¿Estás visitando desde ?
Ingresá a Linware ⯈
Continuar en Linware Argentina ⯈
×
¿Qué estás buscando?
BUSCAR!
BLOG
Acceso a las actualizaciones de SUSE en AWS
Publicada el 09/09/2021

La aplicación de parches es una parte importante de la gestión de cualquier infraestructura de sistema operativo con actualizaciones que proporcionan mejoras relacionadas con la seguridad junto con mejoras de estabilidad. SUSE recomienda aplicar parches en sus sistemas tan pronto como haya actualizaciones disponibles. Entonces, ¿dónde y cómo pueden las instancias de SUSE en la nube de AWS consumir parches?

Los clientes bajo demanda tienen dos opciones: utilizar la infraestructura de actualización de nube pública (PCUI) de SUSE o implementar su propio repositorio privado.

Infraestructura de actualización de nube pública de SUSE

La solución más fácil y predeterminada es utilizar la infraestructura de actualización de nube pública (PCUI). Se trata de una flota global de servidores de actualización mantenidos por SUSE en la nube de AWS que proporciona acceso de baja latencia a los parches de las instancias bajo demanda. El acceso a esta infraestructura de actualización se proporciona sin costo adicional para el cliente.

Los clientes tienen la opción de conectarse a la PCUI a través de una puerta de enlace de Internet en una subred pública, una puerta de enlace nat en una subred privada o mediante un centro de datos local. El firewall de salida y la seguridad de la red deben permitir esto.

¿Cuándo podría necesitar implementar un servidor de repositorio privado?

La segunda opción es implementar un repositorio privado, esta es una solución de SUSE mantenida por el cliente que reside en la VPC del cliente en AWS o en un centro de datos "local".

Esto puede ser necesario en varios escenarios:

  • Complementos.
    Si un cliente bajo demanda de SUSE requiere productos complementarios adicionales de SUSE (por ejemplo, LTSS - Soporte de paquete de servicio a largo plazo), donde las actualizaciones no se proporcionan a través de la infraestructura de actualización de la nube pública.
    Se pueden encontrar detalles en profundidad en el siguiente blog  [2]
  • Conectividad / Seguridad.
    Esta es la razón más común, ya que las instancias de SUSE que requieren parche no tienen absolutamente ninguna conectividad saliente a Internet, por ninguna ruta. En este ejemplo, se utiliza un servidor de repositorio privado como proxy y es la única instancia con conectividad de salida / Internet. El resto de las instancias de SUSE pueden consumir parches de este repositorio.
  • Puesta en escena.
    Cuando las cargas de trabajo de producción de misión crítica necesitan un conjunto fijo, seleccionado y consistente de parches implementados, es importante implementar una solución para respaldar esto. Tanto SCC como PCUI verán el cambio de manifiesto del repositorio a medida que se publiquen nuevas actualizaciones, lo que puede generar inconsistencias en toda la flota de producción. Al introducir un repositorio privado que admite la puesta en escena, las cargas de trabajo de producción se pueden mantener en un estado coherente. Las nuevas actualizaciones se pueden probar sin afectar los entornos de producción.

 

Opciones de repositorio privado

Los clientes tienen dos opciones disponibles de SUSE.

Administrador de SUSE

Esto es más que un 'Repositorio' local. SUSE Manager [3] es la mejor solución de gestión de Linux de su clase diseñada para equipos de operaciones de TI y DevOps empresariales. Proporcionando la capacidad de parchear, configurar y auditar sus sistemas. También es compatible con la puesta en escena.

Herramienta de gestión de repositorios (RMT)

RMT  permite a los clientes crear un repositorio privado de actualizaciones de SUSE y actúa como un proxy del Centro de Clientes de SUSE, reflejando el contenido nuevo a medida que se publica.

Para los clientes interesados ​​en usar AWS Server Manager (SSM), es posible usar RMT como el repositorio de parches detrás de esta herramienta de administración.

¿Cómo refleja el repositorio privado los parches?

La instancia de repositorio privado reflejará el contenido del Centro de clientes de SUSE (SCC) en lugar de la infraestructura de actualización de la nube pública, la conectividad con el SCC puede ser a través de un AWS Internet Gateway en una subred pública o el tráfico puede fluir a través del centro de datos del cliente.

Vale la pena señalar que ambas soluciones se conectan directamente al Centro de Clientes de SUSE; existen tres requisitos previos clave para que los clientes de PAYG puedan conectar un repositorio privado al SCC.

  • Conectividad saliente como se ilustra arriba.
  • Una cuenta en el Centro de atención al cliente de SUSE
  • Es necesario que exista autorización de suscripción de SUSE en el SCC para los productos que se deben parchear. Cuando es necesario, algunos clientes optan por comprar este derecho de suscripción y utilizar una instancia de BYOS como repositorio privado.
    Exactamente qué suscripciones se requieren y cómo se adquieren depende de qué versiones de SUSE Linux se estén ejecutando (SLES o SLES para SAP) y qué herramienta de repositorio privado se utilice (SUSE Manager o RMT).
    Los clientes / socios pueden ponerse en contacto con SUSE en aws@suse.com para obtener ayuda con esto.

 

Conexión de instancias al repositorio privado.

Los clientes primero deben preparar las instancias bajo demanda para la conexión a un repositorio privado. Esto implica eliminar una pequeña cantidad de paquetes y entradas de configuración.

Elimine los paquetes que automatizan la configuración de la instancia Amazon EC2 para conectarse al servidor de actualización de la nube pública de SUSE.

cliente zypper rm cloud-Regionsrvnnzypper rm regionServiceClientConfigEC2

Elimine la entrada / etc / hosts para smt-ec2.susecloud.net. El software de automatización del cliente agrega la entrada del archivo de host para smt-ec2.susecloud.net, que es el servidor de actualización de la nube pública de SUSE. Dado que se está creando un servidor de repositorio privado, la entrada no será necesaria.

Elimine los siguientes directorios antes de registrar su instancia Amazon EC2 en su servidor de repositorio privado.

rm / etc / SUSEConnectnnrm /etc/zypp/credentials.d/*nnrm /etc/zypp/services.d/*nnrm / var / lib / cloudregister / *nn

Los enlaces a la documentación de cada una de las opciones del repositorio privado documentarán cómo registrar la instancia de SUSE en el repositorio privado de su elección.

Configuración del cliente de SUSE Manager

https://documentation.suse.com/suma/4.2/en/suse-manager/client-configuration/clients-pubcloud.html#_prepare_on_demand_images

RMT (SUSEConnect)

https://documentation.suse.com/sles/15-SP1/single-html/SLES-rmt/index.html#cha-rmt-mirroring

Ir al Blog