red hat openshift container platform - doc.cloud.global ... · fujitsu cloud service k5 iaas - red...

J2UL-2344-05Z0(00)

FUJITSU Cloud Service K5 IaaS

Red Hat

OpenShift Container Platform

スタートガイド

3.0版

FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド

2

目次

本書をお読みになる前に ...................................................................................................... 5

概要 ....................................................................................................................... 12 1.

1.1 Red Hat OpenShift Container Platformとは ............................................................ 12

1.1.1 主な機能 ....................................................................................................... 12

1.1.2 アーキテクチャー ........................................................................................... 13

1.1.3 システム要件 ................................................................................................. 14

1.2 コンテナアプリケーションプラットフォーム .............................................................. 15

1.2.1 システム構成 ................................................................................................. 15

1.2.2 システム構築の流れ ........................................................................................ 17

コンテナアプリケーションプラットフォームの構築 ........................................................... 18 2.

2.1 想定システム構成 ................................................................................................. 18

2.2 リソースの作成 .................................................................................................... 20

2.2.1 ネットワーク環境の構築 ................................................................................... 21

2.2.1.1 仮想ネットワークおよびサブネットの作成 ......................................................... 21

2.2.1.2 仮想ルータの作成......................................................................................... 29

2.2.1.3 外部ネットワークと仮想ルータの接続 ............................................................... 32

2.2.1.4 仮想ルータとサブネットの接続 ....................................................................... 35

2.2.2 セキュリティグループ ..................................................................................... 39

2.2.2.1 通信を許可するポート ................................................................................... 40

2.2.2.2 セキュリティグループの作成 .......................................................................... 42

2.2.2.3 セキュリティグループのルール作成 .................................................................. 46

2.2.3 ファイアーウォール作成 ................................................................................... 51

2.2.3.1 ファイアーウォール設定手順 .......................................................................... 51

2.2.3.2 ファイアーウォールルールの作成 .................................................................... 52

2.2.3.3 ファイアーウォールポリシーの作成およびルールの登録 ........................................ 56

2.2.3.4 ファイアーウォールの作成 ............................................................................. 63

2.2.4 SSL-VPN接続 .................................................................................................. 68

2.2.4.1 VPNサービスの作成 ..................................................................................... 68

2.2.4.2 SSL-VPN接続の作成 .................................................................................... 72


3

2.2.4.3 VPNクライアントの設定 ............................................................................... 79

2.2.5 仮想サーバ作成 .............................................................................................. 82

2.2.5.1 キーペアの作成 ........................................................................................... 82

2.2.5.2 イメージ一覧の確認 ...................................................................................... 85

2.2.5.3 仮想サーバの作成......................................................................................... 87

2.2.5.4 仮想サーバへの接続(ログイン) ........................................................................ 96

2.2.5.5 仮想サーバ作成後の設定 ............................................................................... 100

2.3 コンテナアプリケーションプラットフォームのセットアップ ......................................... 106

2.3.1 ロードバランサーの作成 .................................................................................. 106

2.3.2 仮想サーバ間のネットワーク設定 ...................................................................... 116

2.3.2.1 Master サーバの公開鍵作成 ........................................................................... 116

2.3.2.2 全サーバの公開鍵設定 .................................................................................. 117

2.3.2.3 サーバ間の名前解決 ..................................................................................... 118

2.3.2.4 Master サーバから全サーバへの接続確認 ......................................................... 118

2.3.3 セットアップ用スクリプトの作成 ...................................................................... 120

2.3.4 セットアップ ................................................................................................ 127

2.3.5 セットアップの確認 ....................................................................................... 129

コンテナアプリケーションプラットフォーム構築後の設定 ................................................. 131 3.

3.1 Nodeサーバの追加 ............................................................................................. 131

3.1.1 仮想サーバの作成 .......................................................................................... 131

3.1.2 仮想サーバ間のネットワーク設定 ...................................................................... 131

3.1.2.1 Master サーバの公開鍵確認 ........................................................................... 131

3.1.2.2 追加するNode サーバの公開鍵設定 ................................................................. 132

3.1.2.3 サーバ間の名前解決 ..................................................................................... 132

3.1.2.4 Master サーバから追加するNodeサーバへの接続確認 ........................................ 133

3.1.3 Nodeサーバ追加のセットアップ .......................................................................... 134

3.1.3.1 セットアップ用スクリプトの編集 ................................................................... 134

3.1.3.2 セットアップ ............................................................................................. 135

3.1.3.3 セットアップの確認 ..................................................................................... 136

3.2 内部レジストリの永続化 ....................................................................................... 137


4

3.2.1 ストレージの準備 .......................................................................................... 138

3.2.2 PersistentVolume、および PersistentVolumeClaimの作成 ...................................... 138

3.2.3 registry podのストレージ永続化 ......................................................................... 138

3.3 修正適用 ........................................................................................................... 139

3.3.1 概要 ........................................................................................................... 139

3.3.2 適用手順 ...................................................................................................... 141

3.3.2.1 事前準備 ................................................................................................... 141

3.3.2.2 errata の適用 ............................................................................................. 141

3.3.2.3 適用後の操作 ............................................................................................. 144

3.4 バックアップ／リストア ....................................................................................... 146

修正履歴 ....................................................................................................................... 147


5

本書をお読みになる前に


本書の目的本書は FUJITSU Cloud Service K5 IaaS上で Red Hat OpenShift Container Platformを利用するため

の環境構築手順を示したものです。

本書は、以下の製品を対象に説明しています。

Red Hat OpenShift Container Platform 3.11



本書の読者本書は FUJITSU Cloud Service K5 IaaS上で Red Hat OpenShift Container Platformをご利用になる

方を対象としております。本書のご利用にあたり、基本的な K5の操作方法、ネットワークの知識を有し

ていることを前提としております。ご了承ください。

本書の構成章内容

1 概要 Red Hat OpenShift Container Platformの製品概要について説明

しています。

2 コンテナアプリケーションプラ

ットフォームの構築

コンテナアプリケーションプラットフォームの構築手順について説

明しています。

3 コンテナアプリケーションプラ

ットフォーム構築後の設定

コンテナアプリケーションプラットフォームの構築後、運用・保守

で必要となる作業について説明しています。


6


製品表記本文中の製品名称を、次のように略して表記します。

製品名称本文中の表記

Red Hat OpenShift Container Platform 3.n *1 RHOCP3

Red Hat Enterprise Linux 7.n (for Intel64) *1 RHEL7

FUJITSU Cloud Service K5 K5

FUJITSU Cloud Service K5 IaaS K5 IaaS

Red Hat Satellite Satellite

*1："n"にはマイナーリリースを示す数字が入ります。

本文中の記号

本文中では、次の記号を使用しています。

使用上の注意点や、してはいけないことを説明しています。必ずお読みください。

理解を助けるための補足情報などを説明しています。必要に応じてお読みください。

『』関連したマニュアルを示しています。

任意のアルファベットまたは数字を次のように表記します。

A この文字列が表記されている箇所には、任意のアルファベットが表示されることを意味

します。

N この文字列が表記されている箇所には、0-9の数字が表示されることを意味します。


7


コマンド入力

本文中では、コマンド入力を次のように表記しています。

ユーザー可変(ユーザー環境により異なる)文字列

次のように＜＞で括って表記します。

# e2label ＜device 名＞＜ラベル名＞

追加/変更対象文字列

次のように、太字で表記します。

NETWORKING=yes

HOSTNAME=＜ホスト名＞

...

VLAN=yes

説明を有する文字列

次のように、文字列に下線を引き、枠外に説明文を記述しています。

# mount LABEL=/backlabel /backup

下線部分はラベル名です

コマンド実行ユーザー

次のように、コマンドプロンプトとして # と記述しているコマンドは、サーバの管理者アカウントで実

施します。

# ssh-keygen

一般的な管理者アカウントである rootユーザーへの切り替えは以下のコマンドで実施します。

$ sudo su -


8


関連ドキュメント目的・用途に合わせて、以下の関連ドキュメントもお読みください。

参照箇所の章、節の番号は変更される場合があります。

Red Hat 社から公開されているドキュメント

OpenShiftおよび RHELに関して、多岐に渡るドキュメントが公開されていますので、構築時だけでな

く、運用時にも参照する必要があります。

以下の URLより参照してください。

https://access.redhat.com/documentation/

ドキュメント名称

概要本書での表記

OpenShift Container Platform 3.n

Installing Clusters

RHOCP3 のインストールについて

説明しています。『Installing Clusters』


Configuring Clusters

RHOCP3 の環境設定について説明

しています。『Configuring Clusters』


Installation and Configuration

RHOCP3 の環境構築について説明

しています。

『Installation and

Configuration』


Developer Guide

RHOCP3の利用者(コンテナアプリ

ケーション開発者)としての各種操

作について説明しています。

『Developer Guide』


Cluster Administration

RHOCP3 のクラスタ管理方法につ

いて説明しています。『Cluster Administration』


Day Two Operations Guide

RHOCP3 のクラスタ管理における

日常的な保守作業について説明し

ています。

『Day Two Operations

Guide』

Red Hat Enterprise Linux 7

Storage Administration Guide

RHEL7 のストレージ管理について

説明しています。

『Storage Administration

Guide』


Logical Volume Manager

Administration

RHEL7 の論理ボリューム管理につ

いて説明しています。

『Logical Volume Manager

Administration』

Red Hat Satellite 6.n

Installation Guide

Satellite 6の構築について説明して

います。

『Satellite6

Installation Guide』

https://access.redhat.com/documentation/


9


SupportDesk-Webサイトで公開されているドキュメント

RHOCPおよび RHELに関するソフトウェア説明書、制限事項／注意事項が公開されています。


http://eservice.fujitsu.com/supportdesk/

ドキュメント名称概要本書での表記

Red Hat OpenShift Container

Platform 3ソフトウェア説明書

RHOCP3 の利用方法を説明してい

ます。

『RHOCP3

ソフトウェア説明書』

Red Hat OpenfShift Container

Platform 3制限事項／注意事項

RHOCP3 を利用するうえでの制限

事項や注意事項について説明して

います。

『RHOCP3

制限事項／注意事項』


ソフトウェア説明書

RHEL7 の概要と対象機種をご使用

になるうえで確認していただきた

い情報を説明しています。

『RHEL7

ソフトウェア説明書』


Linuxユーザーズマニュアル

RHEL7 の設計・導入・運用・保守

に関する情報、および参考になる

情報について説明しています。

『RHEL7

ユーザーズマニュアル』

http://eservice.fujitsu.com/supportdesk/


10


K5 サイトで公開されている IaaS関連のドキュメント

K5 IaaSに関するドキュメントが公開されています。


https://k5-doc.jp-east-

1.paas.cloud.global.fujitsu.com/doc/jp/iaas/document/list/doclist_iaas.html

ドキュメント名称概要本書での表記

IaaS機能説明書 K5 IaaS で提供されている機能を

説明しています。『IaaS機能説明書』(注)

IaaSサービスポータル

ユーザーズガイド

K5 IaaS ポータルの操作方法を説

明しています。

『IaaSサービスポータル

ユーザーズガイド』

IaaS APIユーザーズガイド K5 IaaSの API操作の手順を説明し

ています。

『IaaS API

ユーザーズガイド』(注)

IaaS制限事項・注意事項 K5 IaaSの制限事項や注意事項につ

いて説明しています。『IaaS制限事項・注意事項』

IaaS FAQ IaaSに関するよくある質問と回答を

まとめています。『IaaS FAQ』

Red Hat Satellite用設定情報 Satelliteサーバの設定情報について

説明しています。

『Red Hat Satellite用

設定情報』

FUJITSU Cloud Service K5 IaaS

設計・構築ガイド

～構成サンプルから理解する K5

とシステム設計時のポイント～

K5 IaaS利用時のシステム設計を行

う際に必要となるサービスの特徴や

留意事項を説明しています。

『設計・構築ガイド』

注：本書の説明では、PDF版の章・節番号で参照先を示しています。

オンラインマニュアル(manコマンド)

manコマンドは、マニュアルを参照するコマンドです。

IaaSサービスポータルについて本ドキュメントでは、FUJITSU Cloud Service K5 IaaSの操作を、ブラウザアプリケーションである

IaaSサービスポータルを用いて行っています。IaaSサービスポータルの共通操作については、『IaaS

サービスポータルユーザーズガイド』の「第 3章共通操作」を参照してください。

また、IaaSサービスポータル画面の項目のうち、項目名右側に「＊」(アスタリスク)がある項目は、入力必

須です。

https://k5-doc.jp-east-1.paas.cloud.global.fujitsu.com/doc/jp/iaas/document/list/doclist_iaas.html

https://k5-doc.jp-east-1.paas.cloud.global.fujitsu.com/doc/jp/iaas/document/list/doclist_iaas.html


11


輸出管理規制について

本ドキュメントを輸出または第三者へ提供する場合は、お客様が居住する国および米国輸出管理関連法規

等の規制をご確認のうえ、必要な手続きをおとりください。

商標

Red Hat、Red Hat Enterprise Linux、OpenShiftは米国およびその他の国において登録された Red

Hat, Inc.の商標です。

Linux®は米国及びその他の国における Linus Torvaldsの登録商標です。

Intelは、アメリカ合衆国およびその他の国における Intel Corporationの商標または登録商標です。

Microsoft、Windowsおよびその他のマイクロソフト製品の名称および製品名は、米国 Microsoft

Corporationの米国およびその他の国における登録商標または商標です。

その他の各製品名は、各社の商標、または登録商標です。その他の各製品は、各社の著作物です。

なお、本書に掲載されているシステム名、製品名などには、必ずしも商標表示(TMまたは®)を付記してお

りません。

Copyright FUJITSU LIMITED 2018


12

1.1 Red Hat OpenShift Container Platformとは

概要 1.

