目的

こんにちは。OCI 使ってますか?
OS パッチの適用、毎回手動でやっていませんか?

セキュリティ要件として定期的なパッチ適用が求められる一方で、

  • 作業手順の属人化
  • 再起動タイミングの調整
  • パッチ適用漏れの不安

といった課題を感じることも多いと思います。

本記事では、
OCI の「OS管理ハブ(OS Management Hub)」を利用して、
OS パッチ適用から再起動までを自動化する構成を紹介します。

今回やること

  • OS管理ハブの設定
  • 管理対象の Compute を登録
  • パッチ適用/再起動用のジョブを作成
  • 再起動まで含めた自動実行を確認

OS管理ハブ(OS Management Hub)とは

OS管理ハブ(OS Management Hub)は、
OCI が提供する Compute インスタンス向けの OS パッチ管理サービスです。

パッチの確認から適用、再起動までをOCIコンソール上で一元的に操作できるため、
インスタンスへ個別にログインすることなくOS メンテナンス作業を実施できます。

事前条件

対応する OS とバージョンについて

OS管理ハブ(OS Management Hub)は、
OCI 上で稼働する Compute インスタンスのうち、
対応する OS / バージョンを満たしている場合に利用可能です。

本記事執筆時点でサポートされている主な OS は以下の通りです。
(詳細は公式ドキュメントを参照してください)

  • Oracle Linux 7 / 8 / 9
  • Windows Server 2016 / 2019 / 2022(Standard / Datacenter)

今回は、OS管理ハブによるパッチ適用および再起動の自動化に焦点を当てるため、
OCI Compute インスタンスの構築手順については説明を省略します。

IAM ポリシーの作成

OS管理ハブを利用するためのポリシーを作成します。
OS管理ハブの概要から作成することも可能で今回はそちらからポリシーを作成していきます。

1.OCIコンソール・メニューの[監視及び管理]から[OS管理ハブ]を選択
2.ポリシーが設定されていない場合赤枠の表示がされるので[ポリシー・アドバイザの実行]を選択

3.現在の設定状況が表示されるので[次へ]を選択

4.作成されるポリシー/グループの一覧が表示されるので[設定]を選択

作成されるポリシー/グループの詳細

1.管理者グループ (osmh-admins)

OS管理ハブの「設計・構築」を行う、インフラ担当者向けの権限。

ポリシーの内容 実務上の役割・解説
manage osmh-family ソフトウェア・ソースの追加、グループ作成、パッチ適用スケジュールの作成・削除を許可。
manage management-agents 通信基盤である「管理エージェント」そのものの制御・管理に必須。
manage management-agent-install-keys エージェント導入に必要な「インストール・キー」の発行・管理権限。
use appmgmt-family アプリ情報の収集、パッチ適用前提条件の可視化に使用。
read metrics パッチ適用の成否や失敗インスタンスの有無をダッシュボードで確認。
read osmh-profiles インスタンス登録時のテンプレート(プロファイル)を参照。
read osmh-software-sources パッチの配布元(ソフトウェア・ソース)を参照。

2. オペレータグループ (osmh-operators)

状況監視を主目的とする、運用監視メンバー向けの権限。

ポリシーの内容 実務上の役割・解説
read osmh-family インスタンス一覧、適用済みパッチ、スケジュール済みジョブの内容を確認。
use appmgmt-family OS上のアプリケーション構成情報を参照。
read metrics パッチ適用の成功率やエラー数をダッシュボードでモニタリング。
read osmh-profiles インスタンス登録時のテンプレート(プロファイル)を参照。
read osmh-software-sources パッチの配布元を参照。

3. インスタンス用動的グループ (osmh-instances)

インスタンス自身がOCIサービスと通信し、自身の更新を行うための権限。

ポリシーの内容(主要アクション) 実務上の役割・解説
{OSMH_MANAGED_INSTANCE_ACCESS} OSMHサービスへのアクセス、パッチ情報の取得、更新結果の報告を行う専用パス。
use metrics (where namespace = 'oracle_appmgmt') アプリケーション管理(AppMgmt)用のメトリック送信を許可。
{MGMT_AGENT_DEPLOY_PLUGIN_...} Management Agentが必要なプラグインを自身にデプロイ、または状態を確認するために使用。
{APPMGMT_MONITORED_INSTANCE_...} インスタンスを「監視対象」としてアクティブ化し、コンソールから管理可能にする権限。
{INSTANCE_READ, INSTANCE_UPDATE} 自身のインスタンス情報を読み取り、OS管理ハブのステータスと同期させるために必要。
{INSTANCE_AGENT_PLUGIN_INSPECT} インスタンス内で動作する「Oracle Cloud Agent」のプラグイン状態をチェック。

OCIコンソールのセットアップ・ワークフローを利用すれば、これらのポリシーは自動的に生成されますが、手動で細かく制御することも可能です。

特に「管理者グループ (osmh-admins)」や「オペレータグループ (osmh-operators)」については、実際の運用チームの体制に合わせて使用しないケースもあるかと思われます。

ソフトウェア・ソースの作成

OS管理ハブ(OSMH)において、ソフトウェア・ソースとは「インスタンスがパッチを取得するリポジトリ(配布元)」のことです。
*Windowsインスタンスはソフトウェア・ソースを使用しないため、本手順は不要です。

2026年3月現在、OS管理ハブを有効化した直後の状態では、デフォルトのベンダー・ソースとして Oracle Linux 7(OL7)用しか存在しません。今回の検証では Oracle Linux 8 (OL8) を使用するため、以下の手順でOL8用のソースを明示的に追加する必要があります。

