By ribbon @
2025-04-04 23:04
openSUSE で動かないので、では、本家本元の Red Hat Enterprise Linux ではどうなのか、を調べてみました。RHEL では IPaddr2 からのメッセージは ocf_log という関数を使っているようで、add_interface() 関数内にある ocf_log に少し細工をして、実行コマンドと引数が表示されるようにしてみました。すると、
4月 04 21:38:17 rh9-a IPaddr2(ClusterIP)[467709]: INFO: Adding inet address 192.168.3.179/24 with broadcast address 192.168.3.255 to device ens18 ip -f inet addr add 192.168.3.179/24 brd 192.168.3.255 dev ens18
と表示されていたんですね。つまり、RHEL では ip コマンドを使って IP アドレスを設定していると。
2025/4/5 追記
Apr 05 20:59:41 clvm-a root[7827]: ip_served cur_nic=,IP_CIP=yes,OCF_RESKEY_ip=192.168.3.169
と言うトレース結果が。あれ、IP_CIP は IP アドレスじゃなくて yes が入っている! RHEL だとここには何も入らないか、IPアドレスのどちらか。なので、IP_CIP に yes が入ることがおかしい。でソースを読むと、IP_CIP が 空 じゃなくて、 ip_status が no だとすると、iptables を呼び出す模様。どうやら IP_CIP が yes なので誤動作した感じ。
By ribbon @
2025-03-23 13:13
openSUSE でSLES のマニュアルを見ながら、クラスタのテストをしています。clvm 環境ができたので、今度は仮想IP のテストをしようとしたらハマりました。
仮想IP の定義後、ノードを再起動すると、syslog に
Mar 23 12:28:31 clvm-a IPaddr2(vip)[3495]: ERROR: iptables failed-'\n\nTryiptables -h’ or ‘iptables –help’ for more information.\nocf-exit-reason:iptables failed\n ]
調べて見たところ、crm から呼び出している IPaddr2モジュールの中で、iptables を呼び出し、それがエラーを出していました。どうも、openSUSE 15.6 にインストールされている iptables バージョン1.8.7 ではクラスタ関係の機能が無いのですね。それで動作しなかったという次第。
さて、どう対処したものか。
By ftake @
2024-07-13 16:26
これまで自宅用の VPN はルーターの機能の L2TP/IPSec を使っていました。しかしながら、Android 12から L2TP/IPSec が使えなくなったり、もともと接続元のネットワーク環境次第で接続できないという制約もあり、VPN を WireGuard に乗り換えることにしました。
WireGuard は Linux カーネルに組み込まれている VPN プロトコルで、特にセキュリティとパフォーマンスを売りにしています。
構成はこんな感じです。VPN 接続用の IP アドレスは固定です。
自宅側
ルーター
ヤマハのダイナミックDNSサービスで IP アドレスを引ける
VPNサーバー(ファイルサーバー)
openSUSE Leap 15.5
LAN側アドレス (eth1): 192.168.10.2(インターネットには直接つながってない)
VPN側アドレス: 192.168.2.1
ポート: 51820
リモート側
Android 14 スマートフォン
Android 13 タブレット
openSUSE Leap 15.6 ノートPC
秘密鍵・公開鍵を作成する
VPN に参加するサーバーとクライアントそれぞれの秘密鍵・公開鍵を作ります。openSUSE が動いている PC で以下のコマンドでそれぞれ作成します。
wg genkey | tee privatekey | wg pubkey > pubkeyprivatekey と pubkey に秘密鍵と公開鍵それぞれが保存されます。合計3回実行することになります。
VPNサーバー側の設定
今回の説明の範囲外ですが、ルーターでポートフォワーディングの設定をしておきましょう。必要なポートはUDP 51820です。192.168.10.2 に転送するようにしておきます。
まずは VPN サーバー自体のネットワーク設定です。WireGuard そのものにはプロトコル上、サーバーとクライアントという関係はなく、どちらもサーバーでありクライアントなシンプルな構成です。後は WireGuard をどのような用途で使うかによって設定が変わってくるため、WireGuard の説明を見るときに、用途を意識してドキュメントを見ないと混乱するので注意が必要です。
今回は自宅で常時起動しているファイルサーバーを VPN サーバーの役割を持たせて、自宅のネットワークにつなぎたい端末からこのサーバーに繋いで使用することにします。ここからはいつもの Arch Wiki に感謝ですが、「特定のユースケース: VPN サーバー」 を見ることで、この用途の設定方法がわかります。
はじめに、転送とファイアウォールの設定です。YaST でやってしまいましょう。
YaST > 「ネットワーク設定」 > 「ルーティング」を開き、「IPv4 転送を有効にする」をON
YaST > 「ファイアウォール」 で使用しているゾーンで「ポート」 > 「UDP ポート」 に 51820 を追加
