アプライアンスを構成してソフトウェアをインストールする

このページでは、お客様のサイトで Google Distributed Cloud(GDC)エアギャップ アプライアンスを設定して構成する方法について説明します。

初回起動時に、ドライブは手動操作なしでロック解除されます。構成が完了するまでに 4 ~ 6 時間ほどかかります。

始める前に

  1. 入力構成ファイルを作成します
  2. 外部 NTP サーバーまたは HSM を使用する場合は、インストールを実行する前にアプライアンスをハードウェアに接続します。

アプライアンスを構成する

入力構成ファイルのすべてのフィールドが正確であることを確認します。次の手順でファイルをサーバーブレードにコピーすると、最終構成が自動的に開始され、簡単に停止することはできません。

  1. 入力構成ファイルを、198.18.0.6 IP アドレスが割り当てられたサーバーブレードのパス /var/lib/assets/ciq_configure_input.yaml に転送します。

    scp configuration-input.yaml applianceusr@198.18.0.6:/var/lib/assets/ciq_configure_input.yaml

  2. 構成が自動的に開始され、出力が /var/log/gdch-install.txt ファイルに保存されます。

  3. 次のいずれかを使用して進行状況をモニタリングします。

    • 次のコマンドを使用して /var/log/gdch-install.txt ファイルをモニタリングします。

      ssh applianceusr@198.18.0.6 'tail -f /var/log/gdch-install.txt'

      クリーンアップ フェーズが完了すると、インストールは完了します。ログには次のような行が表示されます。

      <<< Completed phase: cleanup

    • または、次のコマンドでインストール サービスのステータスを確認することもできます。

      ssh applianceusr@198.18.0.6 'systemctl status gdch-app-install'

      出力には、インストールのステータスが表示されます。特に、Active フィールドは、インストールが進行中、失敗、無効のいずれであるかを示します。行にインストール プロセスが非アクティブで、ステータスが 0/SUCCESS であることが示されている場合、インストールは完了しています。

認証情報をバックアップする

デバイスの緊急時用認証情報を取得して安全な場所に保存する

  1. 次のコマンドを実行してアクセス認証情報のバックアップ アーカイブを作成します。プロンプトが表示されたら、applianceusr パスワードを入力します。

    ssh applianceusr@198.18.0.6 'sudo -S /var/lib/release/gdcloud appliance install --phase=postinstall'

  2. 次のコマンドを実行して認証情報のバックアップをブートストラッパーにコピーし、プロンプトが表示されたら applianceusr パスワードを入力します。

    ssh applianceusr@198.18.0.6 'sudo -S setfacl -m u:applianceusr:rwx /var/lib/assets/credentials.tar.gz'
scp applianceusr@198.18.0.6:/var/lib/assets/credentials.tar.gz .

  3. このアーカイブの内容に、cellcfg バックアップ、ID プロバイダの認証情報、スイッチの認証情報、198.18.0.6 IP アドレスに割り当てられたサーバーブレードの SSH 認証鍵が含まれていることを確認します。

  4. 緊急アクセス用に、アーカイブを別の安全なメディア(USB ドライブなど)に保存します。

アプライアンス ユーザーを削除し、アプライアンスのインストール サービスを停止する

緊急時用認証情報のバックアップが完了したら、198.18.0.6 IP アドレスが割り当てられているサーバーブレードで次のコマンドを実行して、デフォルトのアプライアンス ユーザー アカウントを削除し、インストール サービスを停止します。将来的に 198.18.0.6 IP アドレスが割り当てられたサーバーブレードを使用するには、緊急用認証情報を使用します。

  1. 次のコマンドを実行して、デフォルトのユーザー アクセスを削除し、デバイスを保護します。

    ssh applianceusr@198.18.0.6 'sudo -S /usr/local/bin/cleanup_appliance_user.sh'

YubiKey を管理する

鍵を挿入すると、そのサーバーとペア設定され、別のサーバーに移動することはできません。これらのキーは同じ意味で使用できません。

YubiKey は起動プロセス中にのみ挿入する必要があります。起動プロセス後に YubiKey を取り外しても、アプライアンスの動作には影響しません。YubiKey を取り外した場合は、次の起動前に同じノードに再挿入する必要があります。

次のステップ