このページの目次

制御ホストの準備
クラスタノードの準備
仮想 IP アドレスに関する考慮事項
DNS サーバーを構成する (オプション)

Red Hat Enterprise Linux でのインストールの前提条件

Paragon Automationクラスタを正常にインストールして展開するには、複数のクラスタノードに配布ソフトウェアをインストールする制御ホストが必要です。コントロール・ホストに配布ソフトウェアをダウンロードしてから、コントロール・ホストからインストールを実行するインストール・ファイルを作成および構成できます。コントロール・ホスト上のパッケージをダウンロードするには、 インターネット・アクセス が必要です。また、Docker や OS パッチなどの追加のソフトウェアをダウンロードするには、クラスターノードでインターネットにアクセスできる必要があります。または、クラスターノードがインターネットにアクセスできない場合は、エアギャップのインストール方法を使用できます。

インストール作業の順序を図 1 に大まかに示しています。

図1: Paragon Automation High-Level Process Flow for Installing Paragon Automation

をインストールするための高レベルのプロセスフロー

配布ソフトウェアをダウンロードしてインストールする前に、このトピックの説明に従って、制御ホストとクラスタノードを設定する必要があります。

制御ホストの準備

制御ホストは、Paragon Automationクラスタのインストールとアップグレードをオーケストレーションする専用マシンです。これは、ソフトウェア・インストーラーを実行し、ホスト機能の制御に示されているようにクラスター・ノードにソフトウェアをインストールする Ansible 操作を実行します。

インストーラーパッケージを Ansible コントロールホストにダウンロードする必要があります。Paragon Automationのインストールプロセスの一環として、制御ホストはクラスタノードに必要な追加パッケージをインストールします。パッケージには、オプションの OS パッケージ、Docker、および Elasticsearch が含まれます。サードパーティのマイクロサービスを含むすべてのマイクロサービスが、クラスターノードにダウンロードされます。マイクロサービスは、インストール中にパブリックレジストリにアクセスしません。

制御ホストは、クラスタノードとは異なるブロードキャストドメインにあってもかまいませんが、制御ホストが SSH を使用してすべてのノードに接続できることを確認する必要があります。

図2: ホスト機能の制御 Control Host Functions

インストールが完了すると、制御ホストはクラスタの機能に何の役割も果たしません。ただし、ソフトウェアまたはコンポーネントを更新したり、クラスターに変更を加えたり、ノードに障害が発生した場合にクラスターを再インストールしたりするには、制御ホストが必要です。また、制御ホストを使用して、設定ファイルをアーカイブすることもできます。インストール後は、コントロールホストを使用可能な状態に保ち、他の用途には使用しないことをお勧めします。

以下の手順で、インストール・プロセス用にコントロール・ホストを準備します。

ベースOSのインストール:Red Hat Enterprise Linux(RHEL)をインストールします。Paragon Automationは、RHEL 8.4およびRHEL 8.10で動作する資格を持っています。Paragon Automationは、RHEL 8.8で実験的なサポートを提供しています。
手記：
RHEL バージョン 8.10 を使用している場合は、次の RPM バンドルを削除する必要があります。
Docker のインストール - コントロールホストに Docker をインストールして構成し、Linux コンテナー環境を実装します。Paragon Automationは、Docker CEとDocker EEをサポートしています。コントロールホストにインストールする Docker のバージョンは、クラスターノードで使用する予定の Docker のバージョンとは無関係です。
Docker EE をインストールする場合は、インストールする前に試用版またはサブスクリプションがあることを確認してください。Docker EE、サポートされるシステム、およびインストール手順について詳しくは、 https://www.docker.com/blog/docker-enterprise-edition/ を参照してください。
Docker CEをダウンロードしてインストールするには、次の手順を実行します。
Docker がインストールされ、実行されていることを確認するには、 # docker run hello-world コマンドを使用します。
インストールされている Docker のバージョンを確認するには、 # docker --version コマンドを使用します。
詳細な手順と詳細については、「 https://docs.docker.com/engine/install/rhel/」を参照してください。
SSHクライアント認証の構成:制御ホストで実行されているインストーラーは、SSHを使用してクラスターノードに接続します。SSH認証では、スーパーユーザー(sudo)権限を持つrootまたは非rootユーザーアカウントを使用する必要があります。以降の手順では、このアカウントをインストールユーザーアカウントと呼びます。クラスタ内のすべてのノードでインストール ユーザーアカウントが設定されていることを確認する必要があります。インストーラーはインベントリファイルを使用して、使用するユーザー名と、認証で SSH キーとパスワードのどちらを使用するかを決定します。マルチノード実装用のインベントリファイルのカスタマイズを参照してください。
ssh-key認証(推奨)方式を選択した場合は、SSH キーを生成します。
パスフレーズでSSHキーを保護する場合は、 ssh-agent キーマネージャーを使用できます。 https://www.ssh.com/academy/ssh/agent を参照してください。

