非 root ユーザとしてのインストール
プロダクション環境に InterSystems IRIS をインストールする場合、root 特権を使用することが推奨されます。root 特権なしで InterSystems IRIS インストールを実行することは可能ですが、このインストールにはいくつかの制限があります。以下のセクションで、これらの制限について、および標準の InterSystems IRIS インストールとの違いについて説明します。
root 特権は、InterSystems IRIS をインストールするときにのみ使用する必要があります。インストールが完了したら、すべてのユーザは非 root 特権を使用して InterSystems IRIS とやり取りする必要があります。
InterSystems IRIS インストールで root を使用する理由
通常、InterSystems IRIS は root を使用してインストールされ、非 root 特権を使用して操作されます。いくつかの機能には root アクセス権が必要ですが、ほとんどのプロセスはインストール時に指定したユーザまたはグループとして実行されます。これらのユーザとグループの目的、および root をどのように使用するかについては、"UNIX のユーザ、グループおよび権限" で説明します。
root 特権を使用する InterSystems IRIS プロセスには次のようなものがあります。
-
オペレーティング・システムでネットワーク設定を変更する有効なユーザ ID (UID) として root を使用する、仮想 IP プロセス。
-
有効な UID としてインスタンス所有者を使用し、実際の UID として root を使用する制御プロセス。実際の UID は、開始時にラージ・ページを取得し、他の InterSystems IRIS プロセスと通信するために使用します。
-
有効な UID として root を使用する開始実行可能ファイル。
InterSystems IRIS を root としてインストールすると、root 特権を持つユーザのみがファイル構造を変更または置換できるため、セキュリティも強化されます。
非 root インストールの制限事項
InterSystems IRIS の非 root インストールはサポートされてはいますが、この方法でインストールされたインスタンスでは、使用できない機能がいくつかあります。
-
ヒュージ・ページは使用できません。
-
インストールのマウント・ポイントは、nosuid を設定するとマウントできません。
-
外部 Web サーバを使用するように Web ゲートウェイを構成することはできません。
-
ミラー仮想 IP は使用できません。
Note:ネットワーク・ロード・バランサや Web ゲートウェイを使用するなど、ネットワーク・トラフィックをルーティングする別の方法については、"フェイルオーバーまたは災害復旧後のアプリケーション接続のリダイレクト" を参照してください。
-
インストール時に InterSystems IRIS を開始および停止できるインスタンス所有者およびグループを指定するオプションはありません ("所有者およびグループの決定" を参照)。
-
グループ・アクセスは存在しません。レジストリを含むすべてのインスタンス・ファイルはインストールするユーザの所有となり、このユーザによってのみ読み込み、書き込み、および実行が可能となります。
例えば、標準インスタンスが以下であるとします。
-rws--x--- 5 root develop 43282 Aug 28 07:52 irismgr -r-x--s--x 1 <nonroot-user> irisusr 23058 Aug 28 07:52 irisuxsession
非 root インスタンスは以下のようになります。
-rwx------ 5 <installing-user> develop 43282 Aug 28 07:52 irismgr -r-x------ 1 <installing-user> develop 23058 Aug 28 07:52 irisuxsession
レジストリは IRISSYS で指定するディレクトリに配置され、そのレジストリに非 root インスタンスがあります(iris の実行可能ファイルも、このディレクトリにあります)。この非 root レジストリには、非 root のインスタンスのみが存在します。非 root レジストリから root によりインストールされたインスタンスへのアクセスはいずれも失敗します。反対に、非 root のインスタンスを root レジストリに定義することはできますが、所有者以外のユーザによるこのインスタンスへのアクセスはいずれも失敗します。
レジストリは、NFS ディレクトリではなく、インスタンスがインストールされたマシンのローカル・ディレクトリに配置することをお勧めします。標準の場所 /usr/local/etc がそのようなディレクトリとなります。
非 root インストールの相違点
上述した機能の制限のほかに、InterSystems IRIS の root インストールと非 root インストールにはいくつかの明確な違いがあります。
-
IRISSYS 環境変数は、インストールするユーザによって書き込み可能な既存ディレクトリとして定義する必要があり、インストール中およびすべてのインスタンス操作中に存在している必要があります。
-
ISCAgent は、IRISSYS で指定されたディレクトリにインストールされます。
Note:非 root インスタンスの ISCAgent の開始の詳細は、"高可用性ガイド" の “ミラーリング” の章にある "UNIX®/Linux および macOS システムでの非 root インスタンス用 ISCAgent の開始" を参照してください。
-
インストールしているユーザのアカウントのみが、InterSystems IRIS インスタンスにアクセスして操作できます。
-
InterSystems IRIS の実行可能ファイルおよびプロセスはすべて、インストールするユーザとして実行されます。