安全なクライアント展開OVA

オンライン編集

Open Virtual Appliance (OVA) イメージは、パブリック・クラウド内の SaaS サーバーがオンプレミス・ターゲットを管理できるようにするセキュア・クライアントとして、オンプレミス環境にインストールできます。 イメージをインストールした後、セキュア・クライアントを設定し、セキュア・クライアントとSaaSサーバー間のセキュアな接続を確立する必要があります。 接続が確立したら、オンプレミスのターゲットをSaaSサーバーに追加し始めることができる。

注:

SaaS サーバーがクラウドおよびクラウド・ベースの APM ターゲットのみを管理する場合、これらのステップは必要ありません。

前提条件

  • 最小要件

    Turbonomic インスタンスを実行するための要件は、管理対象の環境のサイズによって異なります。 Turbonomic は、環境のリアルタイム表現をメモリー内に保持します。 大規模な環境と環境内のエンティティ間の広範な関係は、Turbonomicを実行するVMとVMのホストにより多くのリソースを必要とします。

    Turbonomic の導入を計画する際には、以下の要件を参照してください。 デプロイ後、VM のメモリ容量や CPU 容量、またはその両方を変更する必要がある場合 は、VM の電源を切って変更し、再度電源を投入して新しい容量を使用することができます。

    環境サイズ (Environment size) 推奨されるメモリー (GB) 推奨される vCPUs (コア)

    0-5k 個のエンティティー

    		 32 8

    中間

    5k-80k エンティティー

    		 64百万 16

    80k-200k エンティティー

    		 128 32

    特大

    200k-1.5M エンティティー

    		 192 48

  • ネットワーク要件

    セキュア・クライアントには、以下のネットワーク要件があります。

    • プロキシ環境は、特定の条件下でのみサポートされています。 詳細については 、「セキュア・クライアント用プロキシサーバーの設定 」を参照してください。

    • お客様のファイアウォールでの SSL インスペクションはサポートされていません。

    • インストールおよび更新時に、 Docker イメージが icr.io イメージ・リポジトリーからダウンロードされます。 イメージ自体は icr.ioのサブドメイン ( dd2.icr.ioなど) に存在しますが、これらのサブドメイン名は変更される可能性があります。 OVAとインターネットの間にファイアウォールがある場合、OVAが画像をダウンロードできるように、'icr.ioとそのサブドメイン(つまり'*.icr.io)への接続を許可しなければならない。

      OLM を使用せずに、プライベートイメージレジストリ方式でセキュアクライアントをインストールすると、OVAから icr.io への接続は必要ありません。イメージはプライベートレジストリから取得されるためです。
      注: 便宜上、OVAパッケージには、特定のバージョンに必要なすべてのコンテナ・イメージが含まれている。 しかし、 SaaS サーバーがアップグレードされると、これらのイメージは同期されなくなります。

      同梱のイメージを環境にロードするには、 t8cClientInstall.sh スクリプトを実行する前に以下のコマンドを実行します:

      sudo /opt/turbonomic/kubernetes/images/turboInstallImages.sh

  • ファイアウォール・ポート

    セキュア・クライアントがファイアウォールの背後にある場合は、クラスタ内のすべてのノードが、 SaaS 環境で公開されている外部の完全修飾ドメイン名とポートの組み合わせにアウトバウンド・リクエストを送信できることを確認します。 完全修飾ドメイン名とポートの組み合わせの一覧を表示するには、 Turbo のユーザーインターフェイスを開き、 [設定] > [セキュアクライアント管理] を選択し、[ サーバーの詳細 ]タブをクリックします。

    設定ページに Secure Client Management(セキュアクライアント管理)オプションが表示されない場合、または Server Details(サーバーの詳細)タブが空の場合は、サポートチケットを記録し、 SaaS サーバーで Secure Client Management を有効にするよう依頼してください。

    注:

