OS管理の開始

次の各項では、OS管理サービスの開始方法について説明します。

管理対象インスタンスの設定の一般ワークフロー

  1. OS管理サービスをサポートするOracle提供のイメージのリストを確認します。サポートされるイメージを参照してください。
  2. 管理対象インスタンスを設定するための前提条件を確認します。前提条件を参照してください。
  3. OS管理サービスのIAMポリシーを設定します。OS管理用のIAMポリシーの設定を参照してください。
  4. 新規または既存のインスタンスでOS管理を有効にします。「新しいコンピュート・インスタンスのOS管理の有効化」および「既存のコンピュート・インスタンスのOS管理サービス・エージェント・プラグインの有効化」を参照してください。
  5. OS管理サービス・エージェント・プラグインのステータスを確認します。OS管理サービス・エージェント・プラグインのステータスの確認を参照してください
  6. OS管理サービスを使用してインスタンスの管理を開始します。次の処理を参照してください。

サポートされるイメージ

OS管理は、次のOracle LinuxおよびWindowsプラットフォーム・イメージおよびサポートされているイメージに基づくカスタム・イメージでサポートされます。これらのイメージの詳細は、プラットフォーム・イメージを参照してください。

Oracle Linux
  • Oracle Linux 6以降
  • Oracle Linux 7以降
  • Oracle Linux 8以降
  • Oracle Autonomous Linux (2021年8月プラットフォーム・イメージ以降)。詳細は、「Oracle Autonomous Linux」を参照してください。
重要

  • 2021年10月にリリースされたOracle Linux 8プラットフォーム・イメージからは、Oracle Linux 8インスタンスのOracle Cloud Agent 1.16.0でOS Management Service Agentプラグインがデフォルトで有効になります。

    2021年10月より前に起動されたOracle Linux 8インスタンス(Oracle Cloud Agent 1.15.0以前)の場合、OS管理サービス・エージェント・プラグインはデフォルトで無効になっています。無効なOracle Linux 8インスタンスのOS管理サービス・エージェント・プラグインは、Oracle Cloud Agent 1.16.0に更新された後も無効のままです。

    無効なOracle 8インスタンスの場合、Oracle Cloud Agent 1.16.0の更新後に、OS管理サービス・エージェント・プラグインのステータスに相違がある場合があります。詳細は、既知の問題を参照してください。

  • Oracle Cloud Agent 1.15.0以降、OS管理サービスはArmベースのアンペアA1コンピュート・シェイプでサポートされています。
  • 2020年9月にリリースされたOracle Linuxプラットフォーム・イメージ以降、OS管理サービスは、すべてのOracle Linuxインスタンスに対してOS管理サービス・エージェント・プラグインを使用します。OS管理サービス・エージェント・プラグインによって、OS管理サービス・エージェント(osms-agent)パッケージが置き換えられます。OS管理サービス・エージェント・プラグインの詳細は、OS管理のコンポーネントおよび機能を参照してください。

Windows
  • Windows Server 2012 R2 Standard、Datacenter
  • Windows Server 2016 Standard、Datacenter
  • Windows Server 2019 Standard、Datacenter

前提条件

重要

OS管理は、Oracle Cloud Free Tierでは使用できません。

  • イメージ:サポートされているイメージを使用します。詳細は、サポートされているイメージを参照してください。
  • IAMポリシー: OS管理サービスの必要なIAMポリシーを設定します。詳細は、OS管理のIAMポリシーの設定を参照してください。
  • セキュリティ・リスト(Windowsインスタンスのみ): Windows更新サーバーへのアクセスを許可するセキュリティ・リストまたはネットワーク・ルールを定義します。詳細は、WindowsイメージのWindows OS更新を参照してください。
  • サービス・ゲートウェイまたはパブリックIPアドレス(Linuxインスタンスのみ):次のいずれかを含む仮想クラウド・ネットワーク(VCN)にインスタンスをアタッチします。

    • Oracle Services NetworkのCIDRラベルの<region>のサービスをすべて使用するサービス・ゲートウェイを持つプライベート・サブネット。

    • NATゲートウェイを使用するプライベート・サブネット。

    • インターネット・ゲートウェイを使用するパブリック・サブネット。

    詳細な手順は、Oracleサービスへのアクセス: サービス・ゲートウェイに関する項を参照してください。

  • Oracle Cloud Agent: Oracle Cloud Agentソフトウェアがインスタンスにインストールされ、実行されていることを確認します。デフォルトでは、Oracle Cloud Agentは現在のOracle提供イメージにインストールされます。Oracle Cloud Agentを古いイメージに手動でインストールするステップは、Oracle Cloud Agentソフトウェアのインストールを参照してください。
  • OS管理サービス・エージェント・プラグイン: OS管理サービス・エージェント・プラグインが有効で、インスタンス上で実行されていることを確認します。デフォルトでは、OS管理サービス・エージェント・プラグインが有効になっており、現在のOracle提供イメージで実行されています。

