Oracle Cloud Infrastructureドキュメント

OS管理の開始

ポリシーを設定し、新規または既存のコンピュート・インスタンスでOS管理を有効にします。

管理対象インスタンスの設定の一般ワークフロー

  1. OS管理サービスをサポートするOracle提供のイメージのリストを確認します。サポートされている環境を参照してください。
  2. 管理対象インスタンスを設定するための前提条件を確認します。前提条件を参照してください。
  3. OS管理サービスのIAMポリシーを設定します。OS管理のIAMポリシーの設定を参照してください。
  4. 新規または既存のインスタンスでOS管理を有効にします。新しいコンピュート・インスタンスに対するOS管理の有効化および既存のコンピュート・インスタンスに対するOS管理サービス・エージェント・プラグインの有効化を参照してください。
  5. OS管理サービス・エージェント・プラグインのステータスを確認します。OS管理サービス・エージェント・プラグインのステータスの確認を参照してください。
  6. OS管理サービスを使用してインスタンスの管理を開始します。次の作業を参照してください。

サポートされている環境

OS管理は、次のOracle LinuxおよびWindowsプラットフォーム・イメージに含まれています。プラットフォーム・イメージの詳細は、プラットフォーム・イメージを参照してください。

また、必要なOracle Cloud Agentをインストールし、OS管理サービス・エージェント・プラグインを有効にすることで、OS管理カスタム・イメージを構成できます。Oracle Cloud Agentをカスタム・イメージに追加する方法の詳細は、Oracle Cloud Agentを使用したプラグインの管理を参照してください。

ノート

OS管理では、OSベンダーの更新およびコンテンツが使用されます。カスタム・イメージを使用する場合は、サポートされているOSリリースを使用していることを確認してください。

Oracle Linux
  • Oracle Linux 6以降
  • Oracle Linux 7以降
  • Oracle Linux 8以降
  • Oracle Linux 9以降
  • 2021年8月のプラットフォーム・イメージ以降のOracle Autonomous Linux。詳細は、Oracle Autonomous Linuxを参照してください。
重要

  • 2024年4月にリリースされたOracle Linuxプラットフォーム・イメージ以降、OS管理サービス・エージェント・プラグインは、Oracle LinuxインスタンスのOracle Cloud Agent 1.40.0ではデフォルトで無効になっています。

  • 2021年10月にリリースされたOracle Linux 8プラットフォーム・イメージ以降、OS管理サービス・エージェント・プラグインは、Oracle Linux 8インスタンスのOracle Cloud Agent 1.16.0でデフォルトで有効になっています。

    2021年10月より前に起動された(Oracle Cloud Agent 1.15.0以前を実行している)Oracle Linux 8インスタンスの場合、OS管理サービス・エージェント・プラグインはデフォルトで無効になっています。無効化されているOracle Linux 8インスタンスのOS管理サービス・エージェント・プラグインは、Oracle Cloud Agent 1.16.0への更新後も無効のままです。

    無効なOracle 8インスタンスの場合、Oracle Cloud Agent 1.16.0への更新後に、OS管理サービス・エージェント・プラグインのステータスに相違が見られる場合があります。詳細は、既知の問題を参照してください。

  • Oracle Cloud Agent 1.15.0以降、OS管理サービスはArmベースのAmpere A1コンピュート・シェイプでサポートされています。

  • 2020年9月にリリースされたOracle Linuxプラットフォーム・イメージ以降、OS Managementサービスは、すべてのOracle LinuxインスタンスにOS管理サービス・エージェント・プラグインを使用します。OS管理サービス・エージェント・プラグインは、OS管理サービス・エージェント (osms-agent)パッケージを置き換えます。OS管理サービス・エージェント・プラグインの詳細は、OS管理のコンポーネントと機能を参照してください。

Windows
  • Windows Server 2012 R2 Standard、Datacenter
  • Windows Server 2016 Standard、Datacenter
  • Windows Server 2019 Standard、Datacenter
  • Windows Server 2022 Standard、Datacenter

前提条件

重要

OS管理は、Oracle Cloud Free Tierでは使用できません。

  • イメージ: サポートされているイメージを使用します。詳細は、サポートされている環境を参照してください。
  • IAMポリシー: OS管理サービスに必要なIAMポリシーを設定します。詳細は、OS管理のIAMポリシーの設定を参照してください。
  • セキュリティ・リスト(Windowsインスタンスのみ): Windows更新サーバーへのアクセスを許可するセキュリティ・リストまたはネットワーク・ルールを定義します。詳細は、WindowsイメージのWindows OS更新を参照してください。

