セキュア・クライアント・デプロイメント: OVA
Open Virtual Appliance (OVA) イメージは、パブリック・クラウド内の SaaS サーバーがオンプレミス・ターゲットを管理できるようにするセキュア・クライアントとして、オンプレミス環境にインストールできます。 vCenter イメージをインストールした後、セキュア・クライアントを構成してから、そのクライアントと SaaS サーバーの間にセキュア接続を確立する必要があります。 接続が確立されたら、 SaaS サーバーへのオンプレミス・ターゲットの追加を開始できます。
SaaS サーバーがクラウドおよびクラウド・ベースの APM ターゲットのみを管理する場合、これらのステップは必要ありません。
前提条件
最小要件
Turbonomic インスタンスを実行するための要件は、管理対象の環境のサイズによって異なります。 Turbonomic は、環境のリアルタイム表現をメモリー内に保持します。 管理するエンティティーの数が多いほど、およびそれらの間の関係が広範囲になるほど、 Turbonomicを実行する VM に必要なリソースが多くなります。 また、VM の要件が増加するにつれて、VM をホストする物理マシンの要件も増加します。
ここにリストされている要件は、 Turbonomic デプロイメントを計画する際に留意すべき推奨事項です。 デプロイ後に、VM のメモリー容量、CPU 容量、またはその両方を変更する必要があることが判明した場合は、VM をシャットダウンし、変更してから再度電源をオンにして、新しい容量を使用することができます。
環境サイズ (Environment size)
推奨されるメモリー (GB)
推奨される vCPUs (コア)
小
0-5k 個のエンティティー
32
8
中間
5k-80k エンティティー
64百万
16
大
80k-200k エンティティー
128
32
特大
200k-1.5M エンティティー
192
48
ネットワーク要件
セキュア・クライアントには、以下のネットワーク要件があります。
プロキシー環境はサポートされていません。
お客様のファイアウォールでの SSL インスペクションはサポートされていません。
インストールおよび更新時に、 Docker イメージが
icr.io
イメージ・リポジトリーからダウンロードされます。 イメージ自体はicr.io
のサブドメイン (dd2.icr.io
など) に存在しますが、これらのサブドメイン名は変更される可能性があります。 OVA とインターネットの間にファイアウォールが存在する場合は、OVA がイメージをダウンロードできるように、icr.io
のすべてのサブドメイン (つまり*.icr.io
) を許可リストに登録する必要があります。
ファイアウォール・ポート
セキュア・クライアントがファイアウォールの内側にある場合は、まず、クラスターのすべてのノードが、 SaaS 環境で公開されているいくつかの経路に対してアウトバウンド要求を行えることを確認する必要があります。 これらの経路は、 「設定」>「セキュア・クライアント管理」 ページの 「サーバーの詳細」 セクションにリストされ、以下の例のようになります。
注:OVA から作成された VM では何も変更する必要はありません。 ファイアウォールの変更は、ご使用の環境に固有のものです。
接続検査
/opt/local/bin/check_connection.sh
を実行して、必要な IP アドレスとポートがセキュア・クライアント環境からアクセス可能であることを確認できます。 例えば、ポート 8081 での<tunnel-ip>
への接続を確認するには、以下のコマンドを実行します。/opt/local/bin/check_connection.sh --ip <tunnel-ip> --port 8081
出力は以下の例のようになります。
Checking connectivity to <tunnel-ip>:8081... The request to <tunnel-ip>:8081 was successful
IBM Container Registryへのアクセス
自己アップグレード・プローブ機能を機能させるには、クライアント環境が IBM Container Registryから新規イメージをプルできる必要があります (プライベート・レジストリーを使用していない場合)。
セキュア・クライアントが自動的に更新できるようにするには、以下のアドレスを許可リストに追加します。
https://*.icr.io
注:Turbonomic セキュア・クライアントをインストールして定期的に更新を受け取るには、 IBM Container Registry へのアクセス権限が必要です。