OS管理のIAMポリシーの設定

このトピックでは、OS管理サービスを使用するために必要なポリシーを設定する方法について説明します。

ノート

  • ポリシーの作成に必要な権限が必要です。必要な権限を持っていない場合は、テナンシの管理者と協力して、ポリシーを作成する権限を取得するか、ポリシーを作成します。
  • OS管理サービスのポリシーの設定の詳細は、OS管理サービスの詳細を参照してください。

必須の動的グループ

OS管理に必要なIAMポリシーを作成する前に、まず動的グループを作成する必要があります。動的グループには、インスタンスOCIDに基づくインスタンスを含めることも、コンパートメントOCIDに基づいてコンパートメントに存在するインスタンスを含めることもできます。動的グループの詳細は、動的グループの管理を参照してください。

動的グループを作成する場合は、ルール・ビルダーを使用して一致するルール文でグループ・メンバーを定義します。

重要

単一のインスタンスは、最大5つの動的グループに属することができます。サービスごとに1つ以上の動的グループを作成するのではなく、サービス全体で可能な場合は常に同じ動的グループを再利用することをお薦めします。

照合ルールを定義するときに、照合ルール文の条件を設定します。

  • 次のすべて(All)には、ルール内のすべての文に一致するインスタンスのみが含まれます。

  • 次のいずれか(Any)には、ルール内のいずれかのステートメントに一致するインスタンスが含まれます。

照合ルール文を作成する場合は、次のガイドラインに従ってください。

  • 1つ以上のルールを追加すると、ポリシーで許可されるインスタンスを定義できます

  • All文では、一致するすべてのルール文がtrueである必要があります。この条件により、単一のルールまたは複数のルールで複数のコンパートメントまたはインスタンスをグループに追加するときに問題が発生する可能性があります。Allを使用する場合、各ルール条件が満たされている必要があります(true)。一致しない場合、リクエストは拒否されます。

  • 動的グループはコンパートメントの継承をサポートしていません。インスタンスが存在するコンパートメントのコンパートメントOCIDsを指定してください。

ヒント

インスタンスのOCIDはインスタンスの詳細ページに表示され、コンパートメントのOCIDはコンパートメント・ページまたはoci metadataユーティリティを使用して表示されます。

動的グループを作成した後、IAMポリシーを作成して、インスタンスがOS管理サービスに対してAPIコールを行うことを許可できます。

例:動的グループ

一致するルール文でのAnyおよびAll条件の使用を理解するのに役立つ動的グループ例を提供します。

すべての条件について

ポリシー・ルール: Allを使用する場合、ポリシーがtrueの場合、インスタンスはすべてのルール文と一致する必要があります。

All {instance.id = 'ocid1.instance1.oc1.iad..exampleuniqueid1', instance.compartment.id ='ocid1.compartmentA.oc1..exampleuniqueid2'}

この例では、ポリシーをtrueにするには、instance1 (ocid1.instance1.oc1.iad..exampleuniqueid1)がcompartmentA (ocid1.compartmentA.oc1..exampleuniqueid2)に存在する必要があります。instance1がcompartmentAにない場合、一致する文はfalseで、サービスは失敗します。

同じ例を使用して、AllAnyに変更すると、instance1のOCIDに一致するインスタンス、またはcompartmentAのインスタンスのいずれかがtrueになります。

Any {instance.id = 'ocid1.instance1.oc1.iad..exampleuniqueid1', instance.compartment.id ='ocid1.compartmentA.oc1..exampleuniqueid2'}

必須IAMポリシー

インスタンスをOS管理サービスに登録するには、インスタンスがOS管理を使用できるようにするポリシーを作成する必要があります。

IAMポリシーを作成する前に、まず動的グループを作成する必要があります。

テナンシに必要なIAMポリシー

OS管理のポリシーをテナンシに適用するには、次のポリシーを使用します。

Allow dynamic-group <dynamic_group_name> to read instance-family in tenancy
Allow dynamic-group <dynamic_group_name> to use osms-managed-instances in tenancy
コンパートメントに必要なIAMポリシー

