LoginSignup
0
0
@Sunshine_Daydream

Red Hat Update Infrastructure (RHUI)を探して3千里、AWSの内側なのか外側なのか

Last updated at Posted at 2024-04-18

はじめに

某ベンダで、クラウドの人材育成企画と研修トレーニングのデリバリを担当しています。
先日、担当する講義の中で受講生の方からこんな質問ありました。

「AWSを閉域網で利用する場合、NAT GatewayなしにEC2からRed Hat Update Infrastructure (RHUI)にアクセスできますか?」

NAT Gateway使えばいいじゃん、は昔の話。ここ数年、重要システムのクラウド化が進んでおりNAT Gateway禁じ手の案件も増えているようです。(更なるクラウド利用機会の普及を使命と思う僕には嬉しい話。)

Amazon Linuxの場合は、S3にyumのリポジトリがあリます。S3からPrivate Linkを作成すれば、閉域網でのyumの利用が可能です。じゃあRHELは?、ちょっと気になるので、調べてみました。

先に結論を言うと、外接できないとダメでした。

Amazon Linux 2023の場合

Amazon Linuxのyumレポジトリを確認してみます。

#less /etc/yum.repos.d/amazonlinux.repo 
[amazonlinux]
name=Amazon Linux 2023 repository
mirrorlist=https://al2023-repos-$awsregion-de612dc2.s3.dualstack.$awsregion.$awsdomain/core/mirrors/$releasever/$basearch/mirror.list
priority=10
enabled=1
repo_gpgcheck=0
type=rpm
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
〜省略〜

リポジトリの指定先は、S3ですね。想定通り。

RHEL9の場合

RHEL9のyumレポジトリを確認してみます。


#less /etc/yum.repos.d/redhat-rhui.repo 
〜省略〜
[rhel-9-appstream-rhui-rpms]
name=Red Hat Enterprise Linux 9 for $basearch - AppStream from RHUI (RPMs)
mirrorlist=https://rhui.REGION.aws.ce.redhat.com/pulp/mirror/content/dist/rhel9/rhui/$releasever/$basearch/appstream/os
enabled=1
〜省略〜

rhui.REGION.aws.ce.redhat.com、redhatのドメインぽいです。このドメイン名でgoogleするとEC2のFAQがヒットしました。

Q: Red Hat Enterprise Linux を実行中の Amazon EC2 インスタンス用の更新や定期的なパッチを受け取るにはどうすればよいですか?
Red Hat Update Infrastructure (RHUI) は、各 AWS リージョンの商用パーティションで Red Hat によって管理されており、定期的な更新やパッチを入手するためにアクセスできます。Red Hat Enterprise Linux インスタンスは、リージョンレベルのリポジトリにアクセスして増分更新を受信でき、すべての料金に含まれています。
Q: Amazon Virtual Private Cloud (VPC) で Amazon EC2 での Red Hat Enterprise Linux インスタンスを作成した場合、Red Hat Update Infrastructure (RHUI) にアクセスするにはどのようにすればよいですか?
Red Hat Enterprise Linux (RHEL) のすべてのオンデマンド Amazon マシンイメージ (AMI) は、AWS で Red Hat Update Infrastructure (RHUI) を使用するように構成されています。VPC では、Amazon EC2 RHEL インスタンスが VPC インターネットゲートウェイとアタッチされた仮想 IP を経由して EC2 の RHUI にアクセスするか、RHUI サーバーへの更新リクエストが一般のインターネットを経由するようにルーティングされた VPN または Direct Connect 接続経由でデータセンターに接続する必要があります。
Red Hat Network Satellite のようなオンプレミスの更新リポジトリから更新を入手することをご希望の場合、Red Hat のアカウントでライセンスモビリティプログラムを使って Red Hat Cloud Access AMI の使用権を購入する必要があります。使用権は従来の年間サブスクリプションの形式で提供されます。

VPC インターネットゲートウェイを利用して外接できないとダメみたいですね。
yumレポジトリを調べるまでもなく、答えはFAQにありましたというオチでした。

おわりに

RedHatの公式サイトには、リージョン毎のRHUIのホスト名、IPアドレスが情報公開されてます。より丁寧にSG/NACLでセキュリティ高度化を意識した通信制御したい場合、フィルタリング情報として必要ですね。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0