手記：
次のセクションで説明するように、クラスターノードの準備タスクの一部として、このキーをノードにコピーする必要があります。
(オプション) wget のインストール - wgetユーティリティをインストールして、Paragon Automation 配布ソフトウェアをダウンロードします。

# yum install wget

または、 rsync またはその他のファイルダウンロードソフトウェアを使用して、配布ソフトウェアをコピーすることもできます。

クラスタノードの準備

プライマリノードとワーカーノードは、まとめて クラスターノードと呼ばれます。各クラスターノードには、図 3 に示すように、少なくとも 1 つの一意の静的 IP アドレスが必要です。ホスト名を設定するときは、小文字のみを使用し、ハイフン(-)またはピリオド(.)以外の特殊文字は使用しないでください。概要のセクションで説明したように、実装にParagon Automationコンポーネント間の通信を提供する別のIPネットワークがある場合、その別のネットワーク内のIPアドレスはクラスタ外に到達可能である必要はありません。ただし、その場合は、2 番目の IP アドレスのセットをワーカーノードに割り当てる必要があります。これらの IP アドレスにより、クラスター外のデバイスがワーカーノードに到達し、次の間の通信が可能になります。

Paragon Automationと管理対象デバイス
Paragon Automationとネットワーク管理者

すべてのノードを同じブロードキャストドメインに配置することをお勧めします。異なるブロードキャストドメイン内のクラスターノードについては、「負荷分散の構成」で追加の負荷分散構成を参照してください。

図 3: クラスターノード関数 Cluster Node Functions

Paragon Automationのシステム要件で説明されているように、マルチノード導入を使用してParagon Automationをインストールできます。

Paragon Automationのインストールプロセス用に、クラスタノードを準備する必要があります。

raw ディスクストレージの構成 — クラスターノードには、パーティション分割されていないディスクまたはフォーマットされていないディスクパーティションが接続された raw ストレージブロックデバイスが必要です。また、ルートパーティションや他のファイルシステムが使用可能なディスク領域の一部を使用できるように、ノードをパーティション化することもできます。残りの領域は、ファイルシステムなしでフォーマットせずに残し、Cephが使用できるように予約する必要があります。詳細については、「ディスク要件」を参照してください。

手記：
Cephがパーティション分割されていないディスクまたはフォーマットされていないディスクパーティションを使用できるようにするために、何もインストールまたは設定する必要はありません。Paragon Automationのインストールプロセスにより、Cephストレージ用のスペースが自動的に割り当てられます。

マルチノードクラスタの場合、記憶域が接続されたクラスタノードが少なくとも 3 つ必要です。

Cephには新しいカーネルバージョンが必要です。Linuxカーネルが非常に古い場合は、新しいカーネルのアップグレードまたは再インストールを検討してください。お使いのOSでCephでサポートされているLinuxカーネルの最小バージョンのリストについては、 https://docs.ceph.com/en/latest/start/os-recommendations を参照してください。
ベース OS のインストール - RHEL をインストールします。Paragon Automationは、RHEL 8.4およびRHEL 8.10で動作する資格を持っています。Paragon Automationは、RHEL 8.8でも実験的なサポートを提供しています。
手記：
RHEL バージョン 8.10 を使用している場合は、次の RPM バンドルを削除する必要があります。
インストールユーザーアカウントの作成:インストールユーザーは、Ansibleプレイブックがプライマリノードとワーカーノードにログインし、すべてのインストールタスクを実行するために使用するユーザーです。root パスワードまたはスーパーユーザー(sudo)権限を持つアカウントのいずれかを設定してください。この情報は、インストールプロセス中にインベントリファイルに追加します。
root ユーザーのパスワードを設定します。
SSH認証のインストール:制御ホストで実行されているインストーラーは、インストールユーザーアカウントを使用してSSH経由でクラスターノードに接続します。
1. クラスタノードにログインし、すべてのノードにopen-sshサーバーをインストールします。
2. sshd_configファイルを編集します。
  # vi /etc/ssh/sshd_config
3. インストールユーザーアカウントとして「root」を使用している場合は、rootログインを許可します。
  
