連携アダプターのセットアップ後の作業について説明します。
注意
オフラインバックアップを実行後、連携アダプターを追加する場合は、セットアップ後に改めてオフラインバックアップを実行してください。
実行しない場合、追加した連携アダプターがリストアされませんのでご注意ください。
オフラインバックアップについては、"FUJITSU Software Cloud Services Management 運用ガイド"の"バックアップ・リストア"および"オフラインバックアップ"を参照してください。
連携アダプターをセットアップするサーバが連携対象のクラウドにアクセスする際にプロキシを経由する場合、APP用ドメインにプロキシと認証情報を設定する必要があります。
プロキシと認証情報の設定は、Java EE実行環境の管理コマンド(asadminコマンド)を使用して行います。コマンドの実行には、変更対象のドメインのJava EE実行環境について、以下の情報が必要です。
管理用ポート番号
コマンドオプションとして指定します。
管理者のユーザー名
コマンドオプションとして指定します。
管理者のパスワード
コマンド実行に表示されるプロンプトに応じて入力します。
"2.2 管理サーバと連携アダプター基盤(APP)のセットアップ"で指定した値を使用してください。
設定
以下のコマンドを必要に応じて実行してください。
プロキシホストの設定コマンド
<プロキシホスト>に値を設定し、以下のコマンドを実行します。
"%FSCSM_HOME%\SWCTMG\glassfish3\bin\asadmin" -p <管理用ポート番号> -u <管理者のユーザー名> create-jvm-options -Dhttps.proxyHost=<プロキシホスト>
プロキシポートの設定コマンド
<PORT NO>に値を設定し、以下のコマンドを実行します。
"%FSCSM_HOME%\SWCTMG\glassfish3\bin\asadmin" -p <管理用ポート番号> -u <管理者のユーザー名> create-jvm-options -Dhttps.proxyPort=<PORT NO>
プロキシの認証ユーザーの設定コマンド
プロキシが認証を行っている場合、<認証ユーザー名>に値を設定し、以下のコマンドを実行します。
"%FSCSM_HOME%\SWCTMG\glassfish3\bin\asadmin" -p <管理用ポート番号> -u <管理者のユーザー名> create-jvm-options -Dhttps.proxyUser=<認証ユーザー>
プロキシの認証パスワードの設定コマンド
プロキシが認証を行っている場合、<認証パスワード>に値を設定し、以下のコマンドを実行します。
"%FSCSM_HOME%\SWCTMG\glassfish3\bin\asadmin" -p <管理用ポート番号> -u <管理者のユーザー名> create-jvm-options -Dhttps.proxyPassword=<認証パスワード>
上記のプロキシ設定を実施した場合、プロキシを経由しない通信のために、直接接続するホストを設定する必要があります。
以下は必ず設定してください。
localhost|127.0.0.1
プロキシを経由しないクラウドがあれば、必要に応じて設定してください。
<直接接続するホスト名またはIPアドレス>に値を設定し、以下のコマンドを実行します。直接接続するホスト名またはIPアドレスが複数の場合は、パイプ("|")で区切って指定してください。
"%FSCSM_HOME%\SWCTMG\glassfish3\bin\asadmin" -p <管理用ポート番号> -u <管理者のユーザー名> create-jvm-options -Dhttp.nonProxyHosts="<直接接続するホスト名またはIPアドレス>"
実行後、設定値を反映するために、APP用ドメインを再起動してください。Cloud Services Managementでは、連携アダプター基盤(APP)と管理サーバの起動/停止処理が連動しています。
参照
再起動の方法については"FUJITSU Software Cloud Services Management 運用ガイド"の"起動/停止"を参照してください。
設定の削除
設定を削除したい場合、以下を実施してください。
以下のコマンドを実行し、対象設定を削除します。
"%FSCSM_HOME%\SWCTMG\glassfish3\bin\asadmin" -p <管理用ポート番号> -u <管理者のユーザー名> delete-jvm-options <削除するjvm-optionsオペランド>
コマンド実行例:(プロキシホストの場合)
設定済の-Dhttps.proxyHost値を「-Dhttps.proxyHost=値」の形式で、<削除するjvm-optionsオペランド>に設定します。
"%FSCSM_HOME%\SWCTMG\glassfish3\bin\asadmin" -p 3948 -u Administrator delete-jvm-options -Dhttps.proxyHost=proxy.com ユーザー"Administrator"の管理パスワードを入力してください> 1オプションを削除しました コマンドdelete-jvm-optionsは正常に実行されました。
