Oracle Cloud Infrastructureドキュメント

OS管理ハブの開始

サービスを有効にしてインスタンスを登録する前に、サービスの前提条件が満たされていることを確認して、OS管理ハブの使用を開始します。

次の図は、サービスの開始の概要を示しています。アイテムをクリックすると、詳細が表示されます。

はじめに フローチャート手順については、前後のテキストを参照してください。ポリシー・アドバイザの使用OS管理ハブ・ポリシーの手動作成ベンダー・ソフトウェア・ソースの追加サードパーティまたはプライベート・ソフトウェア・ソースの追加カスタム・ソフトウェア・ソースの作成バージョニング済カスタム・ソフトウェア・ソースの作成グループの作成ライフサイクル環境の作成プロファイルの作成OCIインスタンスの登録管理エージェントCloud Serviceキー(OCI以外のインスタンスの場合のみ)管理ステーションの作成管理ステーションの登録プロファイルの作成非OCIインスタンスの登録サポートされている環境コンパートメントに関する考慮事項Kspliceに関する考慮事項(Oracle Linuxの場合のみ)オンプレミスまたはサポートされているサードパーティ・クラウド・インスタンスOCIインスタンス資格の追加

以下を完了して始めましょう:

確認:

ポリシーの定義:

オンプレミスまたはサードパーティのクラウド・インスタンスを登録します。

サポートされている環境

OS Management Hubは、OCIインスタンスおよびオンプレミスまたはサードパーティ・クラウド・インスタンスを管理できるOracle Cloud Infrastructureサービスです。管理する環境で、インスタンスのOSバージョンがサポートされていることを確認します。

ノート

OS管理ハブは、Oracle Cloud Free Tierインスタンスでは使用できません。Oracle Cloud Applicationテナンシを使用している場合、必要なOCIアクセス権がない可能性があります。セールス要員に連絡します。Oracleのクラウド・サービスの詳細をご覧ください

サブスクリプション要件

  • Oracle Cloud Infrastructure Computeインスタンス(OCIインスタンス)は、Premier Supportを無料で受け取ります。

  • オンプレミスまたはサードパーティ・クラウド環境では、OS管理ハブを使用するには、有効なOracle Linux BasicまたはPremier Supportサブスクリプションが必要です。

サポートされているOSバージョン

OCIインスタンス

OS管理ハブは、Oracle LinuxおよびWindowsのプラットフォーム・イメージで次のOSバージョンでサポートされています。必要なOracle Cloud AgentをインストールしてOS管理ハブ・エージェント・プラグインを有効にすることで、OS管理ハブのカスタム・イメージを構成することもできます。

  • Oracle Linux 7、8または9

  • Windows Server 2016、2019または2022 Standard、Datacenter
ノート

OS管理ハブでは、Oracle Linux 6はサポートされなくなりました。Oracle Linux 6の拡張サポートは、2024年12月31日に終了しました。OSライフサイクルおよびサポートを参照してください。
重要

OS管理ハブには、Oracle Cloud Agentバージョン1.40以上が必要です。2024年4月より前にリリースされたプラットフォーム・イメージを使用するインスタンスの場合、Oracle Cloud Agentをアップグレードして1.40以上にします。
オンプレミスまたはサードパーティのクラウド・インスタンス
  • Oracle Linux 7、8または9 (x86-64のみ)

OSのライフサイクルとサポート

OSがサポート・ライフサイクルの終わりに達すると、OSベンダーはOSのセキュリティ更新を提供しなくなります。セキュリティを維持するために、最新バージョンにアップグレードしてください。OSバージョンがそのサポート・ライフサイクルの終わりに達すると、OS管理ハブは次のようになります。

  • サービスに必要なエージェントまたはプラグインの更新は提供されなくなりました。
  • OSバージョンがサポートされていないとみなします。
  • サポートされていないOSバージョンのインスタンスは登録されなくなりました。
  • サポートされていないOSバージョンを登録解除し、サポートされていないOSバージョンに関連付けられたリソースおよび参照を削除する場合があります。