Red Hat OpenShift Container Platformの製品概要と FUJITSU Cloud Service K5 IaaSを用いて構築

するコンテナアプリケーションプラットフォームについて説明します。


Red Hat OpenShift Container Platform(以降、RHOCP)は、Red Hat Enterprise Linux、Docker、

Kubernetesをベースに、エンタープライズ用途で必要となる認証、ビルド、アクセス制御等を強化した

コンテナ運用管理製品です。

アプリケーション開発環境の構築やシステム管理の多くが自動化されるため、ビジネスが求めるアプリケ

ーション・サービスを迅速かつ安全に提供することが可能になります。

1.1.1 主な機能

RHOCPが提供する主な機能には、以下のものがあります。

コンテナオーケストレーション

ユーザー管理、認証、SDN、コマンドラインツール、Webコンソール等の機能を利用してコンテナの

運用管理が可能

自動アプリケーション提供フロー

アプリケーション提供までのビルド、配備等を自動化し、開発ライフサイクルの短縮が可能

マルチテナント

テナント毎のリソース分離とアクセス制御が可能

自動スケーリング

アプリケーションへの負荷の増減に対して自動でリソース割り当て可能


13


1.1.2 アーキテクチャー

RHOCPで構築するコンテナアプリケーションプラットフォームは、Nodeを管理する Master、コンテナ

レジストリや Nodeへのルーティングなどを行う Infra、コンテナを動作させる複数の Nodeで構成され

ます。

各 Nodeには、1つまたは複数のコンテナで構成される podと呼ばれる単位でコンテナが配備されおり、

Masterによってコンテナ配備や状況監視などの管理が pod単位に行われます。

図 1-1 RHOCPのアーキテクチャー


14


1.1.3 システム要件

RHOCPのシステム要件を説明します。コンテナアプリケーションプラットフォームの設計・構築・運用

を行う際には、このシステム要件に従ってください。

サーバの要件

a) CPU/メモリ

RHOCPが動作するサーバでは、以下の CPU(vCPU)数、メモリ量を必要とします。

Masterサーバ： 4CPU, 16GB RAM以上

Infraサーバ： 1CPU, 8GB RAM以上

Nodeサーバ： 1CPU, 8GB RAM以上

b) ディスク要件

RHOCPをインストールするには、boot、root、Dockerサービスごとのパーティション領域のために、

70GB以上のディスクを用意する必要があります。各パーティションのディスクサイズは以下のとおりで

す。

boot用のパーティション： 1GB

root用のパーティション： 54GB

Dockerサービス用のパーティション： 15GB

ソフトウェア要件

RHOCPでは、同梱する RHELのほか、インストーラ(Ansible)、コアコンポ―ネント(Docker、

Kubernetes)などのパッケージ版数が規定されており、この組合せでお使いになることが必要です。

このパッケージの組み合わせ条件については、以下をご確認ください。

「OpenShift Container Platform Tested Integrations」(Red Hat社)

https://access.redhat.com/articles/2176281

ライフサイクル

RHOCPは、Red Hat社の製品ライフサイクルに従って機能追加や修正提供が行われます。製品ライフサ

イクルについては、以下をご確認ください。

「Red Hat OpenShift Container Platform Life Cycle Policy」(Red Hat社)

https://access.redhat.com/support/policy/updates/openshift


https://access.redhat.com/support/policy/updates/openshift


15

1.2 コンテナアプリケーションプラットフォーム


FUJITSU Cloud Service K5 IaaS(以降、K5 IaaS)では、コンテナアプリケーションプラットフォームを

構築するために必要なパッケージがインストールされた RHOCPイメージを提供します。

この RHOCPイメージを用いて本書に記載した手順を実施することで、コンテナアプリケーションプラッ

トフォームを容易に構築することができます。

1.2.1 システム構成

業務運用にコンテナアプリケーションプラットフォームをお使いになるお客様を想定し、標準構成を決め

ました。冗長化や負荷分散などによる堅牢なシステムを構築することで、安定稼働が実現できます。また、

PoC(Proof of Concept)で課題抽出や対応策の検討を行うように、必ずしも堅牢性を必要としないシステ

ムでは、冗長化や負荷分散を省いて最小構成のシステムを構築することも可能です。業務運用にお使いに

なる堅牢なシステム構成を「標準構成」、PoCなどにお使いになる堅牢性を省き安価に構築できるシステ

ムを「最小構成」として説明します。

a) 標準構成

図 1-2 システム構成図 (標準構成)

システムの安定稼動のため、Masterサーバは 3台の冗長構成とする。

Nodeサーバは負荷分散が可能な最小数である２台が必要となる。

Nodeサーバを管理する Masterサーバは、ロードバランサーで負荷分散する。

Node サーバへのルーティングを行う Infra サーバは 2 台の冗長構成とし、ロードバランサーで負荷

分散する。

Nodeサーバは必要に応じて増設が可能。


16


b) 最小構成

図 1-3 システム構成図 (最小構成)

Nodeサーバはコンテナの配備検証が可能な最小数である２台必要となる。

インフラ機能(コンテナレジストリとノードへのルーティング)は Masterサーバ上に実装する。

Nodeサーバは必要に応じて増設可能。


17


1.2.2 システム構築の流れ

IaaSサービスポータルを利用してリソースを作成し、そのリソースを基にコンテナアプリケーションプ

ラットフォームを構築します。システム構築における各作業は以下のとおりです。

a) リソースの作成

ネットワーク環境の構築

セキュリティグループの作成

ファイアーウォールの作成

SSL-VPNの接続

仮想サーバの作成

b) コンテナアプリケーションプラットフォームの構築

ロードバランサーの作成

仮想サーバ間ネットワークの作成

セットアップ用スクリプトの作成

セットアップ

セットアップの確認

コンテナアプリケーションプラットフォームで利用するロードバランサーは、IaaSサービ

スポータルが提供するロードバランサー、または、お客様が用意したロードバランサーを

利用することができます。本書では、IaaSサービスポータルが提供するロードバランサー

機能を利用した、構築手順を 2章で説明します。ご利用のリージョンごとにロードバラン

サーの作成方法が異なりますので、ご利用のリージョンをお確かめの上、ロードバランサ

ーを作成してください。

RHOCPでコンテナアプリケーションプラットフォームを構築する際の制限事項および注

意事項を『RHOCP 制限事項／注意事項』に記載しております。

システム構築を行う前に、必ずお読みくださいますようお願いいたします。


18

2.1 想定システム構成

コンテナアプリケーションプラットフォームの構築 2.

コンテナアプリケーションプラットフォームを構築する手順について説明します。


本章で構築する「標準構成」のシステム構成の概念を図 2-1に示します。「最小構成」としてお使いにな

る場合は、図中のダークグレーのリソースのみで構築することが可能です。また本書の説明では、「最小

構成」として省略する手順を網掛けで示しています。

図 2-1 システム構成例


19


コンテナアプリケーションプラットフォームで利用するロードバランサーは、IaaSサービ

スポータルが提供するロードバランサー、または、お客様が用意したロードバランサーを

利用することができます。本書では、IaaSサービスポータルが提供するロードバランサー

機能を利用した、構築手順を 2章で説明します。ご利用のリージョンごとにロードバラン

サーの作成方法が異なりますので、ご利用のリージョンをお確かめの上、ロードバランサ

ーを作成してください。

東日本リージョン 3／西日本リージョン 3をご利用の場合、ロードバランサーの作成手順

が異なります。ロードバランサーの作成手順は、『IaaSサービスポータルユーザーズガイ

ド』の「第 19章ロードバランサー（東日本第 3／西日本第 3）」を参照してください。

なお、ロードバランサーの作成時に、ロードバランサーのセキュリティグループも自動的

に作成されるため、ロードバランサーのセキュリティグループの作成は不要です。

本書の説明手順で使う仮想サーバとロードバランサーの FQDNを表 2-1に示します。

表 2-1 FQDNの設定例 (標準構成)

FQDN

FQDN

Master1 サーバ＜master1.example.com＞ロードバランサー

(Master 用) ＜lbmaster.example.com＞

Master2 サーバ＜master2.example.com＞

Master3 サーバ＜master3.example.com＞ロードバランサー

(Infra-http 用) ＜lbinfrahttp.example.com＞

Infra1 サーバ＜infra1.example.com＞

Infra2 サーバ＜infra2.example.com＞ロードバランサー

(Infra-https 用) ＜lbinfrahttps.example.com＞

Node1 サーバ＜node1.example.com＞

Node2 サーバ＜node2.example.com＞

ロードバランサーの FQDNは、K5 IaaSのロードバランサーサービスにより、ユニークな

FQDNが自動生成されます。詳細は、『IaaS機能説明書』の「5.8 ロードバランサー」を

参照してください。

お客様が構築を行う箇所は図 2-1破線枠内の「プロジェクト」です。


20

2.2 リソースの作成


コンテナアプリケーションプラットフォームを構成する仮想ネットワークや仮想サーバなどのリソースを

IaaSサービスポータルで作成します。インターネットに公開しない仮想サーバに SSL-VPN接続を用いて

ログインするまでの手順を説明します。

図 2-2 IaaSサービスポータルで作成するシステム構成


21


2.2.1 ネットワーク環境の構築

仮想サーバなどのリソースを配備するため、プロジェクト内に仮想ネットワークを作成します。

以下のドキュメントを確認の上、操作してください。

表 2-2 参照ドキュメント

ドキュメント該当箇所

『IaaS機能説明書』「5.1.1 ネットワーク管理」

「5.1.2 サブネット管理」

「5.1.4 仮想ルータ機能」

2.2.1.1 仮想ネットワークおよびサブネットの作成

仮想ネットワークおよびサブネットを作成します。

図 2-3 仮想ネットワークおよびサブネットの作成


22


ネットワークに関する制限は、『IaaS機能説明書』の「A.1 制限値」ページ内の「ネッ

トワークに関する制限値」-「表 233 : ネットワークに関する制限値一覧」を参照してく

ださい。

以下の手順で作成します。

1. [仮想ネットワーク作成]画面を表示させます。

図 2-4 [仮想ネットワーク一覧]画面

a. IaaSサービスポータルのサイドバーから「ネットワーク」-「仮想ネットワーク」をクリック

します。

b. [仮想ネットワーク一覧]画面が表示されます。画面右上の作成ボタン([+])をクリックします。

「inf_az1_ext_net01」や「inf_az2_ext_net01」などのネットワークは外部ネットワー

クです。外部ネットワークは、あらかじめアベイラビリティゾーン(以下、AZ)ごとに複数

用意されています。利用者は作成できません。


23


2. [仮想ネットワーク作成]画面が表示されます。仮想ネットワークの設定を行います。

図 2-5 [仮想ネットワーク作成]画面

a. 仮想ネットワークを設定します。設定内容は表 2-3を参照してください。

b. [次へ]ボタンをクリックします。

表 2-3 [仮想ネットワーク]設定項目

No 項目説明本書の設定値

1 AZ リソースを作成する AZを選択します。

例: リージョンごとの AZ名

西日本 2の AZ1：jp-west-2a

西日本 2の AZ2：jp-west-2b

AZ については、『IaaS 機能説明書』の

「1.2.2 アベイラビリティゾーン」を参照

してください。

jp-west-2a AZ

2 仮想ネットワー

ク名

任意の名称を 1-255 バイト以内で入力し

ます。

使用可能な文字については、『IaaS 機能説

明書』の「A.21 命名時に使用可能な文

字」を参照してください。

Test-Network

3 管理状態「Up/Down」を選択します。 Up


24


3. サブネット作成の設定を行います。

図 2-6 [サブネット作成]画面

a. サブネットを設定します。設定内容は表 2-4を参照してください。



25


表 2-4 [サブネット]設定項目

No 項目説明本書での設定値

1 サブネット作成「あり/なし」を選択します。あり

2 サブネット名任意の名称を 1-255バイト以内で入力します。

使用可能な文字については、『IaaS機能説明

書』の「A.21命名時に使用可能な文字」を参照


Test-Subnet


クアドレス

CIDR形式で記入します。

作成したサブネットに対して

SSL-VPNで接続する場合は、ネットワークアド

レスのマスク値を「16bit～29bit」の範囲内で指

定する必要があります。

以下のプライベート IPアドレスの範囲内で、

CIDR表記で指定してください。

クラス A : 10.0.0.0～10.255.255.255

クラス B : 172.16.0.0～172.31.255.255

クラス C : 192.168.0.0～192.168.255.255

192.168.0.0/24


ク ID

自動で設定されます。－

5 ゲートウェイ「あり/なし」を選択します。あり

6 ゲートウェイ IP VPNサービスで指定する仮想ルータの IPアドレ

スを指定します。

2.2.1.4の「仮想ルータとサブ

ネットの接続」で作成する仮想ルータのプライ

ベート IPと一致させてください。(表 2-8参照)

192.168.0.1


26


4. サブネット詳細の設定を行います。

図 2-7 [サブネット詳細設定]画面

a. サブネット詳細を設定します。設定内容は表 2-5を参照してください。



27


表 2-5 [サブネット詳細]設定項目


1 DHCP 「有効/無効」を選択します。

必ず「有効」にしてくださ

い。「無効」にした場合、ゲートウェイアド

レスやスタティックルーティングの情報を

DHCPで取得できません。

有効

2 IPアドレス割

当プール

DHCPで仮想サーバに割り当てる IPアドレス

の範囲を指定します。

192.168.0.2-

192.168.0.100

3 DNSサーバ K5 共通ネットワークサービスから使用するリ

ージョン・AZに該当する DNSサーバの IPア

ドレスを設定します。

IaaSサービスポータルでは、

仮想ネットワーク作成後、DNSサーバの追加

はできません。

DNSサーバ(リージョン・AZ

ごとの DNSサーバの IPアドレス)は、『IaaS

機能説明書』の「A.4 共通ネットワークサー

ビス」ページ内の「DNSサーバ」を参照して

ください。複数の DNS サーバを設定する場合

は「追加」をクリックして登録します。

133.162.145.9

133.162.145.10

4 追加ルート設定複数のルートを設定する場合は「追加」をク

リックします。

CIDR形式の宛先(Destination)と、その宛先

へ接続するルータの IPアドレス(Nexthop)を

設定します。

－


28


5. これまでの設定内容を確認します。問題が無ければ[作成]ボタンをクリックします。

図 2-8 [確認]画面例

6. 以下の画面が表示されます。[閉じる]ボタンをクリックします。

図 2-9 仮想ネットワーク作成完了の画面


29


仮想ネットワークとサブネットが作成できました。作成した仮想ネットワークの状態が「ACTIVE」

であることを確認してください。

図 2-10 仮想ネットワークおよびサブネットの作成結果の画面

2.2.1.2 仮想ルータの作成

外部ネットワークと仮想ネットワーク、または複数の仮想ネットワークを接続するための仮想ルータを作

成します。

図 2-11仮想ルータの作成


30



1. [仮想ルータ作成]画面を表示させます。

図 2-12 [仮想ルータ一覧]画面

a. IaaS サービスポータルのサイドバーから「ネットワーク」-「仮想ルータ」をクリックします。

b. [仮想ルータ一覧]画面が表示されます。画面右上の作成ボタン([+])をクリックします。

[仮想ルータ作成]画面が表示されます。

2. 仮想ルータを作成します。

図 2-13 [仮想ルータ作成]画面

a. 仮想ルータを設定します。設定内容は表 2-6を参照してください。

b. [作成]ボタンをクリックします。


31


表 2-6 [仮想ルータ]設定項目

No 項目説明

本書での設定値





jp-west-2a AZ

2 仮想ルータ名任意の名称を 1-255バイト以内で入力しま

す。

使用可能な文字については、『IaaS機能説

明書』の「A.21命名時に使用可能な文字」

を参照してください。

Test-Router


図 2-14 仮想ルータ作成依頼受付の画面

仮想ルータが作成できました。作成した仮想ルータの状態が「ACTIVE」であることを確認してください。

図 2-15 仮想ルータ作成結果の画面


32


2.2.1.3 外部ネットワークと仮想ルータの接続

仮想サーバからのインターネットアクセス、サービスのインターネット公開、共通ネットワークサービス

の利用（Satelliteサーバ、DNSなど）などを行うために、仮想サーバの外部ネットワークアクセスが必

要になります。このため、仮想サーバを接続するサブネットのゲートウェイになる仮想ルータを外部ネッ

トワークに接続します。

図 2-16外部ネットワークと仮想ルータの接続


33


以下の手順で外部ネットワークと仮想ルータの接続を行います。

1. [仮想ルータ一覧]画面において、作成した仮想ルータの行の[アクション]-[ゲートウェイ設定]をク



2. [ゲートウェイ設定]画面が表示されます。

図 2-18 [ゲートウェイ設定]画面

a. ゲートウェイを設定します。設定内容は、表 2-7を参照ください。

b. [設定]ボタンをクリックします。


34


表 2-7 [ゲートウェイ設定]設定項目


1 外部仮想ネット

ワーク

接続したい外部ネットワークを選択します。

「inf_az1_ext_net01」や

「inf_az2_ext_net01」などのネットワ

ークは外部ネットワークです。外部ネッ

トワークは、あらかじめ AZごとに複数用

意されています。

外部ネットワークは利用者が作成するこ

とはできません。

外部ネットワークの IP アドレスは、K5

が提供するアドレスプールから自動で割

り当てられます。割り当てられるグロー

バル IP アドレスの範囲を指定や任意のグ

ローバル IP アドレスを指定して取得する

ことはできません。

inf_az1_ext-net04

3. 以下の画面が表示されます。[設定]ボタンをクリックします。

図 2-19 ゲートウェイ設定確認の画面

外部ネットワークと仮想ルータを接続できました。対象の仮想ルータに、指定した外部仮想ネットワーク

が設定されていることを確認してください。

図 2-20 外部ネットワークと仮想ルータの接続完了後の画面


35


2.2.1.4 仮想ルータとサブネットの接続

仮想ルータへ K5 IaaS上の既存のサブネットを接続させます。

図 2-21 仮想ルータとサブネットの接続


1. [仮想ルータ一覧]画面を表示させます。



36


a. IaaS サービスポータルのサイドバーから「ネットワーク」-「仮想ルータ」をクリックします。

b. [仮想ルータ一覧]画面が表示されます。作成した仮想ルータ名をクリックします。

2. [仮想ルータ詳細]画面が表示されます。[インターフェース]欄の作成ボタン([+])をクリックします。

図 2-23 [仮想ルータ詳細]画面

3. [インターフェース追加]画面が表示されます。インターフェースを設定します。

図 2-24 [インターフェース追加]画面

a. インターフェース追加の設定を行います。設定内容は表 2-8を参照してください。

b. [追加]ボタンをクリックします。


37


表 2-8 [インターフェース追加]設定項目


1 サブネット接続したいサブネットを選択します。 Test-Subnet

2 IPアドレスサブネット作成時に指定したゲートウェイ

IPと同じ値を入力します。 (表 2-4参照)