クライアント環境から IBM Container Registry へのアクセスを確認するには、以下のコマンドを実行します。
nc -zv icr.io 443
OVA のインストール
このセクションでは、セキュア・クライアントとしてイメージをインストールする手順について概説します。
オンプレミスとクラウドの両方のターゲットを管理するスタンドアロン・プラットフォームとしてイメージをインストールする手順については、 OVA: vCenter Image for On-prem Environments のインストールを参照してください。
Turbonomic インストール・パッケージをダウンロードします。
IBM から受け取った E メールには、 Turbonomic ダウンロード・ページへのリンクが含まれています。 そこからインストール・パッケージを入手できます。
インストール・パッケージには、
turbonomic_t8c-<version>-<XXXXXXXXXXXXXX>.ova
ファイルが含まれています。ここで、
<version>
は Turbonomic バージョン番号、<XXXXXXXXXXXXXX>
はタイム・スタンプです。例:
turbonomic-t8c-8.0.5-20190916164429000.ova
OVA ファイルは、 Turbonomic コンポーネントが既にインストールされている VM としてデプロイされます。
OVA ファイルをデータ・センターにインポートします。
vCenter Server クライアントを使用して、OVA を環境にインポートします。
Turbonomic VM をデプロイします。
OVA ファイルからデプロイされた VM を構成します。 VM をホストする物理マシンが最小要件を満たしていることを確認してください。
リモート・コンソールを開きます。
デプロイしたばかりの Turbonomic VM の場合:
「サマリー」 タブを選択します。
「リモート・コンソールの起動」をクリックします。
Turbonomic システム管理者アカウントをセットアップします。
リモート・コンソールで、以下のデフォルト資格情報を使用してログインします。
ユーザー名:
turbo
アカウント名
root
は使用 しないでください 。Password:
vmturbo
その後、新規パスワードの入力を求めるプロンプトが出されます。
新規パスワードを入力します。
新規パスワードは、強いパスワード・ポリシー (大文字と小文字、数字、および記号の混合) に従う必要があります。 この新規パスワードを知っているのはあなただけです。
注:必ず、変更したアカウント資格情報を安全な場所に保存してください。 セキュリティー上の理由から、これは Turbonomic VM にアクセスして構成できる唯一のアカウントです。
新規パスワードを再度入力して確認します。
ルート・パスワードを更新します。
プラットフォームは、
/var/log/messages
でのログ・メッセージのロールアップなど、特定のプロセスにroot
アカウントを使用します。 アカウント資格情報を最新のものにするには、パスワードを変更する必要があります。SuperUser セッションを開きます。
リモート・コンソールで、
su -
と入力します。パスワード・プロンプトで、デフォルトのパスワード
vmturbo
を入力します。
新規パスワードをリセットします。
デフォルト・パスワードを使用して root としてログインすると、
New password
の入力を求めるプロンプトがシステムから出されます。 この新規パスワードは、強いパスワード・ポリシー (大文字と小文字、数字、および記号の混合) に準拠する必要があります。 この新規パスワードを知っているのはあなただけです。注:必ず root アカウント資格情報を安全な場所に保存してください。
SuperUser セッションを終了します。
exit
と入力します。
静的 IP アドレスをセットアップします。
Turbonomic プラットフォームの操作と管理には、両方とも VM の静的 IP アドレスが必要です。 インストールされた VM には、このタスクを実行するための
ipsetup
スクリプトが含まれています。 スクリプトを実行するには、以下のコマンドを実行します。sudo /opt/local/bin/ipsetup
スクリプトが実行されると、以下の入力が要求されます。 プロキシー・サーバーはセキュア・クライアントではサポートされていないため、構成できません。
注:これらのフィールドに値を指定してください。指定しないと、インストールが失敗したり、VM が到達不能になったりする可能性があります。
必須:
Do you want to use DHCP or set a static IP...