次に、WireGuard の設定をしていきます。wg コマンドで設定する方法もあるのですが、設定ファイルを直接作成するのが手っ取り早いです。
/etc/wireguard/wg0.conf
[Interface]
この設定から、VPN 用のインタフェース wg0 を作成します。Systemd を使用して、起動時に WireGuard インタフェースを立ち上げる便利スクリプトの wg-quick を使います。
systemctl enable --now wg-quick@wg0クライアントの設定―openSUSE Leap 15.6
NetworkManager の接続の追加に WireGuard があり、これで接続できます。入力する必要の値は
openSUSE Leap 15.6 ノートPC 用の秘密鍵
ピア(接続相手: つまり、この場合サーバー)の設定
VPNサーバーの公開鍵
Allowed IPs (VPN を通して通信するアドレスレンジ)
LANとVPNのアドレスレンジ: 192.168.10.0/24, 192.168.2.0/24
自宅LAN経由でインターネットに出たい場合は 0.0.0.0/0 を指定して、全部を VPN 経由にすることも可能
クライアントの設定―Android スマートフォン
Wireguard の接続アプリは Play Store から入手できます。NetworkManager と同様に手入力でもよいのですが、以下のようなファイルを PC 上で作成して QR コード化して送ることもできます。
[Interface]
Address = 192.168.2.3/24
PrivateKey = Android端末の秘密鍵
DNS = 192.168.10.1
MTU = 1420
[Peer]
PublicKey = VPNサーバーの公開鍵
AllowedIPs = 192.168.10.0/24, 192.168.2.0/24
Endpoint = 外からアクセスできるルーターのホスト名:51820ファイル名を android-phone.conf とすると、QR コードは次のようにして作成できます。
qrencode -t ansiutf8 < android-phone.conf
qr コマンドでも同じことができます。
By Syuta Hashimoto @
2023-12-21 08:00
さて、毎度ながらの説明ですが、ALP (Adaptive Linux Platform)は、SUSEとopenSUSEで開発している次世代OSのベースです。イミュータブルで軽量な仕様となっています。
この冬発売のGeeko MagazineにインストールとCockpitというブラウザから管理できるアプリの体験記を書いていますので、ぜひ皆さん試してみてください。
今日は19日の記事 の続きで、alpで動かしたgrafana workloadの制御コマンドを見てみたいと思います。
grafana-container-manage.sh create
grafanaコンテナを作成します。
grafana-container-manage.sh install
grafanaコンテナを動かすのに必要なファイル類をホストの/usr/local/binや/etcにインストールします。
スクリプト内の処理は、ホストのルートをマウントして、label-installというスクリプトを実行していました。
grafana-container-manage.sh start
grafanaコンテナをスタートします。
grafana-container-manage.sh uninstall
installコマンドでインストールしたファイル類などを削除します。こちらもスクリプト内の処理はホストのルートをマウントして、label-uninstallというスクリプトを実行していました。
grafana-container-manage.sh stop
grafanaコンテナをストップします。
grafana-container-manage.sh rm
grafanaコンテナを削除します。
grafana-container-manage.sh rmcache
garfanaイメージを削除します。内部で実行されるコマンドは、podman rmiです。
grafana-conatiner-manage.sh run
grafanaコンテナを実行します。
grafana-container-manage.sh bash
grafanaコンテナ内のbashを実行します。
grafana-container-manage.sh logs
grafanaコンテナのログを表示します。
コンテナのライフサイクルがわかっていれば、各コマンドの意味がわかるかと思います。
uninstallを実行すると、当然grafana-container-manage.shも削除されます。再び使うためには、19日の方法でイメージのinstallラベルを実行します。
# podman container runlabel install registry.opensuse.org/suse/alp/workloads/tumbleweed_containerfiles/suse/alp/workloads/grafana:latestまた、rmcacheでイメージを削除後、createをしようとするとイメージのpullが始まります。まぁ当然ですね。
実行時、runだとgrafanaのコンテナの中のシェルが動いたため、cerateからstartを実行する方法が安全そうでした。
基本的にはpodmanコマンドのラップですが、installなど一部処理を簡単に実行できるようになっているので、ぜひ試してみてください。
By Syuta Hashimoto @
2023-12-19 08:00
