Translated message

A translation of this page exists in English.

Red Hat Content Delivery Network (CDN) 和权利网络的改进

已更新 -

概述

在 2026 年 1 月 14 日,红帽对我们的 CDN (cdn.redhat.com) 和授权网络(subscription.rhsm.redhat.com) 进行了很多改进。如果您需要维护运行 Red Hat Enterprise Linux 7.3 或更早版本的系统,或者您将防火墙配置为在允许列表中指定特定的 IP 地址来连接到红帽网络,则需要进行一些配置更改来注册系统和访问相关内容。

为什么要进行这些改进?

虽然我们以前的网络配置在过去已更新过多次,但在过去 10 多年内一直保持一个相对一致的环境。继续增强网络的安全性非常重要,但一些较旧的客户端可能不支持这些新功能,并最终导致无法拉取所需的内容。我们一直在网络改进和对客户可能会受到的影响之间进行平衡,我们认为现在是做出一些重要更改的好时机。这并不意味着我们不再顾及较旧的系统,但需要对这些系统进行一些手动更改才能继续工作。参阅"我需要做什么?"部分,了解更多相关信息。

发生了什么变化?

新的 CIDR 列表 - 对于需要在防火墙系统中通过在允许列表中使用特定 IP 地址与红帽服务进行通信的客户,我们会发布一组新的 IP 地址。由于我们做出的更改,这个新列表比之前要小,包括 IPv4 和 IPv6 地址,但客户端需要支持 TLS Server Name Indication (SNI)。旧的 CIDR 列表将仍然可以用于旧的 CDN 部署,传统的 Entitlement 部署将与 Red Hat Insights 平台共享相同的 CIDR 列表。如需 IP 地址的完整列表,请查看 CIDR 列表 kbase 文章

IPv6 - cdn.redhat.comsubscription.rhsm.redhat.com 现在开始公布 IPv6 以及传统的 IPv4 的 DNS。虽然在过去已在我们的 CDN 上支持 IPv6,但需要手动更改您的系统设置以指向 cdn6.redhat.com。cdn6.redhat.com 网络保留原样,系统可以继续使用它。但是,在进行这些更改后,我们建议重新配置它们来使用 cdn.redhat.com。

Elliptic Curve (EC) 证书 - 当客户端进行连接时,使用一个新的 Elliptic Curve 证书开始协商。此新证书类型提高了客户端和网络之间的加密强度。如果客户端不支持 Elliptic Curve 证书,它将回退到使用传统的 RSA 证书。传统部署仅服务 RSA 证书。

TLS 版本兼容性 - 我们的网络现在只支持 TLSv1.2 及更高版本。这有助于防止较早版本的协议中的安全弱点。

加密 -我们支持的加密列表有所变化,以排除几个弱加密机制。

我需要做什么?

大多数客户都不会受影响。 如果您管理运行 Red Hat Enterprise Linux 7.4 或更高版本、8.x、9.x 和 10.x 的系统,您的系统会自动使用增强的安全设置拉取内容而不会出现中断的情况。

如果您在允许列表中设置特定 IP 地址来使系统访问外部内容,则需要更新防火墙设置来包括新的 CIDR 列表,如 CIDR 列表 kbase 文章 中所述。

如果您管理运行 Red Hat Enterprise Linux 5、6 或 7.4 之前的 7.x 的系统需要连接到红帽网络(例如 subscription.rhsm.redhat.comcdn.redhat.com),则需要重新配置一些 RHSM 设置,以允许系统从旧部署拉取内容。

对于运行 7.4 之前版本的 RHEL 7 用户,升级到最新的 RHEL7 版本将允许您使用新的 CDN/Entitlement 网络,而无需使用旧的部署。

要重新配置您的系统,您可以在 /etc/rhsm/rhsm.conf 中手动编辑配置以使用新的主机名,如下所示:

[server]
hostname = subscription-legacy.rhsm.redhat.com

[rhsm]
baseurl = https://cdn-legacy.redhat.com

另外,您可以使用 subscription-manager 来完成相同的任务,如下所示:

$ sudo subscription-manager config \
    --server.hostname=subscription-legacy.rhsm.redhat.com \
    --rhsm.baseurl=https://cdn-legacy.redhat.com

受影响的系统和环境如果在 2026 年 1 月 14 日前没有进行这些更改,将无法访问 Red Hat CDN 并无法接收更新。

对 Satellite 和 Red Hat Update Infrastructure (RHUI) 的影响

Red Hat Satellite 和 Red Hat Update Infrastructure (RHUI) 不受这个更改的影响,除非您明确设置允许针对 Red Hat CDN 的 IP 地址。如果是这种情况,您需要配置防火墙来使其包含新的 CIDR 列表,如 CIDR 列表 kbase 文章中所述。

对使用 insights-client 和 Red Hat Lightspeed 服务客户的影响

一旦在 /etc/rhsm/rhsm.conf 中将主机名改为 subscription-legacy.rhsm.redhat.com 后,insights-client 将停止从 Red Hat Lightspeed 服务接收和报告更新(Inventory, Advisor, Remediations, ...)。在 RHEL 6 或 7.4 之前的 7.x 上使用不被支持。希望继续在这些版本的 RHEL 中使用 insights-client 的用户,需要将他们的系统注册到 Satellite 服务器。

对运行红帽的 RHEL6 长生命服务的客户的影响

运行通过 “Red Hat Enterprise Linux (Version 6) Extended Life Cycle Support Extension”订阅允许 RHEL 6 系统的客户将直接受到此更改的影响。使用这些订阅并将系统直接注册到红帽(不是注册到 Satellite)的用户,必须重新配置其系统,如 我需要做什么?一节所述。

对运行 virt-who 且覆盖 RHSM 连接设置的客户的影响

默认情况下,virt-who 从系统的 rhsm.conf 中继承其 RHSM 服务器连接设置,并不需要单独进行配置更改。

但是,如果 virt-who 配置 (/etc/virt-who.d configured.conf) 使用以下任何选项之一显式覆盖 RHSM 连接设置,用户可能需要更新或删除这些覆盖:

rhsm_hostname
rhsm_port
rhsm_prefix
rhsm_proxy_hostname / rhsm_proxy_port

这些覆盖应该更新为指向 subscription-legacy.rhsm.redhat.com或删除,以确保 virt-who 遵循系统的 RHSM 配置。

Comments