  PermitRootLogin yes
  
  認証にプレーンテキストのパスワードを使用することを選択した場合は、パスワード認証を有効にする必要があります。
  
  PasswordAuthentication yes
  
  パスワード認証の使用はお勧めしません。
4. AllowTcpForwarding パラメーターが yes に設定されていることを確認します。
  AllowTcpForwarding yes
  手記：
  AllowTcpForwardingパラメータがnoに設定されている場合、Paragon Automationのインストールは失敗します。
5. /etc/ssh/sshd_config を変更した場合は、SSH デーモンを再起動してください。
  # systemctl restart sshd
6. 制御ホストにログインします。
  1. SSH キーを使用した認証を許可するには、 id_rsa.pub をクラスターノードにコピーします。
    クラスター内のすべてのノード (プライマリとワーカー ) に対してこの手順 を繰り返します。 cluster-node-IP は、図 3 に示すようなノードの固有アドレスです。代わりにホスト名を使用する場合、Ansibleコントロールホストは名前をIPアドレスに解決できる必要があります。
  2. SSH認証を使用して、インストールユーザーアカウントを使用してクラスターノードにログインします。ログインにパスワードは必要ありません。
    
    SSHを使用して、インストールユーザーアカウントを使用して、制御ホストからクラスター内のすべてのノード(プライマリおよびワーカー)に接続できる必要があります。ログインできない場合は、前の手順を確認して、何も見逃していないことを確認してください。
[Docker のインストール] - インストールする次の Docker バージョンのいずれかを選択します。
- Docker CE - Docker CE を使用する場合は、クラスタノードにインストールする必要はありません。deployスクリプトは、Paragon Automationのインストール中にノードにDocker CEをインストールします。
- ドッカー EE — ドッカー EE を使用する場合は、すべてのクラスターノードに Docker EE をインストールする必要があります。ノードに Docker EE をインストールする場合、deploy スクリプトはインストールされているバージョンを使用し、代わりに Docker CE をインストールしようとはしません。Docker EE とサポートされるシステムの詳細、および Docker EE をダウンロードしてインストールする手順については、https://www.docker.com/blog/docker-enterprise-edition/ を参照してください。
クラスターノードにインストールすることを選択した Docker のバージョンは、制御ホストにインストールされている Docker のバージョンに依存しません。
ファイアウォールの無効化 - ローカルファイアウォールを無効にします。

# systemctl stop firewalld

# systemctl disable firewalld

# systemctl mask firewalld

# systemctl mask system-udevd –now

クラスターを外部ファイアウォールで保護することを検討してください。
Python のインストール - Python 3 が OS と共にプレインストールされていない場合は、クラスターノードにインストールします。

# yum install python3

インストールされている Python のバージョンを確認するには、 # python3 --version コマンドを使用します。
# yum list installed コマンドを使用して、以下のパッケージがインストールされていることを確認します。

bash-completion, gdisk, iptables, lvm2, python-six, PyYAML, openssl, python3-pip, network-scripts, fio, jq, pytz