    OVA から作成された VM では何も変更する必要はありません。 ファイアウォールの変更は、ご使用の環境に固有のものです。

  • 接続検査

    /opt/local/bin/check_connection.shコマンドを実行して、必要なDNS名とポートの組み合わせがセキュアなクライアント環境からアクセス可能であることを確認できる。 4つのDNS名は同じIPアドレスに解決しなければならないので、リストされたDNS名の1つに対してのみコマンドを実行する必要がある。 例えば、ポート443の「claims-acme.turbonomic.io」への接続を確認するには、以下のコマンドを実行する:

    /opt/local/bin/check_connection.sh --ip claims-acme.turbonomic.io --port 443

    出力は以下の例のようになります。

    Checking connectivity to claims-acme.turbonomic.io:443...
The request to claims-acme.turbonomic.io:443 was successful

  • IBM へのアクセス Container Registry

    セルフ・アップグレード・プローブ機能を動作させるには、プライベート・レジストリを使用していない場合、クライアント環境が IBM Container Registry から新しいイメージを引き出せる必要があります。

    セキュアクライアントの自動更新を許可するには、以下のアドレスをallowlistに追加する:

    https://icr.io
https://*.icr.io
    注:

    IBM Container Registry セキュアクライアントをインストールし、定期的なアップデートを受信するためには、 OLM にアクセスする必要があります。

    クライアント環境から IBM Container Registry へのアクセスを確認するには、以下のコマンドを実行します。

    nc -zv icr.io 443

OVAイメージのインストール

このセクションでは、セキュア・クライアントとしてイメージをインストールする手順について概説します。

注:

オンプレムとクラウドの両方のターゲットを管理するスタンドアロン プラットフォームとしてイメージをインストールする手順については、「OVA:オンプレム環境用vCenterイメージのインストールの」を参照してください。

  1. Turbonomic インストール・パッケージをダウンロードします。

    IBM から受け取った E メールには、 Turbonomic ダウンロード・ページへのリンクが含まれています。 そこからインストール・パッケージを入手できます。

    インストール・パッケージには、 turbonomic_t8c-<version>-<XXXXXXXXXXXXXX>.ova ファイルが含まれています。

    ここで、 <version>Turbonomic バージョン番号、 <XXXXXXXXXXXXXX> はタイム・スタンプです。

    OVA ファイルは、 Turbonomic コンポーネントが既にインストールされている VM としてデプロイされます。

  2. OVA ファイルをデータ・センターにインポートします。

    vCenter Server クライアントを使用して、OVA を環境にインポートします。

  3. Turbonomic VM をデプロイします。

    OVA ファイルからデプロイされた VM を構成します。 VM をホストする物理マシンが最小要件を満たしていることを確認してください。

  4. リモート・コンソールを開きます。

    デプロイしたばかりの Turbonomic VM の場合:

    1. 「サマリー」 タブを選択します。

    2. 「リモート・コンソールの起動」をクリックします。

  5. Turbonomic システム管理者アカウントをセットアップします。

    1. リモート・コンソールで、以下のデフォルト資格情報を使用してログインします。

      • ユーザー名:turbo

        アカウント名 rootは使用 しないでください

      • Password: vmturbo

        その後、新規パスワードの入力を求めるプロンプトが出されます。

    2. 新規パスワードを入力します。

      新規パスワードは、強いパスワード・ポリシー (大文字と小文字、数字、および記号の混合) に従う必要があります。 この新規パスワードを知っているのはあなただけです。

      注:

      変更したアカウントの認証情報は、必ず安全に保管してください。 セキュリティ上の理由から、このアカウントのみが Turbonomic VMへのアクセスおよび設定が可能であり、パスワードを紛失した場合に復元することはできません。

    3. 新規パスワードを再度入力して確認します。

  6. ルート・パスワードを更新します。

    プラットフォームは、 /var/log/messagesでのログ・メッセージのロールアップなど、特定のプロセスに root アカウントを使用します。 アカウント資格情報を最新のものにするには、パスワードを変更する必要があります。

