投稿

Harborのv1.5.1からv1.7.1へのアップグレード

みなさんはプライベートなコンテナレジストリとして何を利用していますか。VMwareによって開発されてCNCFに移管されたHarborはオープンソースでRBAC (Role Based Access Control)も利用できるため便利です。 Harborをv1.5.1からv1.7.1へアップグレードした時の経験に基づき、オンラインパッケージを利用してHarborをアップグレードするコマンドを記載します。 実際にアップグレードを行う前に最新の情報 [英語]に一度は目を通すことをお勧めします。 公式サイト( https://goharbor.io/docs/ ) ドキュメント( https://github.com/goharbor/harbor/blob/master/docs/migration_guide.md ) アップグレードパス v1.5からv1.7へのアップグレードを行う場合、v.1.6を経由してください。ドキュメントでカバーされている内容はv1.6を経由する形です。この記事ではv1.5.1, v1.6.3, v1.7.1の順番でアップデートを実施します。 v1.5.1からv1.6.3へのアップグレード ドキュメント: https://github.com/goharbor/harbor/blob/v1.6.3/docs/migration_guide.md アップグレードの準備 アップグレードの前に必ずバックアップを行います。 バックアップ対象 /data/database インストール時に利用したharbor.cfgを含むharborディレクトリ 変更対象 harbor.cfg をアップグレードするため現在の harbor.cfgとして harbor ディレクトリから harbor.cfg をコピーします。 今回の例では /home/teruyam/harbor.cfg に置きます。 # cp ./harbor/harbor.cfg /home/teruyam/harbor.cfg アップグレードの実行 環境変数 #  db_pwd=VMware123! # harbor_db_path=/data/database # harbor_cfg=/home/teruyam/harbo

PowerCLIで資格情報を保存して、接続時に再利用して安全かつ簡単に接続する方法

PowerCLIではvCenterへ接続してvSphere Management API経由で情報を取得します。初めの接続にはConnect-VIServerコマンドレットを利用しますが、スクリプトに 資格情報をハードコード したり 資格情報の要求ウィンドウ へ毎回入力したりしている方が多いのではないでしょうか。 PowerCLIでは上記よりもセキュリティ上安全で利便性の高い方法として、Credential Storeが提供されています。 Credential Storeを利用しない場合 以下のようにConnect-VIServerしていると思います。 Connect-VIServer <vCenter Address> –User <User> –Password <Password> 上記で明示的にPasswordを指定しない場合には資格情報の要求ウィンドウが表示されます。パスワードがハードコードされているとコードを共有するのが難しくなり、毎回入力するとなると手間がかかるようになります。  Credential Storeを利用する場合 初めにNew-VICredentialStoreItemコマンドレットで資格情報を保存します。 New-VICredentialStoreItem -Host <vCenter Address> -User <User> -Password <Password> 上記の手順を1回実行した以降はConnect-VIServerを実行するたびに資格情報を入力する必要がなくなります。つまり今後はvCenterのアドレスだけで接続できるようになります。 Connect-VIServer <vCenter Address> すでに保存されている資格情報を表示するにはGet-VICredentialStoreItemコマンドレットを利用します。 保存した資格情報を削除するにはRemove-VICredentialStoreItemコマンドレットを利用します。 上記であれば資格情報はPowerCLIで管理されるため、より簡単で安全に接続処理を記述することができます。

VMware PowerCLIがPowerShell Galleryからダウンロードできるようになりました!

イメージ
PowerCLI 6.5.1がリリースされ、PowerShell Gallery経由でインストールできるようになりました。 以前のバージョンではMSI形式のインストーラーが配布されていましたが、今回からInstall-Moduleコマンドレットを利用するだけで簡単にインストールすることができるようになりました。 すでにPowerShell Galleryからモジュールをインストールしたことがある方は以下のコマンドだけで簡単にインストールできます。 PS C:\> Install-Module -Name VMware.PowerCLI –Scope CurrentUser MSFCのGet-ClusterやHyper-VのExport-VMなど同じコマンドがインストールされている場合には追加のパラメータとして「-AllowClobber」が必要になる点に注意しましょう。 PowerShell Galleryを使ったことがない方やオフラインインストールなどその他の詳細な手順は以下のBlog記事 (英語)を参照してください。 Welcome PowerCLI to the PowerShell Gallery – Install Process Updates https://blogs.vmware.com/PowerCLI/2017/04/powercli-install-process-powershell-gallery.html PowerCLIをインストールして接続してVMの一覧を表示するまで3行です。 Install-Module -Name VMware.PowerCLI –Scope CurrentUser $vis = Connect-VIServer -Server VC -User administrator@vsphere.local Get-VM -Server $vis

ASRock C2750D4I Java 1.8.0 131へ更新後にIPMIのコンソールの起動に失敗する

事象 C2750D4IのIPMIで提供されるリモートコンソールにおいて、Java 1.8.0 131へ更新後に「このアプリケーションを起動できません。」のエラーと共に起動に失敗します。 推定要因 Java 1.8.0 131ではセキュリティポリシーが変更となりJARファイルに対するMD5の署名は有効ではありません。このため未署名なアプリケーションとして扱われ、システムへのアクセスをリクエストするとみなされて起動に失敗します。 回避策 セキュリティ上の考慮点:この方法は強度が十分でなく脆弱であるため無効化されたMD5による署名を有効化してアプリケーションを起動します。有効化による問題を認識した上で手順を実施してください。 java.securityファイルにおけるjdk.jar.disabledAlgorithmsからMD5を除外します。この変更によりJARファイルにおける無効化されたMD5が有効化されます。 例 変更後 jdk.jar.disabledAlgorithms=MD2, RSA keySize < 1024 変更前 jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024 java.securityは64bitのWindowsであれば以下に配置されています。 C:\Program Files (x86)\Java\jre1.8.0_131\lib\security 参考情報 MD5 added to jdk.jar.disabledAlgorithms Security property This JDK release introduces a new restriction on how MD5 signed JAR files are verified. If the signed JAR file uses MD5, signature verification operations will ignore the signature and treat the JAR as if it were unsigned. This can potentially occur in the following t

