¿Por qué recibo errores cuando uso yum en mi instancia de EC2 que ejecuta Amazon Linux 1, Amazon Linux 2 o Amazon Linux 2023?

Descripción corta

Para determinar qué error se ha producido, utilice los mensajes de salida del comando yum. Es posible que reciba uno de los siguientes mensajes de error:

• «Connection timed out ABCD milliseconds»
• «HTTP Error 403 - Forbidden»
• «Could not resolve host: abcdexyz.$awsregion.$awsdomain»
• «HTTP Error 407 - Proxy Authentication Required»
• «Resolving timed out after 5000 milliseconds»

Resolución

Connection timed out ABCD milliseconds

Para solucionar este problema, compruebea que el grupo de seguridad adjunto a su instancia permita el tráfico HTTP o HTTPS saliente. Compruebe también que las listas de control de acceso a la red (ACL de la red) asociadas a la subred de su instancia permitan el tráfico HTTP o HTTPS saliente.

El siguiente ejemplo muestra una ACL de la red personalizada que permite el tráfico saliente en los puertos 80 y 443:

Inbound rules
Rule#    Type                    Protocol    Port Range    Source        Allow/Deny
100      Custom TCP Rule         TCP (6)     1024-65535    0.0.0.0/0     ALLOW
101      Custom TCP Rule         TCP (6)     1024-65535    ::/0          ALLOW
*        ALL Traffic             ALL         ALL           ::/0          DENY
*        ALL Traffic             ALL         ALL           0.0.0.0/0     DENY

Outbound rules
Rule #    Type                   Protocol    Port Range    Source       Allow/Deny
100       HTTP (80)              TCP (6)     80            0.0.0.0/0    ALLOW
101       HTTPS (443)            TCP (6)     443           0.0.0.0/0    ALLOW
102       HTTP (80)              TCP (6)     80            ::/0         ALLOW
103       HTTPS (443)            TCP (6)     443           ::/0         ALLOW
*         ALL Traffic            ALL         ALL           ::/0         DENY
*         ALL Traffic            ALL         ALL           0.0.0.0/0    DENY

Para acceder a los repositorios de Amazon Linux, la instancia debe utilizar una de las siguientes opciones de acceso a Internet en función de su configuración:

• Para una instancia en una subred pública, use una puerta de enlace de Internet.
• Para una instancia en una subred privada, use una puerta de enlace NAT o una instancia de NAT.
• Para una instancia en una subred pública o privada, utilice un punto de enlace de nube virtual privada (VPC) de Amazon Simple Storage Service (Amazon S3).
• Para una instancia en una subred privada con un proxy, agregue los siguientes parámetros al archivo de configuración para configurar yum para que utilice un proxy:

  proxy=http://proxy-server-IP-address:proxy_port
  proxy_username=proxy-user-name
  proxy_password=proxy-password

  Nota: Si ya ha configurado el proxy y utiliza el mismo archivo de configuración, la contraseña del proxy aparecerá en texto sin formato en el archivo. Sustituya proxy-port por el puerto que usa su proxy, proxy-user-name por su nombre de usuario de proxy y proxy-password por su contraseña de proxy. Para obtener más información, consulte Uso de yum con un servidor proxy en el sitio web de Fedora Project. Para Amazon Linux 1 y Amazon Linux 2, modifique el archivo /etc/yum.conf. Para Amazon Linux 2023, modifique el archivo /etc/dnf/dnf.conf.

Después de configurar la instancia, ejecute el siguiente comando curl para asegurarse de que la instancia pueda acceder al repositorio.

Amazon Linux 2023:

curl -I al2023-repos-us-east-1-de612dc2.s3.dualstack.us-east-1.amazonaws.com

Amazon Linux 1:

curl -I repo.us-east-1.amazonaws.com

Amazon Linux 2:

curl -I amazonlinux.us-east-1.amazonaws.com

Nota: En los comandos anteriores, sustituya us-east-1 por la región de AWS de la instancia.

El comando curl está preinstalado en todas las imágenes de máquina de Amazon (AMI). Sin embargo, no puede acceder a los repositorios de Amazon Linux sin credenciales y el comando curl no puede aceptar las credenciales de un repositorio yum. Al ejecutar el comando curl, recibe un mensaje de error de acceso denegado similar al del siguiente ejemplo:

$ curl -I amazonlinux.us-east-1.amazonaws.com
HTTP/1.1 403 Forbidden
x-amz-bucket-region: us-east-1
x-amz-request-id: xxxxxxxx
x-amz-id-2: xxxxxxxxxxxxx=
Content-Type: application/xml
Date: Thu, 17 Nov 2022 16:59:59 GMT
Server: AmazonS3

Use el comando curl para comprobar si el problema de tiempo de espera sigue ocurriendo. El mensaje de error de ejemplo muestra que se puede acceder a la red y que ya no se produce el problema de tiempo de espera.

HTTP Error 403 - Forbidden

Usa un punto de enlace de VPC

Si usa un punto de enlace de VPC de Amazon S3, asegúrese de que la política adjunta permita la llamada a la API s3:GetObject en función de su versión de Linux.