    1. SuperUser セッションを開きます。

      • リモート・コンソールで、 su - と入力します。

      • パスワード・プロンプトで、デフォルトのパスワード vmturbo を入力します。

    2. 新規パスワードをリセットします。

      デフォルト・パスワードを使用して root としてログインすると、 New passwordの入力を求めるプロンプトがシステムから出されます。 この新規パスワードは、強いパスワード・ポリシー (大文字と小文字、数字、および記号の混合) に準拠する必要があります。 この新規パスワードを知っているのはあなただけです。

      注:

      必ず root アカウント資格情報を安全な場所に保存してください。

    3. SuperUser セッションを終了します。

      exit と入力します。

  7. 静的 IP アドレスをセットアップします。

    Turbonomic プラットフォームの操作と管理には、両方とも VM の静的 IP アドレスが必要です。 インストールされた VM には、このタスクを実行するための ipsetup スクリプトが含まれています。 スクリプトを実行するには、以下のコマンドを実行します。

    sudo /opt/local/bin/ipsetup

    スクリプトが実行されると、以下の入力が要求されます。 明示的に設定されたプロキシサーバーはセキュアクライアントではサポートされていないため、設定できません。

    注:

    これらのフィールドに値を指定してください。指定しないと、インストールが失敗したり、VM が到達不能になったりする可能性があります。

    • 必須: Do you want to use DHCP or set a static IP...

      選択 static

    • 必須: Please enter the Hostname for this machine

    • 必須: Please enter the IP Address for this machine

    • 必須: Please enter the network mask for this machine

    • 必須: Please enter the Gateway address for this machine

    • 必須: Enter DNS Server(s) IP Address for this machine

    • 必須: Do you want to configure a proxy server? (y/n)

      選択 n

    指定した IP アドレスを書き留めます。

安全なクライアント・インストール方法

OVAイメージをインストールしたら、セキュア・クライアントをインストールして設定します。 デフォルトでは、セキュア・クライアント・コンポーネント(プローブとトンネル)をサーバーと同期させるため、自動アップデートが有効になっています。

セキュア・クライアントをインストールする方法はいくつかある。

インストール方法 詳細
(推奨)Operator Lifecycle ManagerOLM)によるクライアントの安全なインストール セキュア・クライアント・オペレーターとプローブは自動的に更新される。
(推奨しません)OLMしないセキュアクライアントのインストール セキュア・クライアント・オペレーターは自動的に更新されないが、プローブは自動的に更新される。
(推奨しません)OLMせず、プライベートイメージレジストリを使用したセキュアなクライアントインストール セキュア・クライアント・オペレーターは自動的には更新されないため、インストールやアップグレードの前に、すべてのイメージがプライベート・イメージ・レジストリで利用可能になっている必要があります。 プローブは、関連する画像があれば自動的に更新されます。

OLMによるセキュア・クライアントのインストール

注:

この設置方法を推奨する。

  1. セキュア・クライアント・インスタンスでSSHターミナル・セッションを開く。

  2. t8cClientInstall.sh スクリプトを実行します。

    /opt/local/bin/t8cClientInstall.sh

  3. ネットワークの設定が完了したら、 y を押します。

    ###############################################################
                    Initializing Kubernetes
###############################################################

Have you run the ipsetup script to setup networking yet? [y/n] y

  4. y、セキュア・クライアント・オペレーターの自動更新を有効にします。

    ###############################################################
               Installing Turbonomic Secure Client
###############################################################

Do you wish to automatically update the Turbonomic Secure Client application - this requires internet access to icr.io? [y/n] y

    インストールに成功すると、以下のメッセージが表示されます。

    Turbonomic Client was installed successfully!

