Red HatでOpenShiftのサポートをしているid:nekopです。RHEL 8がリリースされたので、いろいろな用途に使っている自分用のお仕事RHEL 7サーバVMをRHEL 8ベースへとお引っ越ししました。
まずはRHEL 8サーバVMを起動して、基本的なツール群をインストールします。VMのブートやsubscription-managerの手順は省きます。
yum install -y pcp-zeroconf pcp-system-tools sos sysstat podman skopeo buildah git lsof strace tcpdump bash-completion
Insightsを有効化しておきます。
yum install -y insights-client insights-client --register
このサーバで動作しているネットワークサービスはNFS (OpenShiftのNFS PVテスト用), Nexus (Javaアプリをビルドするときのjarファイルのローカルキャッシュ), Container Registry (OpenShiftの外部コンテナレジストリテスト用), ZNC (IRC bouncer), Squid (OpenShiftのプロキシ環境テスト用)です。OpenShiftのサポート業務でこれらが自分のコントロール下にあることで、生産性が大きく向上します。
まずNFSサーバですが、NFSサーバはカーネル空間で動作するため残念ながらコンテナ化できません。普通にセットアップします。
yum install -y nfs-utils mkdir -p /exports chown nobody.nobody /exports chmod 777 /exports cat <<EOF > /etc/exports /exports *(rw) EOF systemctl enable nfs-server --now firewall-cmd --add-service nfs firewall-cmd --runtime-to-permanent
NFSサーバが正しく動作していることを確認します。
mkdir -p /mnt/test mount $(hostname):/exports /mnt/test touch /mnt/test/testfile ls -l /exports rm /mnt/test/testfile umount /mnt/test
NFS以外はコンテナにしない理由がないので、基本的に全てコンテナにします。Nexus, Container Registry, ZNCはとりあえずオフィシャルイメージを使います。セキュリティ要件によってはイメージのリビルドを行ったほうが良いでしょう。
以下のような感じでsystemdのunitファイルを記述します。動作ユーザは全て自分のユーザnekop(uid 1000)にしておきます。同様にdocker.io/library/znc, docker.io/library/registry:2も動作させます。
sudo -u nekop mkdir -p /home/nekop/nexus-data cat <<EOF > /etc/systemd/system/nexus.service [Unit] Description=Nexus After=network-online.target Wants=network-online.target [Service] Type=simple ExecStartPre=-/usr/bin/podman stop nexus ExecStartPre=-/usr/bin/podman rm nexus ExecStartPre=/usr/bin/podman pull docker.io/sonatype/nexus ExecStart=/usr/bin/podman run --name nexus --user 1000:1000 -p 8081:8081 -v /home/nekop/nexus-data:/sonatype-work:Z docker.io/sonatype/nexus ExecStop=/usr/bin/podman stop nexus [Install] WantedBy=multi-user.target EOF
Squidについてはそのまま使えそうなコンテナが見当たらなかったので、コンテナイメージを作ります。Squidをフォアグラウンドで普通に起動させても良いのですが、今回はお手軽にubi8-initコンテナでコンテナ内systemdで起動する、という方法を採用します。
以下コンテナビルドはRHEL 8上でroot権限での操作です。squidパッケージはRHELのrpmチャネルにあってubiチャネルにはありません。RHELのrpmチャネルにアクセスするためには、RHELホスト上rootでのコンテナビルドが必要です。
podman loginに利用するサービスアカウントのユーザ名とパスワードはRegistry Service Accountsから取得してください。
コンテナ内systemdを利用するためにはsetsebool container_manage_cgroup=on設定が必要です。この設定をしておかないと、コンテナで/sbin/initが起動するけどsystemdが動作せず何も起きない、という結果になります。
podman login registry.redhat.io podman pull registry.redhat.io/ubi8-init buildah from --name squid-work registry.redhat.io/ubi8-init buildah run squid-work dnf install -y squid buildah run squid-work systemctl enable squid buildah commit squid-work squid setsebool container_manage_cgroup=on
他にもubi8-minimalやubi8コンテナベースにしてビルドもしてみたのですが、イメージによっては起動確認しようと思ってexecしてコンテナ内からpsコマンドを実行したらpsコマンドが無かったりして少し戸惑いました。podman top squidなどとするとプロセス一覧が取得できるのでそちらで代用できます。
Squidのsystemd unitファイルを作成します。コンテナ内systemdを利用するには--stop-signal SIGRTMIN+3指定が必要なのと、uid指定は削除してデフォルト設定にする必要があります。systemdにはコンテナ内のroot権限が必要となり、uid指定でノーマルユーザを指定するとsystemdが起動しません。
cat <<EOF > /etc/systemd/system/squid.service [Unit] Description=Squid After=network-online.target Wants=network-online.target [Service] Type=simple ExecStartPre=-/usr/bin/podman stop squid ExecStartPre=-/usr/bin/podman rm squid ExecStart=/usr/bin/podman run --name squid -p 3128:3128 --stop-signal SIGRTMIN+3 localhost/squid ExecStop=/usr/bin/podman stop squid [Install] WantedBy=multi-user.target EOF
最後にまとめて起動して、外部接続の許可を行っておしまいです。
systemctl daemon-reload systemctl enable nexus znc registry squid --now firewall-cmd --add-service irc firewall-cmd --add-service squid firewall-cmd --add-port 5000/tcp firewall-cmd --add-port 8081/tcp firewall-cmd --runtime-to-permanent
実際にはマイグレーションにあたってznc.confの設定の見直しをしていたり、既存のデータをrsyncする、DNSのレコードの切り替え、といった雑多な作業が他にも発生していますが、4時間程度で既存のRHEL 7サーバをRHEL 8に移行することができました。
