12 Kspliceオフライン・クライアントの構成
警告:
このドキュメントで説明するソフトウェアは、Extended Supportでの期間限定でサポートされます。 Oracle Linux 7は現在拡張サポート中です。 詳細は、Oracle Linux拡張サポートおよびOracleオープン・ソース・サポート・ポリシーを参照してください。
OS管理ハブを使用してオペレーティング・システム・インフラストラクチャを管理することを検討してください。 詳細は、「OS管理ハブ」を参照してください。
Linuxカーネルは、セキュリティ更新およびバグ修正を毎月平均約1回受信します。 通常、このような更新を適用するには、更新済のカーネルRPMの取得およびインストール、ダウンタイムのスケジュール設定、クリティカル更新を適用した新しいカーネルでのサーバーの再起動が必要です。 多くの相互依存性により、システム設定はより複雑になっており、サーバーおよびアプリケーションへのアクセスをできるだけ中断しないようにする必要があるため、このような再起動のスケジュールは、より難しく多くのコストがかかるようになっています。
Oracle Kspliceは、最新のカーネル、Xenハイパーバイザ更新、およびキー・ユーザー・スペース・セキュリティとバグ修正更新でシステムを保護し、高可用性を維持する方法を提供します。 Oracle Kspliceは、再起動せずに実行中のオペレーティング・システムとXenハイパーバイザを更新します。 システムにはOSの脆弱性のパッチが適用されており、ダウンタイムは最小限に抑えられています。 Kspliceの更新は、適用されると直ちに有効になります。 更新は、その後の再起動後にのみ有効なオン・ディスクの変更と同じではありません。
オラクル社では、オラクル社またはLinuxカーネル・コミュニティのいずれかに基づくカーネル更新から各Ksplice更新を作成します。
「Kspliceオフライン・クライアント」は、イントラネット上のサーバーがOracle Uptrackサーバーに直接接続するための要件を削除します。 サポートされている各カーネル・バージョンで利用可能なすべてのKsplice更新は、そのバージョンに固有のRPMにバンドルされており、このパッケージは、新しいKspliceパッチがカーネルで使用可能になるたびに更新されます。
ノート:
Oracle Linux Premier SupportをサブスクライブしているOracle Linuxユーザーは、Ksplice Offlineクライアントを無料で利用できます。 Oracle Linux Basic、Basic LimitedまたはNetwork Supportのサブスクライバである場合は、営業担当に連絡して、Premier Supportプランへのサブスクリプションの潜在的なアップグレードについて話し合ってください。
ULNでKsplice for Oracle LinuxチャネルのミラーとしてOracle Linux Managerサーバーを構成できます。 Oracle Linux Managerサーバーは、Oracle Uptrackサーバーにアクセスする必要はありません。 かわりに、最新のKsplice更新パッケージをソフトウェア・チャネルにダウンロードするようにOracle Linux Managerをスケジュールします。 Kspliceが以前に更新された場合は、アーカイブ・チャネルが使用可能です。 _archive接尾辞は、通常、アーカイブ・パッケージをホストするチャネルに追加されます。 「ソフトウェア・チャネルの構成について」を参照
Oracle Linux Managerクライアント・システムにKsplice Offlineクライアントをインストールした後、Oracle Linux ManagerサーバーからKsplice更新パッケージをインストールできます。 また、クライアントはOracle Uptrackサーバーにアクセスする必要もありません。
ノート:
Ksplice Offlineクライアントを実行しているシステムはhttps://status-ksplice.oracle.comに登録されていないため、webインタフェースまたはKsplice Uptrack APIを使用して監視することはできません。
Kspliceの詳細は、「Oracle Linux: Kspliceユーザー・ガイド」を参照してください。
サポートされているカーネル
Ksplice Uptrackを使用して、Oracle Linuxカーネルを最新の重要なセキュリティおよびバグ修正パッチと最新の状態に維持できます。 特定のカーネルがサポートされているかどうかを確認するには、そのカーネルを実行しているシステムにUptrackクライアントをインストールします。
サポートされているカーネルの最新情報は、「Oracle Linux: Kspliceユーザー・ガイド」を参照してください。
追加の質問は、ksplice-support_ww@oracle.comに電子メールを送信してください。
Kspliceミラーとして機能するOracle Linux Managerサーバーの構成
ノート:
次の情報は、Oracle Linux Managerサーバー「のみ」の構成に適用されます。
Kspliceミラーとして動作するようにOracle Linux Managerサーバーを構成するには、Ksplice Offlineクライアントを実行するクライアントのOracle Linuxリリースおよびアーキテクチャのリポジトリおよび関連ソフトウェア・チャネルを構成します。 各Kspliceチャネルは、適切なベース・ソフトウェア・チャネルの子である必要があります。 「Oracle Linux Managerリポジトリの構成」および「ソフトウェア・チャネルの構成」を参照してください。
ノート:
Oracle LinuxのKspliceで使用可能なチャネルのリストについては、「Oracle Linux: Kspliceユーザー・ガイド」の使用可能なKspliceチャネルを参照してください。
たとえば、次のようにULN上のKsplice for Oracle Linux 7 (x86_64)チャネルのURLを指定します。
uln:///ol7_x86_64_ksplice
Kspliceオフライン・クライアントとしてのクライアント・システムのプロビジョニング
クライアント・システムをKsplice Offlineクライアントとしてプロビジョニングするには、次のようにkickstartプロファイルを構成します:
-
「キックスタート詳細」で、「オペレーティング·システム」タブを選択し、Ksplice子ソフトウェア・チャネルのチェック・ボックスが選択されていることを確認し、「更新キックスタート」をクリックします。