テナンシ内のコンパートメントにのみOS管理のポリシーを適用するには、次のポリシーを使用します。

Allow dynamic-group <dynamic_group_name> to read instance-family in compartment <compartment_name>
Allow dynamic-group <dynamic_group_name> to use osms-managed-instances in compartment <compartment_name>
メトリックに必要なIAMポリシー

OS管理サービスがメトリックを生成できるようにするには、次のポリシーを使用します。

重要

このポリシーはテナンシ・レベルで指定する必要があります。
Allow service osms to read instances in tenancy

ポリシーを設定したら、Oracle Cloudエージェントを再起動する必要があります。

Oracle Linuxインスタンスで Oracle Cloud Agentを再起動するには:

  1. インスタンスにログインします。インスタンスへの接続を参照してください。
  2. Oracle Cloud Agentサービスを再起動します。
    Oracle Linux 7およびOracle Linux 8
    sudo systemctl restart oracle-cloud-agent.service
    Oracle Linux 6
    sudo initctl restart oracle-cloud-agent
ノート

動的グループを設定するステップなど、これらの各ポリシーの詳細は、「詳細なステップ」を参照してください。OS管理権限の詳細は、OS管理ポリシー・リファレンスを参照してください。
詳細ステップ
ノート

IAMポリシーを作成する前に、まず動的グループを作成する必要があります。
  1. 動的グループのインスタンスに、認可のために詳細を取得する権限を付与するポリシーを作成します。

    たとえば、テナンシのポリシーを設定するには:

    Allow dynamic-group <dynamic_group_name> to read instance-family in tenancy

    たとえば、指定したコンパートメントにポリシーを設定するには:

    Allow dynamic-group <dynamic_group_name> to read instance-family in compartment <compartment_name>
  2. OS管理サービスへのアクセス権をインスタンスに付与するポリシーを作成します。

    たとえば、テナンシのポリシーを設定するには:

    Allow dynamic-group <dynamic_group_name> to use osms-managed-instances in tenancy

    たとえば、指定したコンパートメントにポリシーを設定するには:

    Allow dynamic-group <dynamic_group_name> to use osms-managed-instances in compartment <compartment_name>
  3. テナンシ内のインスタンス情報のreadへのOS管理サービス権限を付与するポリシーを作成します。このポリシーにより、OS管理サービスがメトリックを生成できるようになります。

    重要

    このポリシーはテナンシ・レベルで指定する必要があります。

    例:

    Allow service osms to read instances in tenancy

    OS管理のメトリックの詳細は、OS管理メトリックを参照してください。

  4. Oracle Cloud Agentを再起動します

    Oracle Linuxインスタンスで Oracle Cloud Agentを再起動するには:

    1. インスタンスにログインします。インスタンスへの接続を参照してください。
    2. Oracle Cloud Agentサービスを再起動します。
      Oracle Linux 7およびOracle Linux 8
      sudo systemctl restart oracle-cloud-agent.service
      Oracle Linux 6
      sudo initctl restart oracle-cloud-agent

新しいコンピュート・インスタンスのOS管理の有効化

コンソールの使用
  1. 拡張オプションが表示されるまで、インスタンスを作成するステップに従います。前提条件の説明に従って、インスタンスにパブリックIPアドレスまたはサービス・ゲートウェイがあることを確認します。
  2. OS管理サービス・エージェントのプラグインを有効にします。
  3. 「拡張オプションの表示」をクリックします。
  4. 「Oracle Cloudエージェント」タブで、「OS管理サービス・エージェント」チェック・ボックスを選択します。このチェック・ボックスはデフォルトで選択済です。
    ノート

    古いOracle提供のイメージ、または最新のOracle提供のイメージに基づいていないカスタム・イメージを使用している場合は、Oracle Cloud Agentソフトウェアを手動でインストールする必要があります。これを行うには、cloud-initスクリプトを指定します。詳細は、Oracle Cloud Agentソフトウェアのインストールを参照してください。イメージの日付を、サポートされているイメージにリストされている日付と比較します。

  5. 作成」をクリックします。

    重要

    OS管理サービスに登録すると、Oracle Linuxインスタンスはデフォルト・チャネル・リストをサブスクライブし、その他のチャネル・サブスクリプションはすべて無効になります。これらのチャネルを再度有効化する必要がある場合は、コンソール、CLIまたはREST APIを使用して再度有効化できます。詳細は、ソフトウェア・ソースの管理を参照してください。
APIの使用
ノート