設定の変更
本手順はROR連携を行う場合に必要です。ROR連携を行わない場合は実施する必要はありません。
ROR連携アダプターがROR管理サーバと接続するための、ROR管理サーバの証明書をAPP用ドメインに登録します。
ROR管理サーバの証明書のエクスポート
ROR管理サーバの証明書をエクスポートして、ファイルに保存する方法を説明します。
ポイント
エクスポートした証明書ファイルは、ROR連携機能をセットアップするサーバにコピーして利用します。不要となった証明書ファイルは削除してください。
Webブラウザでのエクスポート
WebブラウザとしてInternet Explorerを使って証明書をエクスポートする方法について説明します。この手順を実施する場合は、管理者権限でInternet Explorerを起動してください。
ROR管理コンソール起動
WebブラウザでROR管理コンソールのログイン画面にアクセスします。Webブラウザで以下のURLにアクセスしてください。
https://<ROR管理サーバのFQDN>:<RORのL-Platform APIのポート番号>/cfmgapi/endpoint
RORのL-Platform APIのデフォルトのポート番号は8014です。
証明書表示
Webブラウザのセキュリティステータスバーで、[証明書のエラー]と表示されている箇所をクリックし、[証明書の表示]を選択すると、[証明書]画面が表示されます。
証明書のエクスポート
[証明書]画面で[詳細]タブをクリックし、[ファイルにコピー]ボタンをクリックします。
表示される画面に従って証明書をエクスポートします。
エクスポートファイルの形式は、デフォルトのDER encoded binary X.509のまま変更する必要はありません。
コマンドでのエクスポート
RORの機能である、cmmkpfxコマンドを利用して証明書をエクスポートします。
コマンドでエクスポートする場合は、ROR管理サーバに証明書を登録した際の、Interstage証明書環境のパスワードおよび証明書のニックネームが必要になります。
詳細については、"ServerView Resource Orchestrator Cloud Edition 導入ガイド"の"ServerViewSSO認証サーバへの証明書のインポート"を参照してください。
ROR管理サーバの証明書のインポート
エクスポートしたROR管理サーバの証明書をAPP用ドメインのトラストストアにインポートする方法について説明します。
以下の手順でインポートします。
APP用ドメインのトラストストアに証明書をインポート
以下のコマンドを実行します。"[ROR管理サーバの証明書ファイル]"には、エクスポートしたROR管理サーバの証明書ファイルを指定してください(実際は本コマンド内に改行は必要ありません。マニュアルからコピーする場合は、改行を取ってから使用してください)。
この証明書を信頼するかどうかの確認メッセージが表示されます。信頼する場合は[y]を指定し、エンターキーを押してください。
%FSCSM_HOME%\SWCTMG\jdk7\bin\keytool -import -file [ROR管理サーバの証明書ファイル] -trustcacerts -alias rorsv -keystore %FSCSM_HOME%\SWCTMG\glassfish3\glassfish\domains\app-domain\config\cacerts.jks -storepass changeit
APP用ドメインのトラストストアにROR管理サーバの証明書ファイルが登録されていることを確認
以下のコマンドを実行します。
%FSCSM_HOME%\SWCTMG\jdk7\bin\keytool -list -keystore %FSCSM_HOME%\SWCTMG\glassfish3\glassfish\domains\app-domain\config\cacerts.jks -storepass changeit
本手順はAWS連携を行う場合に必要です。AWS連携を行わない場合は実施する必要はありません。
以下の手順で、AWSのアクセスキーIDとシークレットアクセスキーをAWSサービスコントローラーに設定します。
管理サーバ用ドメイン(API用ドメインおよびGUI用ドメイン)へアクセスするための利用者キー(1000)とパスワード(BSS_USER_PWD)を確認します。
パスワード(BSS_USER_PWD)については、"表2.2 セットアップ時に自動設定されるパラメーター一覧"を参照してください。
[AWSコントローラー構成]画面を開くために、Webブラウザで以下のURLにアクセスします。
<server>にCloud Services Managementの管理サーバのホスト名またはIPアドレス、<port>にAPP用ドメインのHTTPリスナーポートを指定します。
http://<server>:<port>/oscm-app-aws/
APP用ドメインのHTTPリスナーポートのポート番号は、「AS_APP_BASE_PORT + 80/tcp」です。