  • サービス・ゲートウェイまたはパブリックIPアドレス(Linuxインスタンスのみ): 次のいずれかを持つ仮想クラウド・ネットワーク(VCN)にインスタンスをアタッチします:

    • Oracle Services NetworkのCIDRラベルの<region>のサービスをすべて使用するサービス・ゲートウェイを持つプライベート・サブネット。

    • NATゲートウェイを使用するプライベート・サブネット。

    • インターネット・ゲートウェイを使用するパブリック・サブネット。

    詳細な手順は、Oracle Servicesへのアクセス: サービス・ゲートウェイを参照してください。

  • Oracle Cloud Agent: Oracle Cloud Agentソフトウェアがインスタンスにインストールされ、実行されていることを確認します。デフォルトでは、Oracle Cloud Agentは現在のOracle提供のイメージにインストールされます。Oracle Cloud Agentを古いイメージに手動でインストールするステップは、Oracle Cloud Agentソフトウェアのインストールを参照してください。
  • OS管理サービス・エージェント・プラグイン: OS管理サービス・エージェント・プラグインが有効で、インスタンス上で実行されていることを確認します。デフォルトでは、OS管理サービス・エージェント・プラグインは有効になっており、現在のOracle提供のイメージで実行されています。

OS管理のIAMポリシーの設定

このトピックでは、OS管理サービスを使用するために必要なポリシーを設定する方法について説明します。

ノート

  • ポリシーの作成に必要な権限が必要です。必要な権限がない場合は、テナンシの管理者と協力して、ポリシーを作成する権限を取得するか、ポリシーを作成してもらいます。
  • OS管理サービスのポリシーの設定の詳細は、OS管理サービスの詳細を参照してください。

必要な動的グループ

OS管理に必要なIAMポリシーを作成する前に、まず動的グループを作成する必要があります。動的グループには、インスタンスOCIDに基づくインスタンスを含めることも、コンパートメントOCIDに基づいてコンパートメントに存在するインスタンスを含めることもできます。動的グループの詳細は、動的グループの管理を参照してください。

動的グループを作成する場合は、ルール・ビルダーを使用して、一致ルール文にグループ・メンバーを定義します。

重要

1つのインスタンスは、最大5つの動的グループに属することができます。サービスごとに1つ以上の動的グループを作成するのではなく、サービス全体で可能なかぎり同じ動的グループを再利用することをお薦めします。

一致ルールを定義する場合は、一致ルール文の条件を設定します:

  • 次のすべて(All)では、ルール内のすべての文に一致するインスタンスのみが含まれます。

  • 次のいずれか(Any)では、ルール内のいずれかの文に一致するインスタンスが含まれます。

一致ルール文を作成する場合は、次のガイドラインに従ってください:

  • 1つ以上のルールを追加すると、ポリシーで許可されるインスタンスを定義できます

  • All文では、一致するすべてのルール文がtrueである必要があります。この条件では、単一のルールまたは複数のルールで複数のコンパートメントまたはインスタンスをグループに追加すると、問題が発生する可能性があります。Allを使用する場合、各ルール条件を満たす(true)必要があります。満たさない場合、リクエストは拒否されます。

  • 動的グループはコンパートメントの継承をサポートしていません。インスタンスが存在するコンパートメントのコンパートメントOCIDを必ず指定してください。

ヒント

インスタンスのOCIDは「インスタンスの詳細」ページに表示され、コンパートメントのOCIDは「コンパートメント」ページに表示されるか、oci metadataユーティリティを使用して表示されます。

動的グループを作成した後、IAMポリシーを作成して、インスタンスがOS管理サービスに対してAPIコールを実行することを許可できます。

必要なユーザー・グループ

OS管理に必要なIAMポリシーを作成する前に、ユーザーのユーザー・グループを作成する必要があります。このユーザー・グループは、ユーザーがOS管理サービスと対話できるようにするポリシーで使用されます。ユーザー・グループの詳細は、グループの管理を参照してください。

例: 動的グループ

一致ルール文でのAnyおよびAll条件の使用を理解するのに役立つ動的グループの例を示します。

Any条件およびAll条件の理解

ポリシー・ルール: Allを使用する場合、ポリシーがtrueであるためには、インスタンスがすべてのルール文と一致する必要があります。 

All {instance.id = 'ocid1.instance1.oc1.iad..exampleuniqueid1', instance.compartment.id ='ocid1.compartmentA.oc1..exampleuniqueid2'}