選択
static
必須:
Please enter the Hostname for this machine
必須:
Please enter the IP Address for this machine
必須:
Please enter the network mask for this machine
必須:
Please enter the Gateway address for this machine
必須:
Enter DNS Server(s) IP Address for this machine
必須:
Do you want to configure a proxy server? (y/n)
選択
n
指定した IP アドレスを書き留めます。
セキュア・クライアントのインストール
vCenter イメージをインストールした後、セキュア・クライアントをインストールして構成する必要があります。 デフォルトでは、セキュア・クライアント・コンポーネント (プローブおよびトンネル) とサーバーとの同期を維持するために、自動更新が有効になっています。
セキュア・クライアント・インスタンスで SSH 端末セッションを開きます。
t8cClientInstall.sh
スクリプトを実行します。/opt/local/bin/t8cClientInstall.sh
ネットワークのセットアップが完了したら、
y
を押します。############################################################### Initializing Kubernetes ############################################################### Have you run the ipsetup script to setup networking yet? [y/n] y
出力は以下の例のようになります。
Turbonomic Client was installed successfully!
インストールを検証します。
kubectl get pods
出力は以下の例のようになります。
この簡略リストは例示のみを目的としていることに注意してください。
mediation-netapp-9f67f74cf-gplsk 0/1 Running 0 16m mediation-pure-6ddc54f645-6s72b 1/1 Running 0 16m mediation-ucs-54586b7889-5lrxd 0/1 Running 0 16m ...
注:一部のプローブ (メディエーション・ポッド) は、 SaaS サーバーとのリンクが確立されるまで作動可能にならない場合があります。
セキュア・クライアントと SaaS サーバーの間のセキュア接続の確立
セキュア・クライアントと SaaS サーバーの間にセキュア接続を確立する必要があります。 これには、トークンを作成してから、そのトークンをセキュア・クライアントに適用する必要があります。 SaaS サーバーの URL またはログイン資格情報が提供されていない場合は、続行する前に Turbonomic 担当員にお問い合わせください。
新規トークンを作成します。
SaaS サーバーにログインします。
「設定」ページにナビゲートします。
クリックして「設定」ページにナビゲートします。 そこから、さまざまな Turbonomic 構成タスクを実行できます。
「セキュア・クライアント管理」を選択します。
「クライアント・ネットワーク・トークン」 タブを選択し、 「トークンの作成」をクリックします。
「トークンの作成」 ダイアログで、トークンのクレーム制限と存続期間を構成します。
トークンのセキュリティーを強化するには、トークン作成時に低い値を使用します。
「作成」 をクリックします。
トークン値をダウンロードするか、トークンをクリップボードにコピーします。
トークンをセキュア・クライアントに適用します。
セキュア・クライアント・インスタンスで SSH 端末セッションを開きます。
実行
tokenExchange.sh
スクリプト、指定Kubernetes必要に応じて名前空間。 デフォルトではturbonomic
省略した場合。/opt/local/bin/tokenExchange.sh -n turbonomic
プロンプトが出されたら、 SaaS サーバーから取得したトークン全体を貼り付けます。
スクリプトは次の例のようになります。
{ "apiVersion": "v1", "kind": "Secret", "metadata": { "name": "29bd4186-2ca6-11ef-861b-0a58ac152bc5", "annotations": { "skupper.io/generated-by": "f19b9c2a-60fe-4f20-a4fc-66403642a328", "skupper.io/site-version": "1.6.0", "skupper.io/url": "https://<your_url.com:xxx>" }, "labels": { "skupper.io/type": "token-claim" } }, "data": { "ca.crt": "<your_crt>==", "password": "<your_password>=" } }
出力は以下の例のようになります。
Token applied successfully. Waiting up to 30s for connection to be established... Connection has been established. Token exchange successful.
