Red Hat コンテンツ配信ネットワーク (CDN) とエンタイトルメントネットワークのモダナイゼーション
目次
概要
2026 年 1 月 14 日、Red Hat は CDN (cdn.redhat.com) およびエンタイトルメントネットワーク (subscription.rhsm.redhat.com) にいくつかの変更を加えました。Red Hat Enterprise Linux 7.3 以前のシステムを運用している場合、または特定の IP アドレスが Red Hat ネットワークに接続できるようにファイアウォールを設定している場合は、システムの登録やコンテンツへのアクセスに際して設定変更が必要になることがあります。
変更の理由
これまでのネットワーク構成は、長年にわたり段階的な更新を行ってきましたが、過去 10 年以上にわたって比較的大きな変更のない環境で運用を続けてきました。ネットワークのセキュリティーを継続的に強化することは重要ですが、一部の古いクライアントはこれらの新機能をサポートしておらず、最終的にコンテンツを取得できなくなるなど、正常に動作しない状態に陥る可能性があります。利用状況の分析に基づき、ネットワークの強化とお客様への影響を最小限に抑えることの両立を検討してまいりました。その結果、今回いくつかの重要な変更を実施する段階に至りました。これは、旧世代のシステムを切り捨てるという意味ではありませんが、それらを従来どおりに機能させ続けるためには、一部手動での設定変更が必要となる可能性があります。詳細は、「対応が必要な項目」セクションを確認してください。
主な変更点
新しい CIDR リスト - Red Hat サービスと通信するためにファイアウォールシステムで特定の IP を許可リストに登録する必要があるお客様向けに、新しい IP アドレスセットを公開しています。今回のモダナイゼーションに伴い、新しいリストは以前よりも短くなり、IPv4 と IPv6 の両方のアドレスが含まれるようになりました。ただし、クライアント側で TLS Server Name Indication (SNI) をサポートしていることが必須となります。従来の CIDR リストは、CDN のレガシーデプロイメントをサポートするために引き続き維持されます。また、エンタイトルメントのレガシーデプロイメントは、Red Hat Insights プラットフォームと共通の CIDR リストを使用することになります。IP アドレスの完全なリストについては、ナレッジベースの記事 Public CIDR Lists for Red Hat (IP Addresses for cdn.redhat.com) を参照してください。
IPv6 - cdn.redhat.com と subscription.rhsm.redhat.com では、従来の IPv4 だけでなく IPv6 の DNS も公開されるようになりました。これまでも CDN で IPv6 をサポートしていましたが、利用するにはシステムのセットアップを手動で変更し、接続先を cdn6.redhat.com に指定する必要がありました。cdn6.redhat.com ネットワークは現状のまま維持されるため、システムは引き続き使用することができます。ただし、変更が適用されたため、cdn.redhat.com を使用するよう再設定することを推奨します。
楕円曲線 (EC) 証明書 - クライアントの接続時、新しい楕円曲線証明書を使用してネゴシエーションを開始するようになりました。この証明書タイプにより、クライアントとネットワーク間の暗号化の強度が向上します。クライアントが楕円曲線証明書をサポートしていない場合は、従来の RSA 証明書にフォールバックします。レガシーデプロイメントでは、RSA 証明書のみが提供されます。
TLS バージョンの互換性 - 当社のネットワークは現在、TLSv1.2 以上のみをサポートしています。これにより、プロトコルの旧バージョンに存在していたいくつかのセキュリティー上の脆弱性を防ぐことができます。
暗号化方式 - 脆弱な暗号を排除するため、サポート対象の暗号リストを更新しました。
対応が必要な項目
大多数のお客様は影響を受けていません。 Red Hat Enterprise Linux 7.4 以降、8.x、9.x、10.x を実行しているシステムを管理している場合、お客様のシステムは、中断することなく自動的に強化されたセキュリティー設定でコンテンツの取得を開始しています。
システムが外部コンテンツにアクセスできるように特定の IP を許可リストに登録する場合は、ナレッジベースの記事 Public CIDR Lists for Red Hat (IP Addresses for cdn.redhat.com) で説明されているように、ファイアウォールを更新して新しい CIDR リストを含める必要があります。