-
「ソフトウェア」に、インストールするパッケージのリストに
uptrack-offlineを含めます。 -
「スクリプト」の下に、Ksplice更新パッケージをインストールするインストール後
nochrootシェル・スクリプトを作成します。sudo yum install -y uptrack-updates-`uname -r`
anacronスクリプトを設定することができます。 たとえば、Oracle Linux 6またはOracle Linux 7クライアントで次のスクリプトを使用できます。
#!/bin/sh yum install -y uptrack-updates-`uname -r`
スクリプトは実行可能でなければならず、またrootが所有していなければなりません。 スクリプトをクライアント上の/etc/cron.dailyに配置すると、毎日1回実行されます。
既存のクライアント・システムをKspliceオフライン・クライアントとしてインストールおよび構成
Kspliceミラーとして機能するようにOracle Linux Managerを設定した後、yumおよびKspliceの更新を受信するように他のシステムを構成できます。
システムをKsplice Offlineクライアントとして構成するには、これらのステップに従います:
-
クライアント・システムを、Oracle Linuxリリースおよびアーキテクチャに対応するKspliceソフトウェア・チャネルにサブスクライブします。
-
オフライン・バージョンの拡張Kspliceクライアント・パッケージをインストールします。
sudo yum install -y ksplice-offline
-
構成ディレクティブを
/etc/uptrack/uptrack.confに挿入して、ローカルYumリポジトリ構成のローカル・ユーザー・スペース・チャネルのラベルを持つ拡張クライアントを提供します。local_接頭辞をチャネルのラベルに使用しなかった場合はこの作業をする必要はなく、このラベルはULNで使用されるラベルと完全に一致します。local_プレフィクスを使用した場合、またはこのチャネルに別のラベルを付けた場合は、次の行を追加し、local_ol6_x86_64_ksplice_userspaceをKspliceユーザー・スペース・チャネルのラベル付けに使用したものに置き換えます:[User] yum_userspace_ksplice_repo_name = local_ol6_x86_64_ksplice_userspace -
オフライン更新パッケージをインストールするには、システムに関連するパッケージをインストールする必要があります。 たとえば、次のパッケージをインストールすることができます:
sudo yum install ksplice-updates-glibc ksplice-updates-openssl
これらのパッケージがインストールされると、拡張されたKspliceクライアントのオフライン・バージョンは、オンライン・バージョンとまったく同じように動作します。
-
システムを更新して、ユーザー・スペース・ライブラリのKsplice対応バージョンをインストールします:
sudo yum update -y
ライブラリのみをインストールし、その他のパッケージを更新しない場合は、必要に応じて更新を
ol_arch_userspace_kspliceチャネルに制限します。次に例を示します:sudo yum --disablerepo=* --enablerepo=ol7_x86_64_userspace_ksplice update
または、次のコマンドを使用します。
sudo yum update -y *glibc *openssl*
標準のUptrackクライアントを使用できるのと同じ方法で、このクライアントを使用してカーネル更新を実行することもできます。
sudo yum install -y uptrack-updates-`uname -r`
-
更新の自動インストールを有効にするには、
/etc/uptrack/uptrack.confにautoinstllの次のエントリがあることを確認します:autoinstall = yes
-
システムを再起動すると、システムで新しいライブラリを使用できます。
Oracle Linux 6の場合:
sudo reboot
Oracle Linux 7またはOracle Linux 8の場合:
sudo systemctl reboot
Oracle Linux ManagerサーバーでのKsplice同期フィルタの実装
Ksplice Offlineリポジトリのサイズは非常に大きく、Oracle Linux Managerサーバーとリポジトリ全体の同期は非効率的です。 Ksplice Offlineパッケージによって消費される全体的な領域を減らすために、Oracleでは、リポジトリ・フィルタを使用して、ダウンロードするパッケージをクライアント・システムに適用されるパッケージのみに制限することを強くお薦めします。 フィルタは、web UIの「リポジトリの管理」ページのリポジトリ構成またはspacewalk-repo-sync -iコマンド構文を使用して適用できます。
次のコマンドラインの例は、パッケージの同期をUnbreakable Enterprise Kernelリリース6に適用可能なKspliceパッチのみに制限する方法を示しています:
sudo spacewalk-repo-sync -c channel_label -n -i ksplice-*,python-ksplice-*,uptrack-offline-*,uptrack-updates-version*
この例では、ksplice-*、python-ksplice-*およびuptrack-offline-*パッケージにKspliceツールが含まれているため、これらのパッケージをKsplice同期に永続的に含める必要があります。 次に、uptrack-updates-version*パッケージに対して、クライアント・システムに必要なバージョン(uptrack-updates-5.4.17*など)を指定します。 フィルタに追加するRPMバージョンで非常に具体的であると、操作が高速になり、サーバー・ディスク領域が節約されます。
同期時に高パフォーマンスを得るための最適な構成は、すべてのOracle Linux Managerサーバーがディスク上の各アップグレード・ポイントで同一のベース・カーネル・バージョンを実行するようにすることです。