さて、毎度ながらの説明ですが、ALP (Adaptive Linux Platform)は、SUSEとopenSUSEで開発している次世代OSのベースです。イミュータブルで軽量な仕様となっています。
この冬発売のGeeko MagazineにインストールとCockpitというブラウザから管理できるアプリの体験記を書いていますので、ぜひ皆さん試してみてください。
ここ何回かalpについて記事を書いていて、やっとわかってきました。SUSE/openSUSEは、ホストとの連携が必要などの単に動かすだけでない処理が必要なアプリのインストールや準備処理を、コンテナに内包して、workloadとして動かす、という戦略をとってるものがります。その時に利用するのが、podmanのlabel付け(実行コマンドにlabelをつける)と、そのlabel名で呼び出すrunlabelオプションです。
今回はgrafanaをマニュアル に従って動かしてみます。
grafanaサーバーのセットアップ
まず、workload内包コンテナを探します。
# podman search grafanaあれ?一覧にworkloadのコンテナが出てきません。直接レジストリ名を指定してみます。
# podman search registry.opensuse.org/suse/alp/workloads/tumbleweed_containerfiles/suse/alp/workloads/grafana表示されました。
では、イメージをpullしてワークロードを実行します。
# podman container runlabel install
registry.opensuse.org/suse/alp/workloads/tumbleweed_containerfiles/suse/alp/workloads/grafana:latest容量があり1分ほど時間がかかりましたが、準備が完了しました。
grafanaのworkloadは、grafana-container-manage.shというスクリプトを用意してくれ、これを使ってコンテナの作成や実行などを行います。
まずは、コンテナを作成します。
# grafana-container-manage.sh createすぐにコンテナが作成されました。
では、コンテナをgrafanaのサーバーと共に実行します。
# grafana-container-manage.sh start今は指示通りコマンドを叩いてるだけですが、それぞれが何をしているかを見てみるのも楽しそうですね。
grafanaクライアントのセットアップ
今回はalpを動かしているホストをクライアントにしようと思います。
クライアントには、以下の2つのパッケージをインストールし、サービスを再起動します。
パッケージのインストール
golang-github-prometheus-node_exporter
golang-github-prometheus-prometheus
サービスの再起動
systemctl restart prometheus-node_exporter.service
systemctl restart prometheus
grafanaでの表示
では、grafanaを設定していきます。
ブラウザからgrafanaにアクセスします。
http://[ALP_HOST_IP]:3000
ログイン画面が表示されるので、ログインします。初期設定は両方ともadminとなっています。ログイン後、パスワード変更画面になりますので新しいパスワードを設定します。
ログイン後画面 ログインしたら、ホストのprometheusからデータを取得します。
上段の真ん中にある「DATA SOURCES」をクリックし、種類の一覧が表示されるので一番上の「Prometheus」を選択します。
Prometheus server URLに、Prometheusを動かしているマシンのurlを指定します。デフォルトでポートは9090です。僕の場合、alpを動かしているホストなのでhttp://192.168.122.1:9090となりました。
ホストのlibvirtのゾーンで9090を開放し、画面下部の「Save & test」ボタンをおすと、Successfullyと出てきました。
サンプルで用意されているDashboardsを読み込んでみます。マニュアルはバージョンが古いようで、僕が試した時は以下の手順になりました。
左上のハンバーガーメニューから、Dashboardsを選択する
右側にある「New」のボタンをクリックして出てくるドロップダウンから、Importを選択する
Import via grafana.comに、405と入力して「Load」をクリックする
prometheusをクリックして、データソースを選択する 手順通りだと一つのため、それを選択する
設定が読み込まれるので、下の「Import」をクリックする
無事、グラフが表示されました。
Grafanaダッシュボード grafanaを制御するスクリプトには他にもアンインストールやキャッシュ削除などのオプションがありますので、追って紹介しようと思います。
By Syuta Hashimoto @
2023-12-15 08:00
さて、毎度ながらの説明ですが、ALP (Adaptive Linux Platform)は、SUSEとopenSUSEで開発している次世代OSのベースです。イミュータブルで軽量な仕様となっています。
この冬発売のGeeko MagazineにインストールとCockpitというブラウザから管理できるアプリの体験記を書いていますので、ぜひ皆さん試してみてください。
今日はalpで動かしているCockpitから、podmanを制御してみたいと思います。
まず、左側に「Podmanコンテナー」というメニューがあるので、そこを選択します。