さらに、トラブルシューティングに役立てるために、次のオプションパッケージをインストールすることをお勧めします。

net-tools, tcpdump, traceroute
次のコマンドを実行して、次のパッケージをダウンロードしてインストールします。

rpm -Uvh python3-markupsafe-0.23-19.el8.x86_64.rpm

rpm -Uvh python3-pytz-2017.2-11.el8.noarch.rpm

rpm -Uvh python3-babel-2.5.1-7.el8.noarch.rpm

rpm -Uvh python3-jinja2-2.10.1-3.el8.noarch.rpm
NTP のインストールと有効化:すべてのノードで、常に NTP またはその他の時刻同期を実行する必要があります。デフォルトでは、Paragon Automation によって Chrony NTP クライアントがインストールされます。Chrony を使用しない場合は、すべてのノードに代替サービスを手動でインストールし、timedatectl コマンドでクロックが同期されていることを報告するようにする必要があります。ただし、エアギャップ方式を使用してParagon Automationをインストールし、Chronyを使用する場合は、Chronyを事前にインストールする必要があります。インストーラーは、エアギャップのインストール中に Chrony をインストールしません。
(オプション)Linuxカーネルバージョンをアップグレードします - Paragon Automationインストールの要件を満たすように、RHELサーバーのカーネルバージョンを最新のLTSバージョンにアップグレードします。

Red Hat Enterprise Linux (RHEL) 8.4 の場合、Linux カーネルのバージョンが 4.18 以降であることを確認します。

Kubernetesワーカーノードは、アプリケーションのワークロードを処理するポッドをホストします。

ポッドは、Kubernetes で作成および管理されるデプロイ可能なコンピューティングの最小単位です。ポッドには、共有ストレージとネットワークリソース、およびアプリケーションの実行方法に関する具体的な指示を含む 1 つ以上のコンテナーが含まれます。コンテナーは最も低いレベルの処理であり、コンテナー内でアプリケーションまたはマイクロサービスを実行します。

クラスター内のプライマリノードは、特定のポッドとコンテナーをホストするワーカーノードを決定します。

マイクロサービスを組み合わせてParagon Automationのすべての機能を実装します。これらのマイクロサービスの一部は、エンドユーザー (管理対象デバイス) と管理者にサービスを提供するため、クラスターの外部からアクセスできるようにする必要があります。たとえば、プロバイダエッジ(PE)ルーターとParagon Automationの間でパス計算要素プロトコル(PCEP)セッションを確立するには、pceserverサービスにアクセスできるようにする必要があります。

これらのサービスは、外部デバイスから到達可能な特定のアドレスを使用して、Kubernetes クラスターの外部に公開する必要があります。サービスは特定の時点で任意のワーカーノードで実行できるため、外部アドレスとして仮想 IP アドレス (VIP) を使用する必要があります。特定のワーカー・ノードのアドレスを外部アドレスとして使用しないでください。

この例では:

ワーカー 1 が 10.1.x.3 で、ワーカー 2 が 10.1.x.4 であるとします。
サービス IP = PCEP VIP は 10.1.x.200 です
PCC_IP は 10.1.x.100 です

Paragon Automationサービスは、クラスタの外部にサービスを公開する方法として、次の2つの方法のいずれかを使用します。

ロードバランサー - 各ロードバランサーは特定の IP アドレスに関連付けられ、外部トラフィックをクラスター内の特定のサービスにルーティングします。これは、クラウドへの多くの Kubernetes インストールの既定の方法です。ロードバランサー方式では、サービスごとに複数のプロトコルと複数のポートがサポートされます。各サービスには、独自のロードバランサーと IP アドレスがあります。

Paragon Automationは、MetalLBロードバランサーを使用します。MetalLBは、レイヤー2モードで仮想IPアドレスを管理するか、レイヤー3モードで外部ルーターと対話することで、外部ロードバランサーをシミュレートします。MetalLB は、Kubernetes クラスターに負荷分散インフラストラクチャを提供します。

種類が "LoadBalancer" のサービスは、Kubernetes 負荷分散インフラストラクチャと対話して、外部から到達可能な IP アドレスを割り当てます。一部のサービスでは、外部 IP アドレスを共有できます。
Ingress:ingress方式は、プロキシとして動作してトラフィックをクラスタに取り込み、内部サービスルーティングを使用してトラフィックを宛先にルーティングします。内部的には、このメソッドはロードバランサーサービスを使用して自身を世界に公開し、そのプロキシとして機能できるようにします。