Amazon Linux 2023: arn:aws:s3:::al2023-repos-region-de612dc2/*

Amazon Linux 1: arn:aws:s3:::packages.region.amazonaws.com/* y arn:aws:s3:::repo.region.amazonaws.com/*

Amazon Linux 2: arn:aws:s3:::amazonlinux.region.amazonaws.com/ y arn:aws:s3:::amazonlinux-2-repos-region/

Nota: En los recursos anteriores, sustituya region por la región de su instancia.

Para obtener más información, consulte Puntos de enlace de puerta de enlace para Amazon S3.

Usa un proxy

Si usa un proxy para acceder a los repositorios de Amazon Linux, compruebe que el subdominio .amazonaws.com esté en la lista de permitidos de su configuración de proxy.

Usa un repositorio no compatible

Se muestra el siguiente error: «Error: Failed to download metadata for repo 'amazonlinux': GPG verification is activated, but GPG signature is not available. This may be an error or the repository does not support GPG verification.» Se trata de un problema conocido que se produce al activar repo_gpgcheck en los archivos del repositorio del directorio /etc/yum.repos.d/, por ejemplo, los archivos repository.repo o /etc/yum.conf. Los repositorios de Amazon Linux 2023 no tienen activada la firma de metadatos. Además, si usa esta configuración para repositorios no compatibles, es posible que se produzcan errores en las instalaciones de paquetes o en las actualizaciones del sistema operativo (SO). Como solución alternativa, abra el archivo repo del repositorio y establezca el valor de repo_gpgcheck para el repositorio en 0. Por ejemplo, establezca el valor en repo_gpgcheck=0.

Para obtener más información sobre esta situación, consulte [Bug] - not able to install/upgrade packages after activating repo_gpgcheck («[Bug]: no es posible instalar o actualizar los paquetes después de activar repo_gpgcheck») en el sitio web de GitHub.

Could not resolve host: abcdexyz.$awsregion.$awsdomain

El directorio /etc/yum/vars debe incluir las variables awsdomain y awsregion. Para comprobar que el directorio /etc/yum/vars define las variables de yum personalizadas, ejecute los siguientes comandos:

$ cat /etc/yum/vars/awsregion
us-east-1

$ cat /etc/yum/vars/awsdomain
amazonaws.com

Nota: Sustituya us-east-1 por la región de su instancia.

La instancia debe resolver el nombre de dominio de los repositorios de Amazon Linux. Para verificar la resolución de DNS de la instancia, ejecute los siguientes comandos:

$ dig amazonlinux.us-east-1.amazonaws.com

$ dig repo.us-east-1.amazonaws.com

$ dig al2023-repos-us-east-1-de612dc2

Nota: Sustituya us-east-1 por la región de su instancia.

Tenga en cuenta que las consultas al servidor DNS proporcionado por Amazon en la dirección IPv4 169.254.169.253 y en la dirección IPv6 fd00:ec2::253 se realizarán correctamente. Las consultas al servidor DNS proporcionado por Amazon a la dirección IP reservada situada en la base del rango de redes IPv4 de VPC más dos también se realizan correctamente. Solo se puede acceder a la dirección IPv6 en instancias de EC2 basadas en Nitro.

HTTP Error 407 - Proxy Authentication Required

Este problema se produce cuando el proxy no puede completar la solicitud porque yum o dnf no tienen las credenciales de autenticación correctas para el servidor proxy. Para configurar yum o dnf para que usen un proxy, modifique el archivo de configuración con los siguientes parámetros:

proxy=http://proxy-server-IP-address:proxy_port
proxy_username=proxy-user-name
proxy_password=proxy-password

Nota: Si ya ha configurado el proxy y utiliza el mismo archivo de configuración, la contraseña del proxy aparecerá en texto sin formato en el archivo. Sustituya proxy-port por el puerto que usa su proxy, proxy-user-name por su nombre de usuario de proxy y proxy-password por su contraseña de proxy. Para Amazon Linux 1 y Amazon Linux 2, modifique el archivo /etc/yum.conf. Para Amazon Linux 2023, modifique el archivo /etc/dnf/dnf.conf.

Problemas de tiempo de espera

Ejecute el siguiente comando para comprobar que el archivo /etc/resolv.conf incluye la dirección IP correcta para su servidor DNS:

cat /etc/resolv.conf
nameserver YourDNSIP

Para modificar el periodo de tiempo de espera predeterminado de 5000 ms, modifique el valor de tiempo de espera en el archivo de configuración de yum. Para obtener más información, consulte yum.conf en el sitio web die.net. Para Amazon Linux 2023, cambie el valor de metadata_expire en /etc/yum.repos.d/amazonlinux.repo para modificar el periodo de tiempo de espera.

Para usar un comando dig para comprobar la hora de la consulta, ejecute el siguiente comando:

$ dig repo.us-east-1.amazonaws.com | grep time

Nota: Sustituya us-east-1 por la región de su instancia.