https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/index.html Recent content in 2. 導入・設定 on JP1 Cloud Service 運用統合 利用ガイド Hugo -- gohugo.io ja https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/setting_pre/index.html Mon, 01 Jan 0001 00:00:00 +0000 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/setting_pre/index.html 前提知識について説明します。 節構成 2.1.1 導入・設定を実施するユーザー 2.1.2 ユーザーと各機能の関連 2.1.3 ユーザー管理機能 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/advance/index.html Mon, 01 Jan 0001 00:00:00 +0000 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/advance/index.html 事前準備について説明します。 節構成 2.2.1 Ops Iへの接続およびログイン 2.2.2 ワンタイムコード設定 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/user/index.html Mon, 01 Jan 0001 00:00:00 +0000 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/user/index.html ユーザー作成について説明します。 節構成 2.3.1 Ops Iを利用するユーザーの作成 2.3.2 作成したユーザーに対するロールの設定 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/organization/index.html Mon, 01 Jan 0001 00:00:00 +0000 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/organization/index.html 自動化ではOSSであるAWXを利用しています。 システム管理者は、AWXを使用するために事前に組織を作成し、組織にOps Iのユーザーを割り当てる必要があります。また、そのユーザーはAWXにアクセスするためのOps Iのロールが割り当てられている必要があります。Ops Iのロールについては「Ops I上のロールとサポート機能の対応関係」を参照してください。 組織は、Ops Iの顧客やユーザーグループと連動するものではなく、AWXのジョブテンプレート、プロジェクトおよびインベントリーなどのすべてのリソースをまとめて管理するための単位です。 組織の管理者は組織に所属するユーザーに対し、ユーザーの業務にあわせて組織内のリソースに対するロールを割り当てます。このロールはOps Iのロールとは異なります。例えば、ジョブテンプレートの場合、ジョブテンプレートにひもづけられた組織に所属するユーザーのみがそのジョブテンプレートにアクセスすることができ、さらに、ジョブテンプレートの起動が可能なロールをもつユーザーのみがジョブテンプレートを起動することができます。このように、組織は拠点、システムまたは業務単位で作成し、各ユーザーに対してAWXのリソースへのアクセスを制御します。 AWXの組織内ロールの詳細については、AWXのマニュアルを参照してください。AWXのマニュアルおよびバージョン、エディションについては付録 「OSSのバージョンおよびエディション、参照先のマニュアル」を参照してください。また、組織の作成や各ロールの割り当て方法については「組織管理」を参照してください。 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/outpost/index.html Mon, 01 Jan 0001 00:00:00 +0000 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/outpost/index.html 中継サーバーを用いることにより、クラウドとオンプレミスの利点を活かしたハイブリッドクラウドでのOps I運用が可能になります。本章では中継サーバーの設定手順について説明します。 中継サーバー機能「アウトポスト」の設定をすることにより、自動化アプリケーション（AWX）のジョブをオンプレミス環境から実行できます。 Ops Iと中継サーバー間の通信は、TLSおよびSSHで暗号化されます。また、中継サーバーと管理対象サーバー間の通信は、TLSまたはSSHで暗号化されます。 （図）中継サーバーのシステム構成 （1）中継サーバー機能「アウトポスト」の構成 アウトポストは以下の構成からなります。 （表）アウトポストの構成 構成 概要 コントロールプレーン Ops I（クラウド）で動くアウトポストのコンポーネントk3s※1とchisel※2のサーバーコンポーネント エージェント 中継サーバー（オンプレミス）で動くアウトポストのコンポーネントk3s※1とchisel※2のクライアントコンポーネント ノード エージェントが動くLinuxサーバー ノードグループ ノードのグループノードグループを作成することで、自動的に対応するAWXのインスタンスグループが作成される。ノードグループに対しジョブを実行すると、ノードグループに属すいずれかのノードでジョブが実行される。 IPブロック ジョブがアクセスできるIPアドレスの範囲。（CIDR形式で指定。）