Paragon Automationは、以下のイングレスプロキシを使用します。
- 大使
- ンギンクス

クラスターの外部からのデバイスは次のサービスにアクセスする必要があるため、これらのサービスには VIP アドレスが必要です。

表 1: VIP を必要とするサービス
必須 VIP アドレス	の説明	ロードバランサー/プロキシ
イングレスコントローラ	ウェブ経由でParagon Automation GUIにアクセスするために使用します。 Paragonオートメーションは、コンポーネントとアプリケーションへのアクセスを提供する共通のWebサーバーを提供します。サーバーへのアクセスは、Kubernetesイングレスコントローラーを介して管理されます。	大使メタルLB
Paragon Insightsサービス	syslog、DHCPリレー、JTIなどのInsightsサービスに使用されます。	メタルLB
Paragon Pathfinder PCEサーバー	ネットワーク内のデバイスとの PCEP セッションを確立するために使用されます。	メタルLB
SNMPトラップレシーバープロキシ(オプション)	この機能が必要な場合のみに限り、SNMP トラップ受信プロキシのユーザー。	メタルLB
インフラストラクチャNginxイングレスコントローラ	Paragon Pathfinder netflowdサーバーおよびオプションでParagon Pathfinder PCEサーバーのプロキシとして使用されます。 Nginx イングレスコントローラーには、MetalLB ロードバランサープール内に VIP が必要です。つまり、インストール・プロセス中に、構成ファイルの作成時に含める必要がある LoadBalancer IP アドレス範囲の一部としてこのアドレスを含める必要があります。	ンギンクスメタルLB
Pathfinder Netflowd	Paragon Pathfinder netflowdサーバーに使用します。 NetflowdはNginxをプロキシとして使用でき、その場合、独自のVIPアドレスは必要ありません。	メタルLB
レジストリ (オプション)	プライマリノード上の複数のコンテナレジストリに接続するために使用されます。	-
PCEPサーバ(オプション)	MD5 認証の PCE サーバーに使用されます。	-
cRPD(オプション)	MD5 認証のために BGP モニタリングプロトコル(BMP)ポッドに接続するために使用します。	-

アンバサダーが使用するポート:

HTTP 80(TCP)からHTTPSへのリダイレクト
HTTPS 443(TCP)
Paragon Planner 7000(TCP)
DCS/NETCONF initiated 7804(TCP)

図4:アンバサダー

Insights Services、Path Computation Element(PCE)サーバー、SNMPで使用されるポート:

インサイトサービス

JTI 4000(UDP)

DHCP(ZTP)67(UDP)

SYSLOG 514(UDP)

SNMP プロキシ 162(UDP)
PCE サーバ

PCEP 4189(TCP)
SNMP

SNMP トラップレシーバー 162(UDP)

図5:サービス

で使用されるポート

Nginxコントローラで使用されるポート:

NetFlow 9000(UDP)
PCEP 4189(TCP)

PCEPにNginxを使用する

インストールプロセス中に、PCEPのイングレスプロキシを有効にするかどうかを尋ねられます。パス計算要素 (PCE) サーバーのプロキシとして None または Nginx-Ingress から選択できます。

プロキシとして [ Nginx-Ingress を選択した場合は、表で説明されている PCE サーバの VIP を設定する 必要はありません 。この場合、インフラストラクチャ Nginx イングレスコントローラーの VIP アドレスも PCE サーバーに使用されます。netflowd プロキシを使用しないことを選択した場合は、インフラストラクチャ Nginx イングレスコントローラーの VIP も netflowd に使用されます。

手記：

Nginxを使用する利点は、複数のサービスに単一のIPアドレスを使用できることです。

図6: Nginxコントローラ Nginx Controller

マルチプライマリノード展開におけるレジストリのVIPアドレス
MD5認証用のVIPアドレス
ロードバランシングの設定

マルチプライマリノード展開におけるレジストリのVIPアドレス

複数のプライマリノードを持つセットアップをデプロイし、複数のコンテナーレジストリ (各プライマリノードに 1 つ) をデプロイする場合は、クラスターノードと同じブロードキャストドメインに追加の VIP アドレスが必要になります。このアドレスは、各プライマリノードにデプロイされたコンテナレジストリに接続するために使用されます。

インストールウィザードでは、この IP アドレスをレジストリの仮想 IP アドレスと呼びます。MetalLB ロードバランサーの VIP アドレスプールに、この VIP アドレスを含める ことはできません 。

MD5認証用のVIPアドレス

MD5認証を設定して、ルーターとParagon Pathfinder間のPCEPセッションを保護し、BMPサービスが正しいBGP-LSルーターとピアリングしていることを確認できます。Paragon Automationは、Multusを使用して、ルーターに直接アクセスするためのPCEサーバーとBMPポッドにセカンダリインターフェイスを提供します。クラスターノードと同じサブネットに次の VIP アドレスが必要です。