192.168.0.1

「サブネットのゲートウェイ IP」と仮想ルータのインターフェースの「(プラ

イベート)IP アドレス」が一致していないと SSL-VPN 接続ができません。また、

SSL-VPNサービスを作成した後で、これら IPアドレスを一致させても SSL-

VPN接続ができない場合があります。その場合は、SSL-VPNサービスやルー

タの作り直しなどが発生しますのでご注意ください。必ず、SSL-VPNサービス

作成よりも先に、「サブネットのゲートウェイ IP」と仮想ルータのインターフ

ェースの「 (プライベート) IPアドレス」と一致させてください。

4. 以下の画面が表示されます。[追加]ボタンをクリックします。

図 2-25 インターフェース追加確認の画面


38


仮想ルータとサブネットが接続できました。仮想ルータのインターフェースにエントリが追加され、指定

した IPアドレスがプライベート IPとして表示されていることを確認してください。

図 2-26 仮想ルータとサブネットの接続完了の画面


39


2.2.2 セキュリティグループ

仮想サーバに接続されたポートには通信を遮断するデフォルトのセキュリティグループが自動的に設定さ

れています。そこで、必要に応じて新たにセキュリティグループを作成し、通信を許可するルールを設定

します。

セキュリティグループを用いると、仮想サーバに接続されたポートに対してパケットフィルタリングを行

うため、ルール設定をグルーピングして定義および設定することができます。

セキュリティグループには複数のルールを設定でき、1つのポートに設定されたセキュリティグループの

うち、どれか 1 つでもルールにマッチしたパケットは通信が許可され、それ以外の通信は遮断されます。


ドキュメント参照箇所

『IaaS機能説明書』「5.1.3 セキュリティグループ機能」

『IaaS FAQ』「セキュリティグループとファイアーウォールの違いについて

教えてください。」

『設計・構築ガイド』実装作業(3) セキュリティグループ参考：セキュリティグル

ープとファイアーウォールの概略

参考：セキュリティグループとファイアーウォールの違い

参考：セキュリティグループとファイアーウォールの機能配

置

セキュリティグループ数、セキュリティグループに設定可能なルール数に関する制限は、

『IaaS機能説明書』の「A.1 制限値」ページ内の「ネットワークに関する制限値」-「表

233 : ネットワークに関する制限値一覧」を参照してください。


40


2.2.2.1 通信を許可するポート

コンテナアプリケーションプラットフォームを構築するために、仮想サーバに接続されたポートでのアク

セスを許可する必要があります。アクセスを許可するポートは次の通りです。

a) コンテナアプリケーションプラットフォームを構成する仮想サーバへのアクセス

Master/Infra/Nodeサーバと通信する際に使用するポート

ロードバランサーと通信する際に使用するポート

b) コンテナアプリケーションプラットフォームを運用するために必要なサーバへのアクセス

Satelliteサーバと通信する際に使用するポート

DNSサーバと通信する際に使用するポート

c) クライアント端末から仮想サーバへアクセス

SSL-VPN接続のネットワークアドレスから通信する際に使用するポート

アクセスを許可するポートを次のセキュリティグループに設定します。

a) 標準構成の場合

Masterサーバ

Infra/Nodeサーバ

ロードバランサー(Master用)

ロードバランサー(Infra-http用)

ロードバランサー(Infra-https用)

b) 最小構成の場合

Masterサーバ

Nodeサーバ

ポート番号の詳細は以下のとおりです。

a) Master/Infra/Nodeサーバと通信する際に使用するポート

以下のドキュメントを参照してください。

[RHOCP3.11の場合]

RHOCP3『Installing Clusters』の 2.2.2.3. Required Ports

[RHOCP3.9または RHOCP3.6の場合]

RHOCP3『Installation and Configuration』の 2.2.2.2.3. Required Ports


41


Infraサーバで使用するポートは、Nodeサーバで使用するポートと同じです。また、最小構成のシ

ステムを構築する場合、Masterサーバで使用するポートに、Nodeサーバで使用するポートを追加


b) ロードバランサーと通信する際に使用するポート

表 2-10に使用するポートを示します。

c) Satelliteサーバと通信する際に使用するポート

『IaaS機能説明書』の「A.4 共通ネットワークサービス」ページ内の「Red Hat Satelliteサーバ」

を参照してください。

d) DNSサーバと通信する際に使用するポート

『IaaS機能説明書』の「A.4 共通ネットワークサービス」ページ内の「DNSサーバ」を参照してく

ださい。

e) SSL-VPN接続のネットワークアドレスから通信する際に使用するポート

SSHを利用して各サーバに接続するために TCP 22番ポートを許可してください。

表 2-10 ロードバランサーが使用するポート

ロードバランサー種別 From To

ロードバランサー

（Master用）

any:8443 ロードバランサー:8443

ロードバランサー:8443 Masterサーバ:8443


（Infra-http用）


ロードバランサー:80 Infraサーバ:80


（Infra-https用）


ロードバランサー:443 Infraサーバ:443

any は Masterサーバ、Nodeサーバ、Infraサーバ、および外部ネットワークと読み

替えることができます。


42


2.2.2.2 セキュリティグループの作成

通信を許可するルールを設定するため、次のセキュリティグループを作成します。

a) 標準構成の場合

Masterサーバ

Infra/Nodeサーバ


ロードバランサー(Infra-http用)

ロードバランサー(Infra-https用)

b) 最小構成の場合

Masterサーバ

Nodeサーバ

図 2-27セキュリティグループの作成

東日本リージョン 3／西日本リージョン 3をご利用の場合、ロードバランサーの作成時

にロードバランサーのセキュリティグループは自動的に作成されます。そのため、ロー

ドバランサーのセキュリティグループの作成は不要です。


43



1. [セキュリティグループ作成]画面を表示させます。

図 2-28 [セキュリティグループ一覧]画面

a. IaaSサービスポータルのサイドバーから「ネットワーク」-「セキュリティグループ」をクリ

ックします。

b. [セキュリティグループ一覧]画面が表示されます。右上の([+])をクリックします。

2. [セキュリティグループ作成]画面が表示されます。作成するセキュリティグループの設定を行います。

図 2-29 [セキュリティグループ詳細設定]画面

a. セキュリティグループを作成します。設定内容は表 2-11を参照してください。


[確認]画面が表示されます。


44


表 2-11 [セキュリティグループ作成]設定項目


1 セキュリティグ

ループ名

任意の名称を 1-255 バイト以内で入力しま

す。

使用可能な文字については、『IaaS 機能説明

書』の「A.21 命名時に使用可能な文字」を参

照してください。

Test-Securitygroup

2 説明セキュリティグループの使用目的などの説明

事項を、1-255 バイト以内で入力してくださ

い(任意)。

－

3. 内容を確認し、問題なければ[作成]ボタンをクリックします。

図 2-30 [セキュリティグループ作成確認]画面

4. 以下の画面が表示されます。[OK]ボタンをクリックします。

図 2-31 セキュリティグループ作成完了の画面

[セキュリティグループ一覧]画面に戻ります。


45


5. 作成したセキュリティグループ情報を確認します。

[セキュリティグループ一覧]画面で、詳細を確認したいセキュリティグループ名をクリックします。

図 2-32 [セキュリティグループ一覧]画面

6. [セキュリティグループ詳細]画面が表示されます。内容を確認します。

[セキュリティグループ詳細]画面には、「セキュリティグループ詳細」と「適用ルール」が表示され

ます。「セキュリティグループ詳細」では、セキュリティグループ ID、「適用ルール」では、デフ

ォルトで作成される適用ルール(表 2-13参照)が設定されていることを確認します。

図 2-33 [セキュリティグループ詳細]画面


46


2.2.2.3 セキュリティグループのルール作成

セキュリティグループのルールを作成します。

図 2-34セキュリティグループのルール作成


1. セキュリティグループの[ルール管理]画面を表示させます。

i. [セキュリティグループ一覧]画面を表示させます。

ii. ルール管理を行うセキュリティグループ名の欄の右端にある[アクション]-[ルール管理]をクリ

ックします。


47


図 2-35 [セキュリティグループ一覧]画面ルール管理

[セキュリティグループルール管理]画面が表示されます。

2. [ルールの追加]ボタンをクリックします。

図 2-36 [ルール管理]画面

[ルールの追加]画面が表示されます。

3. SSL-VPN接続のネットワークアドレスから仮想サーバへのアクセスを許可するために、以下のセキ

ュリティグループルールを設定します。


48


図 2-37 [ルールの追加]画面

a. セキュリティグループルールを追加します。設定内容は表 2-12を参照してください。

b. [追加]ボタンをクリックします。

表 2-12 [ルールの追加]設定項目


1 ルールプロトコルを選択します。 SSH

2 接続先「CIDR/セキュリティグループ」を選択しま

す。

CIDR

3 CIDR 送信元の IP アドレスを CIDR 形式で入力し

ます。

特定の IPアドレスを入力する場合は

「xxx.xxx.xxx.xxx/32」の形式で入力しま

す。

「SSL-VPN 接続の作成」で

設定した「SSL-VPN 接続のクライアント IP

プール(CIDR)」の値を入力します。

192.168.246.0/24

SSH や DNS などを[ルール]欄で選択し画面項目に[方向]欄が表示されていない場合、

通信の方向はすべて「ingress」で設定されます。

[ルール]欄で指定する内容により、[ルールの追加]画面の項目が変化します。

a

b

a

b


49


図 2-38 [ルールの追加]画面


図 2-39 セキュリティグループルール追加確認の画面

[セキュリティグループルール管理]画面に戻ります。

5. 設定したセキュリティグループのルールが追加されているか確認します。

以下の設定例では、SSH のルールとして TCP の 22 番ポートを許可するルールが追加されています。

図 2-40 [ルールの追加]画面設定後の表示例


50


表 2-13は、セキュリティグループの新規作成時にデフォルトで作成されるルールで

す。セキュリティを高めたい場合はこのルールをセキュリティグループから削除し、

個別にルールの追加を行ってください。

表 2-13 セキュリティグループのルール(新規作成時)

方向 IPバージョンプロトコル種別ポート範囲

Egress

(アウトバウンド)

IPv6 すべてすべて

Egress


IPv4 すべてすべて

仮想サーバはキーペア等のメタデータを K5 内部の特別なサーバから取得しています。

仮想サーバから仮想ルータを経由して「http://169.254.169.254」との通信ができ

るように、セキュリティグループとルーティングを設定する必要があります。


51


2.2.3 ファイアーウォール作成

K5 IaaSではファイアーウォールは細かな設定をすることが出来ますが、本節では構築に必要となるル

ールの作成方法を扱っています。実際の導入および運用に関しましてはお客様のセキュリティポリシーを

踏まえ設定してください。

詳細は、以下を参照してください。


ドキュメント参照箇所

『IaaS機能説明書』「5.6.1 ファイアーウォールサービス」

『設計・構築ガイド』実装作業(4) 仮想ルータ参考：セキュリティグループと

ファイアーウォールの概略

参考：セキュリティグループとファイアーウォールの違

い

参考：セキュリティグループとファイアーウォールの機

能配置

『IaaS サービスポータルユーザ

ーズガイド』

「第 17章ファイアーウォール」

『IaaS APIユーザーズガイド』「3.4 ファイアーウォール作成」

2.2.3.1 ファイアーウォール設定手順

ファイアーウォールの設定は次の要素から構成されます。

1. ファイアーウォールルールの作成

2. ファイアーウォールポリシーを作成し、ルール群を登録

3. ポリシーを指定してファイアーウォールを作成し、仮想ルータに関連付け

上記のとおり順番にフィルタリング情報を構成していき、ファイアーウォールを仮想ルータに関連付ける

ことで、設定したフィルタリングが行われるようにします。

デフォルトではすべてのトラフィックを遮断するようになっています。(ホワイトリスト形式)

許可ルール(AC=allow)によって定義されたトラフィックのみファイアーウォールを通過します。

自プロジェクト以外のファイアーウォールポリシー、またはルールが設定されたファイ

アーウォールは利用者自身での削除ができなくなり、K5基盤の管理者による削除が必要

になります。ファイアーウォールおよびそのポリシー/ルールは必ず RHOCPを構築する

対象のプロジェクト内で作成してください。


52


2.2.3.2 ファイアーウォールルールの作成

ファイアーウォールルールを作成します。

図 2-41ファイアーウォールルールの作成

ファイアーウォール数、ルール数、ポリシー数に関する制限は、『IaaS機能説明書』の

「A.1 制限値」ページ内の「ネットワークに関する制限値」-「表 233 : ネットワークに

関する制限値一覧」を参照してください。

実際の導入に際しては、所属する組織等のセキュリティポリシーに必ず従い、ルールの

作成を行ってください。


53



1. [ファイアーウォールルール作成]画面を表示させます。

i. [ファイアーウォール一覧]画面を表示させます。

図 2-42 [ファイアーウォール一覧]画面

a. IaaS サービスポータルのサイドバーから「ネットワーク」-「ファイアーウォール」をク


b. 画面右上の[ルール一覧]ボタンをクリックします。

ii. [ファイアーウォールルール一覧]画面が表示されます。画面右上の作成ボタン([+])をクリック

します。

図 2-43 [ファイアーウォールルール一覧]画面

[ファイアーウォールルール作成]画面が表示されます。


54


2. ファイアーウォールルールを作成します。

図 2-44 [ファイアーウォールルール作成ルール詳細]画面

a. ファイアーウォールルールを作成します。設定内容は表 2-15を参照してください。

b. [次へ]ボタンをクリックします。[確認]画面が表示されます。


55


表 2-15 [ファイアーウォールルール作成]設定項目


1 ルール名任意の名称を 255バイト以内で入力します。




Test-firewallRule

2 有効「true/false」を選択します。 true





jp-west-2a

4 allow/deny 許可ルール(allow)を作成するのか、拒否ルー

ル(deny)を作成するのか選択します。

allow

5 プロトコル「TCP/UDP/ICMP/null」を選択します。 tcp

6 送信元 IP アドレ

ス

使用可能な IPv4 アドレス(CIDR 指定可)を入

力します。

何も入力しない場合は 0.0.0.0/0 が設定され

ます(不可視)

