子ソフトウェア・チャネルのチェックボックスがオンになっていることを確認して、「更新キックスタート」をクリックします。
-
「ソフトウェア」の下に、インストールするパッケージのリストに
uptrack-offline
を含めます。 -
「スクリプト」の下に、Ksplice更新パッケージをインストールするインストール後の
nochroot
シェル・スクリプトを作成します。Oracle Linux 6またはOracle Linux 7の場合:
yum install uptrack-updates-`uname -r`
新しいKsplice更新が入手可能になると、それをインストールします。 Spacewalkをスケジュールしてクライアント・システムを更新するか、クライアント自体にanacron
スクリプトを設定することができます。 たとえば、Oracle Linux 6またはOracle Linux 7クライアントで次のスクリプトを使用できます:
#!/bin/sh yum install uptrack-updates-`uname -r`
スクリプトは実行可能でなければならず、またroot
が所有していなければなりません。 スクリプトをクライアント上の/etc/cron.daily
に配置すると、毎日1回実行されます。
12.4 Kspliceオフライン・クライアントとしての既存のクライアント・システムのインストールと構成
SpacewalkをKspliceミラーとして動作させるように構成したら、他のシステムを構成してyum
とKspliceの更新を受け取ることができます。
システムをKspliceオフライン・クライアントとして構成するには、次のステップを実行します:
-
Oracle Linuxリリースおよびアーキテクチャに対応するKspliceソフトウェア・チャネルにクライアント・システムをサブスクライブします。
-
オフライン・バージョンの拡張Kspliceクライアント・パッケージをインストールします。
#
yum install ksplice-offline
-
/etc/uptrack/uptrack.conf
に構成ディレクティブを挿入し、ローカルYumリポジトリ構成でのローカル・ユーザー・スペース・チャネルのラベルを拡張クライアントに指定します。local_
接頭辞をチャネルのラベルに使用しなかった場合はこの作業をする必要はなく、このラベルはULNで使用されるラベルと完全に一致します。local_
接頭辞を使用した場合や、このチャネルに別のラベルを付けた場合は、次の行を追加してlocal_ol6_x86_64_ksplice_userspace
をKspliceユーザー・スペース・チャネルのラベル付けに使用したものと置き換えます。[User] yum_userspace_ksplice_repo_name =
local_ol6_x86_64_ksplice_userspace
-
オフライン更新パッケージをインストールするには、システムに関連するパッケージをインストールする必要があります。 たとえば、次のパッケージをインストールすることができます:
#
yum install ksplice-updates-glibc ksplice-updates-openssl
これらのパッケージがインストールされると、拡張されたKspliceクライアントのオフライン・バージョンは、オンライン・バージョンとまったく同じように動作します。
-
システムを更新して、ユーザー・スペース・ライブラリのKsplice対応バージョンをインストールします:
#
yum update
ライブラリのみをインストールし、それ以外のパッケージを更新しない場合、
ol6_x86_64_userspace_ksplice
またはol7_x86_64_userspace_ksplice
チャネルへの更新を、次のように適切に制限します:#
yum --disablerepo=* --enablerepo=ol7_x86_64_userspace_ksplice update
または、次のコマンドを使用します。
#
yum update *glibc *openssl*
標準のUptrackクライアントを使用できるのと同じ方法で、このクライアントを使用してカーネル更新を実行することもできます。
#
yum install uptrack-updates-`uname -r`
-
更新の自動インストールを有効にするには、
/etc/uptrack/uptrack.conf
の次のエントリを変更します。autoinstall = no
変更後:
autoinstall = yes
-
システムを再起動すると、システムで新しいライブラリを使用できます。
Oracle Linux 6の場合:
#
reboot
Oracle Linux 7の場合:
#
systemctl reboot