すると、画面にPodmanサービスを有効化というボタンが表示されるので、クリックして有効化します。(すみません、スクショを撮り損ねてしまいました)
すると、イメージやコンテナーなどを制御できる画面が表示されます。
Podmanコンテナーの画面 かなり直感的な操作ができそうです。
では、コンテナーを作成してみます。右下にある「コンテナーの作成」をクリックすると、コンテナー作成ダイアログが表示されます。
試しでnginxを作成してみます。
コンテナーの作成ダイアログ イメージの所にnginxと入れると、候補が表示されて、そこから選ぶことができました。
また、ポートマッピングもしておきます。「インテグレーション」タブで設定できました。
コンテナーのポートマッピング 左下の「作成して実行する」をクリックします。すると、イメージのダウンロードが始まりました。
イメージダウンロード中 少しすると、無事実行中になりました。
コンテナー実行中 ホストのブラウザからアクセスすると、nginxが起動していることが確認できました。
停止や削除などの操作も一通り画面から行えました。Podman、というかコンテナーの基礎知識は必要だなとは思いましたが、かなり直感的で使いやすかったです。
Category
Tips ,
サーバ |
受け付けていません
By Syuta Hashimoto @
2023-12-12 22:22
ALP (Adaptive Linux Platform)は、SUSEとopenSUSEで開発している次世代OSのベースです。イミュータブルで軽量な仕様となっています。
この冬発売のGeeko MagazineにインストールとCockpitというブラウザから管理できるアプリの体験記を書いていますので、ぜひ皆さん試してみてください。
さて、今日は公式ドキュメント にある、firewolldをpodmanで動かす手順をやってみようと思います。
まず、alpにログインし、alp用のfirewalldのコンテナを特定します。
# podman search firewalldそうすると、ドキュメントにも乗っているalp用ワークロードが搭載された registry.opensuse.org/suse/alp/workloads/tumbleweed_images/suse/alp/workloads/firewalld のイメージが見つかります。
次に、手順の通り、alpからパッケージとしてのfirewalldを削除します。alpはイミュータブルなため、通常のzypperコマンドではなく、専用のtransactional-updateコマンドで暫定的な削除を行い、リブートすることでそれがシステムに適用されます。
# transactional-update pkg remove firewalld
# rebootでは、イメージのワークロードを実行します。
# podman container runlabel install \
registry.opensuse.org/suse/alp/workloads/tumbleweed_images/suse/alp/workloads/firewalld他のイメージの実行時にも触れましたが、podmanは実行コマンドにラベルを貼ることができ、runlabel コマンドでそのラベルを指定して実行することができます。一連のalpワークロード用イメージは、installといったラベルにホストの設定などの処理を持たせています。
ドキュメントによると、firewalldはpolkitやsystemdなどの準備をしてくれているようです。
そう言えば、冒頭にdbusとpolkitの設定ファイルが必要、と書いてあったのですが、特に用意はせず、、、さて、どうなるでしょうか。
インストールが終わったので実行します。
# podman container runlabel run \
registry.opensuse.org/suse/alp/workloads/tumbleweed_images/suse/alp/workloads/firewalldコンテナが実行されました。ではコンテナ経由でfirewall-cmdを実行してみます。
# podman exec firewalld firewall-cmd --list-all-zonesすると、zoneが表示され、firewall-cmdが実行可能なことがわかりました。
なお、firewalldのコンテナはホストを制御する関係上、privilegedで動いています。また、podmanを使っている場合、systemdとも統合されていて、systemctlコマンドで制御することが可能です。例えば、コンテナの起動は以下のコマンドで代替できます。
# systemctl start firewalldなお、firewalldやfirewall-cmdのマニュアルをコンテナ経由で見る方法もドキュメントに書かれていました。
firewalldならば、
# podman run -i --rm \
registry.opensuse.org/suse/alp/workloads/tumbleweed_images/suse/alp/workloads/firewalld \
man firewalldfirewall-cmdならば、
# podman run -i --rm \
registry.opensuse.org/suse/alp/workloads/tumbleweed_images/suse/alp/workloads/firewalld \
man firewall-cmdで参照可能です。 manコマンドをコンテナの中で呼び出しているわけですね。
個人的に、firewalldをコンテナで実行する利点欠点が見えていない所があり、そのあたりも追って調査考察してみたいと思います。
Category
Tips ,
サーバ |
受け付けていません