  1. OCIコンソールの [OS管理ハブ]より[ソフトウェア・ソース] を選択
  2. [Add vendor software source] ボタンを選択
  3. [OSバージョン] で Oracle Linux 8、[アーキテクチャ] で x86_64(または aarch64)を選択
  4. 一覧から ol8_baseos_latest-x86_64 を選択
  5. 画面下部の [追加] をクリックして完了です。
  • ol8_baseos_latest-x86_64:OSの実行に不可欠なコアパッケージ(カーネルや基本コマンドなど)を含むリポジトリになります。

各ソフトウェア・ソースの詳しい役割については、以下の公式ドキュメントを参照してください。
ソフトウェア・ソースの管理 – Oracle Cloud Infrastructure ドキュメント

プロファイルの作成

プロファイル(登録プロファイル)とは、インスタンスをOS管理ハブの管理下に自動で組み込むための「設定テンプレート」のことです。
1つのプロファイルで複数のインスタンスを管理することも可能です。

  1. [OS管理ハブ]の[プロファイル]より[作成] を選択
  2. [Name] に任意の識別名を入力
  3. [Profile instance type] で「Oracle Cloud Infrastructure」を選択
  4. [OSバージョン] で Oracle Linux 8、[アーキテクチャ] で x86_64 を選択
  5. [タイプ] で「Software source」を選択
  6. 表示された一覧から、先ほど作成した ol8_baseos_latest-x86_64 にチェックを入れる
  7. 画面下部の [作成] をクリックして完了

インスタンスの登録

作成したプロファイルをインスタンスに適用し、OS管理ハブによる集中管理を有効化します。
この作業により、インスタンス側でOS管理ハブのエージェントが起動し、OCIコンソールからパッチ操作が可能になります。
*今回はos-management-sandboxという名前のOracle Linux 8 インスタンスを事前に作成しています

Oracle Cloud Agentの有効化

  1. インスタンス詳細のタブメニューから [管理] を選択
  2. 下部の「Oracle Cloudエージェント」一覧にある [OS管理ハブ・エージェント] の右端にあるメニュー(点3つ)から [有効化] を選択

3.[OS管理ハブ・サービス・プロファイル] で作成したプロファイルを選択

4.OS管理ハブの[インスタンス]より対象のインスタンスが管理対象となっていることを確認

5.対象インスタンスを選択すると、現在のOS状態とソフトウェア・ソースとの差分がスキャンされ、更新が必要な項目の一覧が表示されます。
*ここから必要なパッチを個別で適用することも可能です。

更新ジョブの作成と実行

OS管理ハブでは、パッチの適用(アップデート)を即時実行するだけでなく、スケジュールを指定して自動実行することが可能です。今回は、定期的なアップデートと再起動をセットで行うジョブを作成します。

  1. [OS管理ハブ]の[ジョブ]より[Create update job]を選択
  2. [Job name] にジョブの名称を入力します(例:月次パッチ適用(Oracle Linux8))。
  3. [Updates to apply] で「All」にチェックを入れ、すべての更新(セキュリティ、バグ修正など)を対象にします。
  4. 「Schedule」を選択し、実行したい日時を指定
    *画像の例では、2026年3月26日 06:30 UTC(日本時間 15:30)に設定しています。
  5. [Frequency] で実行頻度を指定します(例:Month / 1ヵ月ごと)
  6. 必要に応じて [Automatic retry] を有効にし、右下の [作成] を押下

[注意点]
ターゲットの指定について

今回は [ジョブ] メニューから作成したため、対象は「コンパートメント内の全インスタンス」となります。

[ジョブ]メニューから作成した場合

特定の1台のみを対象にしたい場合は、[インスタンス詳細] 画面内の [Create update job] ボタンから作成することで、そのインスタンス専用のジョブとして設定可能です。

[個別のインスタンス]から作成した場合

実行結果の確認と再起動の自動化

ジョブ実行後、インスタンス詳細の「Updates」が更新されます。
0 Available updates」となり、パッチ適用が完了しました。
ただし、カーネルアップデートなどの後は、画面上部に再起動を促す Warning が表示されます。

You have installed one or more updates which require a reboot of this instance.

こちらについても再起動を自動ジョブ化することが可能です。

再起動の自動化

別途「再起動ジョブ」をスケジュールすることで、メンテナンス時間を指定して自動実行させることが可能です。
1. インスタンス詳細画面の [再起動] ボタンを押下
* ただ[再起動]とだけ書いてあるのちょっと怖いです
2. [Job name] にジョブ名を入力します(例:月次再起動(OracleLinux8))。
3. [Schedule] で「Schedule」を選択し、パッチ適用後の時間を指定
*画像の例では、07:00 UTC(日本時間 16:00)に設定しています。
4. [Frequency] で実行頻度を指定(例:Month / 1ヵ月ごと)し、[再起動] を押下

ジョブが開始されると、ステータスが「REBOOTING」となり、自動的に再起動が実行されます。

再起動完了後

今回は成功していますが
ジョブが失敗した場合は対象のジョブ名をクリックして詳細画面を開くことで
失敗の原因となったエラーログを特定することが可能です。

まとめ

OS管理ハブを利用することで、
OS パッチ適用から再起動までを安全かつ自動で実行できます。

定期的なパッチ運用が求められる環境において、
・作業工数の削減
・手順の標準化
・適用漏れ防止
といった効果が期待できます。

他のクラウドサービスにも同様の管理機能は存在しますが、
OCIのOS管理ハブは非常に直感的なインターフェースで構成されており、スムーズに運用へ組み込める点が魅力です。パッチ管理に課題を感じている方は、ぜひ活用を検討してみてください。