この例では、ポリシーがtrueになるには、instance1 (ocid1.instance1.oc1.iad..exampleuniqueid1)がcompartmentA (ocid1.compartmentA.oc1..exampleuniqueid2)に存在する必要があります。instance1がcompartmentAにない場合、一致文はfalseになり、サービスは失敗します。

同じ例を使用して、AllAnyに変更すると、instance1のOCIDに一致するインスタンスまたはcompartmentAのインスタンスのいずれかがtrueになります。

Any {instance.id = 'ocid1.instance1.oc1.iad..exampleuniqueid1', instance.compartment.id ='ocid1.compartmentA.oc1..exampleuniqueid2'}

必要なIAMポリシー

インスタンスをOS管理サービスに登録するには、インスタンスによるOS管理の使用を許可するポリシーを作成する必要があります。

IAMポリシーを作成する前に、まず動的グループを作成する必要があります。

ノート

グループ名または動的グループ名(<identity_domain_name>/<dynamic_group_name>など)の前にアイデンティティ・ドメインを定義しないかぎり、ポリシー・ステートメントはデフォルトのアイデンティティ・ドメインを使用します。詳細は、ポリシー構文を参照してください。
必要なIAMポリシー
OS管理に必要なIAMポリシーは、テナンシ・レベルまたはコンパートメント・レベルで設定できます。

OS管理に必要なIAMポリシーをテナンシに適用するには、次のポリシーを使用します。 

Allow group <group_name> to manage osms-family in tenancy
Allow dynamic-group <dynamic_group_name> to read instance-family in tenancy
Allow dynamic-group <dynamic_group_name> to use osms-managed-instances in tenancy

テナンシ管理者がテナンシ・レベルでのIAMポリシーの設定を許可しない場合、OS管理リソースの管理をコンパートメントに制限できます。OS管理のIAMポリシーをテナント内のコンパートメントにのみ適用するには、次のポリシーを使用します。 

Allow group <group_name> to manage osms-family in compartment <compartment_name>
Allow dynamic-group <dynamic_group_name> to read instance-family in compartment <compartment_name>
Allow dynamic-group <dynamic_group_name> to use osms-managed-instances in compartment <compartment_name>
メトリックに必要なIAMポリシー

OS管理サービスがメトリックを発行できるようにするには、次のポリシーを使用します。

重要

このポリシーは、テナンシ・レベルで指定する必要があります。
Allow service osms to read instances in tenancy

ポリシーを設定した後、Oracle Cloud Agentを再起動する必要があります。

Oracle Linuxインスタンスで Oracle Cloud Agentを再起動するには:

  1. インスタンスにログインします。インスタンスへの接続を参照してください。
  2. Oracle Cloud Agentサービスを再起動します。
    Oracle Linux 7およびOracle Linux 8
    sudo systemctl restart oracle-cloud-agent.service
    Oracle Linux 6
    sudo initctl restart oracle-cloud-agent

新しいコンピュート・インスタンスに対するOS管理の有効化

コンソールの使用
  1. 拡張オプションまで、ステップに従ってインスタンスを作成します。前提条件に説明されているように、パブリックIPアドレスまたはサービス・ゲートウェイがインスタンスにあることを確認します。
  2. OS管理サービス・エージェント・プラグインを有効にします。
  3. 「拡張オプションの表示」をクリックします。
  4. 「Oracle Cloud Agent」タブで、「OS管理サービス・エージェント」チェック・ボックスを選択します。
    ノート

    古いOracle提供のイメージまたは最新のOracle提供のイメージに基づいていないカスタム・イメージを使用している場合は、Oracle Cloud Agentソフトウェアを手動でインストールする必要があります。これを行うには、cloud-initスクリプトを指定します。詳細は、Oracle Cloud Agentソフトウェアのインストールを参照してください。イメージの日付を、サポートされているイメージにリストされている日付と比較します。

  5. 「作成」をクリックします。

    重要

    OS管理サービスに登録すると、Oracle Linuxインスタンスはデフォルトのチャネル・リストをサブスクライブし、他のすべてのチャネル・サブスクリプションは無効になります。これらのチャネルを再度有効化する必要がある場合は、コンソール、CLIまたはREST APIを使用して再度有効化できます。詳細は、ソフトウェア・ソースの管理を参照してください。
APIの使用
ノート

古いOracle提供のイメージまたは最新のOracle提供のイメージに基づいていないカスタム・イメージを使用している場合は、Oracle Cloud Agentソフトウェアを手動でインストールする必要があります。これを行うには、cloud-initスクリプトを指定します。詳細は、Oracle Cloud Agentソフトウェアのインストールを参照してください。イメージの日付を、サポートされているイメージにリストされている日付と比較します。