  5. インストールを検証します。

    kubectl get pods

    出力は、次の例と同様なものになります。 この例の省略されたリストは、説明のためのものである。

    mediation-netapp-9f67f74cf-gplsk                          0/1     Running   0          16m
mediation-pure-6ddc54f645-6s72b                           1/1     Running   0          16m
mediation-ucs-54586b7889-5lrxd                            0/1     Running   0          16m
...
    注:

    プローブ(メディエーション・ポッド)の中には、セキュア・クライアントと SaaS ・サーバーとの間に接続が確立されるまで、準備が整わないものがある。

OLMを使用しないセキュア・クライアントのインストール

注:

この設置方法は推奨されない。

  1. セキュア・クライアント・インスタンスでSSHターミナル・セッションを開く。

  2. t8cClientInstall.sh スクリプトを実行します。

    /opt/local/bin/t8cClientInstall.sh

  3. ネットワークの設定が完了したら、 y を押します。

    ###############################################################
                    Initializing Kubernetes
###############################################################

Have you run the ipsetup script to setup networking yet? [y/n] y

  4. n、セキュアクライアントの自動アップデートを無効にします。

    ###############################################################
               Installing Turbonomic Secure Client
###############################################################

Do you wish to automatically update the Turbonomic Secure Client application - this requires internet access to icr.io? [y/n] n

    インストールに成功すると、以下のメッセージが表示されます。

    Turbonomic Client was installed successfully!

  5. インストールを検証します。

    kubectl get pods

    出力は、次の例と同様なものになります。 この例の省略されたリストは、説明のためのものである。

    mediation-netapp-9f67f74cf-gplsk                          0/1     Running   0          16m
mediation-pure-6ddc54f645-6s72b                           1/1     Running   0          16m
mediation-ucs-54586b7889-5lrxd                            0/1     Running   0          16m
...
    注:

    プローブ(メディエーション・ポッド)の中には、セキュア・クライアントと SaaS ・サーバーとの間に接続が確立されるまで、準備が整わないものがある。

OLMせず、プライベートイメージレジストリを使用したセキュアクライアントのインストール

注:

この設置方法は推奨されない。

  1. 必要なイメージがすべてプライベート・イメージ・レジストリにあることを確認する。 たとえば、セキュアクライアント 8.18.2 のバージョン をインストールするには、以下のイメージが必要です:
    • icr.io/cpopen/t8c-client-operator:1.4.3
    • icr.io/cpopen/turbonomic/kube-state-metrics:v2.14.0
    • icr.io/cpopen/turbonomic/tsc-site-resources:8.18.2
    • icr.io/cpopen/turbonomic/rsyslog-courier:8.18.2
    • icr.io/cpopen/turbonomic/skupper-site-controller:8.18.2
    • icr.io/cpopen/turbonomic/skupper-router:8.18.2
    • icr.io/cpopen/turbonomic/skupper-config-sync:8.18.2
    • icr.io/cpopen/turbonomic/skupper-service-controller:8.18.2

    どのクライアント・プローブが必要かによって、関連する画像を用意する必要がある。 例えば、VCenterプローブが必要な場合、以下のイメージが必要です:

    • icr.io/cpopen/turbonomic/mediation-vcenterbrowsing:8.18.2
    • icr.io/cpopen/turbonomic/mediation-vcenter:8.18.2

    これらの画像をプライベート画像レジストリに追加する場合、画像には前述の例で述べたのと同じ名前をタグ付けする必要があります。 icr.io/cpopen接頭辞は省略できない。

    注:他の画像とは異なり、't8c-client-operator画像はパスに'turbonomicを含まない。

  2. セキュア・クライアント・インスタンスでSSHターミナル・セッションを開く。

  3. /opt/local/etc/turbo.confファイルを更新し、以下のプロパティに、あなたのプライベートレジストリに関連する値を含める。 t8c-client-operator:1.4.3画像が'docker.acme.com/icr.io/cpopen/t8c-client-operator:1.4.3にある場合、レジストリの値は'docker.acme.comに設定されなければならない。

    registry=<Enter the path to the private image registry here, for example docker.acme.com>
registryUserName=<Enter the username for the private image registry>
registryPassword=<Enter the password for the private image registry>

  4. t8cClientInstall.sh スクリプトを実行します。

    /opt/local/bin/t8cClientInstall.sh

  5. ネットワークの設定が完了したら、 y を押します。

    ###############################################################
                    Initializing Kubernetes
###############################################################

Have you run the ipsetup script to setup networking yet? [y/n] y

    インストールに成功すると、以下のメッセージが表示されます。

    Turbonomic Client was installed successfully!

