セキュリティリスクを軽減するために、ContainerOS は追跡できない操作のための直接システムログインを制限します。トラブルシューティングやパッケージのインストールなどの管理タスクのために、管理コンテナを提供しています。このトピックでは、ログイン、起動、シャットダウン、再起動、ステータス照会など、ContainerOS での一般的な管理操作の実行方法について説明します。
ContainerOS O&M メソッド
ホストと比較して、管理コンテナには追加のソフトウェアパッケージがプリインストールされており、ソフトウェアパッケージマネージャー YUM を使用してパッケージをインストールできます。 管理コンテナには、システムプロセス、ネットワーク、システム構成に関する情報が表示されます。 さらに、コンテナからホストにログインするためのコマンドも提供されています。 このログイン方法は、Workbench、SSH、または VNC を使用してインスタンスにログインする方法に似ています。
ContainerOS 3.5 以降、シェルはホスト環境から削除されました。 ContainerOS ノードをメンテナンスする方法を選択するには、次の表を参照してください。
方法 | ContainerOS 3.5 以降 | ContainerOS 3.5 より前 |
管理コンテナへのログイン |
| 事前に SSH キーペアをバインドし、 ホストはデフォルトでは SSH を有効にしていません。 |
ホストへのログイン | 管理コンテナにログインした後、 |
|
kubectl debug コマンドを使用して ContainerOS をメンテナンスすることもできます。
ContainerOS 3.5 以降の管理コンテナのログイン方法
カテゴリ | Workbench (パスワードなしのみ) ログイン | VNC ログイン |
前提条件 | なし。 Cloud Assistant は管理コンテナにプリインストールされています。 | VNC ログインにはパスワード認証が必要です。最初に、Workbench (パスワードなしのみ) ログイン方法で管理コンテナのログインパスワードを設定する必要があります。 |
手順 |
|
|
ContainerOS 3.5 より前のホストログイン方法
カテゴリ | Workbench (パスワードなしのみ) ログイン | VNC ログイン |
前提条件 | ノードが Cloud Assistant サービスにアクセスできることを確認します。 | VNC ログインにはパスワード認証が必要です。最初に、Workbench (パスワードなしのみ) ログイン方法で管理コンテナのログインパスワードを設定する必要があります。 |
手順 |
|
|
ContainerOS 3.5 より前の管理コンテナの起動方法
準備
管理コンテナはキーペアログインのみをサポートしています。ノードプールを作成した後、ログインモードを [キーペア] として構成する必要があります。詳細については、「ノードプールの作成と管理」をご参照ください。
既存のノードプールは、SSH キーペアにバインドできます。
ECS Cloud Assistant がインストールされています。詳細については、「Cloud Assistant エージェントのインストール」をご参照ください。
ポート 22 はセキュリティグループによって許可されています。詳細については、「セキュリティグルーフルールの管理」をご参照ください。
[パスワードなしログイン] を使用して ECS インスタンスにログインします。
ホスト環境に入る
ECS コンソール - ECS Cloud Assistant にログインし、[ECS Cloud Assistant] ページの右上隅にある [コマンドの作成/実行] をクリックします。詳細については、「コマンドの作成と実行」をご参照ください。
[コマンドの作成] パネルで、次のコマンドを実行して管理コンテナを起動します。
sudo lifseacli container start期待される出力:
出力は、Cloud Assistant が管理コンテナを正常に起動したことを示しています。
SSH コマンドをサポートする端末から、指定された秘密鍵を使用して管理コンテナにログインするには、次のコマンドを実行します。
説明<ssh-private-key.pem>をインスタンスにバインドされているキーペアの秘密鍵に置き換え、<instance-ip>をインスタンスの IP アドレスに置き換えます。または、Workbench を使用して admin として直接ログインすることもできます。秘密鍵は、インスタンスにバインドされているキーペアのものです。インスタンスのポート 22 が開いていることを確認してください。
ssh -i <ssh-private-key.pem> admin@<instance-ip>ログイン成功後の管理コンテナ インターフェイスを以下に示します。ホストのルート ファイルシステムは、管理コンテナの
/.lifsea/rootfsディレクトリに読み取り専用モードでマウントされます。このディレクトリからシステム情報と構成を直接取得できます。
管理コンテナからホストにログインするには、次のコマンドを実行します。
sudo supermanlsコマンドを実行して、使用可能なシステムコマンドを一覧表示します。期待される出力:
出力は、ホストが限られたセットのシステムコマンドを提供していることを示しています。
管理コンテナの操作
ホスト環境にログインした後、exit コマンドを使用してホスト環境を終了します。exit コマンドをもう一度実行して、管理コンテナを終了します。 管理コンテナはまだ実行中で、SSH を使用して再接続できます。 さらに、コマンドを実行して、管理コンテナを停止、再起動、および削除できます。
操作 | 説明 |
停止 | |
再起動 | 管理コンテナを起動した後に、新しいキーペアをインスタンスにバインドするか、インスタンスからキーペアをバインド解除する場合は、変更を有効にするためにコンテナを再起動する必要があります。 |
削除 | 重要 管理コンテナを削除すると、インストールされているソフトウェアと保存されているファイルも削除されます。コンテナを再起動すると、新しい環境が初期化されます。重要なデータを管理コンテナに保存しないでください。 |
ステータスの照会 | |
FAQ
管理コンテナに接続するときにエラー 保護されていない秘密鍵ファイル! が発生した場合はどうすればよいですか?
説明
次の図のようなエラーメッセージが表示されます。
原因
秘密鍵ファイルに他のユーザーがアクセスできます。
解決策
chmod 400 <ssh-private-key.pem> コマンドを実行して、秘密鍵ファイルの権限を 400 に調整します。<ssh-private-key.pem> は、秘密鍵ファイルの名前に置き換えてください。