Red Hat Enterprise Linux 5、6、または 7.4 より前の 7.x を実行しているシステムを管理しており、それらを Red Hat ネットワーク (subscription.rhsm.redhat.com および cdn.redhat.com) に直接接続している場合、レガシーデプロイメントからコンテンツを取得できるよう、RHSM 設定の一部を 再設定する必要があります。
7.4 より前のバージョンを実行している RHEL 7 ユーザーの場合、最新の RHEL7 バージョンにアップグレードすると、レガシーデプロイメントを使用せずに、新しい CDN/エンタイトルメントネットワークを使用できるようになります。
システムを再設定するには、以下のように新しいホスト名を使用するように、/etc/rhsm/rhsm.conf の設定ファイルを手動で編集します。
[server]
hostname = subscription-legacy.rhsm.redhat.com
[rhsm]
baseurl = https://cdn-legacy.redhat.com
または、以下のように subscription-manager コマンドを使用して同様の作業を行うことも可能です。
$ sudo subscription-manager config \
--server.hostname=subscription-legacy.rhsm.redhat.com \
--rhsm.baseurl=https://cdn-legacy.redhat.com
2026 年 1 月 14 日の切り替えまでにこれらの変更を行わなかった影響対象のシステムおよび環境は、Red Hat CDN へのアクセスができなくなり、更新を受信できない状態になっています。
Satellite および Red Hat Update Infrastructure (RHUI) への影響
Red Hat Satellite および Red Hat Update Infrastructure (RHUI) はこの変更の影響を受けません。ただし、Red Hat CDN の IP アドレスを明示的に許可リストに登録している場合は例外です。その場合は、ナレッジベースの記事 Public CIDR Lists for Red Hat (IP Addresses for cdn.redhat.com) で説明されているように、ファイアウォール設定に新しい CIDR リストを含める必要があります。
insights-client および Red Hat Lightspeed サービスを利用しているお客様への影響
/etc/rhsm/rhsm.conf でホスト名が subscription-legacy.rhsm.redhat.com に変更されると、insights-client は Red Hat Lightspeed サービス (Inventory、Advisor、Remediations など) へのデータの報告および更新情報の受信を停止します。RHEL 6 または 7.4 より前の 7.x での使用はサポートされていません。RHEL のこれらのバージョンで insights-client を引き続き使用したいユーザーは、システムを Satellite Server に登録する必要があります。
RHEL 6 向けの Red Hat Long Life Offering を実行しているお客様への影響
Red Hat Enterprise Linux (バージョン 6) Extended Life Cycle Support Extension サブスクリプションファミリーの対象となる RHEL 6 システムを実行中のお客様は、この変更による 直接的 な影響を受けています。これらのサブスクリプションを所有し、システムが Red Hat に直接登録されている (つまり、Satellite に登録されていない) ユーザーは、対応が必要な項目 セクションで説明されているように、システムを 再設定する必要 があります。
RHSM 接続設定をオーバーライドして virt-who を実行しているお客様への影響
デフォルトでは、virt-who はシステムの rhsm.conf から RHSM サーバー接続設定を継承するため、個別の設定変更は必要ありません。
ただし、virt-who 設定 (/etc/virt-who.d/*.conf) が、以下のいずれかのオプションを使用して RHSM 接続設定を明示的にオーバーライドする場合、これらのオーバーライドの更新または削除が必要となる場合があります。
rhsm_hostname
rhsm_port
rhsm_prefix
rhsm_proxy_hostname / rhsm_proxy_port
これらのオーバーライドは、subscription-legacy.rhsm.redhat.com を指すように更新するか、virt-who がシステムの RHSM 設定に従うように削除する必要があります。
Comments