プロキシーサーバー経由のRHELのアップデートについて
Partner SA松本です。
Red Hatの平さんからAWS環境での重要なアップデートを投稿頂きました。
Red Hatの平さんからAWS環境での重要なアップデートを投稿頂きました。
----------------------
皆さん、こんにちは!
Red HatのPartner SA(Partner Solutions Architect: PSA) 平です。
Global OEM PartnerとしてAWSを担当しております。
Red HatのPartner SA(Partner Solutions Architect: PSA) 平です。
Global OEM PartnerとしてAWSを担当しております。
以前、AWS Partner SAブログにて、RHELのサポート体制とアップデートサーバーの仕組みについてご紹介しました。
AWS Partner SA ブログ: AWS上のRHELのサポート体制とアップデートサーバー
従来、Amazon VPCにInternet Gatewayを設置して、そのInternet Gateway経由でアップデートを行なって頂くケースのみを許可しておりましたが、AWSとRed Hatの両社で協議した結果、プロキシーサーバー経由での更新パッケージのアップデートが行えるようになりました。
これにより以下のようなユースケースに対して有効です。
- VPC内の特定の1つのインスタンスのみがインターネットとの通信が許可されており、そのインスタンスをプロキシーサーバーにして、RHELの更新パッケージのアップデートを行いたい場合
- VPC内にインターネットゲートウェイを設けず、AWS Direct Connect もしくは Amazon VPC にてオンプレミスのデータセンターと接続し、オンプレミスのデータセンター内のプロキシーサーバーを経由してインターネット経由で更新パッケージのアップデートを行いたい場合
ただし古いRHELのAMIでは、yumのRHUIプラグインがプロキシーサーバーの利用を考慮しておらず、yum.conf に記述を行ったとしても無視されます。
RHEL 5のインスタンスの場合には特に注意が必要です。
RHEL 5.10以降のAMIに含まれるyumのRHUIのクライアント(rh-amazon-rhui-client-2.2.92-1.el5)からプロキシーサーバーの記述を解釈できます。それ以前のマイナーリリースのAMIはプロキシーサーバーの指定を無視します。RHEL 6についてはRHEL 6.3以降であれば概ね大丈夫です。
・RHEL 5.9に含まれる
rh-amazon-rhui-client-2.2.75-1.el5 … プロキシーサーバー未対応
・RHEL 5.10に含まれる
rh-amazon-rhui-client-2.2.92-1.el5 … プロキシーサーバー対応
・RHEL 6.3に含まれる
rh-amazon-rhui-client-2.2.79-1.el6_3 … プロキシーサーバー対応
上記パッケージバージョンよりも古い場合には、暫定作業用のVPCを1つ作成した上で一時的にインターネットに繋ぐなどして、 rh-amazon-rhu-client を最新のものに更新してください。
# yum update rh-amazon-rhu-client
なお、プロキシー経由でのアップデートする場合には、yumの設定ファイルの /etc/yum.conf に以下のようにプロキシーサーバーを指定します。
file: /etc/yum.conf
proxy=http://10.1.2.3:3128
例: プロキシーサーバーが10.1.2.3でポート番号がTCP:3128の場合(※ホスト名やポート番号は環境によって異なります。)
更新パッケージの適用を怠り放置するとシステムが穴だらけになるだけではなく、情報漏洩やサイトの改竄など会社の信用を失墜する大きな問題へ発展します。また、今年問題になった「うるう秒問題」の対応にも定期的にリリースされる tzdata のアップデートが必要です。
今後ともAWS Partner SAブログなどで情報をご提供して行きますので、よろしくお願い致します。
----------------------
エコシステムソリューション部 部長
パートナーソリューションアーキテクト
松本 大樹
エコシステムソリューション部 部長
パートナーソリューションアーキテクト
松本 大樹
コメント