仮想マシン起動後、すぐにyumが使えるのは何故か
こんにちわ、Red HatのパートナーSA 平です。
前回、RHELの提供形態としてPay-As-You-Go(PAYG)とCloud Accessの提供形態について説明しました。今回はRHELのアップデートサーバーの話をしましょう。
Azure Marketplaceから提供されるPAYGのRHELは、認定クラウド&サービスプロバイダー契約(いわゆるクラウド向けのOEM版)という扱いになっておりAzure側でエンドユーザーに提供する個数をカウントして何台でも提供することができます。その代わり契約顧客が仮想マシンのディスクイメージをエクスポートしてAzure以外で利用することは許可されておりません。
システム登録は不要
AzureポータルからRHELの仮想マシンを起動すると、PAYGのRHELが提供され、通常オンプレで必要なシステム登録もなく yum コマンドでレポジトリが使えるので不思議に思う方も多いことでしょう。通常のオンプレミスのRHELは、subscription-manager コマンドもしくは rhn_register コマンドでRed Hat カスタマーポータルに対してシステム登録が必要です。
そこで、Azure上のRHEL仮想マシンには事前にエンタイトルメント証明書がRPMパッケージ(rhui-azure-rhel6-x.y-z.rpmやrhui-azure-rhel7-x.y-z.rpm)としてインストールされており、その証明書と仮想マシンの固有情報を使ってAzureのリージョン内にあるアップデートサーバーから更新パッケージなどを取得することができます。したがって、このパッケージは絶対にアンインストールしないで下さい。
Azureで仮想マシンのクローニングやオートスケールによる複数仮想マシンのデプロイを行う場合には、Cloud AccessのRHELではなくAzure Marketplaceから提供されるPAYGのRHELの仮想マシンを利用しましょう。
アップデートサーバーの仕組み
アップデートサーバーはRed Hat Update Infrastructure(RHUI)と呼ばれており、Azure上の世界各地のリージョンに分散されて設置されています。アップデートサーバーは1日に何度か、Red Hat Contents Delivery Network (Red Hat CDN)からリポジトリを差分同期しており、バグ修正およびセキュリティ修正に追従して鮮度の高い状態が保たれています。
RPMパッケージをインストールする際に、バージョン名まで指定すると古いパッケージも入手可能です。なお、RHELの追加Add-on(High Availability Add-onや、Load Balancer Add-onなど)の購入が必要なレポジトリは、Azure上では提供されていませんのでご注意下さい。
アップデートサーバーは、このような仕組みになっておりますので、Azureの閉域網接続サービス「ExpressRoute」で使用したい場合、アップデートサーバーにアクセスすることができなくなり更新パッケージが適用できなくなります。その場合、インターネットにアクセスできるプロキシサーバーをAzure上に構築して頂き、yumコマンドを実行した場合にのみプロキシサーバーを経由する設定を行う必要があります。
また、PAYGのRHELの仮想マシンは、subscription-managerで Red Hat に直接システム登録する権利はありません。
会社の信用を失墜させないために
近年、SSLの脆弱性や、Bashの脆弱性など影響度が高いセキュリティ課題がいくつかありました。更新パッケージの適用を怠り放置するとシステムが穴だらけになるだけではなく、情報漏洩やサイトの改竄など会社の信用を失墜する大きな問題へ発展します。
- Azure のオンデマンド Red Hat Enterprise Linux VM 用 Red Hat Update Infrastructure (RHUI)
/ja-jp/azure/virtual-machines/virtual-machines-linux-update-infrastructure-redhat