192.168.246.0/24

7 送信元ポート「1-65535」(半角数字)または「開始：終

了」(範囲指定)で入力します。

何も入力しない場合は「1-65535(全ポー

ト)」が設定されます(不可視)

－

8 宛先 IPアドレス使用可能な IPv4 アドレス(CIDR 指定可)を入

力します。

何も入力しない場合は 0.0.0.0/0 が設定され

ます(不可視)

192.168.0.0/24

9 宛先ポート「1-65535」(半角数字)または「開始：終

了」(範囲指定)で入力します。

何も入力しない場合は「1-65535(全ポー

ト)」が設定されます(不可視)

22

10 説明 1024バイト以内で入力します。(任意) －


56


3. 設定内容を確認し、問題なければ[作成]ボタンをクリックします。

図 2-45 [ファイアーウォールルール作成確認]画面


図 2-46 ファイアーウォールルール作成完了の画面

2.2.3.3 ファイアーウォールポリシーの作成およびルールの登録

ファイアーウォールポリシーの作成およびルールの登録を行います。

複数のファイアーウォールルールのリストを、ファイアーウォールポリシーとして定義します。優先順

位に従いリスト内のルールが順次検証され、通信の可否を制御します。


57


図 2-47 ファイアーウォールポリシーの作成およびルールの登録

ポリシー内で自動的に「DENY ALL」ルールが最後尾に追加されます。これにより、許

可ルールの定義されないトラフィックはデフォルトで遮断されます。(ホワイトリスト方

式) この自動的に追加される「DENY ALL」ルールは暗黙ルールとなっており、ポリシー

の作成画面や編集画面には表示されません。





1. [ファイアーウォール一覧]画面を表示させます。

2. [ファイアーウォール一覧]画面の画面右上の[ポリシー一覧]ボタンをクリックします。


58



[ファイアーウォールポリシー一覧]画面が表示されます。

3. 画面右上の作成ボタン([+])をクリックします。

図 2-49 [ファイアーウォールポリシー一覧]画面

[ファイアーウォールポリシー作成]画面が表示されます。

4. ファイアーウォールポリシーの作成およびルールの登録を行います。

図 2-50 [ファイアーウォールポリシー作成ポリシー詳細]画面

a. ファイアーウォールポリシーを作成します。設定内容は表 2-16を参照してください。



59


表 2-16 [ファイアーウォールポリシー作成]設定項目

No 項目説明本書での設定

1 ポリシー名任意の名称を 255バイト以内で入力します。




Test-policy





jp-west-2a

3 ルール名 [設定]ボタンをクリックすると、[ファイアー

ウォールルールの選択]画面が表示されます。

(

図 2-51参照)

適用するルール名をチェックしてください。

SSH(22)と

SSL(443)を許可す

るルールを選択しま

す。

4 説明 1024バイト以内で入力してください。－

図 2-51 [ファイアーウォールルールの選択]画面

ファイアーウォールルールにおいて送信元や宛先の IPアドレスやポート番号

が未設定の場合、送信元 IP[ポート]欄や宛先 IP[ポート]欄には「(any)」が表

示されます。

5. 以下の画面が表示されます。[作成]ボタンをクリックします。


60


図 2-52 [ファイアーウォールポリシー作成確認]画面


図 2-53 ファイアーウォールポリシー作成完了の画面

ファイアーウォールポリシーの作成およびルールの登録が完了しました。

7. 必要に応じてファイアーウォールルールの並び替えを行います。以下はファイアーウォールポリシ

ー作成後にファイアーウォールルールの並び替えを行う手順です。

ファイアーウォールポリシーに登録したルールは通信に対して上から順番にルールの

検証を行います。

i. [ファイアーウォールポリシー一覧]画面を表示させます。該当するファイアーウォールポリシ

ーの[アクション]ボタン-[編集]をクリックします。


61


図 2-54 [ファイアーウォールポリシー一覧]画面

ii. [ファイアーウォールポリシー編集]画面が表示されます。[ルール名]欄にある[並び替え]ボタ

ンをクリックします。

図 2-55 [ファイアーウォールポリシー編集]画面

iii. [ファイアーウォールルールの並び替え]画面が表示されます。変更したい並び順に数字を修正

し、[確定]ボタンをクリックします。


62


図 2-56 [ファイアーウォールルールの並び替え]画面

[並び順]欄に表示されている番号が現在の適用順です。

並び順の初期値(整数)は本ポータル上で定義した順序です。ルールの上限

値とは関係ありません。

並び順を 1より優先順位を高く設定したい場合は、マイナスの数値を指定

して並び順を変更することが可能です。[設定可能な値]は-999(高)～

999(低)の整数です。

複数のルールに対して同じ値を設定した場合、これらのルール間の並び替

えは行われません。


63


iv. [ファイアーウォールポリシー編集]画面が再度表示されます。[ルール名]欄に表示された並び

順が変更後の並び順です。内容を確認し、問題なければ、画面右上の更新ボタン( )をクリ

ックします。

図 2-57 [ファイアーウォールポリシー編集]画面

ファイアーウォールルールの並び替えは完了です。

2.2.3.4 ファイアーウォールの作成

ファイアーウォールポリシーを指定してファイアーウォールを作成し、仮想ルータを関連づけます。


64


図 2-58 ファイアーウォールの作成





1. [ファイアーウォール作成]画面を表示させます。

i. IaaSサービスポータルのサイドバーから「ネットワーク」-「ファイアーウォール」をクリッ

クします。

ii. [ファイアーウォール一覧]画面が表示されます。画面右上の作成ボタン([+])をクリックします。



65


2. [ファイアーウォール作成]画面が表示されます。

図 2-60 [ファイアーウォール作成]画面

a. ファイアーウォールを作成します。設定内容は表 2-17を参照してください。




66


表 2-17 [ファイアーウォール作成]設定項目


1 ファイアーウォ

ール名

任意の名称を 255バイト以内で入力します。




Test-FW

2 管理状態「true(up)/false(down)」を選択します。 true(up)





jp-west-2a

4 ポリシー名 [設定]ボタンをクリックすると、[ファイアー

ウォールポリシーの選択]画面が表示されま

す。(図 2-61参照)

ファイアーウォールを関連づけるポリシー名

をチェックし、[設定]ボタンをクリックして

ください。

Test-policy

5 仮想ルータ名 [設定]ボタンをクリックすると、[仮想ルータ

の選択]画面が表示されます。(図 2-62参照)

適用する仮想ルータ名をチェックし、[設定]

ボタンをクリックしてください。

Test-Router

6 説明 1024バイト以内で入力します(任意)。－

[ファイアーウォールポリシーの選択]画面

図 2-61 [ファイアーウォールポリシーの選択]画面


67


[仮想ルータの選択]画面

図 2-62 [仮想ルータの選択]画面

3. 設定内容を確認し、問題なければ[作成]ボタンをクリックします。

図 2-63 [ファイアーウォール作成確認]画面


図 2-64 ファイアーウォール作成確認画面

ファイアーウォールポリシーの作成およびルールの登録が完了しました。


68


2.2.4 SSL-VPN接続

K5上に構築した環境へ安全に接続するため SSL-VPN接続を行います。SSL-VPN接続を行うことでク

ライアント端末から安全に K5上の仮想サーバへアクセスし、操作することが可能です。

以下の手順で SSL-VPN接続(V2サービス/K5クライアント証明書利用)の設定をします。

詳細は、『IaaS機能説明書』の「5.5 VPN (SSL-VPN)」を参照してください。

SSL-VPNに関する一般的な説明は、「SSL-VPN入門(富士通公開サイト)」(*1)を参照してください。

＊1 : 以下の URLより参照してください。

http://www.fujitsu.com/jp/products/network/security-bandwidth-control-load-

balancer/ipcom/material/data/2/1.html

SSL-VPN接続機能を利用せずに仮想サーバに直接ログインする場合は、この手順は必要

ありません。

K5 IaaSには SSL-VPN接続機能だけでなく、IPsec VPN機能もあります。オンプレミス

環境との接続、またはリージョン間のシステム接続の際にご利用可能です。

自己署名証明書を利用する場合は、以下を参照してください。

『IaaS機能説明書』の「A.11 SSL-VPN接続を利用した仮想サーバ OSへの接続」

『IaaS APIユーザーズガイド』の「3.5.2.6 VPNクライアントとの接続設定(V2サ

ービス/自己署名証明書利用)」

2.2.4.1 VPNサービスの作成

VPNサービスを作成する前に、以下の「ネットワークの構築」に関する操作を行ってください。

仮想ネットワークおよびサブネットの作成

仮想ルータの作成

外部ネットワークと仮想ルータの接続

仮想ルータとサブネットの接続

VPNサービスを作成する前に、以下の点を確認してください。確認できない場合は、2.2

リソースの作成からやり直してください。

「サブネットのゲートウェイ IP」と仮想ルータのインターフェースの「(プライベー

ト)IPアドレス」が一致していることを確認してください。詳細は、『IaaSサービス

ポータルユーザーズガイド』の「第 21章 VPNサービス(SSL-VPN)」を参照してくだ

さい。

http://www.fujitsu.com/jp/products/network/security-bandwidth-control-load-balancer/ipcom/material/data/2/1.html

http://www.fujitsu.com/jp/products/network/security-bandwidth-control-load-balancer/ipcom/material/data/2/1.html


69


作成したサブネットにおいて、ネットワークアドレスのマスク値が「16bit～29bit」の

範囲内で指定してあることを確認してください。

仮想ルータに VPNサービスを設定します。

図 2-65 VPNサービスの作成

1つの仮想ルータにつき、作成できる VPNサービスは 1つだけです。複数のサブネット

に対して SSL-VPN 接続を行う場合は、仮想ルータおよび SSL-VPN 機能(VPN サービス、

SSL-VPN接続)をサブネットごとに作成してください。


70



1. [VPNサービス作成]画面を表示させます。

図 2-66 [VPNサービス一覧]画面

a. IaaSサービスポータルのサイドバーから「ネットワーク」-「VPNサービス」をクリックし

ます。

b. [VPNサービス一覧]画面が表示されます。画面右上の作成ボタン([+])をクリックします。

2. [VPNサービス作成]画面が表示されます。

図 2-67 [VPNサービス作成]画面

a. VPNサービスを作成します。設定内容は表 2-18を参照してください。

b. [作成]ボタンをクリックします。


71


表 2-18 [VPNサービス作成]設定項目






AZ 選択後、対応する仮想ルータの選択が可能

になります。

事前に準備した仮想ルータ作成

時に指定した AZ を必ず選択してください。誤

った AZ を選択すると、適切な仮想ルータが表

示されません。

jp-west-2a AZ

2 仮想ルータ名上記項目で選択した AZ において利用可能な仮

想ルータが表示されるので選択します。

仮想ルータ選択後、サブネット名の指定が可能

になります。

Test-Router

3 サブネット名利用可能なサブネットが表示されるので選択し

ます。

Test-Subnet

4 VPN サービス

名

任意の名称を 1-255 バイト以内で入力します。


書』の「A.21命名時に使用可能な文字」を参照


Test-Vpn

5 説明 VPN サービスについての説明事項を入力してく

ださい。(任意)

－

6 管理状態「true/false」を選択できます。初期値：true true


図 2-68 VPNサービス作成依頼受付の画面


72


3. VPNサービスの作成が完了しているか確認します。VPNサービスの作成完了後、[VPNサービス一

覧]画面に作成した VPNサービスが表示されます。作成した VPNサービスの状態が

「PENDING_CREATE」になっていることを確認してください。

図 2-69 VPNサービス作成後の画面

2.2.4.2 SSL-VPN接続の作成

SSL-VPN接続を作成します。

図 2-70 SSL-VPN接続の作成


73


ネットワークに関する制限は、『IaaS機能説明書』の「A.1 制限値」ページ内の「ネット

ワークに関する制限値」-「表 233 : ネットワークに関する制限値一覧」を参照してくだ

さい。


1. [VPNサービス詳細]画面を表示させます。

[VPNサービス一覧]画面において、接続作成したい VPNサービス名をクリックします。

図 2-71 [VPNサービス一覧]画面

2. [VPNサービス詳細]画面が表示されます。[VPNサービス詳細]画面下部の[SSL-VPN接続]欄の右

側にある作成ボタン([+])をクリックします。

図 2-72 [VPNサービス詳細]画面


74


3. [SSL-VPN接続作成]画面が表示されます。

図 2-73 [SSL-VPN接続作成]画面

a. SSL-VPN接続を作成します。設定内容は表 2-19を参照してください。


表 2-19 [SSL-VPN接続作成]設定項目


1 SSL-VPN 接続

名

任意の名称を 1-255バイト以内で入力します。 Test-SSL-VPN

2 プロトコル「TCP/UDP」を選択できます。初期値：TCP TCP

3 管理状態「true/false」を選択できます。初期値：true true

4 証明書使用する証明書を選択します。

K5 証明書以外の証明書を使用

する場合は、事前に API で証明書を登録してく

ださい。

K5証明書

(デフォルト)

5 セキュリティグ

ループ

使用するセキュリティグループにチェックを入

れます。

何もチェックしない場合は、

SSL-VPN 接続用に全ての通信が許可されたセ

キュリティグループが自動的に作成されます。

セキュリティグループは 6 個まで指定できま

す。

－


75


4. アクセスポイントを設定します。

図 2-74 [SSL-VPN接続作成アクセスポイント設定]画面

a. アクセスポイントの設定を行います。設定内容は表 2-20を参照してください。


表 2-20 [SSL-VPN接続作成アクセスポイント]設定項目


1 グローバル IP 使用するグローバル IP アドレスを選択しま

す。

自動割当

2 クライアント IP

プール

SSL-VPN クライアントに割り当てる IP アド

レスの範囲を CIDR形式で設定します。

クライアント IP プールのネットワークア

ドレス(CIDR 形式)のプレフィックス長は

16～29ビットを指定してください。

K5 で使用しているネットワークアドレス

やクライアント PC が接続しているローカ

ルネットワークアドレスと競合しないネッ

トワークアドレスを指定してください。

「192.168.122.0/24」は利用できませ

ん。『IaaS 制限事項・注意事項』の「注

意事項 2-80」を参照してください。

192.168.246.0/24


76


5. [確認]画面が表示されます。内容を確認し問題がなければ、[作成]ボタンをクリックします。

図 2-75 [SSL-VPN接続作成確認]画面


図 2-76 SSL-VPN接続作成依頼受付の画面

以上で SSL-VPN接続の作成作業は完了です。


77


7. SSL-VPN接続の状態を確認します。

i. 作成直後は SSL-VPN接続の状態は「PENDING_CREATE」です。

SSL-VPN接続作成後、SSL-VPN接続の状態が「PENDING_CREATE」から

「ACTIVE」になるまでに 10分程度かかります(待機時間は場合によって変化

します)。

図 2-77 [VPNサービス詳細]画面 SSL-VPN接続の状態

ii. 1分程度待機した後、画面右上の更新ボタン( )をクリックします。作成した SSL-VPN接続

の状態が「ACTIVE」になっていることを確認します。

図 2-78 [VPNサービス詳細]画面 SSL-VPN接続 ACTIVE状態

「VPNクライアントの設定」時に使用するため、SSL-VPN接続のグローバル

IPアドレスを控えておいてください。

8. VPNサービスの状態を確認します。

[VPNサービス一覧]画面を表示させます。

画面右上の更新ボタン( )をクリックし、作成した VPNサービスの状態が「ACTIVE」になるこ

とを確認します。

SSL-VPN接続の状態が「ACTIVE」になるまで、VPNサービスの接続状態は、

「PENDING_CREATE」のままです。


78


図 2-79 [VPNサービス一覧]画面 VPNサービス ACTIVE状態

本書の手順で SSL-VPN 接続を作成した場合、以下の設定が自動的に追加されます。

スタティックルーティング

SSL-VPN接続用に SSL-VPN接続に設定したクライアント IPプールのルーテ

ィング設定が仮想ルータに追加されます。

グローバル IPアドレス

SSL-VPN接続に割り当てられるグローバル IPアドレスが払い出されます。(グ

ローバル IPを「自動割当」に設定したため)