さらに、OSベンダーがソフトウェア・リポジトリを廃止または廃止すると、OS管理ハブはリポジトリからパッケージまたは更新を提供できなくなります。

Oracle Linux
Oracle Linux Lifetime Support Policyを参照してください。Oracle Linuxリリースのサポート層は次のとおりです。
  • 基本サポート: パッチ、修正、セキュリティ・パッチおよびセキュリティ・アラートへのアクセスが含まれます。
  • Premier Support: パッチ、修正プログラム、セキュリティ・パッチおよびセキュリティ・アラートへのアクセスが含まれます。さらに、Kspliceカーネルおよびユーザー・スペースのパッチ適用も含まれます。
  • Extended Support: Premier Supportの終了後に利用できます。重要なセキュリティ・エラッタへのアクセス、および影響の大きいクリティカル・バグ修正の選択が含まれます。Oracle Linux Extended Supportを参照してください。

OCI Computeサブスクリプションには、Oracle Cloud Infrastructure内のOracle LinuxインスタンスのPremierおよびExtendedサポートが含まれます。非OCIインスタンスの場合、サポート・サービスは別途購入されます。Oracle LinuxリリースのExtended Supportが終了すると、OS管理ハブではサポートされなくなります。

Microsoft Windows
Microsoft Windows Serverのライフサイクル情報を参照してください。

サポートされるサードパーティ・クラウド

OS管理ハブは、次のサードパーティ・クラウドでOracle Linuxインスタンスを管理できます:

  • Amazon Web Services (AWS)
  • Microsoft Azure

コンパートメントに関する考慮事項

コンパートメントを使用して、OS管理ハブ・リソースを編成および分離します。リソースを特定のコンパートメントに割り当てる場合は、ベスト・プラクティスに従います。

次のリソースにはコンパートメントの制限があります:

  • ソフトウェア・ソース: ベンダー・ソフトウェア・ソースは常にルート・コンパートメントに存在しますが、他のコンパートメントにレプリケートできます。カスタム、バージョニング済、サード・パーティおよびプライベート・ソフトウェア・ソースは、任意のコンパートメントに配置できます。
  • プロファイル: サービス提供のプロファイルおよびデフォルト・プロファイルは常にルート・コンパートメントに存在します。他のすべてのプロファイルは、任意のコンパートメントに配置できます。「プロファイルの理解」を参照してください。

コンパートメントのベスト・プラクティス

一般的なOCIコンパートメントのベスト・プラクティスについては、テナンシを設定するためのベスト・プラクティスについて学習を参照してください。

OS管理ハブのベスト・プラクティスの場合、グループまたはライフサイクル環境の作成時に、インスタンス・メンバーをグループまたはライフサイクル環境と同じコンパートメントに制限します。OS管理ハブには、単一のコンパートメントのインスタンス・メンバー、ジョブおよびレポートが一度に表示されます。すべてのインスタンス・メンバーが同じコンパートメント内にある場合、グループまたはライフサイクル環境に関連付けられているすべてのメンバー、ジョブおよびレポートの直接ビューが表示されます。

インスタンス・メンバーが複数のコンパートメントにある場合、インスタンス、ジョブおよびレポートのビューは、選択したコンパートメントに制限されます。メンバーの表示、ジョブ・ログの調査およびレポートの実行時には、コンパートメント・スコープを変更する必要があります。たとえば、複数コンパートメント・グループのジョブを参照する場合、関連するすべての子ジョブを表示するには、コンパートメントを変更する必要があります。また、ポリシーによっては、インスタンス・メンバーのすべてのコンパートメントに対する権限がユーザーにない場合があります。これらのユーザーには、グループまたはライフサイクル環境のビューが不完全になります。

パーティション間のリソースの移動

ほとんどのリソースは、テナンシの同じリージョン内のコンパートメント間で移動できます。ただし、リソースに関連付けられたスケジュール済ジョブは宛先コンパートメントに移動しません。これらは引き続きソース・コンパートメントに存在します。たとえば、グループを移動すると、そのグループに関連付けられたスケジュール済ジョブは古いコンパートメントに残ります。

リソースを移動する前に、リソースへのアクセスが誤って失われないように、ポリシーと権限が正しく設定されていることを確認します。

リソースを移動するには、次の項を参照してください。

OCIのコンパートメント間でリソースを移動する方法の詳細は、コンパートメント間でのリソースの移動を参照してください。OCIインスタンスを移動するには、別のコンパートメントへのコンピュート・リソースの移動を参照してください。

Kspliceに関する考慮事項(Oracle Linuxのみ)

OS管理ハブでKsplice更新を適用するには、Oracle LinuxインスタンスがKspliceソフトウェア・ソースにアクセスし、Kspliceクライアントがインストールされている必要があります。

