GCEのOS自動更新について

運用開発グループのtateです。
このブログではGoogle Cloud(GCP)を利用していく上でちょっとしたトピックなどを紹介しております。
※本投稿は2022/12/21時点の情報です。

　GCEでGCPが提供しているイメージを利用している場合、いつの間にかパッケージが新しくなっていることがあります。これはGCPが提供するイメージではデフォルトで自動更新の機能が組み込まれているからです。
　公式サイトのオペレーティングシステムの詳細にある自動更新より、実装方法について確認することができます。

　今回は自動更新についてとRed Hat Enterprise Linux 8 (RHEL8)について、公式ドキュメントを確認してみようと思います。　

自動更新
デフォルトでは、このオペレーティング システムは、RHEL yum-cron ツールを使用してセキュリティ更新をインストールするように構成されています。更新は次のように行われます。

• オペレーティング システム ベンダーによるこうした自動更新では、オペレーティング システムのメジャー バージョン間でインスタンスのアップグレードは行われません。
• RHEL 7 以降、オペレーティング システムも、ベンダーがセキュリティ アップデートとしてマークした更新のみを適用するように構成されています。
• 一部のアップデートでは、反映するために再起動が必要です。この再起動は自動的には行われません

オペレーティングシステムの詳細
https://cloud.google.com/compute/docs/images/os-details?hl=ja#red_hat_enterprise_linux_rhel

　セキュリティに関する自動更新が行われるように構成されていることがわかります。RHELについてはyum-cronを利用して実装しているようです。再起動は自動的に行われないため、定期的に再起動を行う運用が必要なことがわかります。しかし、実際にRHEL8で確認するとyum-cronはインストールされていないことがわかります。そのため、改めてドキュメントを確認します。

イメージの構成
–中略–
パッケージとリポジトリの構成

• 自動更新は次のように有効になります。
• RHEL 7 の場合は、yum-cron を使用します。
• RHEL 8 以降の場合は、dnf automatic を使用します。
• すべてのバージョンで、update_cmd プロパティが security に設定されます。
• yum または dnf config ファイルでは IPv6 エンドポイントが無効になっています。

オペレーティングシステムの詳細
https://cloud.google.com/compute/docs/images/os-details?hl=ja#red_hat_enterprise_linux_rhel

　RHEL8の自動更新が「dnf automatic」によって制御されていることがわかりました。但し、どのような設定で行われいるのかはわかりません。このあたりはGCPのドキュメントにも記載が無いようです。
そのため、dnf automaticの設定についてはRHELドキュメントを参照する必要がありますが、このあたりは次回設定について深堀をしてみたいと思います。

12.5.6. ソフトウェア更新の自動化
パッケージの更新の確認とダウンロードを定期的に行うには、dnf-automatic パッケージの DNF Automatic ツールを使用できます。

12.5.6. ソフトウェア更新の自動化
https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/8/html/configuring_basic_system_settings/dnf-automatic-configuration-file_automating-software-updates

　今回はGCEのOS自動更新について紹介しました。GCEはIaaSであるためOSの管理はユーザ側で行う必要がありますので、責任共有モデルを理解した上でセキュリティ対策なども合わせて行うことが重要です。
　次回はdnf automaticについての深掘りやVM Managerによるパッチ管理などに触れていきたいと思います。