- 概要
- 要件
- インストール
- インストール後
- クラスターの管理
- 監視とアラート機能
- 移行とアップグレード
- 製品固有の設定
- ベスト プラクティスとメンテナンス
- トラブルシューティング
- インストール時にサービスをトラブルシューティングする方法
- クラスターをアンインストールする方法
- オフライン成果物をクリーンアップしてディスク領域を改善する方法
- Redis データをクリアする方法
- Istio ログを有効化する方法
- ログを手動でクリーンアップする方法
- sf-logs バケットに保存されている古いログをクリーンアップする方法
- AI Center のストリーミング ログを無効化する方法
- 失敗した Automation Suite インストールをデバッグする方法
- アップグレード後に古いインストーラーからイメージを削除する方法
- Longhorn のスナップショットを自動的にクリーンアップする方法
- TX チェックサム オフロードを無効化する方法
- ArgoCD のログ レベルを手動で Info に設定する方法
- 外部レジストリーのエンコードされたpull_secret_valueを生成する方法
- TLS 1.2 で弱い暗号に対処する方法
- 証明書の操作方法
- RHEL 8.4 OS でオフライン インストールを実行できない
- バンドルのダウンロード中のエラー
- バイナリがないため、オフライン インストールが失敗する
- オフライン インストールでの証明書の問題
- Longhorn のセットアップ中に最初のインストールが失敗する
- SQL 接続文字列の検証エラー
- selinux iscsid モジュールの前提条件の確認が失敗する
- Azure ディスクが SSD としてマークされない
- 証明書の更新後のエラー
- ウイルス対策が原因でインストールの問題が発生する
- OS のアップグレード後に Automation Suite が動作しない
- Automation Suite で backlog_wait_time を 0 に設定する必要がある
- リソースが利用できないことの影響を受ける GPU ノード
- ワークロードの準備ができていないためボリュームをマウントできない
- サポート バンドルのログ収集の失敗
- 管理ポータルのタイムアウト期間を設定する
- 基になるディレクトリ接続を更新する
- 移行後に認証が機能しない
- Kinit: Cannot find KDC for realm <AD Domain> while getting initial credentials
- kinit: Keytab contains no suitable keys for *** while getting initial credentials
- 無効なステータス コードが原因で GSSAPI 操作が失敗した
- Alarm received for failed kerberos-tgt-update job
- SSPI Provider: Server not found in Kerberos database
- アカウントが無効なため AD ユーザーのログインに失敗した
- ArgoCD へのログインに失敗した
- サンドボックス イメージを取得できない
- ポッドが ArgoCD UI に表示されない
- Redis プローブの障害
- RKE2 サーバーの起動に失敗する
- UiPath 名前空間でシークレットが見つからない
- 初回インストール後に ArgoCD が進行中ステートになる
- ArgoCD の読み取り専用アカウントにアクセスする際の問題
- MongoDB ポッドが CrashLoopBackOff になるか、削除後に PVC プロビジョニングの保留中になる
- クラスターの復元またはロールバック後にサービスが異常になる
- Init:0/X でポッドがスタックする
- Prometheus が CrashloopBackoff ステートにあり、メモリ不足 (OOM) エラーを伴う
- Ceph-rook のメトリックが監視ダッシュボードに表示されない
- プロキシ環境でポッドが FQDN と通信できない
- アップグレード後にメール アラートを設定できない
- Automation Suite 診断ツールを使用する
- Automation Suite サポート バンドルを使用する
- ログを確認する
Linux の Automation Suite のインストール ガイド
証明書の操作方法
openssl コマンドを使用して証明書のチェーン(CA、中間、およびサーバ)を検証し、証明書を分離または結合する方法について説明します。
証明書は次のように持参できます。
-
シナリオ 1: CA、中間証明書、サーバー証明書、秘密キーを含む 3 つの crt/pem ファイル。
-
シナリオ 2: CA 証明書とサーバ証明書、および秘密キーを含む 2 つの crt/pem ファイル。
-
シナリオ 3: すべての CA/中間証明書とサーバー証明書、および秘密キーを含む 1 つの pfx ファイル。
次の表に、使用されるファイル名を示します。
|
ファイル名 |
説明 |
|---|---|
|
|
CA 証明書。 |
|
|
中間証明書。 |
|
|
CA 証明書と中間証明書を含む証明書。 |
|
|
サーバー証明書。 |
|
|
server.crtの生成に使用される秘密キー。
|
|