Kspliceを使用するには、次のことが必要です。

  • Kspliceソフトウェア・ソースをサービスに追加します。オンプレミスまたはサードパーティ・クラウド・インスタンスの場合、Kspliceソフトウェア・ソースを使用する資格も有効にする必要があります。
  • Kspliceソフトウェア・ソースをインスタンスまたはグループにアタッチします。
  • 正しいKspliceクライアントがインスタンスにインストールされていることを確認します。

詳細は、Ksplice for Oracle Linuxの使用を参照してください。

ネットワーキング要件

OS管理ハブ・リソースをサポートするようにネットワークが構成されていることを確認します。ネットワーク要件はインスタンスの場所によって異なります。

ヒント

接続性を確認しますか。インスタンス接続の検証を参照してください。

OCIインスタンス

OCI仮想クラウド・ネットワーク(VCN)は、管理対象インスタンスとOS管理ハブ・サービス間の通信を有効にする必要があります。Oracle Services NetworkのCIDRラベルの<region>のすべてのサービスを使用するサービス・ゲートウェイを使用して、プライベート・サブネットを構成します。詳細な手順は、Oracle Servicesへのアクセス: サービス・ゲートウェイを参照してください。

インスタンスでインターネットへのアクセスが必要になる場合があります。たとえば、Microsoftから直接更新を取得するWindowsインスタンスや、サードパーティのソフトウェア・ソースを使用するOracle Linuxインスタンスなどです。次のいずれかを使用して、インスタンスのインターネット・アクセスを構成できます:

Microsoft Windows

Windowsインスタンスは、Windows更新サーバーから更新を取得します。インスタンスがWindows更新サーバーにアクセスできるように、インスタンスのサブネットのセキュリティ・リストを構成する必要があります。詳細は、Windowsファイアウォール・ルールを参照してください。

オンプレミスまたはサポートされているサードパーティ・クラウド・インスタンス

ネットワーク・インフラストラクチャでは、OCIへの通信を有効にし、管理対象インスタンスと内部ネットワーク上の管理ステーション間の特定のトラフィックを許可する必要があります。

OCIへの通信

ネットワークがOCIと通信できる必要があります。接続は、直接またはHTTPSプロキシを介して行うことができます。APIエンドポイントへのすべてのトラフィックは暗号署名され、ネットワークとOCI間のセキュアでシームレスな通信が保証されます。次の表に、必要な最小限のエンドポイントOS管理ハブを示します。エンドポイントごとに、regionを顧客リージョン識別子に置き換えます。詳細は、リージョンおよび可用性ドメインに関する項を参照してください。

OS管理ハブの最小必須エンドポイント OS管理ハブの使用
osmh.region.oci.oraclecloud.com OS管理ハブ・サービスへのアクセス。
osmh.yum.region.oci.oraclecloud.com パッケージ管理用のYumリポジトリへのアクセス。
management-agent.region.oci.oraclecloud.com Management Agent Cloud Service (MACS)へのアクセス。

identity.region.oci.oraclecloud.com

auth.region.oci.oraclecloud.com

 認証および認可のためのIdentity and Management (IAM)サービスへのアクセス。
objectstorage.region.oraclecloud.com OS管理ハブ・エージェント・プラグインの最新バージョンにアクセスします。

HTTPSポートtcp/443上のこれらのエンドポイントへのアクセスを許可するようにファイアウォールまたはプロキシを構成します。HTTPSプロキシを使用している場合は、次のいずれかを実行する必要があります。

  • オプション1: プロキシが使用する認証局(CA)が、各管理対象インスタンスおよび管理ステーションの信頼できる認証局のセットにあることを確認します。
  • オプション2: 必要なエンドポイントのSSLパススルー用のプロキシを構成します。

また、ファイアウォールまたはプロキシ・ルールをOCIのサービスのパブリックIPアドレス範囲に制限することもできます。詳細は、IP Address Rangesを参照してください。

ノート

最小限必要なエンドポイントは、OS管理ハブ専用です。Oracle Cloudコンソール・アクセスまたは使用するその他のOCIサービスには不十分です。
内部ネットワーク通信

内部ネットワークでは、管理対象インスタンスと管理ステーション間の通信が許可されている必要があります。管理ステーションを作成する場合は、管理対象インスタンスと管理ステーション間の通信用に複数のTCPポートを定義します。インスタンスと管理ステーション間の通信を有効にするように内部ネットワークを構成する必要があります。