セキュリティグループ

SSL-VPN接続用に全ての通信許可が設定されたセキュリティグループが作成

されます。(セキュリティグループ設定時にセキュリティグループを指定しなか

ったため)

SSL-VPN接続のセキュリティグループのルールを変更する場合、以下の許可

ルールが含まれるよう、注意してください。

表 2-21 SSL-VPN接続のセキュリティグループにに必要な許可ルール

本書の手順で SSL-VPN接続を作成した場合、SSL-VPNコネクションへのアクセス

を許可するファイアーウォールルール(443/TCP または 1194/UDP)が自動的に追

加されます。「送信元 IPアドレス」は「省略」と設定され、すべての IPアドレス

からの通信が許可されますので、必要に応じて「送信元 IPアドレス」を指定してく

ださい。

方向通信相手プロトコル種別開始ポート番号終了ポート番号

インバウンド

(Ingress)

SSL-VPN クラ

イアント

tcpまたは udp 443または 1194 開始ポート番

号と同じ値

アウトバウン

ド(Egress)

仮想サーバ(接

続先サーバ)

SSL-VPN コネク

ション通過後の通

信プロトコル

SSL-VPN コネク

ション通過後の通

信ポート番号

開始ポート番

号と同じ値


79


2.2.4.3 VPNクライアントの設定

VPNクライアントの設定を行います。

図 2-80 VPNクライアントの設定

Windows環境のクライアント PCから OpenVPNを使用して、SSL-VPN接続(K5クライアント証明書

利用)を行う場合の手順について説明します。

東日本リージョン 3／西日本リージョン 3をご利用の場合、VPNクライアントの設定に

OpenVPNは使用できません。SSL-VPNクライアントを使用してください。SSL-VPNク

ライアントの設定手順は、『IaaS機能説明書』の以下の記事を参照してください。

1. 「A.9.3 SSL-VPNクライアントのセットアップ（Windows編）」

2. 「A.9.4 SSL-VPNクライアントのダウンロード（Windows編）」

3. 「A.9.5 SSL-VPNクライアントからの接続・切断（Windows編）」

以下は、証明書の形式変換に OpenSSL1.1.0を使用する場合のWindows7における手順の例です。



80


1. 『IaaS APIユーザーズガイド』の「3.5.1.3 VPNクライアントとの接続設定(V2サービス/K5クラ

イアント証明書利用)」を参照し、以下を作成してください。

i. CA証明書(例：ca.crt)

ii. クライアント証明書(例：client.crt)

iii. クライアント秘密鍵(例：client.key)

2. 『IaaS機能説明書』の「A.9.1 OpenVPNクライアントのセットアップ（Windows編）」を参照

し、OpenVPNクライアントをセットアップします。

3. OpenVPNクライアントから SSL-VPNに接続します。

i. 「OpenVPN GUI アイコン」を右クリックし、[管理者として実行]を選択し、OpenVPNクラ

イアントを管理者権限で起動します。

図 2-81 [OpenVPN GUI アイコン]画面

ii. OpenVPNクライアント起動後、PC端末の起動タスクトレイ上に OpenVPNアイコンが表示さ

れます。タスクトレイ上の OpenVPNアイコンを右クリックし、[接続]メニューをクリックし

ます。

図 2-82 [タスクトレイ OpenVPN icon 参考]画面


81


iii. SSL-VPNリソースへの接続が成功すると、タスクトレイのアイコンがグリーンに切り替わりま

す。

SSL-VPNクライアント PCから仮想サーバのプライベート IPアドレスを指定することで接続

が可能となります。

図 2-83 [OpenVPN icon 参考]画面

iv. アイコンにカーソルをホバーするとクライアント PCに割り当てられた IPが表示されます。

(例：192.168.246.6)

参考: SSL-VPN接続を切断したい場合は、タスクトレイ上の OpenVPNアイコンを右クリックし、[切

断]をクリックします。タスクトレイ上の OpenVPNアイコンがグレーに切り替わると切断完了で

す。


82


2.2.5 仮想サーバ作成

コンテナアプリケーションプラットフォームを構成するmasterサーバ、infraサーバ、nodeサーバに使

う仮想サーバを作成します。仮想サーバは、1.1.3 システム要件に適合した仮想サーバタイプを選んで作

成します。ここでは仮想サーバを作成し、クライアント PC(Windows)からリモート接続を試みるまでを

説明します。

なお、利用中の仮想サーバは不要になった時点でいつでも削除できますので、ご利用シーンにあわせて作

成、削除を行ってください。

2.2.5.1 キーペアの作成

仮想サーバへのログイン時に使用するキーペア(*.pem)を作成します(SSHログイン認証時にキーペアを

使用します)。

図 2-84キーペアの作成

仮想サーバ作成時に登録済みキーペアを指定する必要があるため、仮想サーバ作成前にキ

ーペアの作成・登録を行います。

キーペアは AZごとに作成します。また、キーペアはユーザーに関連づけられます。


83


キーペアを作成するユーザーと、仮想サーバを作成するユーザーは同一ユーザーであ

る必要があります。


1. [キーペア作成]画面を表示させます。

図 2-85 [キーペア一覧]画面

a. IaaSサービスポータルのサイドバーから「コンピュート」-「キーペア」をクリックします。

b. [キーペア一覧]画面が表示されます。画面右上の作成ボタン([+])をクリックします。

[キーペア作成]画面が表示されます。

2. キーペアを作成します。

図 2-86 [キーペア作成]画面

a. キーペアを作成します。設定内容は表 2-22を参照してください。




84


表 2-22 [キーペア作成]設定項目


1 キーペア名任意の名前を設定します。半角英数字・アン

ダースコア・ハイフン、255 文字以内で入力


キーペア名には空白文字を含

めないでください。空白文字を含むキーペア

名を指定した場合、ログインできない仮想サ

ーバが作成されます。

Test-Keypair

2 作成先 AZ 仮想サーバを作成するネットワークがある AZ

を選択します。

jp-west-2a

3. 内容を確認し、[作成]ボタンをクリックします。

図 2-87 [キーペア作成確認]画面

4. 以下の画面が表示されます。[OK]ボタンをクリックすると、ダウンロードが開始されます。

図 2-88 秘密鍵ダウンロード開始の画面

SSH認証用の秘密鍵(.pem)のファイルがダウンロードされます(例 Test-Keypair.pem)。

ダウンロードした秘密鍵は厳重に保管してください。

秘密鍵を紛失すると、そのキーペアを割り当てた仮想サーバにログインできません。


85


新たなキーペアを既存の仮想サーバに割り当てることはできないため、仮想サーバ

の再構築が必要となります(作成済のキーペアの秘密鍵を再度ダウンロードする方法

もありません)。

5. 作成したキーペアが[キーペア一覧]画面に表示されていることを確認します。

図 2-89 [キーペア一覧確認]画面

2.2.5.2 イメージ一覧の確認

OS提供サービスで提供している仮想サーバの OSイメージの一覧を確認します。

1. [イメージ一覧]画面を表示させます。


86


図 2-90 [イメージ一覧]画面

a. IaaS サービスポータルのサイドバーから「コンピュート」-「イメージ」をクリックします。

b. [イメージ一覧]画面が表示されます。

[イメージ一覧]画面から、利用可能なイメージ一覧とその状態等を確認することができます。

以下のイメージが表示されていることを確認してください。

[RHOCP3.11でシステムを構築する場合]

Red Hat OpenShift (Master) 3.11 64bit (English) 01

Red Hat OpenShift (Node) 3.11 64bit (English) 01








87


2.2.5.3 仮想サーバの作成

コンテナアプリケーションプラットフォームを構成するmasterサーバ、infraサーバ、nodeサーバに

使う仮想サーバを作成し、仮想ネットワークに配備します。

仮想サーバを作成する前に、仮想サーバが接続する仮想ネットワークを作成しておく必要

があります。

SSL-VPNで接続する仮想サーバを作成する場合は以下の内容を確認した上で、仮想サー

バを作成してください。

仮想サーバを接続する仮想ネットワークのサブネットの設定で、DHCPが有効にな

っていること

仮想サーバを接続する仮想ネットワークのサブネットの設定で、「サブネットのゲ

ートウェイ IP」と仮想ルータのインターフェースの「(プライベート)IPアドレス」

が一致していること

仮想サーバのポートに適用するセキュリティグループにおいて、以下の通信許可が

設定されていること

表 2-23 通信許可設定

方向 IPバージョンプロトコル種別ポート範囲宛先

egress


IPv4 TCP 80 169.254.169.254/32


88


図 2-91 仮想サーバの作成

masterサーバ、infraサーバ、nodeサーバとして使う仮想サーバごとに以下の手順を繰り返して作成し

ます。

1. [仮想サーバ作成]画面を表示させます。

図 2-92 [仮想サーバ一覧]画面

a. IaaS サービスポータルのサイドバーから「コンピュート」-「仮想サーバ」をクリックします。

b. [仮想サーバ一覧]画面が表示されます。画面右上の作成ボタン([+])をクリックします。

[仮想サーバ作成]画面が表示されます。


89


2. 仮想サーバを作成します。

図 2-93 [仮想サーバ作成]画面

a. 各仮想サーバを作成します。設定内容は表 2-24を参照してください。


[仮想サーバ作成仮想ネットワーク設定]画面が表示されます。


90


表 2-24 [仮想サーバ作成]設定項目


１ AZ 接続するネットワーク

が配備されている AZ

を選択します。

jp-west-2a AZ

2.2.1.1 で作成した仮想ネットワーク

が属する AZを選択

２仮想サーバ名任意の名前を入力しま

す。

Test-VM1

任意のサーバ名を入力

３仮想サーバタイプ*1 利用する仮想サーバタ

イプを選びます。

仮想サーバタイプの選

択は、*1を参考にし

て選択します。

Master

サーバ

S-4

4vCPU, 16GB RAM以上の

スペックを選択

Infra

サーバ

M-1

1vCPU, 8GB RAM 以上の

スペックを選択 Node

サーバ

４仮想サーバのブートソ

ース

利用したいブートソー

スを選択します。

「イメージ」を選択

すると以下の記入欄

が表示されます。

「イメージ」を選択

５イメージパブリック/

プライベー

ト

仮想サーバに適用する

イメージを選択しま

す。

「パブリック」を選択

イメージ名イメージ名を選択しま

す。

イメージ名は、*2から

選択します。

RHOCP 3.6 Masterの場合なら、

「Red Hat OpenShift (Master) 3.6

64bit (English) 01」

６ディスクサイズ(GB) 仮想サーバに割り当て

るディスクのサイズ

を GB単位で記入し

ます。

Master

サーバ

70

70GB以上を入力*3

Infra

サーバ

Node

サーバ

７デバイス名ブロックストレージパ

ス(「/dev/vda」の形

式で指定)を記入しま

す。

/dev/vdc

任意のデバイス名を選択

*1：利用可能な仮想サーバタイプ(フレーバー)の詳細は、

『IaaS機能説明書』の「2.1.1.1仮想サーバの作成／削除」の「仮想サーバタイプ(フレ

ーバー)」でご確認ください。

*2：構築するシステム環境に応じて、以下のイメージを選択してください。


Masterサーバ：「Red Hat OpenShift (Master) 3.11 64bit (English) 01」

Infraサーバ：「Red Hat OpenShift (Master) 3.11 64bit (English) 01」

Nodeサーバ：「Red Hat OpenShift (Node) 3.11 64bit (English) 01」


91




Infraサーバ：「Red Hat OpenShift (Master) 3.9 64bit (English) 01」





*3：RHOCPイメージは、70GBのディスクサイズを使用します。

仮想サーバ作成時に指定したディスクサイズから 70GB を差し引いたディスクの空き領域、

または、K5 IaaS上でブロックストレージを作成して、仮想サーバに接続した場合の追加

のディスク領域は、RHEL7『Storage Administration Guide』、RHEL7『Logical

Volume Manager Administration』を参照し、利用用途に応じて活用してください。

3. 仮想ネットワークを選択します。

図 2-94 [仮想サーバ作成]仮想ネットワーク選択画面-1

a. [利用可能な仮想ネットワーク]欄に仮想ネットワークの一覧が表示されます。仮想サーバを接

続する仮想ネットワークをクリックします。

b. 選択した仮想ネットワークの欄の背景が青に変わります。[選択]ボタンをクリックします。


92


図 2-95 [仮想サーバ作成]仮想ネットワーク選択画面-2

選択した仮想ネットワークが[選択済み仮想ネットワーク]欄へ移動します。[次へ]ボタン

をクリックします。

[仮想サーバ作成アクセスとセキュリティ]画面が表示されます。

4. アクセスとセキュリティに関する設定を行います。

図 2-96 [仮想サーバ作成アクセスとセキュリティ設定]画面

a. 構築するシステムに応じて、各仮想サーバの設定を行います。設定内容は表 2-25を参照し

てください。



93


表 2-25 [仮想サーバ作成アクセスとセキュリティ]設定項目


1 キーペア使用するキーペアを選

択します。

「Keypair」を選択

2.2.5.1で作成したキーペアを選択

2 セキュリティ

グループ

使用するセキュリティ

グループのチェックボ

ックスにチェックを入

れます。

Master

サーバ

「sgmaster」を選択

2.2.2で作成した Masterサーバ

用のセキュリティグループにチェ

ック

Infraサ

ーバ

2.2.2で作成した Infra/Nodeサ

ーバ用のセキュリティグループに

チェック

Nodeサ

ーバ

2.2.2で作成した Infra/Nodeサ

ーバ用のセキュリティグループに

チェック

5. オプションの設定を行います。

図 2-97[仮想サーバ作成オプション設定]画面

プロビジョニングスクリプト機能を使用しないため、設定項目は入力せずに「次へ」ボタンをク


[仮想サーバ作成確認]画面が表示されます。


94


6. 内容を確認し、問題が無ければ[作成]ボタンをクリックします。

図 2-98 [仮想サーバ作成確認]画面


図 2-99 仮想サーバ作成依頼受付の画面


95


8. [仮想サーバ一覧]画面が表示されます。

a. 仮想サーバ作成直後は仮想サーバのビルドが行われており、該当する仮想サーバの状態は

「BUILD」です。

図 2-100 [仮想サーバ一覧]画面 BUILD状態

b. 仮想サーバの状態が「BUILD」から「ACTIVE」になるまで、しばらくお待ちください。

図 2-101 [仮想サーバ一覧]画面 ACTIVE状態

時間を空けても状態が変わらない場合は、画面右上の更新ボタン( )をクリ

ックしてください。


96


2.2.5.4 仮想サーバへの接続(ログイン)

クライアント PC(Windows)から仮想サーバへリモート接続を行います。

仮想サーバへログインするには、仮想サーバ作成時に指定した登録済みキーペアを使用して、SSH経由

でログインします。

端末エミュレータ「Tera Term」を利用した方法を示します。以下、「Tera Term」は導入済みの前提

で説明します。

図 2-102 仮想サーバへの接続(ログイン)