ノードグループにひもづけられ、AWXのジョブがアクセスできるIPアドレスの範囲を設定する。IPブロックが1つもひもづいていないノードグループで実行されたジョブは、すべてのIPアドレスにアクセスできる。 Ops I（クラウド）と中継サーバー（オンプレミス）をつなげるために以下の機能を使用しています。 ※1：k3s：コンテナ仮想化ツールの運用管理・自動化を行うOSS。Ops I（クラウド）と中継サーバー（オンプレミス）の間にクラスタを構築する。 ※2：chisel：Webソケットを使用したTCPトンネル。クラウド側とオンプレミス側のk3sを接続する。 （図）アウトポストの構成 （2）アウトポスト設定の流れ 以下の手順①～⑦で設定をします。 ①～④はOps I、⑤～⑦は中継サーバーで設定を行います。 【Ops Iでの設定】 ①ユーザーの設定とロールの付与 アウトポスト設定用のOps Iユーザーを作成し、Pre-Installedロール「Outpost」を付与します。Pre-Installedロール「Outpost」はPrimitiveロール「outpost」が割り当てられています。非課金ユーザーとする場合は、Primitiveロール「free_user」も付与する必要があります。 アウトポスト設定はアウトポスト設定専用のユーザー（推奨）、またはPre-Installedロール「Outpost」を付与した既存ユーザーで行います。 また、Ops Iのアウトポスト管理の参照およびRPMパッケージのダウンロードを行うにはPrimitiveロール「automation_manager」または「automation_auditor」の付与が必要です。 ユーザー作成については「ユーザー」を、ロールの付与については「ロール」を参照してください。 ②Ops Iトークンの取得 ①で作成したユーザーのOps Iトークンを取得します。Ops Iトークンは、ユーザー詳細画面の[トークン発行]ボタンをクリックすると、発行されたOps Iトークンがダイアログに表示されます。 発行したOps Iトークンは別の画面に遷移すると確認することができなくなります。Ops Iトークンをメモなどで保存してください。 詳細については「JP1 Cloud Service 運用統合 APIリファレンス」の「APIリファレンス概要＞前提知識＞Ops Iトークンの取得」を参照してください。 ③コントロールプレーン情報の確認 コントロールプレーン画面でコントロールプレーン情報（フィンガープリント、エージェントのトークン）のコピーボタンをクリックし、コントロールプレーン情報を取得します。コントロールプレーン情報の詳細は「コントロールプレーン管理」を参照してください。 ④RPMパッケージのダウンロード コントロールプレーン画面のエージェントのダウンロードからRPMパッケージ「Linux x86_64 RPM」をダウンロードします。 RPMパッケージを検証するための「Linux x86_64 RPM Signature」も同様にダウンロードすることができます。RPMパッケージのSignatureファイルの詳細は「RPMパッケージのSignatureファイル」を参照してください。 （図）コントロールプレーン画面 コントロールプレーン画面については「コントロールプレーン管理」を参照してください。 【中継サーバーでの設定】 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/repository/index.html Mon, 01 Jan 0001 00:00:00 +0000 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/repository/index.html Ops Iではサービスカタログから申請を行う際に添付する申請書や、運用担当者がサービスの実行結果をまとめた報告書など、ワークフローの各ステップ作業でファイルを添付することができます。 ワークフロー上でファイルを添付する運用を行う場合、Ops Iであらかじめ登録している「global」リポジトリの設定変更を実施する必要があります。ドキュメント機能の詳細やリポジトリ設定変更手順は「ドキュメント」を参照してください。 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/external_idp/index.html Mon, 01 Jan 0001 00:00:00 +0000 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/external_idp/index.html IdP（Identity Provider）連携によるシングルサインオンの概要とその設定について説明します。 Ops IとIdP間の認証に使用するプロトコルは以下をサポートします。 OIDC（OpenID Connect） SAML（Security Assertion Markup Language） IdP連携によるシングルサインオンにより、外部のアプリケーションのユーザーでOps Iにログインして操作することが可能になり、外部のアプリケーションとOps Iのシームレスな連携を実現します。 IdP連携においてOps I側の設定はOps Iセキュリティ管理者、IdP側の設定はIdP管理者が実施します。Ops Iセキュリティ管理者はPre-Installedロール「System Security Administrator」またはPrimitiveロール「user_admin」が割り当てられたユーザーです。 （1）IdP連携の構成 IdP連携の構成を以下に示します。 【OIDCの場合の構成】 OIDCの場合、VPN構成かVPN構成でないかの2つの構成があります。 OIDCの設定については「OIDCの接続設定手順」を参照してください。