  6. インストールを検証します。

    kubectl get pods

    出力は、次の例と同様なものになります。 この例の省略されたリストは、説明のためのものである。

    mediation-netapp-9f67f74cf-gplsk                          0/1     Running   0          16m
mediation-pure-6ddc54f645-6s72b                           1/1     Running   0          16m
mediation-ucs-54586b7889-5lrxd                            0/1     Running   0          16m
...
    注:

    プローブ(メディエーション・ポッド)の中には、セキュア・クライアントと SaaS ・サーバーとの間に接続が確立されるまで、準備が整わないものがある。

セキュア・クライアントとSaaSサーバー間のセキュアな接続の確立

セキュア・クライアントと SaaS サーバー間のセキュアな接続を確立するには、セキュア・クライアントにトークンを作成し、適用する。 もし、 URL または SaaS サーバのログイン認証情報が提供されていない場合は、お手続きの前に Turbonomic 社の担当者にお問い合わせください。

  1. 新規トークンを作成します。

    1. SaaS サーバーにログインする。

    2. 設定]>[セキュアクライアント管理]をクリックします。

    3. Client Network Tokens」 タブを選択し、「 Create token 」をクリックします。

    4. トークンの作成ダイアログで、トークンの請求上限と寿命を設定します。

      トークンのセキュリティーを強化するには、トークン作成時に低い値を使用します。

      セキュアクライアント管理 トークンの作成ダイアログ

      クレーム制限

      トークンのクレームリミットは、同じトークンを使用して追加できるクライアントの数です。 同じトークンで複数のクライアントを接続する必要がある場合は、追加するクライアントの数に合わせて請求の上限を増やしてください。

      有効期間

      トークンの寿命は、トークンが失効するまでの時間である。 期限切れのトークンはクライアントの追加に使用できません。

      同じトークンを複数のクライアントで使用できる例として、Kubeturboがある。 接続するKubeturboエージェントが多数ある場合は、1つのトークンを生成し、各Kubeturboエージェントに同じトークンを適用するのが便利です。 この場合、追加するKubeturboエージェントの数に合わせてクレームの上限を増やし、トークンがすべてのエージェントに適用されるのに十分な時間を確保するためにライフスパンを増やします。

    5. 「作成」 をクリックします。

      トークンの値をダウンロードするか、トークンをクリップボードにコピーします。

  2. トークンをセキュア・クライアントに適用します。

    1. セキュア・クライアント・インスタンスでSSHターミナル・セッションを開く。

    2. 必要に応じてKubernetes名前空間を指定して、tokenExchange.shスクリプトを実行します。 省略時のデフォルトは turbonomic です。

      /opt/local/bin/tokenExchange.sh -n turbonomic

    3. プロンプトが出されたら、 SaaS サーバーから取得したトークン全体を貼り付けます。

      スクリプトは次の例のようにする:

      {
  "apiVersion": "v1",
  "kind": "Secret",
  "metadata": {
    "name": "example",
    "annotations": {
      "skupper.io/generated-by": "f123",
      "skupper.io/site-version": "1.6.0",
      "skupper.io/url": "https://<your_url.com:xxx>"
    },
    "labels": {
      "skupper.io/type": "token-claim"
    }
  },
  "data": {
    "ca.crt": "<your_crt>==",
    "password": "<your_password>="
  }
}

      出力は以下の例のようになります。

      Token applied successfully. Waiting up to 30s for connection to be established...
Connection has been established.
Token exchange successful.

