4 FIPSモードのデプロイメント
Federal Information Processing Standard (FIPS)モードでOracle Linux Virtualization Managerを使用するには、Oracle Linux Virtualization Managerをインストールする前に、FIPSモードを有効にしてオペレーティング・システムをインストールする必要があります。
FIPS対応のベア・メタル・マシンを作成するには、オペレーティング・システムをFIPSモードでインストールするか、オペレーティング・システムのインストール後にシステムをFIPSモードに切り替えます。 手順については、「FIPSモードでのOracle Linuxシステムの構成」を参照してください。
重要:
オペレーティング・システムのインストール中にFIPSモードを有効にすると、生成されたすべてのキーでFIPS承認アルゴリズムが使用され、継続的なモニタリング・テストが実施されます。
FIPS対応システムへのデプロイ
スタンドアロン・エンジン・デプロイメントまたは自己ホスト・エンジン・デプロイメントのいずれを使用している場合でも、デプロイメントに使用するシステムでFIPSがすでに有効になっていることを確認してください。 チェックするには、システム上で次のコマンドを実行することをお薦めします:
# fips-mode-setup --check FIPS mode is enabled.
重要:
インストールされているOracle LinuxサーバーではFIPSモードを有効にできますが、Oracleでは、すでにデプロイされているエンジンまたはKVMホストでのFIPSモードの有効化はサポートされていません。
スタンドアロン・エンジンおよびKVMホスト
システムでFIPSを有効にしたら、「インストールおよび構成」の手順に従います。
Self-Hosted-Engine
システムでFIPSを有効にしたら、「自己ホスト・エンジンのデプロイ」の手順に従います。
「Enable FIPS」プロンプトで、「Yes」と応答します。
Do you want to enable FIPS? (Yes/No) [No]: Yes
VNCコンソール接続の暗号化
FIPS対応システムを使用してOracle Linux Virtualization Managerをデプロイする場合、VNCコンソール接続が暗号化されていることを確認する必要があります。
クラスタ・レベルでのVNC暗号化の有効化
FIPS対応システムにOracle Linux Virtualization Managerをデプロイした場合は、仮想マシン・コンソールにアクセスするためにVNC暗号化を有効にする必要があります。 クラスタ・レベルでこれを実行します:
- 管理ポータルから、「コンピュート」→「クラスタ」に移動します。
- VNC暗号化を有効にするクラスタを編集します。
- 左側のコンソールタブをクリックします。
- 「VNC暗号化の有効化」チェック・ボックスを選択し、「OK」をクリックします。
KVMホストの再インストール
VNC暗号化を有効にすると、KVMホストの再インストールを求められます。これにより、VNC暗号化コンソール接続を有効にするために必要なすべてのオプションが適用されます。
ノート:
自己ホスト・エンジンに割り当てられたすべてのホストで、「再インストール」ダイアログから「ホスト・エンジン」タブに移動し、「デプロイ」を選択します。- 管理ポータルから、「Compute」→「Hosts」に移動します。
- 構成するホストを選択し、「管理」をクリックしてから「メンテナンス」をクリックします。
- 「インストール」ボタンをクリックします。
- 「再インストール」を選択し、「インストール後にホストを再起動」の選択を解除します。
- 「OK」をクリックします。
KVMホストでのVNC SASL Ansible Playbookの実行
プレイブックを適用するには、KVMホストがメンテナンス・モードである必要があります。 プレイブックは、一度に複数のホストで実行できます。 構成するすべてのKVMホストを/etc/hostsファイル(1行に1つのホスト)に追加します。 プレイブックを適用する前に、それらのホストがメンテナンス・モードになっていることを確認します。
- 管理ポータルから、「Compute」→「Hosts」に移動します。
- 構成するホストを選択し、「管理」をクリックしてから「メンテナンス」をクリックします。
- エンジン・サーバーにSSH接続します。
- Ansibleは、使用する最適なPythonインタプリタを見つけようとします。 エラーを回避するために
/usr/bin/python3に設定してから、ovirt-vnc-sasl.ymlプレイブックを実行します:# cd /usr/share/ovirt-engine/ansible-runner-service-project/project/ # sed -ri.orig '/defaults/ainterpreter_python = /usr/bin/python3' ansible.cfg # echo "IP-OR-HOSTNAME" > hosts # ansible-playbook --ask-pass --inventory=hosts ovirt-vnc-sasl.yml
完全な出力例:
# cd /usr/share/ovirt-engine/ansible-runner-service-project/project/ # echo "192.168.0.102" > hosts # sed -ri.orig '/defaults/ainterpreter_python = /usr/bin/python3' ansible.cfg # ansible-playbook --ask-pass --inventory=hosts ovirt-vnc-sasl.yml SSH password: PLAY [all] ********************************************************************* TASK [Gathering Facts] ********************************************************* ok: [192.168.0.102] TASK [ovirt-host-setup-vnc-sasl : Create SASL QEMU config file] **************** ok: [192.168.0.102] TASK [ovirt-host-setup-vnc-sasl : Use saslpasswd2 to create file with dummy user] *** ok: [192.168.0.102] TASK [ovirt-host-setup-vnc-sasl : Set ownership of the password db] ************ ok: [192.168.0.102] TASK [ovirt-host-setup-vnc-sasl : Modify qemu config file - enable VNC SASL authentication] *** ok: [192.168.0.102] PLAY RECAP ********************************************************************* 192.168.0.102 : ok=5 changed=5 unreachable=0 failed=0 skipped=0 rescued=0 ignored=0
ノート:
ovirt-vnc-sasl.ymlプレイブックの実行時に次のエラー・メッセージが表示される場合があります:ERROR! The requested handler 'populate service facts and restart libvirtd' / was not found in either the main handlers list nor in the listening handlers list
このエラーは、自動検出されたPythonバージョンが使用されているためです。 修正するには、interpreter_pythonオプションをローカルのansible.cfgファイルに追加してから、プレイブックを再実行してすべてのタスクを完了します。
# cd /usr/share/ovirt-engine/ansible-runner-service-project/project/ # sed -ri.orig '/defaults/ainterpreter_python = /usr/bin/python3' ansible.cfg