OIDCの接続設定時には、IdPのユーザー情報とOps Iユーザーの属性情報、グループ、またはロールのマッピングが必要です。マッピングの詳細については「属性/グループ/ロールのマッピング」を参照してください。 VPN構成にしない場合 連携できるIdPはインターネット上に公開されている必要があります。 また、Ops IとのIdPとの通信ができるようにアウトバウンド通信の許可が必要です。 VPN構成にする場合 VPNを通して通信可能な範囲にIdPが存在している必要があります。 【SAMLの場合の構成】 Ops IのSAML認証ではSP initialized SSOをサポートします。 ブラウザーがIdPと通信可能である必要があります。SAMLの場合、ブラウザーとOps I、ブラウザーとIdPというように、Ops IとIdPが直接通信することはないので、アウトバウンド通信の許可は不要です。 SAMLの設定については「SAMLの接続設定手順」を参照してください。SAMLの接続設定時には、IdPのユーザー情報とOps Iユーザーの属性情報、グループ、またはロールのマッピングが必要です。マッピングの詳細については「属性/グループ/ロールのマッピング」を参照してください。 （2）ログイン/ログアウト IdP連携を使用してログインする場合、IdPとOps Iどちらからログインするか、ユーザーがIdPと連携済みか否かなどの条件によって、ログインの操作が異なります。 ログイン/ログアウトの詳細については「ログイン/ログアウト」を参照してください。 IdP連携によるシングルサインアウトには対応していません。 （3）Ops IユーザーとIdPユーザーの関連 IdP連携では、複数の種類のIdPを作成して使用することができます。 Ops Iのユーザーは、IdPごとに1つのユーザーと関連づけることが可能です。Ops Iの1つのユーザーを、同一のIdP内に存在する複数のユーザーに関連づけることはできません。 （図）Ops IユーザーとIdPユーザーの関連 （4）IdPと連携済みユーザーの削除 IdPでユーザーを削除した場合、そのユーザーと連携しているOps IのユーザーはOps Iから削除されません。連携しているOps IのユーザーをOps Iから削除する場合は、Ops Iセキュリティ管理者が手動でOps Iから削除してください。Ops Iユーザーの削除については「ユーザーの削除」を参照してください。 （5）IdPと連携済みユーザーのOps Iパスワードの変更/削除/再設定 IdPと連携済みユーザーのOps Iパスワードの削除と再設定について説明します。 【IdPと連携済みユーザーのOps Iパスワードの変更】 IdPでログインしているユーザーは、Ops Iパスワードの変更は行えません。そのため、IdPでOps Iにログインした場合は、[アカウント管理]メニューが表示されません。 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/internal_comm/index.html Mon, 01 Jan 0001 00:00:00 +0000 https://itpfdoc.hitachi.co.jp/manuals/JCS/JCSM71029001/setting/internal_comm/index.html Ops Iとオンプレミス環境を、プライベートネットワークで接続する方法について説明します。 （1）概要 AWS（Amazon Web Services）のTransit Gatewayを使用して、Ops IとユーザーのAWSアカウントを接続します。 また、ユーザーのAWSアカウントとオンプレミス環境を、AWSのDirect Connect、またはサイト間VPNを使用して接続します。 その結果、オンプレミス環境とOps Iを、プライベートネットワークで接続することができます。 プライベートネットワーク接続で環境を構築した場合は、インターネットからOps Iにアクセスすることはできませんが、Ops Iからインターネットへアクセスすることは可能です。 ユーザーのAWSアカウントとオンプレミス環境を接続する方法として、Ops Iでは以下の方法をサポートします。これ以外の方法で接続している場合はサポート対象外となります。 AWS Direct Connect AWS サイト間VPN （図）プライベートネットワーク接続構成の利用イメージ （2）前提条件 以下について、ユーザーが事前に準備する必要があります。 （表）事前に準備が必要なもの 項目 必須 説明 AWSアカウント Yes Ops Iと接続するためのユーザーのAWSアカウント Transit Gateway Yes Ops Iが接続するTransit Gateway Transit GatewayはAWSの東京リージョンに準備してください。 Ops I用のCIDR Yes Ops Iが使用するクラスAのプライベートアドレス （CIDRブロックサイズ：21） 接続先のオンプレミス環境と重複しないCIDRを準備してください。Ops Iで使用可能なプライベートネットワークについては、ヒアリングシートを確認してください。 DNSサーバー （内部用） Yes オンプレミス環境からOps Iにアクセスする際に使用するDNSサーバー オンプレミス環境の機器がホスト名の名前解決を行うために必要です。 DNSサーバー （Ops I共有用） No Ops Iからオンプレミス環境のサーバーにアクセスする際に使用するDNSサーバー Ops Iからオンプレミス環境のサーバーを管理する際にホスト名の名前解決を行う場合に必要です。また、DNSサーバー（Ops I共有用）の以下の情報も必要になります。IPアドレスポート番号ドメイン名 管理対象サーバーの情報 No Ops I（ワークフローなど）から管理や操作を行うオンプレミス環境の管理対象サーバーに関する、以下の情報ホスト名IPアドレスアクセス方法（プロトコル）ポート番号 （3）接続の流れ 接続は以下の流れで行います。