Red Hat Insightsは、サービスとしてのソフトウェア(SaaS)製品であり、管理者が該当するエラッタと既知の構成の問題について報告し、セキュリティの問題を事前に特定するのに役立ちます。 Insightsを使用すると、サービスに影響を与える可能性のある問題が発生する前に認識できるため、本番環境に影響を与える可能性のある問題が発生する前に、それらに対処する方法を計画できます。 Red Hat Insightsへのアクセスは、すべてのRed Hat Enterprise Linux(RHEL)サブスクリプションに含まれているため、追加購入する必要はありません。この記事では、Red Hat Insightsに登録する方法の基本、その使用方法、およびその修復機能を示すためのいくつかの例について説明します。
インサイトのインストール
まず、インサイトの使用を開始するプロセスを順を追って説明します。このインタラクティブページでは、システムの登録方法を尋ねられ、適切なガイダンスが提供されます。以下の出力は、RedHatカスタマーポータルに登録されているサーバーからのものです。まず、Insights-ClientRPMがインストールされていることを確認します。
[root@opendemo ~]# rpm -q insights-client
insights-client-3.0.14-3.el7_9.noarch そのRPMはベースRHELリポジトリに含まれており、RHEL 8システムの場合、通常はすでにインストールされています。ただし、システムにインストールされていない場合は、次のコマンドを使用してインストールしてください。
# yum install insights-client [次のこともお勧めします:Red Hat Insights:独自のセキュリティコンサルタント]
新しいシステムの登録
パッケージがインストールされたら、システムを手動で登録できます。
[root@opendemo ~]# insights-client --register
Successfully registered host opendemo
Automatic scheduling for Insights has been enabled.
Starting to collect Insights data for opendemo
Uploading Insights data.
Successfully uploaded report from opendemo to account <redacted>.
View the Red Hat Insights console at https://cloud.redhat.com/insights/
[root@opendemo ~]# Insightsコンソールでシステムを表示するには、Red Hat Insightsに移動し、左側にあるインベントリのリンクをクリックします。システムを登録したばかりなので、リストの一番上にあるはずですが、そうでない場合は、ホスト名でフィルタリングできます。クライアントは、カスタマーポータル、Red Hat Satelliteサーバー、またはプロキシサーバーを介して直接登録できます。クライアントが登録された場所に関係なく、パブリックインターネットへのネットワーク接続がある限り、cloud.redhat.comにリストされます。
システムの修復
この時点で、調査結果の調査と適切な修正を開始する準備が整いました。 Insightsダッシュボードを見て、登録したホストで検出された問題を確認し、修正する問題を選択します。このデモでは、 PassengerMinInstancesを使用します Insightsによって検出されたApacheの設定。この場合、RHELではなく、RHELサーバーで実行されているワークロードの1つであるRedHatSatelliteで構成の誤りが見られます。 InsightsAdvisorサービスはこれらのトピックを呼び出します 。この例では、Satelliteの場合、Insightsチームは一般的なベストプラクティスを採用し、それらを推奨事項に組み込みました。このSatelliteトピックを見ているとしても、AWS、Azure、SAP、SQLなどの他の(非Red Hat)ワークロードのトピックもあります。
これを解決するには、チェックボックスをオンにします:
次に、[修正]をクリックします ページ上部のボタン:
これを既存のプレイブックに追加するか、新しいプレイブックを作成するための画面が表示されます。この場合、新しいプレイブックを作成して、[次へ]をクリックします:
再起動が必要なため、次のことを承認する必要があります。
修正をクリックできます ページの左側にあるリンクをクリックして、この新しいプレイブックと作成した以前のプレイブックを確認してください。この時点で、プレイブックをダウンロードして、Ansibleを使用して任意の方法で実行できます。この環境では、SmartManagementとSatelliteがあります。 Cloud Connectorというオプションのコンポーネントを構成しました 、Satelliteとcloud.redhat.comを接続するため、Insights内から直接問題を修正できます。これには、この記事に記載されていない追加の構成が必要です。
これが有効になっているので、プレイブックを実行する ボタンが利用可能です。
次に、修復を実行します。青いプレイブックの実行をクリックします ボタンをクリックし、[1つのシステムでプレイブックを実行する]をクリックします 。必要に応じて、プレイブックのダウンロードをクリックします 最初に何が起こるかを確認したい場合は、ボタンをクリックしてください。ジョブを開始すると、そのステータスが表示されます:
完了すると、更新されたステータスが表示されます:
衛星の使用
上記の手順は、システムを登録し、cloud.redhat.comでそれらを表示する方法を示しています。 Red Hat Satelliteサーバー内からInsightsを使用する場合、プロセスは同様です。ただし、cloud.redhat.comにはInsightsの一部としてさまざまな機能がありますが、Satelliteの内部からは、Advisorサービスしかありません。この例では、私のクライアントはansibleclientになります 、そしてそれは私の衛星サーバーopendemoに登録されています 。クライアントをカスタマーポータルに登録し、そこでInsightsを使用するのと同じように、私のクライアントには Insights-clientが必要です。 RPMがインストールされ、insights-client --register コマンド実行。