以下の手順で仮想サーバへ接続します。

1. ログインする前に以下を確認してください。

ログイン対象仮想サーバに割り当てられた IPアドレスのステータスが"ACTIVE"であること

セキュリティグループルールが利用環境に対して正しく設定されていること

ファイアーウォールルールおよびポリシーが利用環境に対して正しく設定されていること

クライアント PC上で秘密鍵ファイル(.pem)が作業ディレクトリに存在すること

クライアント PC上で OpenVPNを管理者権限で実行し、SSL-VPN接続済であること


97


2. 「Tera Term」を起動させます。[新しい接続]画面で設定を行います。

図 2-103 Tera Term[新しい接続]画面

a. TeraTermの接続設定を行います。設定内容は表 2-26を参照してください。

b. [OK]ボタンをクリックします。

c. 初めて接続する際は、ホスト認証の確認が行われます。(図 2-104参照)

そのまま[続行]ボタンをクリックします。

表 2-26 Tera Term[新しい接続]設定項目


1 ホスト接続先ホストのアドレスを記入します。ここ

ではログイン対象の仮想サーバに割り当てら

れた IPアドレスを記入します。「仮想サーバ

一覧画面」で確認できます。

192.168.0.4

2 サービス「SSH」を指定します。 SSH

3 TCPポート「22」を入力します。 22

4 SSHバージョン「SSH2」を指定します。 SSH2

5 プロトコル「UNSPEC」を指定します。 UNSPEC


98


図 2-104 Tera Term [セキュリティ警告]画面


99


3. [SSH認証]画面が表示されます。設定を行います。

図 2-105 Tera Term[SSH認証]画面

a. SSH認証の設定を行います。設定内容は表 2-27を参照してください。

b. [OK]ボタンをクリックします。

表 2-27 Tera Term[SSH認証]設定項目


1 ユーザ名ログインユーザー名を入力します。

管理者ユーザー名はデフォルトで「k5user」に

設定されています。

k5user

2 RSA/DSA/ECD

SA/ED25519鍵

を使う

「RSA/DSA/ECDSA/ED25519鍵を使う」にチ

ェックを入れ、[秘密鍵]ボタンをクリックし、

キーペア作成時にダウンロードした秘密鍵ファ

イルを指定します。

Test-Keypair.pem


100


4. 画面に「[k5user@仮想サーバ名~]$」と表示されていることを確認します。

図 2-106 Tera Term [ログイン後]画面

クライアント PC(Windows)から仮想サーバへ接続できました。

2.2.5.5 仮想サーバ作成後の設定

仮想サーバ作成後に以下の作業を行います。

OSパッチ／アップデートの設定

パッケージの最新化

RHOCPの日本語化設定

RHELシステムの環境設定

OSパッチ／アップデート設定

OSパッチ／アップデート設定は、必ず実施してください。

この作業は、全てのサーバ(Masterサーバ、Infraサーバ、および Nodeサーバ)で実施し

ます。

コンテナアプリケーションプラットフォームのセットアップおよび修正適用に、必要なパッチを入手する

ための設定を行います。

(1) Satelliteサーバの証明書登録

コンテナアプリケーションプラットフォームのセットアップおよび修正適用に、必要なパッチを入手する

ために、K5が提供する Satelliteサーバの証明書登録を行います。

K5が提供する Satelliteサーバはコンテナイメージを配布していません。パッチのみ配布

しています。

以下のコマンドを実施し、SSLパブリック証明書を Satelliteサーバからコピーします。


101


コマンドで指定する Satelliteサーバの FQDNは、『Red Hat Satellite 用設定情報』を参照してくださ

い。

# rpm -Uvh http://＜Satellite サーバの FQDN＞/pub/katello-ca-consumer-

latest.noarch.rpm

『Red Hat Satellite 用設定情報』を参照いただく際には、お客様の契約者情報が必要です。

以下のコマンドを実施し、組織名とアクティベーションキーを Satelliteサーバへ登録します。

コマンドで指定する組織名、および、アクティベーションキーの情報は、『Red Hat Satellite 用設定情

報』を参照してください。

# subscription-manager register --org=＜組織名＞ --activationkey=＜アクティベ

ーションキー＞

(2) リポジトリの有効化

コンテナアプリケーションプラットフォームのセットアップに必要なリポジトリを有効化する前に、

以下のコマンドを実施し、全てのリポジトリを無効化します。

# subscription-manager repos --disable="*"

全てのリポジトリが無効化されているか確認します。

# yum repolist

yumコマンドの結果として、以下の「repolist:0」が表示されていることを確認してください。

repolist: 0

「repolist: 0」でない場合は、以下のコマンドを実施します。

# yum-config-manager --disable \*

以下のコマンドを実施し、必要なリポジトリを有効化します。


# subscription-manager repos \

--enable="rhel-7-server-rpms" \

--enable="rhel-7-server-extras-rpms" \

--enable="rhel-7-server-ose-3.11-rpms" \

--enable="rhel-7-server-ansible-2.6-rpms" \

--enable="rhel-7-server-debug-rpms"


102


[RHOCP3.9の場合]





--enable="rhel-7-fast-datapath-rpms" \

--enable="rhel-7-server-ansible-2.4-rpms" \


[RHOCP3.6の場合]





--enable="rhel-7-fast-datapath-rpms" \


(3) 有効化されたリポジトリの確認

コンテナアプリケーションプラットフォームのセットアップに必要なリポジトリが有効化されているか確

認します。

# yum repolist

下記の「repo id」が表示されていることを確認してください。


repo id repo name

status

rhel-7-server-ansible-2.6-rpms/x86_64 Red Hat Ansible Engine 2.6

RPMs for Red Hat Enterprise Linux 7 Server 12

rhel-7-server-debug-rpms/7Server/x86_64 Red Hat Enterprise Linux 7

Server (Debug RPMs) 8,049

rhel-7-server-extras-rpms/x86_64 Red Hat Enterprise Linux 7

Server - Extras (RPMs) 967

rhel-7-server-ose-3.11-rpms/x86_64 Red Hat OpenShift Container

Platform 3.11 (RPMs) 228

rhel-7-server-rpms/7Server/x86_64 Red Hat Enterprise Linux 7

Server (RPMs) 23,176

repolist: 32,432


103


[RHOCP3.9の場合]

repo id repo name

status

rhel-7-fast-datapath-rpms/7Server/x86_64 Red Hat Enterprise Linux Fa

st Datapath (RHEL 7 Server) (RPMs) 76

rhel-7-server-ansible-2.4-rpms/x86_64 Red Hat Ansible Engine 2.4

RPMs for Red Hat Enterprise Linux 7 Server 19









repolist: 29,266

[RHOCP3.6の場合]

repo id repo name

status

rhel-7-fast-datapath-rpms/7Server/x86_64 Red Hat Enterprise Linux Fa

st Datapath (RHEL 7 Server) (RPMs) 46









repolist: 25,553

パッケージの最新化

パッケージの最新化は、必ず実施してください。


ます。


104


以下のとおり、ご利用のシステム環境に応じて、パッケージの最新化を行ってください。


全てのサーバで、下記コマンドを実施してください。

# yum update openshift-ansible

[RHOCP3.9の場合]


# yum update atomic-openshift-utils

[RHOCP3.6の場合]


# yum update docker-1.12.6-71.git3e8e77d.el7.x86_64

# yum update atomic-openshift-utils

# yum install openvswitch-2.6.1 glusterfs-fuse-3.8.4-18.4.el7

RHOCPの日本語化設定

K5 IaaS の OS提供サービスで提供している RHOCPイメージは英語版のみです。

日本語化が必要な場合は、日本語化の設定を行ってください。

タイムゾーンの設定(時刻の設定)

言語の変更

キーボードの設定など

設定方法は、日本語化したい仮想サーバにログインし、コマンドによって設定を行います。

詳しくは、『IaaS機能説明書』の「2.1.3.4 RHEL7.x / CentOS 7.x / RHOCP3.x の日本語化設定」を

参照してください。

RHELシステムの環境設定

RHELシステムの環境設定は、必ず実施してください。


ます。

作成された仮想サーバの RHELシステムの環境設定を行います。

以下のシステム環境は、『RHEL7 ユーザーズマニュアル』を参照して、必要に応じて設定してください。

コアダンプファイルの設定

システム動作状況収集の設定


105


OOM Killerの動作

ログローテーションの設定


106

2.3 コンテナアプリケーションプラットフォームのセットアップ


コンテナアプリケーションプラットフォームのセットアップを行うためのシステム環境を構築し、セット

アップを行います。

2.3.1 ロードバランサーの作成

masterサーバ、infraサーバ(http用)、infraサーバ(https用)の負荷分散を行うため、各ロードバランサ

ーを作成し、負荷分散させるサーバを登録します。

図 2-107 ロードバランサーの作成

東日本リージョン 3／西日本リージョン 3をご利用の場合、ロードバランサーの作成手順

が異なります。ロードバランサーの作成手順は、『IaaSサービスポータルユーザーズガイ

ド』の「第 19章ロードバランサー（東日本第 3／西日本第 3）」を参照してください。

最小構成のシステムを構築する場合、ロードバランサーの作成は不要です。


107


(1) ロードバランサーの作成

masterサーバ、infraサーバ(http用)、infraサーバ(https用)の負荷分散を行う各ロードバランサーを

作成します。

各ロードバランサーは、以下の手順を繰り返して作成します。

1. [ロードバランサー作成]画面を表示させます。

図 2-108 [ロードバランサー一覧]画面

a. IaaS サービスポータルのサイドバーから「ネットワーク」-[ロードバランサー」をクリックし

ます。

b. [ロードバランサー一覧]画面が表示されます。画面右上の作成ボタン([+])をクリックします。


108


2. [ロードバランサー作成]画面が表示されます。ロードバランサーの設定を行います。

図 2-109 [ロードバランサー作成]画面

a. ロードバランサーを作成します。設定内容は表 2-28を参照してください。



109


表 2-28 [ロードバランサー作成]設定項目


1 ロードバランサ

ー名

ロードバランサーを識別するための名称を

指定します。

プロジェクト内で一意と

なっている必要があります。

LB01

2 タイプ用途に合わせて以下の 2 タイプから指定し

ます。

public：インターネットからのトラフ

ィックを負荷分散

internal：プライベートネットワーク内

だけで負荷分散

publicのロードバランサー

を作成する場合、ロードバランサーの

FQDN を共通ネットワークサービスで提供

される公開 DNS サーバに登録してくださ

い。

public

3 グレードロードバランサーの処理性能を以下の 3 タ

イプから指定します。

Standard：標準性能版

Middle：中間性能版

High：高性能版

ロードバランサーは、1 つ

のサブネットに対して、グレードごとに以

下の個数の IPアドレスが必要です。

必要な個数の IP アドレスを確保できる構

成にしてください。

Standard：4個

Middle：8個

High：12個

Standard


ープロトコル

ロードバランサープロトコル

(HTTP/HTTPS/TCP/SSL)を指定します。

TCP


ーポート

ロードバランサー受け待ちポート番号を指

定します。

Master用 8443

Infra-http用 80

Infra-https用 443

6 仮想サーバ

プロトコル

仮想サーバプロトコル

(HTTP/HTTPS/TCP/SSL)を指定します。

TCP

7 仮想サーバのポ

ート

仮想サーバの待ち受けポート番号を指定し

ます。

Master用 8443

Infra-http用 80

Infra-https用 443


110


8 証明書ロードバランサープロトコルとして、

HTTPS または SSL を選択した場合にサー

バ証明書を指定します。

証明書の指定は不要で

す。

3. サブネットの設定を行います。

図 2-110 [ロードバランサー作成サブネット選択]画面

a. 表 2-29に示すサブネットをクリックし、[選択]ボタンをクリックします。


表 2-29 [ロードバランサー作成サブネット選択]設定項目


1 サブネット設定仮想サーバが属するサブ

ネットを選択します。

Master用 stsubnet

2.2.1.1 で作成した仮

想サーバが属するサブ

ネットを選択

Infra-http用

Infra-https用


111


4. セキュリティグループ設定を行います。

図 2-111 [ロードバランサー作成セキュリティグループ選択]画面

a. 表 2-30に示すセキュリティグループをクリックし、[選択]ボタンをクリックします。


表 2-30 [ロードバランサー作成セキュリティグループ選択]設定項目


1 セキュリティ

グループ

ロードバランサーの

セキュリティグルー

プを選択します。

Master用 stmaster


に作成したセキュリティグループ

Infra-http用ロードバランサー(Infra-http用)


Infra-https用ロードバランサー(Infra-https用)



112


5. これまでの設定内容を確認します。

図 2-112 [ロードバランサー作成確認]画面

a. 問題が無ければ[作成]ボタンをクリックします。


図 2-113 ロードバランサー作成依頼受付の画面


113


ロードバランサーが作成できました。作成したロードバランサーの状態が「InService」となってい

ることを確認してください。

図 2-114 [ロードバランサー一覧]画面作成後

(2) ロードバランサーへの仮想サーバ追加

負荷分散するmasterサーバ、infraサーバ(http用)、infraサーバ(https用)をそれぞれのロードバラン

サーに登録します。各ロードバランサーへの登録は、以下の手順を繰り返して行います。

1. [ロードバランサー一覧]画面を表示します。

図 2-115 [ロードバランサー一覧]画面

a. ロードバランサーの行の[アクション]-[仮想サーバ]-[追加]をクリックします。


114


2. [仮想サーバ設定]画面が表示されます。

図 2-116 [仮想サーバ追加]画面

a. ロードバランサーに追加する仮想サーバ(表 2-31参照)の行の[アクション]-[追加]をクリック

します。

表 2-31 追加する仮想サーバ

No ロードバランサー追加する仮想サーバ

1 Master用 Master1、Master2、Master3サーバ

2 Infra-http用 Infra1、Infra2サーバ

3 Infra-https用 Infra1、Infra2サーバ

3. 以下の画面が表示されます。[追加]ボタンをクリックします。

図 2-117 仮想サーバ追加確認画面

ロードバランサーに仮想サーバを追加できました。


115


4. [ロードバランサー一覧]画面で、追加したロードバランサー名をクリックします。

図 2-118 [ロードバランサー一覧]画面仮想サーバ追加後

5. [ロードバランサー詳細]画面で、仮想サーバが追加されているか確認します。

図 2-119 [ロードバランサー詳細]画面


116


2.3.2 仮想サーバ間のネットワーク設定

仮想サーバ間のネットワーク(SSH接続)設定を行います。

セットアップを実行した Masterサーバからネットワーク経由で、全てのサーバにコンテ

ナアプリケーションプラットフォームとして必要な設定を行います。

その際、Masterサーバから他の全てのサーバへの接続時にパスワード入力を不要とするた

め、FQDNによる公開鍵認証を用いた SSH接続が可能となるよう設定します。

2.3.2.1 Masterサーバの公開鍵作成

セットアップを行うmasterサーバから、コンテナアプリケーションプラットフォームを構成する仮想サ

ーバに SSHログイン認証でログインするときに使用する公開鍵を作成します。

この作業は、セットアップを実施する Masterサーバで実施してください。

図 2-120 Masterサーバの公開鍵作成

下記コマンドを実施し、SSH接続で利用する認証用の鍵を生成します。


117


# ssh-keygen

コンテナアプリケーションプラットフォームのセットアップ(SSH接続)時にパスワードを要求されないよ

うに「Enter passphrase」では、パスワードを設定せず、Enterキーを押してください。

詳細は ssh-keygenのmanを確認してください。

設定を行う下線部三か所で Enterキーを押してください。

Generating public/private rsa key pair.

Enter file in which to save the key (/root/.ssh/id_rsa):

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in /root/.ssh/id_rsa.

