AWS - 폐쇄망 환경 EC2 커널 업데이트

 

개요

본문에서는 폐쇄망 환경에서 EC2 인스턴스 커널 업데이트 방법 및 절차에 대해 정리하였습니다.

 

Private 환경의 EC2 인스턴스에 접속하기 위해 별도로 EIC(EC2 Instance Connect) 엔드포인트(Endpoint)를 사전에 생성 해두었습니다.

---

 

 

1. 구성도

 

 

2. 테스트 환경 사전 확인

EC2 인스턴스가 위치한 서브넷이 연결된 라우팅 테이블의 경우 Local 외 존재하지 않음을 통해 인터넷 통신이 불가능함을 알 수 있습니다.

 

 

인터넷 통신이 불가능하기 때문에 아래와 같이 패키지 업데이트를 시도하여도 Timeout 에러가 발생함을 확인할 수 있습니다. 이 때문에 커널 업데이트도 불가능합니다.

sudo dnf update
uname -r

 

 

3. EC2 보안 그룹 아웃바운드 추가 및 확인

아래와 같이 EC2 보안 그룹에 HTTPS 트래픽 아웃바운드를 허용하는 룰을 추가합니다.

이는 Gateway 방식의 S3 Endpoint를 생성하여 Repositories 역할을 하는 S3 버킷과 통신하기 위함입니다.

만약, EC2 인스턴스가 위치한 VPC에 NACL이 적용되어 있다면 NACL 추가 설정 작업이 필요합니다.

 

 

4. S3 엔드포인트 생성

Gateway 방식의 S3 Endpoint 생성이 필요합니다. Endpoint 라우팅 테이블의 경우, EC2 인스턴스가 위치한 서브넷이 연결된 라우팅 테이블을 선택합니다.

 

 

이때 정책은 "전체 액세스" 방식을 선택하거나, 상세한 접근 제어가 필요한 경우 "사용자 지정" 방식을 선택할 수 있습니다.

아래는 "사용자 지정" 방식 예시입니다.

 

 

Amazon Linux 2023에 해당하는 인스턴스의 경우 al2023-repos-ap-northeast-2-de612dc2 S3 버킷에 대한 GetObject 권한을 허용하였습니다.

{
    "Version": "2008-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::al2023-repos-ap-northeast-2-de612dc2/*"
        }
    ]
}

 

 

Amazon Linux 버전에 따라 접근이 필요한 S3 버킷이 다릅니다.

Amazon Linux 2023	arn:aws:s3:::al2023-repos-[리전 코드]-de612dc2
Amazon Linux 2	arn:aws:s3:::amazonlinux.[리전 코드].amazonaws.com arn:aws:s3:::amazonlinux-2-repos-[리전 코드]
Amazon Linux 1	arn:aws:s3:::packages.[리전 코드].amazonaws.com arn:aws:s3:::repo.[리전 코드].amazonaws.com

 

 

5. 패키지 업데이트

sudo dnf update

 

 

sudo dnf upgrade --releasever=2023.3.20240205

 

 

grub2-editenv 명령어로 부팅 가능한 커널 버전 및 기본 부팅 커널 버전을 확인한 후, 재부팅하여 번경 내용을 적용합니다.

uname -r
sudo grub2-editenv list
reboot

 

 

재부팅 후, 커널 버전을 확인하면 업데이트가 정상적으로 적용 되었음을 알 수 있습니다.

uname -r

 

 

6. 참고

Update yum on my AL1 or AL2 EC2 instance without internet access

CentOS 7 커널 업데이트