CentOS Stream 8¶
警告
このOSディスクイメージの提供を終了しました。
最初に¶
- このページは 「さくらの専用サーバ PHY」 の 「CentOS Stream 8」 の出荷時の基本情報や提供状態、知っておくと便利な情報をまとめたサーバー運用経験者向けの資料マニュアルです。
- このページを読む前に、必ず「 最初にお読みください 」をお読みください。
このページで表現している「出荷」とは、以下の状態を指します。
契約したサーバー(またはサービス)をユーザーの手にお届けしたときの状態・設定
OSまたは該当のアプリケーションをインストール(再インストールを含む)したときの状態・設定
- 提供するサーバーやOS、機材やオプションの「販売終了・提供終了」以降は、対象のマニュアルの改定・更新は停止します。更新が停止してから一定の期間経過した時点で、インターネットでの公開を終了します。 詳しくは マニュアルの情報凍結とライフサイクル をご覧ください。
- インターネットでの閲覧が終了したマニュアルが必要になったときは、カスタマーセンターへお問い合わせください。
- 弊社の都合により、予告なく閲覧の取り下げ、または公開を終了する場合があります。
- 一部のOS/ハードウェアの組み合わせにおいて、意図しない仮想ディスクにOSがインストールされる場合があります。複数の仮想ディスクを作ってOSをインストールする際はご注意ください。
ヒント
よくある質問と回答: OSが意図しない仮想ディスクにインストールされました
基本情報¶
パーティション¶
インストールのパーティション指定を「自動」に選択した場合は、以下の条件でパーティションを作成します。
マウント位置 |
容量 |
---|---|
/boot |
1024MB |
/boot/efi |
256MB |
swap |
(後述) |
/ |
残りすべて |
swap容量はOSインストール時に搭載されているメモリー容量に応じて2GB~32GBの間で割り当てられます。表「搭載メモリー容量とスワップ」をご覧ください。
搭載メモリー容量 |
スワップ容量 |
---|---|
8GBのRAM |
RAM 容量と同じ |
8GB~64GBのRAM |
RAM 容量の0.5倍 |
64GB以上のRAM |
4GB |
起動ターゲット(ランレベル)¶
起動ターゲットは「マルチユーザーターゲット(従来のランレベル3相当)」です。
リゾルバー¶
出荷時のサーバーの収容拠点に応じて、適切なネームサーバーを設定しています。
設定ファイル |
/etc/resolv.conf |
---|
石狩リージョン |
133.242.0.3
133.242.0.4
|
---|
重要
ファイアウォール¶
アプリケーション |
firewalld
(バックエンドで従来のiptablesを利用しています)
|
---|---|
インストール |
パッケージインストール |
稼働状態 |
停止 |
概要 |
サーバーのパケットフィルタリングを行います。出荷時は起動しておらず、フィルタ設定もありません |
重要
出荷時は、firewalldサービスは停止しており、接続制限も行なわれていません。 以下に示すコマンドで状態を確認し、接続制限を追加しセキュリティを向上させましょう。
システムの起動状態を確認する
# systemctl status firewalld
ファイアウォールの設定を確認する
# iptables -L
SSH(Secure shell)¶
インターネットを介してサーバーを遠隔管理するためにSSHが導入されています。
アプリケーション |
OpenSSH |
---|---|
インストール |
パッケージインストール |
稼働状態 |
稼働中 |
設定ファイル |
/etc/ssh/* |
特別に設定は行われていません。インストールした状態でお渡しします。
ネットワークとインターフェース¶
「さくらの専用サーバ PHY」 は、最適なネットワーク設定で出荷しています。構成変更やオプションサービスを導入するとき以外は、設定の変更は必要ありません。
警告
不適切な設定を行なうと「起動時にサーバーへ接続できない」「十分な回線速度が得られない」等の不具合が発生します。マニュアルでご案内している手順以外では、絶対に設定を変更しないようにしてください。
ネットワーク構成¶
出荷時のネットワーク構成は、以下の推奨構成で提供いたします。
共用グローバルネットワークにサーバーを接続しIPアドレスを1つ付与 *1
共用グローバルネットワークを冗長構成(ボンディング)で提供
推奨ネットワーク構成を独自構成に変更して運用するときは、コントロールパネルでインターフェースを変更・切り替えし、サーバーの設定を行いましょう。
Note
