管理ゲートウェイをデプロイするための前提条件の実行
管理ゲートウェイのためのOracle Cloud Infrastructureの設定
管理ゲートウェイおよび管理エージェントは、Oracle Cloud Infrastructure (OCI)の管理エージェント・サービスを使用します。管理ゲートウェイをインストールする前に、管理エージェント・サービスを使用するようにOracle Cloud Infrastructure環境を設定する手順を完了する必要があります。詳細は、管理エージェント・サービスのためのOracle Cloud Infrastructureの設定を参照してください。
管理ゲートウェイのデプロイに関する一般的な前提条件
管理ゲートウェイをデプロイする前に、次の前提条件が満たされていることを確認します:
Oracle Cloud Infrastructureの要件
-
管理エージェント・サービスのためのOracle Cloud Infrastructureの設定の説明に従って、Oracle Cloud Infrastructure環境を正しく設定していることを確認する必要があります。
サポートされているオペレーティング・システム
表7-1 サポートされているオペレーティング・システム
| オペレーティング・システム | バージョン |
|---|---|
|
Oracle Linux |
6 (64ビット)、7 (64ビット)、8 (64ビット)、9 (64ビット) |
|
Red Hat Enterprise Linux |
6 (64ビット)、7 (64ビット)、8 (64ビット) |
オペレーティング・システムの要件
-
最小ディスク要件: 空きディスク容量300MBおよび管理ゲートウェイ・ソフトウェア・ダウンロード用に追加100MB。
また、バッファリングされたメッセージをディスクに書き込むためのディスク領域も必要です。この領域には、少なくとも1GBの空きディスク領域が必要です。
-
ホストへの管理ゲートウェイ・ソフトウェアのインストールを担当する、
sudo権限を持つユーザー。 -
管理ゲートウェイ・ソフトウェアをインストールする前に、
Java Development Kit (JDK)またはJava Runtime Environment (JRE)をホストにインストールしておく必要があります。JDKまたはJREバージョン1.8u281以上をダウンロードしてインストールしたことを確認してから、管理ゲートウェイ・ソフトウェアのインストール・プロセスを開始してください。Javaダウンロードを参照してください。 -
管理ゲートウェイには専用ホストが必要です。管理エージェントがホストにすでにインストールされている場合は、別のホストに管理ゲートウェイをインストールし、それを専用にします。
-
マウントする場合は、/tmpに
noexecフラグが設定されていないことを確認してください。
ネットワークの前提条件
-
ネットワーク設定にファイアウォールがある場合は、管理ゲートウェイがデプロイされるホストから適切なOracle Cloud InfrastructureドメインへのHTTPS通信(ポート443)が許可されていることを確認してください。関連するドメインはレルムによって異なります。たとえば、Oracle Cloud Infrastructure商用レルム
OC1を使用する管理エージェントは、*.oraclecloud.comドメインに接続する必要があります。Oracle Cloud Infrastructureはリージョンでホストされます。リージョンはレルムにグループ化されます。テナンシは、単一のレルムに存在し、そのレルムに属するすべてのリージョンにアクセスできます。そのレルム内にないリージョンにはアクセスできません。現在、Oracle Cloud Infrastructureには複数のレルムがあります。リージョンおよびレルムの詳細は、リージョンおよび可用性ドメインを参照してください。
各ゲートウェイは、特定のOCIコンパートメントに属します。ゲートウェイを介して接続するすべてのエージェントは、そのゲートウェイと同じコンパートメントにある必要があります。
入手可能な任意のネットワーク接続ツールを使用して、データ・センターとの接続を確認できます。
Oracle Cloud InfrastructureにデプロイされるサービスのIPアドレス範囲の詳細は、IPアドレス範囲を参照してください。
次のサンプルの表に、通信用に開く必要があるポートを示します。方向 ポート プロトコル 理由 管理ゲートウェイ・ホストから外部
443
HTTPS
Oracle Cloud Infrastructureサービスとの通信。
管理ゲートウェイの証明書の構成
管理エージェント・バージョン221019.0021以降、管理ゲートウェイ・バージョン221019.0021.1667404647以降では、エージェント、ゲートウェイおよびOCI間の通信には証明書が必要です。証明書およびその他の必須エンティティが自動的に作成されますが、これを機能させるために特定のOCIポリシーを設定する必要があります。
次の2つのオプションがあります。
証明書の自動作成(推奨)
これは、証明書を作成するための推奨方法です。
レスポンス・ファイルでパラメータGatewayCertOcidが設定されていない場合、ゲートウェイは必要な証明書およびその他の必要なエンティティを自動的に作成しようとします。
管理ゲートウェイが高可用性モードで構成され、ロード・バランサおよび管理ゲートウェイが異なるドメインにある場合は、拡張構成管理ゲートウェイの高可用性を参照してください。
必須の動的グループ:
-
次のルールを使用して
Credential_Dynamic_Groupを作成します。ALL {resource.type='certificateauthority', resource.compartment.id='<>'} -
次のルールを使用して
Management_Gateway_Dynamic_Groupを作成します。ALL {resource.type='managementagent', resource.compartment.id='<>'}
コンパートメントIDはOCIDです。
必要なポリシー:
Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE certificate-authority-delegates in compartment <>
Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE vaults in compartment <>
Allow DYNAMIC-GROUP Credential_Dynamic_Group to USE keys in compartment <>
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ certificate-authority-bundle in compartment <>
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ leaf-certificate-bundle in compartment <>
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE certificate-authorities in compartment <> where any{request.permission='CERTIFICATE_AUTHORITY_CREATE', request.permission='CERTIFICATE_AUTHORITY_INSPECT', request.permission='CERTIFICATE_AUTHORITY_READ'}
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE leaf-certificates in compartment <> where any{request.permission='CERTIFICATE_CREATE', request.permission='CERTIFICATE_INSPECT', request.permission ='CERTIFICATE_UPDATE', request.permission='CERTIFICATE_READ'}
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE vaults in compartment <> where any{request.permission='VAULT_CREATE', request.permission='VAULT_INSPECT', request.permission='VAULT_READ', request.permission='VAULT_CREATE_KEY', request.permission='VAULT_IMPORT_KEY', request.permission='VAULT_CREATE_SECRET'}
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to MANAGE keys in compartment <> where any{request.permission='KEY_CREATE', request.permission='KEY_INSPECT', request.permission='KEY_READ'}
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to USE certificate-authority-delegates in compartment <>
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to USE key-delegate in compartment <>
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group TO MANAGE leaf-certificates in compartment <> where all{request.permission='CERTIFICATE_DELETE', target.leaf-certificate.name=request.principal.id}
手動認証管理
証明書は手動で設定できます。管理者は、OCIコンソールを使用して証明書を作成できます。その後、パラメータGatewayCertOcidを使用して、レスポンス・ファイルにその証明書のOCIDを指定します。
証明書の作成については、Overview of Certificate.htmを参照してください。
必須の動的グループ:
-
次のルールを使用して
Credential_Dynamic_Groupを作成します。ALL {resource.type='certificateauthority', resource.compartment.id='<>'} -
次のルールを使用して
Management_Gateway_Dynamic_Groupを作成します。ALL {resource.type='managementagent', resource.compartment.id='<>'}
コンパートメントIDはOCIDです。
必要なポリシー:
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ certificate-authority-bundle in compartment <>
Allow DYNAMIC-GROUP Management_Gateway_Dynamic_Group to READ leaf-certificate-bundle in compartment <>ポリシーはコンパートメントごとです。ゲートウェイおよびそれに接続するすべてのエージェントに、同じコンパートメントを使用する必要があります。