[ログイン]画面で、手順1で確認した利用者キーとパスワードを指定しログインします。
ログイン後、[AWSコントローラー構成]画面が表示されます。
アクセスキーIDとシークレットアクセスキーを指定します。
設定を保存します。
注意
[AWSコントローラー構成]画面の[コントローラー全般設定]に表示される項目を変更したい場合は、本画面から変更せずに、設定変更コマンドで変更してください。設定変更コマンドについては、"C.4 連携アダプターの設定変更"を参照してください。
本手順はAzure連携を行う場合に必要です。Azure連携を行わない場合は実施する必要はありません。
Azureに接続するためのサブスクリプションファイルを登録します。
以下の手順で、Azure接続情報を設定します。
Azure CLIでAzure サービスプリンシパルを作成します。
az ad sp create-for-rbac --name <サービスプリンシパル名> --password <パスワード>
Azure CLIの詳細についてはAzureのマニュアルをご確認ください。
上記コマンドで出力される下記情報を控えてください。
appId
password
tenant
Azure サービスプリンシパルにはデフォルトでロール「Contributor」が割り当てられています。変更する場合は、下記アクションを含むロールを設定してください。
アクション | 説明 |
|---|---|
Microsoft.Compute/virtualMachines/* | 仮想マシンの作成と管理 |
Microsoft.Network/networkInterfaces/* | ネットワークインターフェイスの作成と管理 |
Microsoft.Compute/disks/* | ディスクの作成と管理 |
Microsoft.Network/virtualNetworks/subnets/join/action | サブネットへのネットワークインターフェイスの接続 |
Microsoft.Network/networkSecurityGroups/join/action | ネットワークセキュリティグループへのネットワークインターフェイスの接続 |
Microsoft.Compute/images/* | イメージの管理 |
接続情報ファイルを管理サーバに登録します。
以下のフォルダーに、フォルダー名"<サブスクリプションID>.properties"の一時ファイルを作成します。
%FSCSM_HOME%\conf\adapter\azure\certificate
作成した一時ファイルへ下記書式で接続情報を記載します。
# Azure connection info appId=<appId> password=<password> tenant=<tenant>
一時ファイルを下記コマンドで変換し、接続情報ファイルを作成します。
(一時ファイルと同じ場所に接続情報ファイル"<サブスクリプションID>.dat"が出力されます)
%FSCSM_HOME%\bin\fscsm_convert.bat %FSCSM_HOME%\conf\adapter\azure\certificate\<サブスクリプションID>.properties
一時ファイル"<サブスクリプションID>.properties"を削除します。
ポイント
Azure接続情報を変更したい場合は、<接続情報ファイル>を削除し、新しい接続情報ファイルを登録してください。また、使用したいサブスクリプションが複数ある場合には、それぞれの<接続情報ファイル>を作成し、接続情報ファイルを格納してください。
本手順はVMware連携を行う場合に必要です。VMware連携を行わない場合は実施する必要はありません。
VMware連携アダプターがVMwareと接続するための、VMwareの証明書をAPP用ドメインに登録します。
VMwareの証明書の取得方法については、以下を参照してください。(2018年11月時点)
VMware vSphere 6.0 ドキュメント センター
http://pubs.vmware.com/vsphere-6-0/index.jsp?topic=%2Fcom.vmware.wssdk.dsg.doc%2Fsdk_sg_server_certificate_Appendixes.6.1.html
以下のコマンドを実行し、APP用ドメインのトラストストアに証明書をインポートします。"[VMwareの証明書ファイル]"には、取得したVMwareの証明書ファイルを指定してください。
この証明書を信頼するかどうかの確認メッセージが表示されます。信頼する場合は[y]を指定し、エンターキーを押してください。
%FSCSM_HOME%\SWCTMG\jdk7\bin\keytool -import -file [VMwareの証明書ファイル] -trustcacerts -alias vmware -keystore %FSCSM_HOME%\SWCTMG\glassfish3\glassfish\domains\app-domain\config\cacerts.jks -storepass changeit