Your public key has been saved in /root/.ssh/id_rsa.pub.

ssh-keygenコマンド実施後、Masterサーバに公開鍵(/root/.ssh/id_rsa.pub)が作成されます。

下記コマンドを実施し、Masterサーバの公開鍵(/root/.ssh/id_rsa.pub)の内容を表示します。

# cat /root/.ssh/id_rsa.pub

下記形式で Masterサーバの公開鍵が確認できます。公開鍵は、2.3.2.2で使用します。

ssh-rsa ...＜[email protected]＞

2.3.2.2 全サーバの公開鍵設定

コンテナアプリケーションプラットフォームを構成するすべての仮想サーバに対して、セットアップを行

うmasterサーバで作成した公開鍵を設定します。


てください。

2.3.2.1で作成した Masterサーバの公開鍵の内容を、全てのサーバの公開鍵ファイル

(/root/.ssh/authorized_keys)へ追加します。

下記コマンドを実施し、公開鍵ファイル(/root/.ssh/authorized_keys)を編集します。

# vi /root/.ssh/authorized_keys

公開鍵ファイルの末尾を改行した後に、Masterサーバの公開鍵の内容を追加し、保存してください。



118


公開鍵認証を使用して SSH接続ができるようになります。

2.3.2.3 サーバ間の名前解決

コンテナアプリケーションプラットフォームを構成するすべての仮想サーバにおいて、FQDNでの名前解

決が行えるようにします。


てください。

下記コマンドを実施し、hostsファイル(/etc/hosts)に全仮想サーバの FQDNの設定を追加します。

# vi /etc/hosts

hostsファイル(/etc/hosts)に、全てのサーバの IP、FQDN、ホスト名を順に記述し、保存します。

構築したい環境に合わせて設定内容を記載してください。以下は、図 2-1および表 2-1で示したシステ

ム構成の場合の例です。

仮想サーバの IPは、[仮想サーバ一覧]画面 ACTIVE状態(図 2-101)で確認できます。

最小構成の場合、網掛け部分の記述は不要です。

＜192.168.10.24 master1.example.com master1＞



＜192.168.10.27 infra1.example.com infra1＞


＜192.168.10.29 node1.example.com node1＞


2.3.2.4 Masterサーバから全サーバへの接続確認

セットアップを行うmasterサーバから、コンテナアプリケーションプラットフォームを構成するすべて

の仮想サーバに対して、FQDNを用いた SSH接続が行えることを確認します。

下記コマンドを実施し、仮想サーバ間の接続を確認します。

この作業は、2.3.2.1で公開鍵作成を実施した Masterサーバ 1台で実施してください。

最小構成の場合、網掛け部分の操作は不要です。


119


、SSH接続が行えないと、コンテナアプリケーションプラットフォームのセットアップが失

敗します。

# ssh ＜master1.example.com＞

# exit


# exit


# exit

# ssh ＜infra1.example.com＞

# exit

# ssh ＜infra2.example.com＞

# exit

# ssh ＜node1.example.com＞

# exit

# ssh ＜node2.example.com＞

# exit


120


2.3.3 セットアップ用スクリプトの作成

コンテナアプリケーションプラットフォームのセットアップを行うためのスクリプトを作成します。

この作業は、2.3.2.1で公開鍵作成を実施した Masterサーバで実施してください。

コンテナアプリケーションプラットフォームのセットアップには Ansibleを利用します。

Ansibleとは構成管理ツールで、スクリプトを実行することで、スクリプトに記述した構成で環境を構築

することができます。

下記コマンドを実施し、セットアップ用の Ansibleスクリプト(/etc/ansible/hosts)を編集します。

# vi /etc/ansible/hosts

構築したい環境に合わせて設定内容を記載してください。

設定内容の詳細については、以下のドキュメントを参照してください。


RHOCP3『Installing Clusters』


RHOCP3『Installation and Configuration』

以下に、コンテナアプリケーションプラットフォーム環境を構築するための Ansibleスクリプトのサン

プルを記載します。

RHOCP3.11の Ansibleスクリプト

[RHOCP3.11で標準構成を構築する場合の Ansibleスクリプト]

[OSEv3:children]

masters

nodes

etcd

[OSEv3:vars]

ansible_ssh_user=root

os_firewall_use_firewalld=True

openshift_deployment_type=openshift-enterprise

openshift_disable_check=docker_image_availability

openshift_master_identity_providers=[{'name': 'htpasswd_auth', 'login':

'true', 'challenge': 'true', 'kind': 'HTPasswdPasswordIdentityProvider'}]

openshift_master_cluster_method=native


121


openshift_master_cluster_hostname=＜lbmaster.example.com＞

openshift_master_cluster_public_hostname=＜lbmaster.example.com＞

openshift_enable_service_catalog=false

oreg_url=registry.access.redhat.com/openshift3/ose-${component}:${version}

openshift_examples_modify_imagestreams=true

[masters]

＜master1.example.com＞



[etcd]




[nodes]

＜master1.example.com＞ openshift_node_group_name='node-config-master'



＜infra1.example.com＞ openshift_node_group_name='node-config-infra'

＜infra2.example.com＞ openshift_node_group_name='node-config-infra'

＜node1.example.com＞ openshift_node_group_name='node-config-compute'


スクリプトに設定する FQDNはお客様の環境の仕様に合わせて変更してください。

2台のロードバランサー(Infra-http用、Infra-https用)は、Ansibleスクリプトによる設定

不要です。

外部ネットワーク上のクライアント PC等からロードバランサー(Master用)の FQDNを使用

してコンテナアプリケーションプラットフォーム環境にログインする際には、クライアント

PC上でロードバランサー(Master用)のドメイン名を名前解決できる必要があります。ロー

ドバランサー(Master用)の FQDNには、DNSサービスに登録済みの名前解決が可能なドメ

イン名をご指定ください。


122


[RHOCP3.11で最小構成を構築する場合の Ansibleスクリプト]

[OSEv3:children]

masters

nodes

etcd

[OSEv3:vars]


os_firewall_use_firewalld=true



'true', 'challenge': 'true', 'kind': 'HTPasswdPasswordIdentityProvider'}]



oreg_url=registry.access.redhat.com/openshift3/ose-${component}:${version}

openshift_examples_modify_imagestreams=true

[masters]


[etcd]


[nodes]

＜master1.example.com＞ openshift_node_group_name='node-config-master-

infra' openshift_schedulable=true




コンテナアプリケーションプラットフォーム環境外のクライアント PC等から

Masterサーバの FQDNを使用してコンテナアプリケーションプラットフォーム

環境にログインする際には、クライアント PC上で Masterサーバのドメイン名を

名前解決できる必要があります。Masterサーバの FQDNには、DNSサービスに

登録済みの名前解決が可能なドメイン名をご指定ください。


123



[RHOCP3.9で標準構成を構築する場合の Ansibleスクリプト]

[OSEv3:children]

masters

nodes

etcd

[OSEv3:vars]






'true', 'challenge': 'true', 'kind': 'HTPasswdPasswordIdentityProvider',

'filename': '/etc/origin/master/htpasswd'}]

openshift_master_cluster_method=native

openshift_master_cluster_hostname=＜lbmaster.example.com＞

openshift_master_cluster_public_hostname=＜lbmaster.example.com＞

osm_default_node_selector="region=primary"


[masters]




[etcd]




[nodes]




＜infra1.example.com＞ openshift_node_labels="{'region': 'infra', 'zone':

'＜default＞'}"

＜infra2.example.com＞ openshift_node_labels="{'region': 'infra', 'zone':

'＜default＞'}"


124


＜node1.example.com＞ openshift_node_labels="{'region': 'primary', 'zone':

'＜east＞'}"


'＜west＞'}"


2台のロードバランサー(Infra-http用、Infra-https用)は、Ansibleスクリプトによる設定

不要です。

外部ネットワーク上のクライアント PC等からロードバランサー(Master用)の FQDNを使用

してコンテナアプリケーションプラットフォーム環境にログインする際には、クライアント

PC上でロードバランサー(Master用)のドメイン名を名前解決できる必要があります。ロー

ドバランサー(Master用)の FQDNには、DNSサービスに登録済みの名前解決が可能なドメ

イン名をご指定ください。


125



[OSEv3:children]

masters

nodes

etcd

[OSEv3:vars]










[masters]


[etcd]


[nodes]

＜master1.example.com＞ openshift_node_labels="{'region': 'infra', 'zone':

'＜default＞'}" openshift_schedulable=true


'＜east＞'}"


'＜west＞'}"








126




[OSEv3:children]

masters

nodes

[OSEv3:vars]








[masters]


[nodes]

＜master1.example.com＞ openshift_node_labels="{'region': 'infra', 'zone':

'＜default＞'}" openshift_schedulable=true


'＜east＞'}"


'＜west＞'}"








127


2.3.4 セットアップ

コンテナアプリケーションプラットフォームのセットアップを行います。


図 2-121 セットアップ

Ansibleスクリプトを編集後、下記コマンドを実施し、Ansibleスクリプトを実行します。


1. prerequisites.ymlを指定して、ansible-playbookコマンドを実行します。

# cd /usr/share/ansible/openshift-ansible

# ansible-playbook playbooks/prerequisites.yml

2. deploy_cluster.ymlを指定して、ansible-playbookコマンドを実行します。


# ansible-playbook playbooks/deploy_cluster.yml


128


[RHOCP3.9の場合]

1. prerequisites.ymlを指定して、ansible-playbookコマンドを実行します。

# ansible-playbook \

/usr/share/ansible/openshift-ansible/playbooks/prerequisites.yml

2. deploy_cluster.ymlを指定して、ansible-playbookコマンドを実行します。


/usr/share/ansible/openshift-ansible/playbooks/deploy_cluster.yml

[RHOCP3.6の場合]

1. config.ymlを指定して、ansible-playbookコマンドを実行します。


/usr/share/ansible/openshift-ansible/playbooks/byo/config.yml

Ansibleスクリプトを実行後、全ての仮想サーバの結果が「failed=0」になっていることを確認します。

最小構成の場合、網掛け部分は表示されません。

…

PLAY RECAP

************************************************************************

infra1.example.com : ok=251 changed=14 unreachable=0 failed=0


master1.example.com : ok=673 changed=62 unreachable=0 failed=0



node1.example.com : ok=251 changed=14 unreachable=0 failed=0


localhost : ok=14 changed=0 unreachable=0 failed=0


129


2.3.5 セットアップの確認

コンテナアプリケーションプラットフォームのセットアップが完了したことを確認します。


下記コマンドを実施し、Masterサーバ、Infraサーバ、および Nodeサーバの稼働状態を確認します。

# oc get nodes

全ての仮想サーバの「STATUS」が「Ready」となっていることを確認してください。


NAME STATUS AGE VERSION

infra1.example.com Ready 4d v1.6.1+5115d708d7


master1.example.com Ready,SchedulingDisabled 4d v1.6.1+5115d708d7



node1.example.com Ready 4d v1.6.1+5115d708d7


「Ready」を確認できた場合、podの稼動状態を確認します。

下記コマンドを実施し、system:adminユーザーでログインを行ってください。

# oc login –u system:admin

ログイン後、下記コマンドを実施し「default」プロジェクトへの切り替えを行います。

# oc project default

下記コマンドを実施し、podが起動されていることを確認します。

# oc get pods


130


以下の「NAME」の podが表示され、STATUSが「Running」であることを確認します。


NAME READY STATUS RESTARTS AGE

docker-registry-1-9jnsx 1/1 Running 0 4d

registry-console-1-nr922 1/1 Running 0 4d

router-1-1jv0x 1/1 Running 0 4d

router-1-q08ms 1/1 Running 0 4d

docker-registry、registry-console、routerに続く英数字は podを作成する度に変化します。


131

3.1 Nodeサーバの追加

コンテナアプリケーションプラットフォーム構築後の設定 3.

構築されたコンテナアプリケーションプラットフォームで、以下の作業を行います。なお、本作業は、必

要に応じて実施してください。

Nodeサーバの追加

内部レジストリの永続化

修正適用

バックアップ／リストア


構築されたコンテナアプリケーションプラットフォームに Nodeサーバを追加します。

3.1.1 仮想サーバの作成

コンテナアプリケーションプラットフォームに追加する nodeサーバに使う仮想サーバを作成します。

2.2.5.3を参照して、仮想サーバを作成してください。

3.1.2 仮想サーバ間のネットワーク設定

仮想サーバ間のネットワーク(SSH接続)設定を行います。

セットアップを実行した Masterサーバからネットワーク経由で、追加する Nodeサーバ

にコンテナアプリケーションプラットフォームとして必要な設定を行います。

その際、Masterサーバから追加する Nodeのサーバへの接続時にパスワード入力を不要と

するため、FQDNによる公開鍵認証を用いた SSH接続が可能となるよう設定します。

3.1.2.1 Masterサーバの公開鍵確認

セットアップを行うmasterサーバで作成した公開鍵を確認します。

これから Nodeサーバを追加するコンテナアプリケーションプラットフォームのセットア

ップに使われた Masterサーバ(Ansibleスクリプトを実行した Masterサーバ)で実施して

ください。

セットアップを実施したmasterサーバは、セットアップスクリプト(/etc/ansible/hosts)

が、2.3.3、または、3.1.3.1で示した内容となっていることを確認してください。


132


Masterサーバ上で、下記コマンドを実施し、Masterサーバの公開鍵(/root/.ssh/id_rsa.pub)の内容を

表示します。

# cat /root/.ssh/id_rsa.pub

下記形式で Masterサーバの公開鍵が確認できます。公開鍵は、3.1.2.2で使用します。


3.1.2.2 追加する Nodeサーバの公開鍵設定

コンテナアプリケーションプラットフォームに追加する nodeサーバに対して、セットアップを行った

masterサーバで作成した公開鍵を設定します。

この作業は、追加する Nodeサーバで実施してください。

3.1.2.1で準備した Masterサーバの公開鍵の内容を、追加する Nodeサーバの公開鍵ファイル

(/root/.ssh/authorized_keys)へ追加します。

下記コマンドを実施し、公開鍵ファイル(/root/.ssh/authorized_keys)を編集します。

# vi /root/.ssh/authorized_keys

公開鍵ファイルの末尾を改行した後に、Masterサーバの公開鍵の内容を追加し、保存してください。


公開鍵認証を使用して SSH接続できるようになります。

3.1.2.3 サーバ間の名前解決

追加する Nodeサーバを含めて、コンテナアプリケーションプラットフォームを構成するすべての仮想サ

ーバにおいて、FQDNでの名前解決が行えるようにします。

この作業は、構築済みの全てのサーバ(Masterサーバ、Infraサーバ、および Nodeサー

バ)、および追加する Nodeサーバで実施してください。

全てのサーバ間で FQDNの名前解決が行えるように、下記コマンドを実施し、hostsファイル

(/etc/hosts)に設定を追加します。

# vi /etc/hosts

［追加する Nodeサーバの場合］


133


hostsファイル(/etc/hosts)に、追加する Nodeサーバも含めた全てのサーバの IP、FQDN、ホスト名を

順に記述し、保存します。

仮想サーバの IPは、[仮想サーバ一覧]画面 ACTIVE状態(図 2-101)で確認できます。

最小構成の場合、網掛け部分の記述は不要です。








＜192.168.10.xx new-node.example.com new-node＞

［構築済みの全てのサーバ(Masterサーバ、Infraサーバ、および Nodeサーバ)の場合］

hostsファイル(/etc/hosts)に、追加する Nodeサーバの IP、FQDN、ホスト名を追加し、保存します。

＜192.168.10.xx new-node.example.com new-node＞

3.1.2.4 Masterサーバから追加する Nodeサーバへの接続確認

Masterサーバから追加する Nodeサーバへ接続できることを確認します。


134


この作業は、3.1.2.1で公開鍵を確認した Masterサーバで実施してください。

Nodeサーバ追加のセットアップ前に、Masterサーバから追加する Nodeサーバの FQDNに対して SSH

接続を行い、接続に成功することを確認します。接続に失敗する場合、Nodeサーバ追加のセットアップ

が失敗します。

下記コマンドを実施し、Masterサーバから追加する Nodeサーバに対して SSH接続をします。

# ssh ＜new-node.example.com＞

# exit

3.1.3 Nodeサーバ追加のセットアップ

追加する Nodeサーバを含む、コンテナアプリケーションプラットフォームを再構築するために、セット

アップを行います。

この作業は、3.1.2.1で公開鍵を確認した Masterサーバで実施してください。

3.1.3.1 セットアップ用スクリプトの編集

コンテナアプリケーションプラットフォームのセットアップに使用した Ansibleスクリプト

(/etc/ansible/hosts)を編集します。

# vi /etc/ansible/hosts

Ansibleスクリプトに追加する Nodeサーバの設定を追記します。


Nodeを追加するために、下線部分を Ansibleスクリプトに追加します。

[OSEv3:children]