接続が確立されたことを確認してください。
kubectl get services | grep ^remote
出力は以下の例のようになります。
remote-nginx-tunnel ClusterIP 10.233.32.25 <none> 9080/TCP 96s remote-rsyslog ClusterIP 10.233.36.242 <none> 2514/TCP,8080/TCP 96s
これらの結果は、クライアント/サーバー接続が確立され、必要なクライアント・サイド・サービスが使用可能であることを示しています。 オンプレミス・ターゲットのプローブが作動可能になっている必要があります。
(オプション) プローブが作動可能になるまでに数分かかる場合があります。 プロセスを高速化するには、オンプレミス・プローブのポッドを手動で削除します。
kubectl delete pod -l app.kubernetes.io/component=probe
新しいメディエーション・ポッドが表示され、即時にリモート・サービスに接続されます。
すべてのポッドが作動可能になり、実行されていることを確認します。
kubectl get pods
以下の例のような結果が表示されると、オンプレミス・プローブの準備が整います。
NAME READY STATUS RESTARTS AGE mediation-netapp-66654c467c-f67ll 1/1 Running 0 3m47s mediation-pure-6b86fbfbf7-2hmdv 1/1 Running 0 3m47s mediation-ucs-5c49577fc-k8ssc 1/1 Running 0 3m42s mediation-vcenter-6fbdc997c7-87m8c 1/1 Running 0 3m38s mediation-vcenterbrowsing-557fd5f899-tmsjd 1/1 Running 0 3m40s skupper-router-7dbdf79c79-z8g98 2/2 Running 0 3m37s skupper-service-controller-76fcd64f6c-dcslb 1/1 Running 0 3m37s skupper-site-controller-5f7fd46b-b5dln 1/1 Running 0 3m57s t8c-client-operator-controller-manager-5c45fbb96f-6hc9h 1/1 Running 0 77m
注:/opt/local/bin/tunnelTroubleshooting.sh
スクリプトを実行して、デプロイメントを検査し、検出されたエラーを報告したり、エラーの修正方法に関するアドバイスを行ったりすることができます。
ターゲットの有効化および追加
セキュア・クライアントを初めてインストールするときには、以下のプローブがデフォルトで有効になっているため、 SaaS サーバーに追加できます。 これらのプローブを有効にしない場合は、カスタム・リソース YAML ファイルを編集してプローブを無効にします。
Cisco UCS マネージャー
VMware vCenter
NetApp クラスター・モード
Pure Storage
必要なプローブを有効にしてから、ターゲットを SaaS サーバーに追加します。 サポートされるターゲットのリストについては、 セキュア・クライアントを使用したオンプレミス・ターゲットの管理を参照してください。
クラウドまたはクラウド・ベースの APM ターゲットを有効にするためにセキュア・クライアントを使用しないでください。 Turbonomic 担当員がこれらのターゲットを使用可能にする必要があります。
セキュア・クライアント・インスタンスで SSH 端末セッションを開きます。
プラットフォームに付属している
turbonomicclient.yaml
ファイルのコピーを作成します (まだ作成していない場合)。cp /opt/turbonomic/kubernetes/yaml/t8c-client-operator/turbonomicclient.yaml \ /opt/turbonomic/kubernetes/yaml/t8c-client-operator/turbonomicclient_backup.yaml
カスタム・リソース YAML リソースを編集して、プローブを有効にします。
sudo vi /opt/turbonomic/kubernetes/yaml/t8c-client-operator/turbonomicclient.yaml
spec:
セクションを見つけ、その後にprobes:
を見つけます。 次に、プローブを見つけて、enabled
の値をtrue
に設定します。 以下の例に示されているフォーマットを使用して、すべてのターゲット・プローブを YAML リソースで構成する必要があります。spec: global: version: 8.13.1 probes: actionScript: enabled: false appDynamics: enabled: true ...
注:プローブを無効にするには、
enabled
の値をfalse
に設定します。変更を適用します。
kubectl apply -f /opt/turbonomic/kubernetes/yaml/t8c-client-operator/turbonomicclient.yaml
SaaS サーバーにログインし、ターゲットを追加します。
SaaS サーバーにログインします。
「設定」>「ターゲット構成」にナビゲートします。
「新規ターゲット」をクリックし、ターゲット・タイプを選択してから、ターゲットを選択します。
必要な情報を指定して、ターゲットを追加してください。 追加情報については、ターゲットの「 ターゲット構成 」トピックを参照してください。