Delen via

Verbindingsproblemen met Red Hat RHUI oplossen

Van toepassing op: ✔️ Virtuele Linux-machines

Onjuiste configuraties op de netwerklaag kunnen veelvoorkomende problemen veroorzaken in de Red Hat Update Infrastructure (RHUI). Dit artikel helpt u bij het identificeren en oplossen van enkele van deze problemen.

Overzicht

Toegang tot de door Microsoft Azure gehoste RHUI is beperkt tot virtuele machines (VM's) die zich binnen de IP-adresbereiken van het Azure Datacenter bevinden. Zie Red Hat Update Infrastructure voor on-demand Red Hat Enterprise Linux-VM's in Azure voor meer informatie.

Red Hat heeft deze door Azure gehoste RHUI-servers geconfigureerd om alleen verkeer van openbare IP-bereiken van Azure toe te staan. Vanwege deze installatie wordt geïmpliceerd dat als u een virtueel particulier netwerk (VPN) of een ander middel gebruikt om het verkeer tussen Azure en de door Azure gehoste RHUI-servers om te leiden, de door Azure gehoste RHUI-servers dat verkeer blokkeren.

Belangrijk

RHUI is alleen bedoeld voor betalen per gebruik (PAYG)-installatiekopieën. Voor gouden afbeeldingen, ook wel bring your own subscription (BYOS) genoemd, kunt u alleen updates ontvangen als het systeem is gekoppeld aan Red Hat Subscription Manager (RHSM) of Red Hat Satellite. Zie Hoe u een RHEL-systeem registreert en abonneert voor meer informatie.

Symptomen

De yum-opslagplaatslijst die RHUI beheert, wordt tijdens het inrichten geconfigureerd in uw Red Hat Enterprise Linux-exemplaar (RHEL). U hoeft geen extra configuratie uit te voeren. Voer gewoon yum update uit nadat uw RHEL-VM gereed is voor de nieuwste updates. Tijdens de yum update bewerking treedt er echter een time-out op voor de verbinding en ziet u een foutbericht dat lijkt op een van de volgende uitvoerreeksen:

  • Uitvoer 1

    https://rhui-3.microsoft.com/pulp/repos/microsoft-azure-rhel7/repodata/repomd.xml: [Errno 12] Time-out op https://rhui-3.microsoft.com/pulp/repos/microsoft-azure-rhel7/repodata/repomd.xml: (28, 'Er is een time-out opgetreden na 30000 milliseconden met 0 van 0 ontvangen bytes')

  • Uitvoer 2

    https://rhui4-1.microsoft.com/pulp/repos/content/dist/rhel8/rhui/8/x86_64/baseos/os/repodata/repomd.xml [OpenSSL-SSL_connect: SSL_ERROR_SYSCALL in verbinding met http://rhui4-1.microsoft.com:443 ]

  • Uitvoer 3

    FOUTOPSPORING: Curl-fout (28): Time-out is bereikt voor [Time-out van https://rhui-1.microsoft.com/pulp/repos/content/dist/rhel8/rhui/8/x86_64/baseos/os/repodata/repomd.xml bewerking na 30000 milliseconden met 0 van 0 ontvangen bytes] (https://rhui-1.microsoft.com/pulp/repos/content/dist/rhel8/rhui/8/x86_64/baseos/os/repodata/repomd.xml).

  • Uitvoer 4

    https://rhui-3.microsoft.com/pulp/repos/microsoft-azure-rhel7/repodata/repomd.xml: [Errno 14] curl#56 - "Network error recv()" [Errno 12] Time-out op https://rhui-3.microsoft.com/pulp/repos/microsoft-azure-rhel7/repodata/repomd.xml: (28, 'Time-out voor bewerking na 30000 milliseconden met 0 van 0 bytes ontvangen')

Controlelijst voor probleemoplossing

Probleemoplossing stap 1: IP-adressen bijwerken voor RHUI versie 4

Gebruikt u een netwerkconfiguratie (aangepaste firewall- of UDR-configuraties) om de toegang van RHEL-VM's met betalen per gebruik (PAYG) van https verder te beperken? Zorg er in dit geval voor dat de juiste IP-adressen van yum update werken, afhankelijk van uw omgeving. In de volgende tabel ziet u de IP-adressen die moeten worden gebruikt voor verschillende regio's in Azure Global voor RHUI versie 4.

Regio IP-adres
Europa -west 52.136.197.163
VS - zuid-centraal 20.225.226.182
VS - oost 52.142.4.99
Australië - oost 20.248.180.252
Azië - zuidoost 20.24.186.80

Notitie

  • Vanaf 12 oktober 2023 worden alle PAYG-clients in fase naar de RHUI 4 IP-adressen doorgestuurd in de komende twee maanden. Gedurende deze periode blijven de RHUI 3 IP-adressen in gebruik voor doorlopende updates, maar worden ze op een toekomstige datum verwijderd. Voor ononderbroken toegang tot pakketten en updates moet u bestaande routes en regels bijwerken die toegang tot de RHUI 3 IP-adressen toestaan, om te zorgen dat ze ook de RHUI 4 IP-adressen bevatten. Als u tijdens de overgangsperiode updates wilt blijven ontvangen, raden we u aan de RHUI 3 IP-adressen niet te verwijderen.

