Coati セットアップ方法

Coati のお申込みから利用開始までの流れ

  • サービス利用案内の受け取り
    • お客様から Coati への登録を申し込み頂いた後、弊社のサービス提供準備が整い次第、件名が「Coati の利用開始のご案内」となっているメッセージをヘルプデスク経由でご案内いたします。ご案内はヘルプデスク用に登録したメールアドレスに対しても通知され、その通知メール または Coati 登録時に作成されるヘルプデスクのアカウントにログインすることで閲覧できます。ご案内には、Coati の利用に必要となる Coati ID や設定スクリプトなどの重要な情報が記載されていますので、必ずご確認お願いします。
  • VPC Peering リクエストの承認
    • 弊社 Coati VPC との VPC Peering リクエストが送られますので、AWS Management Console へログイン後、VPC 画面にて、リクエストの承認をお願いします。
  • ルートテーブル及びセキュリティグループの設定
  • IAM ロールの登録
    • Coati からお客様の監視対象インスタンスへアクセスするために、IAM ロールを AWS Management Console から登録してください。詳細については IAM ロールの登録 を参照してください。
  • 対象インスタンスの環境設定
    • Coati からお客様の監視対象インスタンスへアクセスするために、監視対象インスタンスの環境設定が必要となります。Coati が提供する環境設定用スクリプトを利用して環境設定を行います。詳細については、 対象インスタンスの環境設定 を参照してください。
  • Coati の利用開始
    • 対象インスタンスの環境設定が完了すると Coati による監視が有効になります。監視の状態は Coati GUI より確認確認できます。

ルートテーブルの設定

AWS Management Console へログイン後、[VPC] - [ルートテーブル]を選択してルートテーブルの設定画面にて以下の設定を追加します。

送信先 ターゲット
100.64.0.0/10 <お客様の VPC Peering ID>

注釈

Coati 側の VPC と Coati の監視対象となる VPC の Peering ID

セキュリティグループの設定

AWS Management Console へログイン後、[VPC] - [セキュリティグループ]を選択してセキュリティグループの設定画面に移動し、Coati の監視対象となる VPC のセキュリティグループを選択し、下記インバウンドルールを追加します。

タイプ プロトコル ポート範囲 送信元
SSH(22) TCP(6) 22 100.64.0.0/10
WinRM-HTTP TCP(6) 5985 100.64.0.0/10

IAM ロールの登録

AWS Management Console へログイン後、[IAM] - [ロール] を選択して IAM ロールの設定画面に移動し、 以下の 5 ステップに従って IAM ロールを登録してください。

  1. 「ロールの作成」ボタンをクリックしてください。
../_images/iamrole1.png
  1. [ロールタイプの選択] で、 [別の AWS アカウント] を選択してください。
  2. 以下の内容を設定し、「次のステップ」ボタンを押してください。
    • 「アカウント ID」に、「Coati の利用開始のご案内」でお知らせした AWS アカウント ID を入力してください。
    • オプション「外部 ID が必要」にチェックし、入力欄に「Coati-Service」と入力してください。
    • オプション「MFA が必要」にはチェックしないでください。
../_images/iamrole2.png
  1. [ポリシーのアタッチ] で、以下のポリシーを付与し、「次のステップ」ボタンを押してください。
    • AmazonVPCReadOnlyAccess
    • AmazonEC2FullAccess
    • CloudWatchReadOnlyAccess
../_images/iamrole4.png
  1. [確認] で、以下の内容を設定し、「ロールの作成」ボタンを押してください。
    • 「ロール名」に、「CoatiIAMRole」と入力してください。
../_images/iamrole5.png

対象インスタンスの環境設定

Coati が監視対象のインスタンスと通信できるようにするために、お客様にて監視対象にする予定のインスタンス上で設定用のスクリプトを実行します。設定用のスクリプトの実行は監視対象インスタンス毎に実行する必要があります。設定用のスクリプトの実行が完了すると Coati が自動的にインスタンスの監視を開始します。インスタンスが多数ある場合は、多数のインスタンスに対しての設定スクリプトの実行方法 を参照ください。

注釈

  • 全てのインスタンスの監視を開始するには、時間が掛かります。
  • Coati GUI 画面から現在の監視対象インスタンス数が確認できます。

監視対象が Linux の場合

スクリプトファイル名 実行方法
make_coati_user_target.sh 以下のコマンドを参考にroot 権限で実行してください
$ sudo bash ./make_coati_user_target.sh

注釈

スクリプトは Coati の利用案内時にお渡しします。

本スクリプトは、お客様のインスタンス上で以下の処理を行います。

  • Coati 専用ユーザーの作成
  • SSH の公開鍵認証の設定( Coati の公開鍵を、お客様のインスタンスの $home/.ssh/authorized_keys に追加します)

以下のコマンドを実行して coati ユーザーが作成されたことを確認してください。

$ id coati
uid=1002(coati) gid=1002(coati) groups=1002(coati)

監視対象が Windows の場合

スクリプトファイル名 実行方法
make_coati_account_windows.cmd ファイルを右クリックして、メニューから「管理者として実行」を選択してください

注釈

スクリプトは Coati の利用案内時にお渡しします。

本スクリプトは、お客様のインスタンス上で以下の処理を行います。

  • WinRM の認証設定変更
  • Coati 専用アカウントの作成とパスワードの設定
  • Coati 専用アカウントをローカルの Administrators グループに追加
  • Coati 専用アカウントのパスワード有効期限を無期限に設定

注意: Coati 専用アカウントのパスワードは、Windowsのデフォルトのパスワードポリシー(以下のリンク参照)を満たすように作成されます。

https://technet.microsoft.com/ja-jp/library/hh994560(v=ws.11).aspx

コマンドプロンプトで以下のコマンドを実行し、 coati ユーザーが作成されたことを確認してください。

../_images/figure4.png

また、以下の例を参考に PowerShell コマンドレットでネットワークをプライベートにするか、Windows Firewall を無効にしてください。

PS C:\Users\Administrator\Desktop> Get-NetConnectionProfile | where Name -eq "Network  2" | Set-NetConnectionProfile -NetworkCategory Private
(注:Networkと2の間のスペースは2個)

多数のインスタンスに対しての設定スクリプトの実行方法

複数のインスタンスを監視対象とする場合、監視対象の各インスタンスでスクリプトを実行する必要があります。以下のようにコマンドを実行することで一括して作業することが可能です。それぞれの環境に合わせて読み替えてください。

$ for node in ホスト名1 ホスト名2 ホスト名3; do scp ./make_coati_user_target.sh ${node}:~/; ssh -tt  ${node} sudo “~/make_coati_user_target.sh”; ssh ${node} rm -f “~/make_coati_user_target.sh”; done
( ※ 一行です )
for node in ホスト名1 ホスト名2 ホスト名3
do
 scp ./make_coati_user_target.sh ${node}:~/
 ssh -tt  ${node} sudo “~/make_coati_user_target.sh”
 ssh ${node} rm -f “~/make_coati_user_target.sh”
done
( スクリプト化する場合  )

その他に運用ツールや Ansible などを使用してスクリプトファイルを実行することも可能です。一度設定スクリプトを実行すれば、AMI からインスタンスを作成した場合に、スクリプトを再実行する必要はありません。多数のインスタンスを新規に作成する場合は、既に設定スクリプトの実行済みのインスタンスの AMI を作成し、そのイメージを展開すれば、設定スクリプト実行の手間を最小限にすることができます。