OSをインストールすると、共用グローバルネットワークに自動的に構成が切り替わり、グローバルIPアドレスを付与したサーバー設定状態で出荷されます。
デバイス名の固定¶
出荷時にデバイス名を固定し、最適な設定を行っています。
「/etc/udev/rules.d/99-net.rules」を用い、PCIIDにNICを紐付けしています。
また、「biosdevname」「net.ifnames」を無効化しています。
NICデバイス名¶
NICデバイス名は以下の通りとなります。
接続ネットワーク |
デバイス名 |
---|---|
1G NIC |
bond0(eno1, eno2) |
10G NIC *1 |
bond1(eno3, eno4) |
*1 一部の上位モデルのみ搭載
設定情報¶
サーバー全体のネットワーク設定(ゲートウェイ、IPv4・IPv6の有効化など)は以下ファイルで設定しております。
設定ファイル |
/etc/sysconfig/network-scripts/ifcfg-bond0 |
---|---|
設定内容 |
・冗長構成に関する設定
・IPv4 IPアドレスの設定
・デフォルトゲートウェイの設定
・サーバー起動時に自動起動 ON
|
設定ファイル |
/etc/sysconfig/network-scripts/ifcfg-bond1 *1 |
---|---|
設定内容 |
・ローカル接続を想定した設定ひな形
・オートネゴシエーション設定
・サーバー起動時に自動起動 OFF
|
*1 一部の10G NIC搭載モデルのみファイルが用意されています
出荷時のネットワーク設定を異なる状態に変更するときは、内容に応じて異なるデバイスファイルの作成や編集が必要です。
起動サービス¶
構成情報¶
systemdによって起動時に稼働するサービス一覧を紹介します。
この一覧はユニット単位で一覧しています。ロードされていないもの・無効(disable)になっているもの・一度だけ起動して終了するものは除外しています。 ほかのサービスから呼び出されて起動するものについても一覧に記載していません。
サービス名 |
機能説明 |
Port |
---|---|---|
chronyd.service |
時刻サーバーとの同期サービス |
323/udp |
crond.service |
定期的にスクリプトやジョブを実行するスケジュールサービス
|
-- |
dbus.service |
プロセス間通信に関するサービス |
-- |
getty@.service |
仮想コンソールサービス |
-- |
gssproxy.service |
GSS-API Proxy サービス |
-- |
irqbalance.service |
プロセッサーにハードウェア割り込みを配布してシステムパフォーマンスを向上させる
サービス
|
|
NetworkManager.service |
ネットワーク管理に関するサービス |
-- |
polkit.service |
システムの権限管理サービス |
-- |
rngd.service |
ハードウエア乱数生成サービス |
-- |
rsyslog.service |
ログを入出力するサービス |
-- |
sshd.service |
SSHサーバーサービス |
22/tcp |
sssd.service |
システムの認証に関するサービスのセットデーモン |
-- |
systemd-journald.service |
OSで標準的に提供されるログ管理サービス |
-- |
systemd-logind.service |
ユーザーのログインを管理するサービス |
-- |
systemd-udevd.service |
デバイスを動的に作成・削除するサービス |
-- |
tuned.service |
システムコンポーネント(CPU、ディスクなど)のパフォーマンスを動的に
改善するサービス
|
-- |
user@0.service |
UID 0(root)ユーザーマネージャー |
-- |
Note
アプリケーションが使用しているポートは以下のコマンドで確認できます。
netstat -pan -A inet,inet6
コマンドリファレンス¶
systemdを操作するコマンドの一例を紹介します。詳しい情報はヘルプ(--help)を参照してください。
種類 |
操作リファレンス |
---|---|
サービスの起動と停止 |
systemctl start [サービス名]
systemctl stop [サービス名]
systemctl restart [サービス名]
|
サービスの状態の表示 |
systemctl status [サービス名]
|
サービス起動の有効/無効化 |