CoreOSとVMware vSphereでDocker環境を構築する

お疲れ様です。照屋です。 CoreOSがvSphere 5.5及びvCloud Airにてサポートされるようになるとアナウンスがありました。 http://blogs.vmware.com/vsphere/2015/03/coreos-now-supported-vmware-vsphere-5-5-vmware-vcloud-air.html VMware Compatibility Guideにも既に記載がありますね。CoreOS 557とESXi5.5以降の組み合わせになるようです。 概要 vSphere環境があれば、すぐにでもCoreOSを始めることができます。 今回はOVAファイルをダウンロードして、vSphere Web Clientから 既存のvSphere環境に対してCoreOSを展開します。 その上で実際にWordPress + MySQLを動かすところまでを説明します。 ネットワーク要件 インターネットより各種ファイルやコンテナファイルを取得するため、 インターネット接続が必要になります。 それに伴いDNSによる名前解決ができる必要があります。 CoreOSを接続する先の仮想スイッチでDHCPによるIPアドレス割り当てが行えるか確認してください。 DHCPが利用できない場合はCoreOSの「Network Configuration with networkd(英語)」を参照して構成してください。 https://coreos.com/docs/cluster-management/setup/network-config-with-networkd/ CoreOS環境の構築 OVAファイルの取得 まずはOVAファイルのダウンロードから始めましょう。 CoreOS Release Notesに行って、「Browse Images」をクリックします。 https://coreos.com/releases/ ファイル「coreos_production_vmware_ova.ova」を見つけてダウンロードします。 次はvSphere Web ClientでダウンロードしたOVAファイルをクラスタに展開します。 この手順は一般的なOVAファイルの展開手順と同じですので、ご存知の方は次のステップ

NVGRE ゲートウェイを直接ルーティングする場合の接続文字列

お疲れ様です。照屋です。 System Center 2012 R2 Virutal Machine ManagerでNVGRE Gatewayを構成する時の小ネタです。 NVGREのゲートウェイはVM ネットワークを論理ネットワークに接続を担当します。VMネットワークはNVGREでカプセル化されたネットワークのことです。対して論理ネットワークはカプセル化されていないネットワークであり、所謂物理ネットワークと呼ばれるものです。つまりゲートウェイを使うことでNVGREの世界とそれ以外の世界をIP接続することができます。 ゲートウェイには下記の接続方法があります。 VPN NAT 直接ルーティング 今回は「直接ルーティング」のみを説明します。直接ルーティング(Direct Routing)は上記の他の方法と比較すると、次のようなメリットがあります。 NVGREのアドレス系に変更を加える必要がない 物理側にカプセル化の必要がない ただしデメリットもあります。 アドレスを変更しないため、単一のゲートウェイで保持するアドレス帯に重複があってはいけない NVGREを利用することで単一のVM Network内でサブネットを分離できます。NATであれば一つのゲートウェイに複数のVMネットワークを接続できますが、直接ルーティングにする場合は同じゲートウェイ内で一つのVMネットワークしか持てないようです。 上記を踏まえて、Windows Server 2012 R2をゲートウェイとして登録する際の接続文字列は以下のようになります。ネットワークサービスに登録するゲートウェイの接続文字列に「DirectRoutingMode=true」が記載されていることを確認します。 接続文字列 VMHost=<Hyper-V HostName>;GatewayVM=<Gateway VM Name>;DirectRoutingMode=true NAT接続ができているのであれば、接続文字列の変更後、VMネットワークのプロパティ>接続でネットワークアドレス変換(NAT)から直接ルーティングに変更すれば疎通が取れるようになります。

PowerShellで潜るOpenStack APIの海 - 素潜り編

イメージ
PowerShell Advent Calendar 2014 の 15 日目!   OpenStackとは 皆さんは OpenStack というクラウド管理ツールをご存知でしょうか。 OpenStack はプライベートクラウドを構築するためのオープンソースソフトウェアです。 OpenStack を利用することで、大規模なクラウドを構築することができます。 OpenStack は RESTfull API 経由で操作することができます。つまりパブリッククラウドで言うところの Microsoft Azure や Amazon Web Services と同様に、インフラの自動化をプライベートクラウドでも実現できます。 今回の手順は手元に OpenStack がある前提の内容になっていますが、対話的にPowerShellを利用しているので雰囲気だけでも感じて頂ければ幸いです。 残念ながら OpenStack がない場合にはこの機会に是非、検証環境を準備してみてください。 今回の内容では OpenStack のインストールや構成までカバーすることはできませんが、日本語の技術資料も多く、日本 OpenStack ユーザー会 ( http://openstack.jp/ ) を初めとしたコミュニティ主催の勉強会も活発に行われています。 OpenStack は DevStack( http://devstack.org/ ) などの展開ツールを利用してインストールすることができます。 VMware vSphere の環境をすでにお持ちであれば、 VMware 社が提供する VOVA(VMware OpenStack Virtual Appliance) を利用することで手軽に評価用の環境を準備することができます。 PowerShellでやってみる PowerShell は強力なスクリプト言語です。今さら説明は要りませんね。今日は OpenStackAPI の操作を通して、シェルの力を感じましょう。   OpenStack の API を利用するに際して、まず初めに行うのが認証です。資格情報 ( ユーザー名やパスワード ) を渡してトークンを取得します。トークンはなぜ必要なのでしょうか。 OpenStack は大規模なクラウドを