    4. 接続が確立されたことを確認してください。

      kubectl get services | grep ^remote

      出力は以下の例のようになります。

      remote-nginx-tunnel      ClusterIP   <IP_address_1>    <none>   9080/TCP             96s
remote-rsyslog           ClusterIP   <IP_address_2>   <none>   2514/TCP,8080/TCP    96s

      これらの結果は、クライアント/サーバー接続が確立され、必要なクライアント・サイド・サービスが使用可能であることを示しています。 オンプレミス・ターゲットのプローブが作動可能になっている必要があります。

    5. (オプション) プローブが作動可能になるまでに数分かかる場合があります。 プロセスを高速化するには、オンプレミス・プローブのポッドを手動で削除します。

      kubectl delete pod -l app.kubernetes.io/component=probe

      新しいメディエーション・ポッドが表示され、即時にリモート・サービスに接続されます。

    6. すべてのポッドが作動可能になり、実行されていることを確認します。

      kubectl get pods

      以下の例のような結果が表示されると、オンプレミス・プローブの準備が整います。

      NAME                                                      READY   STATUS    RESTARTS   AGE
mediation-netapp-66654c467c-f67ll                         1/1     Running   0          3m47s
mediation-pure-6b86fbfbf7-2hmdv                           1/1     Running   0          3m47s
mediation-ucs-5c49577fc-k8ssc                             1/1     Running   0          3m42s
mediation-vcenter-6fbdc997c7-87m8c                        1/1     Running   0          3m38s
mediation-vcenterbrowsing-557fd5f899-tmsjd                1/1     Running   0          3m40s
skupper-router-7dbdf79c79-z8g98                           2/2     Running   0          3m37s
skupper-service-controller-76fcd64f6c-dcslb               1/1     Running   0          3m37s
skupper-site-controller-5f7fd46b-b5dln                    1/1     Running   0          3m57s
t8c-client-operator-controller-manager-5c45fbb96f-6hc9h   1/1     Running   0          77m
    注:

    /opt/local/bin/tunnelTroubleshooting.sh スクリプトを実行して、デプロイメントを検査し、検出されたエラーを報告したり、エラーの修正方法に関するアドバイスを行ったりすることができます。

ターゲットの有効化と追加

セキュア・クライアントを初めてインストールするときには、以下のプローブがデフォルトで有効になっているため、 SaaS サーバーに追加できます。 これらのプローブのいずれも有効にしない場合は、カスタム・リソース YAML ファイルを編集してプローブを無効にします。

  • Cisco UCS マネージャー

  • VMware vCenter

  • NetApp クラスター・モード

  • Pure Storage

必要なプローブを有効にしてから、ターゲットを SaaS サーバーに追加します。 サポートされるターゲットのリストについては、 セキュア・クライアントを使用したオンプレミス・ターゲットの管理を参照してください。

重要:

セキュアクライアントを使用して、クラウドまたはクラウドベースのAPMターゲットを有効にしないでください。 Turbonomicの担当者が、これらのターゲットを有効にしてくれるはずです。

  1. セキュア・クライアント・インスタンスでSSHターミナル・セッションを開く。

  2. プラットフォームに付属している turbonomicclient.yaml ファイルのコピーを作成します (まだ作成していない場合)。

    cp /opt/turbonomic/kubernetes/yaml/t8c-client-operator/turbonomicclient.yaml \
/opt/turbonomic/kubernetes/yaml/t8c-client-operator/turbonomicclient_backup.yaml

  3. Custom Resource YAMLリソースを編集してプローブを有効にする。

    sudo vi /opt/turbonomic/kubernetes/yaml/t8c-client-operator/turbonomicclient.yaml

    spec: セクションに続いて probes: を見つける。 次に、プローブを見つけ、 enabled の値を true に設定する。 すべてのターゲット・プローブは、YAML リソースで以下の例に示すフォーマットを使って設定する必要がある:

    spec:
  global:
    version: 8.18.2
  probes:
    actionScript:
      enabled: false
    appDynamics:
      enabled: true
    ...
    注:

    プローブを無効にするには、 enabled の値を false に設定します。

  4. 変更を適用します。

    kubectl apply -f /opt/turbonomic/kubernetes/yaml/t8c-client-operator/turbonomicclient.yaml

  5. SaaS サーバーにログインし、ターゲットを追加します。

    1. SaaS サーバーにログインする。

    2. Settings > Target Configurationに移動する。

    3. New Targetをクリックし、ターゲットの種類を選択し、ターゲットを選択する。

    4. 必要な情報を入力し、ターゲットを追加する。 詳細については、 ターゲットのTarget Configuration トピックを参照のこと。