View a markdown version of this page

SELinux を無効にせずに RHEL を再起動した後、 AWS レプリケーションエージェントを自動的に再起動する - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SELinux を無効にせずに RHEL を再起動した後、 AWS レプリケーションエージェントを自動的に再起動する

Amazon Web Services、Anil Kunapareddy

概要

AWS Transform MGN は、Red Hat Enterprise Linux (RHEL) ワークロードの Amazon Web Services (AWS) クラウドへの移行を簡素化、迅速化、自動化するのに役立ちます。MGN にソースサーバーを追加するには、サーバーにAWS レプリケーションエージェントをインストールします。

MGN は、リアルタイムの非同期ブロックレベルのレプリケーションを提供します。つまり、レプリケーションプロセス全体を通して通常の IT 運用を継続できるということです。 これらの IT 運用では、移行中に RHEL ソースサーバーの再起動または再起動が必要になる場合があります。この場合、 AWS レプリケーションエージェントは自動的に再起動せず、データレプリケーションは停止します。通常、Security-Enhanced Linux (SELinux) を無効モードまたは許容モードに設定して AWS 、レプリケーションエージェントを自動的に再起動できます。ただし、組織のセキュリティポリシーで SELinux の無効化が禁止されている場合や、ファイルのラベルを変更 しなければならない場合もあります。

このパターンでは、移行中に RHEL ソースサーバーが再起動または再起動したときに、SELinux をオフにせずに AWS レプリケーションエージェントを自動的に再起動する方法について説明します。 

前提条件と制限事項

前提条件

  • アクティブ AWS アカウント。

  • に移行するオンプレミスの RHEL ワークロード AWS クラウド。 

  • MGN コンソールから初期化された MGN。初期化が必要なのは、このサービスを初めて使用するときだけです。手順については、MGN ドキュメントを参照してください。

  • MGN の既存の AWS Identity and Access Management (IAM) ポリシー。詳細については、MGN ドキュメントを参照してください。

バージョン

  • RHEL バージョン 7 以降

アーキテクチャ

次の図は、このアプローチのアーキテクチャを示しています。

RHEL の再起動後に AWS レプリケーションエージェントを自動的に再起動する

ツール

AWS のサービス

  • AWS Transform MGN は、アプリケーションの移行を簡素化、迅速化、削減する高度に自動化されたlift-and-shift (リホスト) ソリューションです AWS。

Linux コマンド

次の表に、RHEL ソースサーバーで実行する Linux コマンドのリストを示します。これらは、このパターンのエピックやストーリーにも記載されています。 

コマンド

説明

#systemctl –version

システムバージョンを識別します

#systemctl list-units --type=service

RHEL サーバーで利用可能なすべてのアクティブなサービスを一覧表示します。

#systemctl list-units --type=service | grep running

RHEL サーバーで現在実行されているすべてのサービスを一覧表示します

#systemctl list-units --type=service | grep failed

RHEL サーバーの再起動または再起動後にロードに失敗したすべてのサービスを一覧表示します。

#restorecon -Rv /etc/rc.d/init.d/aws-replication-service

コンテキストを に変更します。 aws-replication-service

#yum install policycoreutils*

SELinux システムのオペレーションに必要なポリシーコアユーティリティをインストールします

#ausearch -c "insmod" --raw | audit2allow -M my-modprobe

監査ログを検索し、ポリシーのモジュールを作成します

#semodule -i my-modprobe.pp

ポリシーをアクティブ化します

#cat my-modprobe.te

my-modprobe.te ファイルの内容を表示します。

#semodule -l | grep my-modprobe

ポリシーが SELinux モジュールにロードされているかどうかを確認します。

エピック

タスク説明必要なスキル

AWS 一時的な認証情報を生成します。

MGN によって提供される一時的な認証情報は、 で使用されるものと同様のメカニズムを使用しますAWS Identity and Access Management Roles Anywhere