|
CA 証明書、中間証明書、サーバー証明書、およびサーバー秘密キーを含む pfx 証明書ファイル。 |
3 つの異なる証明書ファイル (CA、中間、サーバー) を使用する場合は、検証のために次の手順を実行します。
-
CA と中間証明書を結合します (シナリオ 1 にのみ適用可能)。
cp ca.crt ca-bundle.crt cat intermediate.crt >> ca-bundle.crtcp ca.crt ca-bundle.crt cat intermediate.crt >> ca-bundle.crt -
サーバー証明書に (具体的には
subject alternative namesフィールドと [validityフィールド) が含まれていることを確認します。openssl x509 -in server.crt -text -nooutopenssl x509 -in server.crt -text -noout -
サーバ証明書が CA サーバによって署名されているかどうかを確認します。
openssl verify -CAfile ca-bundle.crt server.crtopenssl verify -CAfile ca-bundle.crt server.crt出力:
server.crt: OKserver.crt: OK -
md5 ハッシュを比較して、サーバー証明書がサーバー秘密キーによって生成されたかどうかを確認します。次のコマンドの出力が一致する場合、サーバー証明書が秘密キーを使用して生成されたことを検証します。
openssl x509 -noout -modulus -in server.crt | openssl md5openssl x509 -noout -modulus -in server.crt | openssl md5サーバー証明書の出力:
(stdin)= c9b0c5c3fe11b0b09947415236c4a441(stdin)= c9b0c5c3fe11b0b09947415236c4a441openssl rsa -noout -modulus -in server.key | openssl md5openssl rsa -noout -modulus -in server.key | openssl md5サーバー秘密キーの出力:
(stdin)= c9b0c5c3fe11b0b09947415236c4a441(stdin)= c9b0c5c3fe11b0b09947415236c4a441
-
サーバー証明書と秘密キーから pfx ファイルを生成します。次のコマンドを実行すると、パスコードを 2 回入力するように求められます。pfx ファイルの復号化には、常にパスコードが必要です。
openssl pkcs12 -inkey server.key -in server.crt -export -out server.pfxopenssl pkcs12 -inkey server.key -in server.crt -export -out server.pfx出力:
Enter Export Password: Verifying - Enter Export Password:Enter Export Password: Verifying - Enter Export Password:
CA、中間、サーバー、および秘密キーを含む pfx 形式の証明書を 1 つ持ってくる場合、その pfx ファイルを ID トークン署名証明書として使用できますが、pfx ファイルを複数の証明書ファイルに分割する必要があります。次の手順では、それに応じて pfx ファイルを分割する方法について説明します。
-
CA 証明書 (pfx ファイルで指定されている場合は中間証明書を含む) をエクスポートします。
openssl pkcs12 -in server.pfx -cacerts -nokeys -chain | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > ca.crtopenssl pkcs12 -in server.pfx -cacerts -nokeys -chain | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > ca.crt -
サーバー証明書をエクスポートします。
openssl pkcs12 -in server.pfx -clcerts -nokeys | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > server.crtopenssl pkcs12 -in server.pfx -clcerts -nokeys | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > server.crt -
秘密キーをエクスポートします。
openssl pkcs12 -in server.pfx -nocerts -nodes | sed -ne '/-BEGIN PRIVATE KEY-/,/-END PRIVATE KEY-/p' > server.keyopenssl pkcs12 -in server.pfx -nocerts -nodes | sed -ne '/-BEGIN PRIVATE KEY-/,/-END PRIVATE KEY-/p' > server.key