systemctl enable [サービス名]
systemctl disable [サービス名]
|
サービスの一覧 |
systemctl list-unit --type=service
systemctl list-unit-files --type=service --state=enabled
|
パッケージ管理ツール¶
dnfとRPM(Red Hat Package Manager)¶
「CentOS Stream 8」 は、パッケージ管理コマンド「dnf」を使用することによって、RPMパッケージのインストール・アップデートを行なうことができます。
このOSにあらかじめインストールされているアプリケーションは、特に明記されていない限りパッケージでインストールされています。
Note
「yum」は「dnf」へのシンボリックリンクとなっています。
dnfのリポジトリー¶
リポジトリーファイル |
/etc/yum.repos.d/CentOS-*.repo |
---|---|
導入内容 |
・CentOS Stream の公式リポジトリー群 |
重要
- アップデート作業で不具合が発生した場合は、復旧に長時間の作業が必要になることがあります。可能であればバックアップを取り、更新内容を確認して、慎重に実行しましょう。
一部RAIDユーティリティーはリポジトリーに含まれていません。
コマンドリファレンス¶
パッケージを操作するコマンドでよく利用するものを紹介します。 具体的な利用方法はコマンドラインのヘルプを確認してください。
コマンド |
説明 |
---|---|
dnf upgrade |
インストール済みパッケージをすべて最新にアップグレード |
dnf info <パッケージ名> |
パッケージの説明を表示 |
dnf install <パッケージ名> |
パッケージのインストール |
dnf remove <パッケージ名> |
インストール済みパッケージのアンインストール |
dnf upgrade <パッケージ名> |
パッケージのアップグレード |
dnf check-update |
インストール済みパッケージの更新確認 |
dnf list --installed |
インストール済みパッケージを表示 |
dnf list <パッケージ名> |
インストール可能なバージョンを表示 |
dnf search <文字列> |
<文字列>の検索 |
dnf provides <ファイル名> |
ファイル名からパッケージの逆引き |
その他アプリケーション¶
出荷時は、サーバー管理で不可欠なアプリケーションしかインストールされていません。 利用用途に沿って、導入・設定してください。
サーバーを運用するにあたって…¶
サーバーの運用と管理¶
サーバーのログインと操作¶
「CentOS Stream 8」 の操作は、コントロールパネルのリモートコンソールか、遠隔操作(SSH)でサーバーに接続して行ないます。
SSHがサポートするプロトコルは「SSH2」のみです。
日本語環境を使う¶
出荷時は、サーバーのロケールが「英語環境(LANG="en_US.UTF-8")」となっています。 日本語環境に変更する場合は「update-locale」などを用い、使用する言語の設定を行なってください。
$ localectl
System Locale: LANG=en_US.UTF-8
VC Keymap: jp106
X11 Layout: jp
サーバーの不正アクセス対策¶
サーバーへの不正アクセスによる個人情報の漏えいやウェブサイトの改ざんは、コンテンツ事業者にとって大きな損害につながります。
以下の点に注意しサーバーを運用しましょう。
アップデート情報やセキュリティ情報を定期的に確認し、常にソフトウェアを最新の状態に保ちましょう。
- ユーザー認証は、できるだけ「公開鍵認証」を使いましょう。パスワードを用意する場合は、英大小数字記号を含めた複雑な文字種を使用し、辞書単語・推測できる文字列・極端に短いパスワードは避けましょう。
運用目的にあわせた「ユーザーとグループの権限設定」「アクセス制限」を行ないましょう。
OSに関する各種情報¶
運用に関する参考情報¶
サーバーの設定や運用、バージョンアップについては、The CentOS Project のドキュメンテーションサイトが参考になります。困ったことがあった時は、ぜひご覧ください。
警告
セキュリティアップデート情報¶
「CentOS Stream 8」 のセキュリティ情報は、提供ベンダーのセキュリティ情報をご覧いただき、対応してください。
また、コミュニティーで情報配信ツール(メーリングリストなど)を用意している場合もあります。 登録することで情報を受け取ることができます。