一時的な認証情報を作成するには、以下を行う必要があります。

  1. AWSApplicationMigrationAgentInstallationPolicy ポリシーを使用して新しい IAM ロールを作成します

  2. AssumeRole API を使用して、 AWS Security Token Service (AWS STS) を通じて一時的なセキュリティ認証情報をリクエストします。 AssumeRole

    AWS Command Line Interface () を使用して一時的な認証情報を生成できますAWS CLI。例については、AWS CLI 「 コマンドリファレンス」を参照してください。

移行エンジニア

AWS レプリケーションエージェントをインストールします。

  1. にサインイン AWS マネジメントコンソール し、 AWS Transform MGN コンソールを開きます。

  2. MGN ドキュメントの手順に従ってレプリケーション設定を構成します。

  3. MGN ドキュメントの手順に従って、 AWS レプリケーションエージェントをインストールします。

  4. Source Servers ページで RHEL ソースサーバーを選択し、次に Replication を選択して初期レプリケーションを開始します。詳細については、MGN ドキュメントを参照してください。

移行エンジニア

データレプリケーションステータス

レプリケーションが完了するまで待ってから、移行ダッシュボードでデータレプリケーションのステータスを確認します。これは Healthy 状態になっているはずです。

移行エンジニア

RHEL ソースサーバーを再起動または再起動します。

RHEL ソースサーバーを再起動または再起動します。データレプリケーションのステータス移行ダッシュボード停止と表示されることに注意してください。

移行エンジニア
タスク説明必要なスキル

システムバージョンを識別します。

RHEL ソースサーバーのコマンドラインインターフェイスを開き、以下のコマンドを実行してシステムバージョンを確認します。

#systemctl –version

移行エンジニア

すべてのアクティブなサービスを一覧表示します。

RHEL サーバーで利用可能なすべてのアクティブなサービスを一覧表示するには、次のコマンドを実行します。

#systemctl list-units --type=service

移行エンジニア

実行中のすべてのサービスを一覧表示します。

RHEL サーバーで現在実行されているすべてのサービスを一覧表示するには、次のコマンドを使用します。

#systemctl list-units --type=service | grep running

移行エンジニア

ロードに失敗したサービスをすべて一覧表示します。

RHEL サーバーの再起動または再起動後にロードに失敗したすべてのサービスを一覧表示します。

#systemctl list-units --type=service | grep failed

移行エンジニア
タスク説明必要なスキル

セキュリティコンテキストを変更します。

RHEL ソースサーバーのコマンドラインインターフェイスで、次のコマンドを実行してセキュリティコンテキストを AWS レプリケーションサービスに変更します。

#restorecon -Rv /etc/rc.d/init.d/aws-replication-service

移行エンジニア

コアユーティリティをインストールします。

SELinux システムのオペレーションに必要なコアユーティリティとそのポリシーをインストールするには、次のコマンドを実行します。

#yum install policycoreutils*

移行エンジニア

監査ログを検索し、ポリシーのモジュールを作成します。

次のコマンドを実行します。

#ausearch -c "insmod" --raw | audit2allow -M my-modprobe

移行エンジニア

my-modprobe-te ファイルの内容を表示します。

この my-modprobe.te ファイルは audit2allow コマンドによって生成されます。これには、SELinux ドメイン、ポリシーソースディレクトリ、およびサブディレクトリが含まれ、ドメインに関連付けられたアクセスベクトルルールと移行を指定します。ファイルの内容を表示するには、次のコマンドを実行します。

#cat my modprobe.te

移行エンジニア

ポリシーを有効にします。

モジュールを挿入してポリシーパッケージをアクティブにするには、次のコマンドを実行します。

#semodule -i my-modprobe.pp

移行エンジニア

モジュールがロードされているか確認してください。

次のコマンドを実行します。

#semodule -l | grep my-modprobe

SELinux モジュールがロードされたら、移行中に SELinux を無効または許可モードに設定する必要はありません。

移行エンジニア

RHEL ソースサーバーを再起動または再起動し、データ複製のステータスを確認します。

AWS Transform MGN コンソールを開き、データレプリケーションの進行状況に移動し、RHEL ソースサーバーを再起動または再起動します。これで、RHEL ソースサーバーの再起動後にデータ複製が自動的に再開されるはずです。

移行エンジニア

関連リソース