  • Alle PayG-instanties van Azure Government gebruiken dezelfde RHUI IP-adressen die eerder werden behandeld.

Problemen met stap 2 oplossen: een validatiescript uitvoeren

Azure maakt een validatiescript voor de RHUI-opslagplaats beschikbaar in GitHub. Een van de vele functies van het script is om de connectiviteit van de opslagplaatsserver te valideren en aanbevelingen te doen voor een oplossing als er een verbindingsfout wordt gedetecteerd. Dit Python-script heeft de volgende functies:

  • Valideert het RHUI-clientcertificaat.
  • Valideert consistentie RHUI rpm.
  • Controleert een consistentiecontrole tussen eus, configuratie van niet-EUS-opslagplaatsen en hun vereisten.
  • Valideert de connectiviteit met de RHUI-opslagplaatsen. Rapporteert dat de connectiviteit van de opslagplaats is geslaagd als er geen fouten worden waargenomen.
  • Valideert de SSL-connectiviteit met de RHUI-opslagplaatsen.
  • Richt zich uitsluitend in de RHUI-opslagplaatsen.
  • Valideert een gevonden fout met behulp van de gedefinieerde voorwaarden en biedt aanbevelingen voor een oplossing.

Ondersteunde Red Hat-installatiekopieën

Deze versie van het validatiescript ondersteunt momenteel alleen de volgende Red Hat-VM's die zijn geïmplementeerd vanuit de Azure Marketplace-installatiekopie:

  • RHEL 7.x PAYG-VM's
  • RHEL 8.x PAYG-VM's
  • RHEL 9.x PAYG-VM's
  • RHEL 10. x PAYG-VM's

Het validatiescript uitvoeren

Voer de volgende shellopdrachten in op een Red Hat-VM om het validatiescript uit te voeren:

  1. Als de virtuele machine internettoegang heeft, voert u het script van de VIRTUELE machine uit met behulp van de volgende opdracht:

    curl -sL https://raw.githubusercontent.com/Azure/azure-support-scripts/refs/heads/master/Linux_scripts/rhui-check/rhui-check.py | sudo python2 -

  2. Als de virtuele machine geen internettoegang heeft, downloadt u het RHUI-controlescript en brengt u het over naar de virtuele machine en voert u de volgende opdracht uit:

    sudo python2 ./rhui-check.py

Het script genereert een rapport dat specifieke problemen identificeert. De scriptuitvoer wordt ook opgeslagen na /var/log/rhuicheck.log de uitvoering. U kunt dat logboekbestand ook afzonderlijk inspecteren.

Oorzaak

De volgende lijst bevat de onderliggende oorzaken van RHUI-verbindingsfouten:

  • Door de gebruiker gedefinieerde routes (UDR's) zijn niet geconfigureerd om een IP-adres van de volgende hop naar internet te hebben.

  • UDR-regels zijn niet geconfigureerd voor toegang tot RHUI-versies op UDR-regels.

  • Er is een onjuiste of ontbrekende netwerkbeveiligingsgroep (NSG) geconfigureerd voor de netwerkinterface.

  • NSG-regels zijn niet geconfigureerd voor toegang tot RHUI-versies.

De volgende secties bevatten scenario's die ervoor kunnen zorgen dat deze onderliggende fouten optreden en ze geven een overzicht van oplossingen waarmee de verbindingsfouten worden opgelost.

Scenario 1: VM's zijn geconfigureerd voor het gebruik van een interne load balancer

Een interne load balancer biedt geen uitgaande connectiviteit wanneer deze is geconfigureerd voor netwerkinterfaces.

Oplossing 1a: een openbaar IP-adres toevoegen

Voeg een openbaar IP-adres toe in de netwerkinterface van de VM’s. Zie Een openbaar IP-adres koppelen aan een virtuele machine voor meer informatie.

Oplossing 1b: een externe load balancer gebruiken

Gebruik een externe Azure Load Balancer in plaats van een interne Azure Load Balancer. Zie Quickstart: Een openbare load balancer maken om taken van VM's te verdelen via Azure Portal voor meer informatie.

Oplossing 1c: Een NAT-gateway gebruiken in het subnet

Gebruik een NAT-gateway (Network Address Translation) in het subnet van de VM voor uitgaande toegang. Zie Azure NAT Gateway-resource voor meer informatie.

Oplossing 1d: een interne basic load balancer gebruiken

Downgraden om een interne basic load balancer te gebruiken in plaats van een interne standard load balancer.

Notitie

Deze oplossing is slechts een tijdelijke oplossing omdat de basisversie van de load balancer is gepland voor buitengebruikstelling. Zie Azure Basic Load Balancer wordt op 30 september 2025 buiten gebruik gesteld. Voer een upgrade uit naar Standard Load Balancer voor meer informatie.