  • オンプレミスの場合、管理ステーションのプロキシおよびミラー・リスニング・ポートでネットワークでトラフィックが許可されていることを確認します。
  • Microsoft Azureの場合、Azure Virtual Networkで、管理ステーションのプロキシおよびミラー・リスニング・ポートのトラフィックが許可されていることを確認します。
  • Amazon Web Services (AWS)の場合は、Amazon Virtual Private Cloud (VPC)で、管理ステーションのプロキシおよびミラー・リスニング・ポートのトラフィックが許可されていることを確認します。
Oracle Cloudコンソール・アクセス

Oracle Cloudコンソールにアクセスするには、幅広いOCIエンドポイントが必要であり、ファイアウォールまたはプロキシはそれらのエンドポイントへのアクセスを許可する必要があります。詳細は、ネットワークからのコンソールへのアクセスの許可を参照してください。また、ファイアウォールまたはプロキシ・ルールをOCIのサービスのパブリックIPアドレス範囲に制限することもできます。詳細は、IP Address Rangesを参照してください。

サードパーティおよびプライベート・ソフトウェア・ソース

サードパーティまたはプライベート・ソフトウェア・ソースを使用する場合は、インスタンスがリポジトリURLおよびGPGキーにアクセスできることを確認してください。リポジトリURLおよびGPGキーを参照してください。

IAMポリシーの定義

IAMポリシーは様々な方法で構成できます。ポリシー・アドバイザは、コンパートメント内でポリシーをすばやく設定する1つの方法を提供します。特定のポリシー要件またはユースケースがある場合は、IAMポリシー要件の詳細は、次を参照してください:

ポリシー・アドバイザを使用して、特定のコンパートメントのOS管理ハブをすばやく有効にします。アドバイザは、OS管理ハブおよびリソース検出およびモニタリングの使用に必要なユーザー・グループ動的グループおよびポリシーを定義します。ポリシー・アドバイザによって作成されるものを参照してください。

ノート

サービスで使用する各コンパートメント(およびサブコンパートメント)でポリシー・アドバイザを実行する必要があります。

  1. 次の権限があることを確認します。readまたはuse権限のみがある場合、アドバイザの実行時に認可失敗エラーが表示されます。

    • manage dynamic-groups in tenancy
    • manage groups in tenancy
    • manage policies in tenancy
  2. ナビゲーション・メニューを開き、「監視および管理」を選択します。「OS管理ハブ」で、「概要」を選択します。
  3. 「リスト範囲」で、OS管理ハブに使用するコンパートメントを選択します。
  4. 「OS管理ハブの有効化」を選択します。
  5. 現在のポリシーおよびグループで特定された問題をレビューします。「次」を選択します。
  6. アドバイザが実行するアクションを確認します。「設定」を選択します。
  7. 「設定」をクリックして確認します。
  8. osmh-adminsおよびosmh-operatorsグループにユーザーを追加します。グループの管理を参照してください。

ポリシー・アドバイザの詳細は、ポリシー・アドバイザの使用を参照してください。

管理エージェントCloud Serviceキー(OCI以外のインスタンスの場合のみ)

オンプレミスまたはサードパーティのクラウド・インスタンスは、Management Agent Cloud Service (MACS)を使用します。OS管理ハブを使用して管理ステーションおよびインスタンスに対して、管理エージェントCloud Service (MACS)インストール・キーを作成する必要があります。

管理ステーションの登録時またはインスタンス時にキーを指定します。キーは、最初のOCI認可トークンを提供し、管理ステーションまたはインスタンスのコンパートメントを決定します。インスタンスを管理するコンパートメントごとにMACSインストール・キーを作成します。

OS管理ハブ・エージェントの詳細は、エージェントの理解を参照してください。

ノート

OCIインスタンスはOracle Cloud Agentを使用し、MACSキーを必要としません。

次の処理

  1. テナンシにベンダー・ソフトウェア・ソースを追加します。
  2. オンプレミスまたはサードパーティ・クラウドの場合は、管理ステーションを作成し、そのプロファイルを使用して、管理ステーションを登録して、インスタンスとしてOS管理ハブ・サービスに登録します。
  3. プロファイルを作成して、特定のソフトウェア・ソース、ライフサイクル環境またはグループに関連付けられたコンテンツにインスタンスを登録します。
  4. OS Management Hubサービスにインスタンスを登録します。