  1. 前提条件に説明されているように、パブリックIPアドレスまたはサービス・ゲートウェイがインスタンスにあることを確認します。
  2. LaunchInstance操作を使用します。次のパラメータを含めます: 
    {
  "agentConfig": {
    "isManagementDisabled": false,
    "pluginsConfig": [
      {
        "name": "OS Management Service Agent",
        "desiredState": "ENABLED"
      }
    ]
  }
}
  3. OS管理サービス・エージェント・プラグインのステータスの確認に進みます。
重要

OS管理サービスに登録すると、Oracle Linuxインスタンスはデフォルトのチャネル・リストをサブスクライブし、他のすべてのチャネル・サブスクリプションは無効になります。これらのチャネルを再度有効化する必要がある場合は、コンソール、CLIまたはREST APIを使用して再度有効化できます。詳細は、ソフトウェア・ソースの管理を参照してください。

既存のコンピュート・インスタンスに対するOS管理サービス・エージェント・プラグインの有効化

コンソールの使用
  1. Oracle Cloud Agentソフトウェアがまだインストールされていない場合は、インストールします。
  2. ナビゲーション・メニューを開き、「コンピュート」をクリックし、「インスタンス」をクリックします。
  3. 関心のあるインスタンスをクリックします。
  4. 「Oracle Cloudエージェント」タブをクリックします。
  5. OS管理サービス・エージェント・プラグインで、スイッチが無効になっている場合は、「プラグインの有効化」スイッチを「有効」に切り替えます。

    この変更が有効になるには最大10分かかります。

    プラグインを有効にして実行する方法の詳細は、Oracle Cloud Agentを使用したプラグインの管理を参照してください。

  6. OS管理サービス・エージェント・プラグインのステータスの確認に進みます。
重要

OS管理サービスに登録すると、Oracle Linuxインスタンスはデフォルトのチャネル・リストをサブスクライブし、他のすべてのチャネル・サブスクリプションは無効になります。これらのチャネルを再度有効化する必要がある場合は、コンソール、CLIまたはREST APIを使用して再度有効化できます。
APIの使用
  1. Oracle Cloud Agentソフトウェアがまだインストールされていない場合は、インストールします。
  2. LaunchInstance操作を使用します。次のパラメータを含めます: 
    {
  "agentConfig": {
    "isManagementDisabled": false,
    "areAllPluginsDisabled": false,
    "pluginsConfig": [
      {
        "name": "OS Management Service Agent",
        "desiredState": "ENABLED"
      }
    ]
  }
}
  3. 前提条件に説明されているように、パブリックIPアドレスまたはサービス・ゲートウェイがインスタンスにあることを確認します。
  4. OS管理サービス・エージェント・プラグインのステータスの確認に進みます。
重要

OS管理サービスに登録すると、Oracle Linuxインスタンスはデフォルトのチャネル・リストをサブスクライブし、他のすべてのチャネル・サブスクリプションは無効になります。これらのチャネルを再度有効化する必要がある場合は、コンソール、CLIまたはREST APIを使用して再度有効化できます。

OS管理サービス・エージェント・プラグインの無効化

コンソールの使用
  1. ナビゲーション・メニューを開き、「コンピュート」をクリックし、「インスタンス」をクリックします。
  2. 関心のあるインスタンスをクリックします。
  3. 「Oracle Cloudエージェント」タブをクリックします。
  4. スイッチが有効になっている場合は、「プラグインの有効化」スイッチを「無効」に切り替えます。

    この変更が有効になるには最大10分かかります。

    プラグインを有効にして実行する方法の詳細は、Oracle Cloud Agentを使用したプラグインの管理を参照してください。

  5. OS管理サービス・エージェント・プラグインを無効にした後、インスタンスのyum構成をリストアします。
    1. インスタンスにログインします。インスタンスへの接続を参照してください。
    2. OS管理サービスからインスタンスを登録解除します。 
      sudo osms unregister
APIの使用
  1. LaunchInstance操作を使用します。次のパラメータを含めます: 
    {
  "agentConfig": {
    "isManagementDisabled": false,
    "areAllPluginsDisabled": false,
    "pluginsConfig": [
      {
        "name": "OS Management Service Agent",
        "desiredState": "DISABLED"
      }
    ]
  }
}
  2. OS管理サービス・エージェント・プラグインを無効にした後、インスタンスのyum構成をリストアします。
    1. インスタンスにログインします。インスタンスへの接続を参照してください。
    2. OS管理サービスからインスタンスを登録解除します。 
      sudo osms unregister