古いOracle提供のイメージ、または最新のOracle提供のイメージに基づいていないカスタム・イメージを使用している場合は、Oracle Cloud Agentソフトウェアを手動でインストールする必要があります。これを行うには、cloud-initスクリプトを指定します。詳細は、Oracle Cloud Agentソフトウェアのインストールを参照してください。イメージの日付を、サポートされているイメージにリストされている日付と比較します。

  1. 前提条件の説明に従って、インスタンスにパブリックIPアドレスまたはサービス・ゲートウェイがあることを確認します。
  2. LaunchInstance操作を使用します。次のパラメータを含めます:
    {
      "agentConfig": {
        "isManagementDisabled": false,
        "pluginsConfig": [
          {
            "name": "OS Management Service Agent",
            "desiredState": "ENABLED"
          }
        ]
      }
    }
  3. OS管理サービス・エージェント・プラグインのステータスの確認に進みます
重要

OS管理サービスに登録すると、Oracle Linuxインスタンスはデフォルト・チャネル・リストをサブスクライブし、その他のチャネル・サブスクリプションはすべて無効になります。これらのチャネルを再度有効化する必要がある場合は、コンソール、CLIまたはREST APIを使用して再度有効化できます。詳細は、ソフトウェア・ソースの管理を参照してください。

既存のコンピュート・インスタンスに対するOS管理サービス・エージェント・プラグインの有効化

コンソールの使用
  1. Oracle Cloud Agentソフトウェアがまだインストールされていない場合は、インストールします。
  2. ナビゲーション・メニューを開き、「Compute」、「Instances」の順にクリックします。
  3. 関心のあるインスタンスをクリックします。
  4. 「Oracle Cloud Agent」タブをクリックします。
  5. スイッチが無効になっている場合、「プラグインの有効化」スイッチを「有効」に切り替えます。

    変更が有効になるまで最大10分かかります。

    プラグインを有効にして実行する方法の詳細は、Oracle Cloud Agentを使用したプラグインの管理を参照してください。

  6. OS管理サービス・エージェント・プラグインのステータスの確認に進みます
重要OS管理サービスに登録

すると、Oracle Linuxインスタンスはデフォルト・チャネル・リストにサブスクライブし、その他のチャネル・サブスクリプションはすべて無効になります。これらのチャネルを再度有効化する必要がある場合は、コンソール、CLIまたはREST APIを使用して再度有効化できます。
APIの使用
  1. Oracle Cloud Agentソフトウェアがまだインストールされていない場合は、インストールします。
  2. LaunchInstance操作を使用します。次のパラメータを含めます:
    {
      "agentConfig": {
        "isManagementDisabled": false,
        "areAllPluginsDisabled": false,
        "pluginsConfig": [
          {
            "name": "OS Management Service Agent",
            "desiredState": "ENABLED"
          }
        ]
      }
    }
  3. 前提条件の説明に従って、インスタンスにパブリックIPアドレスまたはサービス・ゲートウェイがあることを確認します。
  4. OS管理サービス・エージェント・プラグインのステータスの確認に進みます
重要OS管理サービスに登録

すると、Oracle Linuxインスタンスはデフォルト・チャネル・リストにサブスクライブし、その他のチャネル・サブスクリプションはすべて無効になります。これらのチャネルを再度有効化する必要がある場合は、コンソール、CLIまたはREST APIを使用して再度有効化できます。

OS管理サービス・エージェント・プラグインの無効化

コンソールの使用
  1. ナビゲーション・メニューを開き、「Compute」、「Instances」の順にクリックします。
  2. 関心のあるインスタンスをクリックします。
  3. 「Oracle Cloud Agent」タブをクリックします。
  4. スイッチが有効になっている場合は、「プラグインの有効化」スイッチを「無効」に切り替えます。

    変更が有効になるまで最大10分かかります。

    プラグインを有効にして実行する方法の詳細は、Oracle Cloud Agentを使用したプラグインの管理を参照してください。

  5. OS管理サービス・エージェント・プラグインを無効にした後、インスタンスのyum構成をリストアします。
    1. インスタンスにログインします。インスタンスへの接続を参照してください。
    2. OS管理サービスからインスタンスの登録を解除します。
      sudo osms unregister
APIの使用
  1. LaunchInstance操作を使用します。次のパラメータを含めます:
    {
      "agentConfig": {
        "isManagementDisabled": false,
        "areAllPluginsDisabled": false,
        "pluginsConfig": [
          {
            "name": "OS Management Service Agent",
            "desiredState": "DISABLED"
          }
        ]
      }
    }
  2. OS管理サービス・エージェント・プラグインを無効にした後、インスタンスのyum構成をリストアします。
    1. インスタンスにログインします。インスタンスへの接続を参照してください。
    2. OS管理サービスからインスタンスの登録を解除します。
      sudo osms unregister