Oplossing 1e: SNAT-regels gebruiken

Gebruik SNAT-regels (Source Network Address Translation). Zie SNAT gebruiken voor uitgaande verbindingen voor meer informatie.

Scenario 2: RHUI-server maakt verbinding met uw on-premises netwerk in plaats van een openbaar RHUI-IP-adres

Red Hat-VM's in Azure moeten verbinding maken met de RHUI-servers om de RHUI-opslagplaatsen te kunnen gebruiken en de updates te voltooien. Voor de verbinding moet de aanvraag worden verzonden naar RHUI-servers. In het scenario voor geforceerde tunneling (expressroute) of VPN mislukt de verbinding omdat de server verbinding maakt met uw on-premises netwerk in plaats van een openbaar RHUI-IP-adres.

Oplossing 2: Een UDR maken

Maak een UDR om het verkeer naar de RHUI-servers te routeren. In de volgende schermopname ziet u de UDR's die u moet maken in een routetabel in Azure Portal. De UDR's zijn gebaseerd op de globale Azure-regio's en IP-adressen die worden vermeld in stap 1: IP-adressen bijwerken voor RHUI versie 4. Zie Een routetabel maken, wijzigen of verwijderen voor meer informatie.

Schermopname van Azure Portal met een voorbeeld van een routetabel voor het maken van verbinding met verschillende Azure Global-regio's.

Scenario 3: Een Azure-firewall of virtueel apparaat bevindt zich tussen uw virtuele netwerk en internet

Er is mogelijk een Azure-firewall of virtueel apparaat dat fungeert als een beschermende barrière tussen uw virtuele Azure-netwerk en internet. Deze barrière dwingt beveiligingsbeleid af en biedt functies voor het effectief beheren en bewaken van verkeer door al het verkeer naar de firewall te verzenden. In dit geval blokkeert de firewall de communicatie met RHUI-servers.

Oplossing 3: Zorg ervoor dat de RHUI-IP-adressen toegankelijk zijn

Zorg ervoor dat de RHUI IP-adressen volledig toegankelijk zijn door de volgende acties uit te voeren:

  1. Controleer of de doel-RHUI-IP-adressen zijn toegestaan in firewallbeleid.

  2. Controleer of RHUI IP-adressen zijn toegestaan als SSL-inspectie (Secure Sockets Layer) actief is.

  3. Als er een NSG wordt gebruikt, moet u ervoor zorgen dat RHUI IP-adressen worden toegevoegd aan de acceptatielijst van de uitgaande regel van de netwerkinterface-NSG of subnet-NSG. De prioriteit moet hoger zijn dan de regel Block_Internet_Access_outbound.

Scenario 4: Een controlepuntfirewall voert een SSL-inspectie uit

Als de netwerkverkeersroute via een controlepuntfirewallapparaat gaat dat een SSL-inspectie uitvoert, kan dit proces de manier wijzigen waarop het RHUI-certificaat de communicatie met de RHUI-servers beïnvloedt.

Oplossing 4: RHUI IP-adressen en URL's toevoegen aan de acceptatielijst

Zorg ervoor dat de RHUI-IP-adressen en -URL's zijn opgenomen in de acceptatielijst als SSL-inspectie actief is.

Scenario 5: Er wordt een proxy gebruikt voor communicatie

Internetcommunicatie gaat via een klantproxy die van invloed is op de communicatie met de RHUI-servers.

Oplossing 5: De proxyconfiguratie-instellingen herstellen

Als een proxyserver is geconfigureerd in Microsoft Azure tussen de RHEL-VM en RHUI, gebruikt u de juiste proxyconfiguratie-instellingen in de bestanden /etc/yum.conf of /etc/dnf.conf, zoals wordt weergegeven in het volgende fragment:

Belangrijk

Als de geconfigureerde proxyserver een privé-IP-adres heeft, moet u ervoor zorgen dat deze verbinding heeft binnen de openbare Adresruimte van Azure.

proxy=http://myproxy.mydomain.com:3128
proxy_username=proxy-user
proxy_password=password

Belangrijk

als er geen proxyserver bestaat tussen de RHEL-VM en RHUI, zoekt en verwijdert u alle proxyconfiguratie-instellingen die zich in de bestanden /etc/yum.conf of /etc/dnf.conf bevinden.

Disclaimerinformatie van derden

De producten van derden die in dit artikel worden vermeld, worden vervaardigd door bedrijven die onafhankelijk zijn van Microsoft. Microsoft verleent dan ook geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of de betrouwbaarheid van deze producten.

Disclaimerinformatie van derden

Microsoft biedt contactgegevens van derden om u te helpen aanvullende informatie over dit onderwerp te vinden. Deze contactinformatie kan zonder voorafgaande kennisgeving worden gewijzigd. Microsoft garandeert niet de nauwkeurigheid van contactgegevens van derden.

Contacteer ons voor hulp

Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Azure-feedbackcommunity.