(省略)

new_nodes

[OSEv3:vars]

(省略)

：

(末尾)

[new_nodes]

＜new-node.example.com＞ openshift_node_group_name='node-config-compute'


135



Nodeを追加するために、下線部分を Ansibleスクリプトに追加します。

Nodeサーバ(new-node.example.com)の FQDNをお客様の環境の仕様に合わせて変更してくだ

さい。

3.1.3.2 セットアップ

コンテナアプリケーションプラットフォームのセットアップを行います。

Ansibleスクリプト編集後、下記コマンドを実施し、Ansibleスクリプトを実行します。



# ansible-playbook playbooks/openshift-node/scaleup.yml

[RHOCP3.9の場合]


/usr/share/ansible/openshift-ansible/playbooks/openshift-node/scaleup.yml

[RHOCP3.6の場合]


/usr/share/ansible/openshift-ansible/playbooks/byo/openshift-

node/scaleup.yml

[OSEv3:children]

(省略)

new_nodes

[OSEv3:vars]

(省略)

：

(末尾)

[new_nodes]

＜new-node.example.com＞ openshift_node_labels="{'region': 'primary',

'zone': '＜west＞'}"


136


Ansibleスクリプトを実行後、全ての仮想サーバの結果が「failed=0」になっていることを確認します。


…

PLAY RECAP

************************************************************************








new-node.example.com : ok=174 changed=58 unreachable=0 failed=0


3.1.3.3 セットアップの確認

コンテナアプリケーションプラットフォームのセットアップが完了したことを確認します。

下記コマンドを実施し、Masterサーバ、Nodeサーバの稼働状態を確認します。

# oc get nodes



NAME STATUS AGE

infra1.example.com Ready 3d

infra2.example.com Ready 3d

master1.example.com Ready 3d

master2.example.com Ready 3d

master3.example.coml Ready 3d

node1.example.com Ready 3d

node2.example.com Ready 3d

new-node.example.com Ready 31m


137

3.2 内部レジストリの永続化

Nodeサーバの追加後、Nodeサーバの追加に使用した Ansibleスクリプト(/etc/ansible/hosts)を編集し

ます。

[OSEv3:children]

(省略)

new_nodes

[OSEv3:vars]

(省略)

：

[nodes]

(省略)

＜new-node.example.com＞ openshift_node_labels="{'region': 'primary',

'zone': '＜west＞'}"

[new_nodes]

次回 Ansibleスクリプト実行時に、本手順で追加済みの Nodeサーバを新規 Nodeサーバとして

誤って再度追加することがないように、追加済みの Nodeサーバの記述を[new_nodes]から

[nodes]に移動させます。


構築されたコンテナアプリケーションプラットフォーム内のコンテナイメージレジストリである、内部レ

ジストリの永続化を行います。

内部レジストリには、システム利用者(コンテナアプリケーション運用者、開発者)が外部から取得したコ

ンテナイメージや、コンテナアプリケーションプラットフォーム内で作成されたコンテナイメージが格納

されます。

内部レジストリは、registry podとして動作します。内部レジストリの registry podに格納されたコン

テナイメージは、registry pod削除後に保持することはできません。

registry podのストレージを永続化(NFSなどのストレージにデータを保持する設定)することで、稼働し

ていた registry podが削除された場合でも、コンテナイメージを保持することができます。

registry podに限らず、コンテナ内で作成されたデータを、コンテナ削除後に保持するこ

とはできません。コンテナが削除されても残しておくべきデータは、永続化により保持し

てください。


138


3.2.1 ストレージの準備

registry pod のコンテナイメージを格納するためのストレージを準備します。

使用できるストレージの種別、および、その設定については、以下のドキュメントを参照してください。


RHOCP3『Configuring Clusters』の 26. Configuring Persistent Storage


RHOCP3『Installation and Configuration』の 22. Configuring Persistent Storage

3.2.2 PersistentVolume、および PersistentVolumeClaimの作成

PersistentVolumeおよび PersistentVolumeClaimを作成します。

3.2.1で準備したストレージをコンテナアプリケーションプラットフォーム内で利用するために、

PersistentVolume(コンテナアプリケーションプラットフォーム内で管理されるストレージリソースオブ

ジェクト。以下、PV)を作成します。また、作成した PVを registry podで利用するために、

PersistentVolumeClaim(コンテナアプリケーションプラットフォーム内のリソースとして管理されるス

トレージリソース要求オブジェクト、以下、PVC)を作成します。PVCを作成することで、コンテナアプ

リケーションプラットフォーム内で PVC の要求内容に見合った PV が選出され、PVC と紐付けされます。

PV、および PVCの作成方法については、以下のドキュメントを参照してください。


RHOCP3『Configuring Clusters』の 26. Configuring Persistent Storage、

RHOCP3『Developer Guide』の 27. Using Persistent Volumes


RHOCP3『Installation and Configuration』の 22. Configuring Persistent Storage、

RHOCP3『Developer Guide』の 26. Using Persistent Volumes

3.2.3 registry podのストレージ永続化

registry podのストレージを永続化します。

3.2.2で作成した PVCと podを紐付けることで、podのストレージを永続化します。podのストレージ

の永続化については、以下のドキュメントを参照してください。


RHOCP3『Configuring Clusters』の 2.2.5.1. Production Use


RHOCP3『Installation and Configuration』の 3.2.5.1 Production Use


139

3.3 修正適用

3.3 修正適用

Red Hat社では、ソフトウェアの修正を errataという形で公開しています。コンテナアプリケーション

プラットフォームを安定稼働させるためには、公開されている errataを適用して既知の問題を避ける必

要があります。

3.3.1 概要

errata情報

errata の情報は、Red Hat Product Errata (*1)から公開されており、以下の種類の errata があります。

お客様の環境で必要となるものを適用してください。

RHSA (Red Hat Security Advisory)

セキュリティ修正です。バグ修正や機能強化が含まれることがあります。

RHBA (Red Hat Bug Advisory)

バグ修正です。機能強化が含まれることがあります。セキュリティ修正を含むことはありません。

RHEA (Red Hat Enhancement Advisory)

機能強化または新機能の修正です。バグ修正もセキュリティ修正も含むことはありません。


https://access.redhat.com/errata/

版数管理

RHOCPでは、同梱する RHELのほか、インストーラ(Ansible)、コアコンポ―ネント(Docker、

Kubernetes)などのパッケージ版数が OpenShift Container Platform Tested Integrations (*2) で規定

されており、この組合せ条件でお使いになることが推奨されています。

また、コンテナアプリケーションプラットフォームを構築するために必要なパッケージの依存関係を維持

するために、これらのパッケージを最新にすることが必要になります。このため RHOCPの修正適用は、

以下のように行います。

1. errata情報の確認

2. パッケージの整合性確認

3. コンテナアプリケーションプラットフォームを構築するパッケージの最新化(依存関係の保証)


https://access.redhat.com/articles/2176281/


https://access.redhat.com/articles/2176281/


140

3.3 修正適用

修正パッケージの入手

修正に必要なパッケージは、Satelliteサーバに格納されています。修正を適用する仮想サーバで Satellite

サーバを利用するための設定は、2.2.5.5で行います。


141

3.3 修正適用

3.3.2 適用手順

修正適用の手順を以下に示します。

errataの適用は、全ての仮想サーバに対して実施してください。

3.3.2.1 事前準備

errataの適用前に必要な準備作業を行います。

errata適用後の問題発生に備え、バックアップを採取します。また、errata適用前後において、サ

ービスの起動レベルが変更される場合があるので、sosreportコマンドを使用して現在の RHELシス

テムの情報を採取することを推奨します。

RHOCPに含まれていないプログラムを停止します。ISV製品または富士通ミドルウェアなどの

RHOCP以外から導入したプログラムは、すべて停止します。停止しない場合、errata適用が正常に

行われない場合があります

3.3.2.2 errataの適用

以下の手順で errataを適用します。

1. Red Hat Product Errata (*1)を参照し、適用したい errataと、そのパッケージと版数を確認しま

す。



2. OpenShift Container Platform Tested Integrations (*2)を参照し、使用している RHOCPマイナ

ーリリース版数に適用できるパッケージの版数条件を確認します。

1．で提供が確認できているパッケージでも、版数条件があわない場合には、RHOCPの動作に不具

合が発生する可能性があるため、適用できません。

条件の記載がないパッケージについては、最新のパッケージが適用できます。



3. yumキャッシュディレクトリをクリアします。

# yum clean all

4. 適用したい errataのパッケージが Satelliteサーバに登録されていることを確認します。

Satelliteサーバに登録している機器から実施してください。

# yum check-update kernel

Loaded plugins: langpacks, product-id,search-disabled-repos,

subscription-manager




142

3.3 修正適用

kernel.x86_64 3.10.0-862.6.3.el7 rhel-7-server-rpms

(1) .(2) (3)

出力結果は、5.で使用します。それぞれの意味は以下のとおりです。

(1) <packagename>

(2) <architecture>

(3) <version>

5. 適用対象の全てのサーバで yumコマンドを使いパッケージを適用します。

版数条件があるパッケージ

yumの引数に、4.で確認した<packagename>、<architecture>、<version>を指定してくださ

い。指定した版数のパッケージが適用されます。

# yum update ＜packagename＞-＜version＞.＜architecture＞

(例)

# yum update kernel-3.10.0-862.6.3.el7.x86_64

版数条件がないパッケージ

引数にパッケージ名だけ指定してください。最新のパッケージが適用されます。

# yum update ＜package name＞

6. Masterサーバで Ansibleを実行します。

この作業は、手順５におけるパッケージの適用が全てのサーバで完了した後に、構

築済みのコンテナアプリケーションプラットフォームのセットアップ(Ansibleス

クリプト)を実行した Masterサーバで実施してください。

セットアップスクリプト(/etc/ansible/hosts)が、2.3.3、または、3.1.3.1で示し

た内容となっていることを確認してください。

RHOCP3.6の場合、Ansible実行前に、RHOCPの設定ファイルを以下のように修

正してください。

修正しない場合、RHOCPの内部ファイルが消去され、RHOCPが動作しなくなり

ます。


143

3.3 修正適用

# vi /usr/share/ansible/openshift-

ansible/roles/openshift_master/templates/atomic-openshift-master.j2

...

{# Preserve existing OPENSHIFT_DEFAULT_REGISTRY settings in scale up

runs #}

{% if openshift_master_is_scaleup_host %}

{{ openshift_master_default_registry_value }}

{% elif openshift_push_via_dns | default(true) %}

OPENSHIFT_DEFAULT_REGISTRY=docker-registry.default.svc:5000

falseから trueに変更してください。

下記コマンドを実施し、Ansibleスクリプトを実行します。




playbooks/byo/openshift-cluster/upgrades/v3_11/upgrade.yml

[RHOCP3.9の場合]



cluster/upgrades/v3_9/upgrade.yml

[RHOCP3.6の場合]



cluster/upgrades/v3_6/upgrade.yml

Ansibleスクリプトを実行後、全ての仮想サーバの結果が「failed=0」になっていることを確認しま

す。


…

PLAY RECAP

*********************************************************************





144

3.3 修正適用






3.3.2.3 適用後の操作

errata適用後、以下の手順で、システムの再起動と動作確認を行います。

単体修正の適用が完了した後、システムを再起動します。

# systemctl reboot

再起動後に以下の手順を Master サーバで実行し、Master サーバ、Node サーバの稼働状態を確認します。

# oc get nodes



NAME STATUS AGE VERSION








「Ready」を確認できた場合、podの稼動状態を確認します。

下記コマンドを実施し、system:adminユーザーでログインを行ってください。

# oc login –u system:admin

ログイン後、下記コマンドを実施し「default」プロジェクトへの切り替えを行います。

# oc project default

下記コマンドを実施し、podが起動されていることを確認します。

# oc get pods


145

3.3 修正適用

以下の「NAME」の podが表示され、STATUSが「Running」であることを確認します。


NAME READY STATUS RESTARTS AGE

docker-registry-1-9jnsx 1/1 Running 0 4d

registry-console-1-nr922 1/1 Running 0 4d

router-1-1jv0x 1/1 Running 0 4d

router-1-q08ms 1/1 Running 0 4d

docker-registry、registry-console、routerに続く数字は podを作成する度に変化します。


146

3.4 バックアップ／リストア

コンテナアプリケーションプラットフォームのバックアップ／リストアについて説明します。

コンテナアプリケーションプラットフォームのバックアップとリストアは、下記のクラスタレベルで行う

ことができます。

各マスタの etcdデータ

APIオブジェクト

レジストリストレージ

ボリュームストレージ

バックアップ／リストアの方法については、以下のドキュメントを参照してください。


バックアップについては、RHOCP3『Day Two Operations Guide』の

CHAPTER 4. CREATING AN ENVIRONMENT-WIDE BACKUP

リストアについては、RHOCP3『Cluster Administration』の

CHAPTER 3. RESTORING OPENSHIFT CONTAINER PLATFORM COMPONENTS

[RHOCP3.6の場合]

バックアップ／リストアについては、RHOCP3『Cluster Administration』の

CHAPTER 34. BACKUP AND RESTORE


147

修正履歴

修正履歴

版数と変更の内容を説明しています。

版数変更日変更箇所修正概要

1.0版 2018年 3月 22日全章 1.0版作成

1.1版 2018年 5月 31日 3.4.3 パッケージの更新説明修正

2.0版

2018年７月 31日全章

ドキュメントの構成変更

全章

RHOCP3.9サポート

・標準構成

2.1版 2018年 8月 30日 1.2.2 システム構築の流れ


2.2.2.2 セキュリティグループの

作成

2.3.1 ロードバランサーの作成

東日本リージョン 3／西日本リー

ジョン 3対応

3.0版 2018年 12月 20日 2.2.2.1 通信を許可するポート

2.2.5.2 イメージ一覧の確認

2.2.5.3 仮想サーバの作成

2.2.5.5 仮想サーバ作成後の設定

2.3.3 セットアップ用スクリプト

の作成

2.3.4 セットアップ

3.1.3.1 セットアップ用スクリプ

トの編集

3.1.3.2 セットアップ

3.2.1 ストレージの準備

3.2.2 PersistentVolume、および

PersistentVolumeClaimの作成

3.2.3 registry podのストレージ

永続化

3.3.2.2 errataの適用

3.4 バックアップ／リストア

RHOCP3.11サポート

2.2.1.1 仮想ネットワークおよび

サブネットの作成

2.2.3.2 ファイアーウォールルー

ルの作成

2.2.4.3 VPNクライアントの設定

説明修正

red hat openshift container platform - doc.cloud.global ... · fujitsu cloud service k5 iaas - red...

Documents