OS管理サービス・エージェント・プラグインのステータスの確認

Oracle Linuxインスタンス
重要

OS管理サービス・エージェント・プラグインには、Oracle Cloud Agent 1.2.0以上が必要です。
  1. インスタンスにログインします。インスタンスへの接続を参照してください。
  2. インスタンスがOS管理取込みサービスにアクセスできるかどうかを検証します。
    
    curl https://ingestion.osms.<region>.oci.oraclecloud.com/
    

    <region>には、リージョン識別子(たとえば、us-phoenix-1)を指定します。リージョン識別子の詳細は、リージョンおよび可用性ドメインを参照してください。

    たとえば、次のサンプル出力は、インスタンスがOS管理取込みサービスに正常にアクセスできることを示しています。

    ノート

    403 Forbiddenステータス・コード・メッセージが出力に表示されます。
    <html>
    <head><title>403 Forbidden</title></head>
    <body bgcolor="white">
    <center><h1>403 Forbidden</h1></center>
    <hr><center>nginx/1.14.2</center>
    </body>
    </html>
    
  3. yum構成を検証します。
    ls /etc/yum.repos.d
    1. 既存のyumリポジトリ構成が無効になっていることを確認します。
    2. /etc/yum.repos.dディレクトリの*.repoファイルが、同じディレクトリの*.repo.osms-backupにバックアップされていることを確認します。

    例:

    $ ls /etc/yum.repos.d
    ksplice-ol7.repo.osms-backup                oracle-linux-ol7.repo.osms-backup
    ksplice-uptrack.repo.osms-backup            oracle-softwarecollection-ol7.repo.osms-backup
    oci-included-ol7.repo.osms-backup           uek-ol7.repo.osms-backup
    oracle-epel-ol7.repo.osms-backup            virt-ol7.repo.osms-backup
    oraclelinux-developer-ol7.repo.osms-backup
  4. OS管理サービス・エージェント・プラグインがインスタンスで実行されていることを確認します。
    ps -elf | grep osms | grep -v grep

    例:

    $ ps -elf | grep osms | grep -v grep
    4 S root     24269 24245  0  80   0 - 62257 -      Jun30 ?        00:00:00 /usr/bin/sudo -n /usr/libexec/oracle-cloud-agent/plugins/osms/osms-agent
    4 S root     24273 24269  0  80   0 -  2165 -      Jun30 ?        00:00:00 /usr/libexec/oracle-cloud-agent/plugins/osms/osms-agent
    4 S root     24274 24273  0  80   0 - 406892 -     Jun30 ?        00:50:28 /usr/libexec/oracle-cloud-agent/plugins/osms/osms-agent
    ノート

    OS管理サービス・エージェント・プラグインがインストールされていないか停止されている場合、このコマンドの出力は表示されません。

OS管理サービス・エージェントのプラグインが実行されると、管理対象インスタンスを設定するためのタスクの開始が完了しています。これで、OS管理サービスを使用してインスタンスを管理できます。「次の作業」に進みます。

Windowsインスタンス
  1. インスタンスにログインします。インスタンスへの接続を参照してください。
  2. 次のいずれかの手順を実行します:

    Windows PowerShellを使用してOracle Cloud Agentのステータスを確認するには:

    1. Windows PowerShellを開きます。

    2. Get-Service OCAOSMSコマンドを実行し、ステータスが実行中であることを確認します。

      例:

      PS C:\Users\opc> Get-Service OCAOSMS
      Status   Name               DisplayName
      ------   ----               -----------
      Running  OCAOSMS            Oracle Cloud Operating System Manag...
                                  

    コンピューターの管理を使用してOracle Cloud Agentのステータスを確認するには:

    1. 「コンピューターの管理」に移動します。
      ヒント

      「検索」列で、コンピューターの管理またはcompmgmt.mscのキーワードで検索すると、「コンピューターの管理」に移動できます。
    2. 「サービスとアプリケーション」「サービス」の順にクリックします。

    3. Oracle Cloud Agentサービスが実行されていることを確認します。

OS管理サービス・エージェントのプラグインが実行されると、管理対象インスタンスを設定するためのタスクの開始が完了しています。これで、OS管理サービスを使用してインスタンスを管理できます。

次の作業

管理対象インスタンスの設定後、OS管理サービスを使用して、これらのインスタンスを最新のパッチおよび更新で最新の状態に保つことができます。

管理対象インスタンスの作成後に実行する一般的なタスクは、次のとおりです。