CIDR 形式の PCE サーバーの VIP アドレス
CIDR形式のcRPDのVIPアドレス

MetalLB ロードバランサーの VIP アドレスプールに、これらの VIP アドレスを含める ことはできません 。

MD5 認証を設定する場合は、ルーターで認証キーと仮想 IP アドレスを追加設定する必要があります。また、Paragon Automation UIで認証キーを設定する必要があります。

PCE サーバー上の MD5。—ルーターでMD5認証キーを設定し、ルーターでParagon Automation UIとVIPアドレスを設定します。
- Junos CLI で以下を設定します。
  
  user@pcc# set protocols pcep pce pce-id authentication-key pce-md5-key
  
  user@pcc# set protocols pcep pce pce-id destination-ipv4-address vip-for-pce
- デバイスの>設定 > の編集ページのプロトコル:PCEP セクションの MD5 文字列フィールドに
MD5 認証キーは 79 文字以下である必要があります。
cRPD上のMD5:cRPD MD5認証キーを決定し、ルーターでcRPDのキーとVIPアドレスを設定します。
1. 次の方法で MD5 認証キーを決定または設定します。
  1. confコマンドスクリプトを実行し、cRPDでMD5認証を有効にします。config.yml ファイルで crpd_auth_key パラメーターを検索します。キーが存在する場合は、cRPD が MD5 に設定されていることを示します。たとえば、crpd_auth_key : northstar などです。config.ymlファイルにあるキーを使用して(またはキーを編集して)、ルーターに入力できます。
  2. config.ymlファイルにMD5認証キーが存在しない場合は、cRPDにログインし、次のいずれかのコマンドを使用して認証キーを設定する必要があります。
    
    set groups extra protocols bgp group name authentication-key crpd-md5-key
    
    又は
    
    set protocols bgp group name authentication-key crpd-md5-key
    
    MD5 認証キーは 79 文字以下である必要があります。
2. cRPDのMD5を有効にするようにルーターを設定します。
  user@pcc# set protocols bgp group name neighbor vip-for-crpd authentication-key md5-key

手記：

Paragon Automationのインストールプロセスを開始する前に、必要なすべてのVIPアドレスを特定する必要があります。インストールプロセスの一環として、これらのアドレスを入力するように求められます。

ロードバランシングの設定

VIP はデフォルトでレイヤー 2 で管理されます。すべてのクラスタノードが同じブロードキャストドメイン内にある場合、各 VIP アドレスは一度に 1 つのクラスタノードに割り当てられます。レイヤー 2 モードは VIP のフェールオーバーを提供し、実際のロードバランシングは提供しません。クラスタノード間の真のロードバランシングの場合、またはノードが異なるブロードキャストドメインにある場合は、レイヤー 3 でロードバランシングを設定する必要があります。

VIP アドレスをネットワークにアドバタイズするように BGP ルーターを設定する必要があります。BGP ルーターが ECMP を使用して、異なるホスト間の TCP/IP セッションのバランスを取ることを確認します。BGP ルーターをクラスターノードに直接接続します。

クラスターノードで負荷分散を構成するには、 config.yml ファイルを編集します。例えば：

この例では、192.x.x.1のBGPルーターは、10.x.x.0/24プレフィックスを持つVIPアドレスのネットワークの残りの部分への到達可能性をアドバタイズする役割を担っています。クラスターは、この範囲の VIP アドレスを割り当て、アドレスを処理できるクラスターノードのアドレスをアドバタイズします。

DNS サーバーを構成する (オプション)

メイン Web ゲートウェイには、イングレスコントローラの VIP アドレス、またはイングレスコントローラの VIP アドレスに解決されるドメインネームシステム(DNS)サーバで設定されたホスト名を使用してアクセスできます。DNS サーバーを構成する必要があるのは、ホスト名を使用して Web ゲートウェイにアクセスする場合のみです。

ホスト名を A、AAAA、または CNAME レコードとして DNS に追加します。ラボと概念実証 (POC) のセットアップでは、クラスターノードの /etc/hosts ファイルにホスト名を追加できます。