Insightsを大規模にデプロイする場合、各システムをInsightsに手動で登録するよりも簡単にするために、AnsibleプレイブックとPuppetモジュールを利用できます。さらに、Satelliteユーザーの場合、Satelliteには、Insightsをホストにデプロイおよび登録するための組み込みのAnsibleロールがあります。これを使用するには、次の手順に従います。
まず、サテライトで正しいリポジトリが有効になっていることを確認します。
# subscription-manager repos --enable=rhel-7-server-extras-rpms 次に、役割パッケージをインストールします:
# satellite-maintain packages install rhel-system-roles この時点で、衛星システムでの役割を確認できます。
[root@opendemo ~]# ls /usr/share/ansible/roles/
linux-system-roles.kdump linux-system-roles.selinux project-receptor.satellite_receptor_installer rhel-system-roles.network rhel-system-roles.storage
linux-system-roles.network linux-system-roles.storage RedHatInsights.insights-client rhel-system-roles.postfix rhel-system-roles.timesync
linux-system-roles.postfix linux-system-roles.timesync rhel-system-roles.kdump rhel-system-roles.selinux theforeman.foreman_scap_client
[root@opendemo ~]# サテライトのWebUIで、[構成]にマウスを合わせ、[ロール]をクリックします。 Ansibleの場合。役割をインポートしていない場合は、そのことを示すメッセージが表示されます。青いボタンをクリックして、役割をインポートする必要があります。
その後、 RedHatInsights.insights-clientのチェックボックスをオンにします 次に、[送信]をクリックします :
次に、クライアントを編集して、Ansibleの役割をクライアントに割り当てることができます。
それを保存した後、Ansibleロールジョブを実行するようにリモートジョブをスケジュールできます。その時点で、クライアントはInsightsに登録されます:
[root@ansibleclient ~]# insights-client --status
System is NOT registered locally via .registered file. Unregistered at 2020-11-30T09:25:46.771856
Insights API says this machine was unregistered at 2020-11-30T14:25:46.000Z
[root@ansibleclient ~]# insights-client --status
System is registered locally via .registered file. Registered at 2020-11-30T10:47:06.453351
Insights API confirms registration.
[root@ansibleclient ~]# システムがSatelliteサーバーのInsightsに登録されていることを確認するには、SatelliteのWebUIでInsightsにカーソルを合わせ、[インベントリ]をクリックします。 。ここでも、Red Hat Satelliteの内部からは、Advisorサービスのみが表示されます。脆弱性、コンプライアンス、ドリフトなどの他のサービスは、cloud.redhat.comからのみ利用できます。
この時点で、SatelliteのWebUIに移動し、次にアクションに移動します インサイト用。ここでは、 SMBlorisで利用できるアクションがあることがわかります。 :
チェックボックスをオンにして、アクションのドロップダウンをクリックします :
新しいプランを作成し、[保存]をクリックします 。その後、この修復の対象となるシステムを確認できます。必要に応じて、実行する前にプレイブックをダウンロードできます。
Playbookの実行をクリックすると タスクはSatelliteで確認できます:
1、2分後、 100%の成功が表示されます。 メッセージ:
smb.confを確認します ファイルが修正されました:
[root@ansibleclient ~]# diff /etc/samba/smb.conf /etc/samba/smb.conf-withsmbloris
16d15
< max smbd processes = 1000 [Red Hat and O'Reillyからこの無料の本を入手してください-KubernetesOperators:Automating the ContainerOrchestrationPlatform。 ]
まとめ
この記事では、cloud.redhat.comでサービスを使用するためのシステムの登録と、さまざまな問題の修正を適用するための1つのアプローチを紹介しました。 Red Hat Insightsを使用すると、Red Hat Enterprise Linux環境に準拠し、安定し、安全にプロアクティブに維持できるようになります。 cloud.redhat.comで提供されるその他のサービスには、Red Hat OpenShift Cluster Manager、Red Hat Ansible AutomationPlatformのAutomationAnalytics、Subscription Watch、RedHatOpenShiftのコスト管理があります。
Red Hat Insightsの使用を開始するための追加情報は、次のURLで入手できます。
- RHELの再定義:RedHatInsightsの概要
- Red Hat Insights
- RedHatInsightsのデータとアプリケーションのセキュリティ
- RedHatInsightsをインストールして使用する方法
- RedHatInsightsの管理