OS管理サービス・エージェント・プラグインのステータスの確認

Oracle Linuxインスタンス
重要

OS管理サービス・エージェント・プラグインには、Oracle Cloud Agent 1.2.0以上が必要です。
  1. インスタンスにログインします。インスタンスへの接続を参照してください。
  2. インスタンスがOS管理取込みサービスにアクセスできるかどうかを検証します。 
    
curl https://ingestion.osms.<region>.oci.oraclecloud.com/

    <region>には、リージョン識別子(たとえば、us-phoenix-1)を指定します。リージョン識別子の詳細は、リージョンおよび可用性ドメインを参照してください。

    たとえば、次のサンプル出力は、インスタンスがOS管理取込みサービスに正常にアクセスできることを示しています。

    ノート

    403 Forbiddenステータス・コード・メッセージが出力に表示されます。
    <html>
<head><title>403 Forbidden</title></head>
<body bgcolor="white">
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.14.2</center>
</body>
</html>
  3. yum構成を確認します。 
    ls /etc/yum.repos.d
    1. 既存のyumリポジトリ構成が無効になっていることを確認します。
    2. /etc/yum.repos.dディレクトリの*.repoファイルが同じディレクトリの*.repo.osms-backupにバックアップされていることを確認します。

    例:

    $ ls /etc/yum.repos.d
ksplice-ol7.repo.osms-backup                oracle-linux-ol7.repo.osms-backup
ksplice-uptrack.repo.osms-backup            oracle-softwarecollection-ol7.repo.osms-backup
oci-included-ol7.repo.osms-backup           uek-ol7.repo.osms-backup
oracle-epel-ol7.repo.osms-backup            virt-ol7.repo.osms-backup
oraclelinux-developer-ol7.repo.osms-backup
  4. OS管理サービス・エージェント・プラグインがインスタンスで実行されていることを確認します。 
    ps -elf | grep osms | grep -v grep

    例:

    $ ps -elf | grep osms | grep -v grep
4 S root     24269 24245  0  80   0 - 62257 -      Jun30 ?        00:00:00 /usr/bin/sudo -n /usr/libexec/oracle-cloud-agent/plugins/osms/osms-agent
4 S root     24273 24269  0  80   0 -  2165 -      Jun30 ?        00:00:00 /usr/libexec/oracle-cloud-agent/plugins/osms/osms-agent
4 S root     24274 24273  0  80   0 - 406892 -     Jun30 ?        00:50:28 /usr/libexec/oracle-cloud-agent/plugins/osms/osms-agent
    ノート

    OS管理サービス・エージェント・プラグインがインストールされていないか停止されている場合、このコマンドの出力は表示されません。

OS管理サービス・エージェント・プラグインが実行されたら、管理対象インスタンスを設定するための開始タスクは完了です。これで、OS管理サービスを使用してインスタンスを管理できます。次の作業に進みます。

Windowsインスタンス
  1. インスタンスにログインします。インスタンスへの接続を参照してください。
  2. 次のいずれかの手順を実行します:

    Windows PowerShellを使用してOracle Cloud Agentのステータスを確認するには:

    1. Windows PowerShellを開きます。

    2. Get-Service OCAOSMSコマンドを実行し、ステータスが実行中であることを確認します。

      例:

      PS C:\Users\opc> Get-Service OCAOSMS
Status   Name               DisplayName
------   ----               -----------
Running  OCAOSMS            Oracle Cloud Operating System Manag...

    コンピューターの管理を使用してOracle Cloud Agentのステータスを確認するには:

    1. 「コンピューターの管理」に移動します。
      ヒント

      「検索」列で、コンピューターの管理またはcompmgmt.mscのキーワードで検索すると、「コンピューターの管理」に移動できます。

    2. 「サービスとアプリケーション」「サービス」の順にクリックします。

    3. Oracle Cloud Agentサービスが実行されていることを確認します。

OS管理サービス・エージェント・プラグインが実行されたら、管理対象インスタンスを設定するための開始タスクは完了です。これで、OS管理サービスを使用してインスタンスを管理できます。

次の作業

管理対象インスタンスの設定後、OS管理サービスの使用を開始して、それらのインスタンスを最新のパッチおよび更新で最新の状態に保つことができます。

管理対象インスタンスの作成後に実行する一般的なタスクは、次のとおりです: