Вопросы и ответы по Amazon Linux 2
Общие вопросы
Вопрос. Что такое Amazon Linux 2?
Amazon Linux 2 — это операционная система Amazon Linux. Она предоставляет современную среду для приложений, в нее интегрированы самые свежие доработки от сообщества Linux. Еще одно ее преимущество — долгосрочная поддержка. Помимо форматов образов машины Amazon (AMI) и контейнеров, Amazon Linux 2 доступен в виде образа виртуальной машины для локальной разработки и тестирования. Это позволяет легко разрабатывать, тестировать и сертифицировать приложения прямо в локальной среде разработки.
Вопрос. Когда закончится поддержка Amazon Linux 2?
Дата окончания поддержки (EOL) Amazon Linux 2 была отсрочена на два года — с 30 июня 2023 года до 30 июня 2025 года, чтобы у клиентов было достаточно времени для перехода на следующую версию.
Вопрос. В чем разница между Amazon Linux 2 и Amazon Linux 2023?
Основные различия между версиями описаны в документации.
Вопрос. Каковы преимущества использования Amazon Linux 2?
Как и Amazon Linux AMI, Amazon Linux 2 поддерживает новейшие возможности инстансов эластичного облака вычислений Amazon (Amazon EC2) и содержит пакеты, обеспечивающие легкую интеграцию с AWS. Она оптимизирована для использования в Amazon EC2 за счет последней, настроенной версии ядра Linux. Благодаря этому многие рабочие нагрузки клиентов функционируют лучше в Amazon Linux 2. Предложения Amazon Linux 2 будут поддерживаться до 30 июня 2025 года с обновлениями безопасности и обслуживания. Amazon Linux 2 доступна в виде локальных образов виртуальных машин для локальной разработки и тестирования.
Вопрос. Какие рабочие нагрузки и варианты использования поддерживаются Amazon Linux 2?
Amazon Linux 2 подходит для широкого спектра виртуализированных и контейнерных рабочих нагрузок, таких как базы данных, аналитика данных, бизнес-приложения, веб-приложения и настольные приложения, а также для многих других применений в производственном контексте. ОС Amazon Linux 2 также доступна для использования на инстансах EC2 Bare Metal как в качестве платформы без операционной системы, так и в качестве хоста виртуализации.
Вопрос. Из каких основных компонентов состоит Amazon Linux 2?
Основные компоненты Amazon Linux 2:
- Ядро Linux, настроенное на производительность в Amazon EC2.
- Набор базовых пакетов, включая systemd, GCC 7.3, Glibc 2.26, Binutils 2.29.1, которые получают долгосрочную поддержку (LTS) от AWS.
- Дополнительный канал для быстро развивающихся технологий, которые, скорее всего, будут часто обновляться и выходить за рамки модели долгосрочной поддержки (LTS).
Вопрос. Чем Amazon Linux 2 отличается от Amazon Linux AMI?
Основные различия между Amazon Linux 2 и Amazon Linux AMI заключаются в следующем:
- Для Amazon Linux 2 предлагается долгосрочная поддержку до 30 июня 2025 г.
- Amazon Linux 2 доступен в виде образов виртуальных машин для локальной разработки и тестирования.
- Amazon Linux 2 содержит сервис systemd и менеджер систем, в то время как Amazon Linux AMI использует систему инициализации System V.
- Amazon Linux 2 поставляется с обновленным ядром Linux, библиотекой C, компилятором и инструментами.
- Amazon Linux 2 предоставляет возможность установки дополнительных пакетов программного обеспечения с помощью механизма дополнений.
Вопрос. Как начать использовать Amazon Linux 2 на AWS?
AWS предоставляет образ машины Amazon (AMI) для Amazon Linux 2, который можно использовать для запуска инстанса из консоли Amazon EC2, AWS SDK и интерфейса командной строки. Дополнительные сведения см. в документации Amazon Linux.
Вопрос. Понесем ли мы какие-либо расходы, связанные с запуском Amazon Linux 2 в Amazon EC2?
Нет, дополнительная плата за использование Amazon Linux 2 не взимается. За запуск инстансов Amazon EC2 и использование других сервисов AWS взимается стандартная плата Amazon EC2 и AWS.
Вопрос. Какие типы инстансов Amazon EC2 поддерживает Amazon Linux 2?
Amazon Linux 2 поддерживает все типы инстансов Amazon EC2, поддерживающие образы HVM AMI. Amazon Linux 2 не поддерживает старые инстансы, требующие функции паравиртуализации (PV).
Вопрос. Поддерживает ли Amazon Linux 2 32-разрядные приложения и библиотеки?
Да, Amazon Linux 2 поддерживает 32-разрядные приложения и библиотеки. Если вы используете версию Amazon Linux 2, выпущенную до 04.10.2018, вы можете запустить команду yum upgrade, чтобы получить полную поддержку 32-разрядных версий.
Вопрос. Amazon Linux 2 поставляется с рабочим столом с графическим интерфейсом пользователя (GUI) или без него?
Да, в качестве дополнения в Amazon Linux 2 предоставляется среда рабочего стола MATE. Amazon Workspaces предоставляет облачные настольные компьютеры на базе Amazon Linux 2 с графическим интерфейсом пользователя. Дополнительную информацию см. здесь.
Вопрос. Доступен ли для просмотра исходный код компонентов Amazon Linux 2?
Да. Инструмент yumdownloader --source в Amazon Linux 2 обеспечивает доступ к исходному коду для многих компонентов.
Вопрос. Почему Python 2.7 все еще является частью Amazon Linux 2?
Мы продолжим выпускать критические исправления уязвимости для Python 2 в соответствии с нашими обязательствами по LTS для двухъядерных пакетов Amazon Linux 2 (до июня 2025 года), несмотря на то, что сообщество разработчиков Python объявило об окончании поддержки Python 2.7 в январе 2020 года.
Вопрос. Должен ли я перенести свой код на Python 3 и отказаться от Python 2.7?
Мы настоятельно рекомендуем нашим клиентам установить Python 3 на свои системы Amazon Linux 2 и перенести свой код и приложения на Python 3.
Вопрос. Отказывается ли Amazon Linux 2 от Python 2.7?
Изменение интерпретатора Python по умолчанию не планируется. Мы намерены сохранить Python 2.7 в качестве интерпретатора по умолчанию на протяжении всего срока поддержки Amazon Linux 2. По необходимости мы будем добавлять исправления уязвимости в пакеты Python 2.7.
Вопрос. Почему Amazon Linux 2 не откажется от Python 2.7 для менеджера пакетов yum и не перейдет на DNF на базе на Python 3?
Во время выпуска LTS операционной системы риски, связанные с фундаментальными изменений, заменой или добавлением другого менеджера пакетов чрезвычайно высок. Таким образом, планируя перенос Amazon Linux на Python 3, мы решили сделать это с основным релизом — не в Amazon Linux 2. Этот подход разделяют и другие версии Linux на базе RPM, даже те, которые не предоставляют обязательств по LTS.
Вопрос. Чем ядро 5.10 отличается от ядра 4.14?
Ядро 5.10 содержит ряд функций и улучшений производительности, включая оптимизацию процессоров Intel Ice Lake и Graviton 2, на которых работают инстансы EC2 последнего поколения.
С точки зрения безопасности клиентам выгодно использовать WireGuard VPN, который помогает создать эффективную виртуальную частную сеть с низкой поверхностью атаки и обеспечивает шифрование с меньшими издержками. В ядре 5.10 также реализованы функция блокировки ядра для предотвращения несанкционированного изменения образа ядра и ряд улучшений BPF, включая CO-RE (Compile Once — Run Everywhere).
Клиенты с интенсивным использованием операций ввода-вывода получат преимущества в виде повышения производительности записи, безопасного совместного использования колец io_uring между процессами для ускорения ввода-вывода и поддержки новой системы exFAT для лучшей совместимости с устройствами хранения данных. Благодаря добавлению MultiPath TCP (MPTCP) клиенты с несколькими сетевыми интерфейсами могут комбинировать все доступные сетевые пути, повышая пропускную способность и сокращая количество отказов сети.
Долгосрочная поддержка
Вопрос. Что входит в долгосрочную поддержку Amazon Linux 2?
Долгосрочная поддержка Amazon Linux 2 распространяется только на базовые пакеты и включает:
1) AWS будет предоставлять обновления безопасности и исправления ошибок для всех пакетов в ядре до 30 июня 2025 года.
2) AWS будет поддерживать совместимость с двоичным интерфейсом приложений (ABI) в пользовательском пространстве для следующих пакетов в ядре:
elfutils-libelf, glibc, glibc-utils, hesiod, krb5-libs, libgcc, libgomp, libstdc++, libtbb.so, libtbbmalloc.so, libtbbmalloc_proxy.so, libusb, libxml2, libxslt, pam, audit-libs, audit-libs-python, bzip2-libs, c-ares, clutter, cups-libs, cyrus-sasl-gssapi, cyrus-sasl-lib, cyrus-sasl-md5, dbus-glib, dbus-libs, elfutils-libs, expat, fuse-libs, glib2, gmp, gnutls, httpd, libICE, libSM, libX11, libXau, libXaw, libXext, libXft, libXi, libXinerama, libXpm, libXrandr, libXrender, libXt, libXtst, libacl, libaio, libatomic, libattr, libblkid, libcap-ng, libdb, libdb-cxx, libgudev1, libhugetlbfs, libnotify, libpfm, libsmbclient, libtalloc, libtdb, libtevent, libusb, libuuid, ncurses-libs, nss, nss-sysinit, numactl, openssl, p11-kit, papi, pcre, perl, perl-Digest-SHA, perl-Time-Piece, perl-libs, popt, python, python-libs, readline, realmd, ruby, scl-utils, sqlite, systemd-libs, systemtap, tcl, tcp_wrappers-libs, xz-libs, и zlib
3) AWS будет обеспечивать совместимость с двоичным интерфейсом приложения (ABI) для всех других пакетов в ядре, за исключением случаев, когда обеспечение такой совместимости невозможно по не зависящим от AWS причинам.
Вопрос. Поддерживает ли Amazon Linux 2 совместимость ABI с пространством ядра?
Нет, Amazon Linux 2 не поддерживает совместимость ABI с пространством ядра. Если в исходном ядре Linux произошло изменение, нарушающее стабильность ABI, ваши приложения, использующие драйверы ядра сторонних производителей, могут потребовать дополнительных модификаций.
Вопрос. Бэкпортирует ли AWS обновления безопасности в Amazon Linux 2?
Да. Amazon регулярно вносит исправления в самую последнюю версию исходных пакетов программного обеспечения и применяет их к версии пакета в Amazon Linux 2. В ходе этого процесса Amazon изолирует исправление от любых других изменений, гарантируя, что исправления не повлекут за собой нежелательных побочных эффектов, после чего применяет исправления.
Вопрос. Распространяется ли политика долгосрочной поддержки на темы дополнений (extras topics)?
Содержание тем дополнений не подпадает под действие политики Amazon Linux в отношении долгосрочной поддержки и совместимости на уровне двоичного кода. Темы дополнений предоставляют доступ к курируемому списку быстро развивающихся технологий и, скорее всего, будут часто обновляться. При выпуске новых версий пакетов в темах дополнений поддержка будет предоставляться только для последних версий пакетов. Со временем эти технологии будут развиваться и стабилизироваться, и в конечном итоге могут быть добавлены в «базовые» репозитории Amazon Linux 2, к которым применяются политики долгосрочной поддержки Amazon Linux 2.
Вопрос. Будут ли предоставляться дополнительные сборки Amazon Linux 2 после выпуска сборок LTS?
Да. Новые сборки будут ссылаться на те же репозитории и содержать совокупный набор обновлений безопасности и функций, что позволит избежать необходимости установки обновлений.
Вопрос. Где найти обновления для Amazon Linux 2?
Обновления для Amazon Linux 2 поставляются вместе с предварительно настроенным репозиторием, размещенным в каждом регионе AWS. При первом запуске нового инстанса Amazon Linux пытается установить все обновления безопасности пользовательского пространства, которые считаются критическими или важными. Можно включить или отключить автоматическую установку критических и важных исправлений уязвимости во время запуска инстанса.
Вопрос. Как автоматизировать установку исправлений уязвимости в Amazon Linux 2 в больших масштабах?
Менеджер исправлений Менеджера систем AWS работает с Amazon Linux 2, что позволяет автоматизировать процесс установки исправлений для инстансов Amazon Linux 2 в любом масштабе. Менеджер исправлений может выполнять поиск недостающих исправлений или сканировать и устанавливать недостающие исправления для больших групп инстансов. Менеджер исправлений Менеджера систем также можно использовать для установки исправлений для обновлений, не связанных с безопасностью.
Вопрос. Какие варианты премиум-поддержки доступны для Amazon Linux 2?
Поддержка использования Amazon Linux 2 в Amazon Web Services (AWS) включена в подписку на поддержку AWS.
В настоящее время поддержка AWS не распространяется на локальное использование Amazon Linux 2. Форум Amazon Linux 2 и документация по Amazon Linux 2 являются основными источниками поддержки локального использования Amazon Linux 2. На форумах Amazon Linux 2 можно задавать вопросы, сообщать об ошибках и запрашивать новые возможности.
Поддержка версий-кандидатов Amazon Linux 2 LTS и Amazon Linux AMI
Вопрос. Можно ли выполнить последовательное обновление Amazon Linux 2 LTS Candidate 2 до LTS-версии Amazon Linux 2?
Да, последовательное обновление с Amazon Linux 2 LTS Candidate 2 до Amazon Linux 2 возможно. Однако изменения в окончательной сборке LTS могут привести к поломке вашего приложения. Перед переносом рекомендуется сначала протестировать приложение на новой установке Amazon Linux 2.
Вопрос. Будет ли AWS поддерживать Amazon Linux AMI в будущем?
Да. Для облегчения перехода на Amazon Linux 2 обновления безопасности для последней версии Amazon Linux и образ контейнера будут выходить до 31 декабря 2020 г. Вы по-прежнему можете отправлять запросы на поддержку с использованием всех существующих каналов поддержки, такие как поддержка AWS-премиум или дискуссионный форум Amazon Linux.
Вопрос. Является ли Amazon Linux 2 обратно совместимой с существующей версией Amazon Linux AMI?
В связи с включением в Amazon Linux 2 таких компонентов, как systemd, приложения, работающие в текущей версии Amazon Linux, для запуска в Amazon Linux 2 могут потребовать дополнительных изменений.
Вопрос. Можно ли выполнить обновление на месте с существующей версии Amazon Linux AMI до Amazon Linux 2?
Нет, обновление на месте с существующего образа Amazon Linux до Amazon Linux 2 не поддерживается. Перед переносом рекомендуется сначала протестировать приложение на новой установке Amazon Linux 2.
Вопрос. Можно ли выполнить последовательное обновление инстансов с Amazon Linux AMI до Amazon Linux 2?
Нет, инстансы под управлением Amazon Linux не обновятся до Amazon Linux 2 с помощью механизмов последовательного обновления. Соответственно, работа существующих приложений не будет прервана. Дополнительные сведения см. в документации Amazon Linux и инструментах миграции.
Локальное использование
Вопрос. На каких локальных платформах виртуализации работает Amazon Linux 2?
В настоящее время образы виртуальных машин Amazon Linux 2 доступны для разработки и тестирования на платформах виртуализации KVM, Microsoft Hyper-V, Oracle VM VirtualBox и VMware ESXi. Мы стремимся к сертификации для этих платформ виртуализации.
Вопрос. Как начать использовать образ виртуальной машины Amazon Linux 2 в локальной среде разработки?
Образ виртуальной машины для каждого поддерживаемого гипервизора доступен для загрузки. После загрузки образа следуйте документации Amazon Linux, чтобы приступить к работе.
Вопрос. Потребуются ли дополнительные расходы на локальный запуск Amazon Linux 2?
Нет, дополнительная плата за локальное использование Amazon Linux 2 не взимается.
Вопрос. Требуется ли аккаунт AWS для локальной работы Amazon Linux 2?
Нет, для локального запуска Amazon Linux 2 нет необходимости в аккаунте AWS.
Вопрос. Каковы минимальные системные требования для запуска Amazon Linux 2?
Amazon Linux 2 требует как минимум 64-разрядной виртуальной машины с 512 МБ памяти, 1 виртуальным процессором и эмулированной BIOS.
Вопрос. Будут ли локальные образы виртуальных машин Amazon Linux 2 получать обновления безопасности от AWS?
Да, AWS будет предоставлять обновления безопасности и исправления ошибок для всех пакетов в ядре до 30 июня 2025 года. Кроме того, AWS будет поддерживать совместимость с двоичным интерфейсом приложений (ABI) в пользовательском пространстве для следующих пакетов в ядре.
Вопрос. Можно ли получить платную поддержку локальных образов виртуальных машин Amazon Linux 2 от поддержки AWS?
Нет, в настоящее время AWS не предлагает платную поддержку виртуальных машин Amazon Linux 2, работающих локально. Основным источником поддержки в вопросах локального использования являются форумы Amazon Linux 2. Документация по Amazon Linux 2 содержит рекомендации по обеспечению работы виртуальных машин и контейнеров Amazon Linux 2, настройке ОС и установке приложений.
Безопасность Amazon Linux
Вопрос. Как Amazon Linux оценивает CVE?
Amazon Linux оценивает общие уязвимости и риски (CVE), обнаруженные в ходе внутреннего процесса, анализирует потенциальный риск для своих продуктов и принимает такие меры, как выпуск обновлений безопасности или рекомендаций. Общие уязвимости и риски оцениваются по системе оценки общих уязвимостей (CVSS), которая является стандартным методом анализа и ранжирования уязвимостей по степени серьезности. Основным источником данных об общих уязвимостях и рисках является Национальная база данных об уязвимостях (NVD). Amazon Linux также собирает информацию о безопасности из других источников, таких как рекомендации поставщиков и отчеты клиентов и исследователей.
Вопрос. Почему сканер безопасности сообщает о неустраненных рисках и уязвимостях в пакете Amazon Linux, если в рекомендациях по безопасности Amazon Linux утверждается, что в этой версии все они исправлены?
Amazon Linux, как и большинство дистрибутивов Linux, регулярно бэкпортирует исправления безопасности в стабильные версии пакетов, продаваемые в репозиториях. Когда эти пакеты обновляются с помощью бэкпортирования, в бюллетене по безопасности Amazon Linux по конкретной проблеме указываются конкретные версии пакетов, в которых проблема исправлена для Amazon Linux. Сканеры безопасности, использующие управление версиями от авторов проекта, иногда не видят, что данное исправление рисков и уязвимостей было применено к старой версии. За информацией о проблемах безопасности и их исправлениях клиенты могут обратиться в Центр безопасности Amazon Linux (ALAS).
Вопрос. Как Amazon Linux сообщает о серьезности проблемы безопасности?
Amazon Linux Security передает рекомендации по безопасности, затрагивающие продукты Amazon Linux, через Центр безопасности Amazon Linux (ALAS). Рекомендации по безопасности обычно включают идентификационный номер, степень серьезности проблемы, идентификатор риска или уязвимости, обзор рекомендаций, затронутые пакеты и пути устранения проблем. Риски и уязвимости, указанные в рекомендации, будут иметь оценку CVSS (мы используем оценку по CVSSv3, но риски и уязвимости старше 2018 года могут иметь оценку по CVSSv2) и вектор для затронутых пакетов. Оценка представляет собой значение от 0 до 10, где более высокий балл указывает на более серьезную уязвимость. Для определения базовой метрики Amazon Linux согласовывает оценку с калькулятором открытой платформы CVSSv3. Эту оценку мы предоставляем нашим клиентам, которые, сопоставляя ее с ключевыми характеристиками своей среды, адекватно оценивают риски.
Вопрос. Как оставаться в курсе рекомендаций по безопасности Amazon Linux?
Amazon Linux предоставляет машино- и человекочитаемые репозитории рекомендаций по безопасности. Вы можете подписаться на наши RSS-каналы или настроить инструменты парсинга HTML. Каналы для наших продуктов можно найти здесь:
Amazon Linux 1 / Amazon Linux 1 RSS
Amazon Linux 2 / Amazon Linux 2 RSS
Amazon Linux 2023 / Amazon Linux 2023 RSS
ВОПРОСЫ И ОТВЕТЫ ОБ AL2 FIPS
Вопрос. Что такое FIPS 140-2?
Федеральный стандарт обработки информации (FIPS), публикация 140-2, определяет требования к безопасности криптографических модулей для защиты конфиденциальных данных. С сентября 2020 года в рамках Программы проверки модулей шифрования (CMVP) используется стандарт FIPS 140‑3. Заявки на получение новых сертификатов проверки по стандарту FIPS 140-2 больше не принимаются.
Модули, проверенные на соответствие стандарту FIPS 140‑2, будут по-прежнему приниматься федеральными учреждениями по защите конфиденциальной информации (США) или назначенной информации (Канада) до 21 сентября 2026 года. По истечении этого времени все модули, проверенные CMVP по стандарту FIPS 140-2, будут помещены в список «История».
Вопрос. Как включить FIPS в Amazon Linux 2?
Инструкции по включению режима FIPS см. в соответствующем разделе здесь.
Вопрос. Проверена ли система Amazon Linux 2 на соответствие требованиям FIPS?
Криптографические модули Amazon Linux 2 (OpenSSL, Libgcrypt, NSS, GnuTLS и Kernel) прошли проверку на соответствие стандарту FIPS 140-2. Подробную информацию см. на веб-сайте CMVP.
Вопрос. Что такое статус AL2 FIPS?
Название криптографического модуля | Связанные пакеты | Статус | Номер сертификата | Дата истечения срока действия сертификата |
OpenSSL | openssl1.0.2k | Активный | 4548 | 22.10.2024 |
Libgcrypt | libgcrypt-1.5 | Активный | 3618 | 18.02.2025 |
NSS | nss-softokn-3.36/nss-softokn-freebl-3.36. |
Активный | 4565 | 19.04.2025 |
GnuTLS | gnutls-3.3 | Активный | 4472 | 19.04.2025 |
Kernel Crypto API | kernel-4.14 | Активный | 4593 | 13.09.2025 |
Вопрос. Как обеспечить соответствие модулей AL2 стандарту FIPS после октября 2024 года?
Действие сертификатов AL2 FIPS будут постепенно прекращаться, начиная с октября 2024 года. Вполне вероятно, что модули AL2, проверенные на соответствие стандарту FIPS, будут иметь статус «История» до завершения этой проверки для криптографических модулей AL2023. Специалисты AWS рекомендуют перейти на модули AL2023 или проконсультироваться со своей группой по соблюдению нормативных требований по использованию модулей AL2, проверенных на соответствие стандарту FIPS и имеющих статус «История».
Вопрос. В каких операционных средах проводилось тестирование Amazon Linux 2?
Модули AL2 OpenSSL, NSS, Libgcyprt, Kernel и GnuTLS были проверены на соответствие стандарту FIPS 140-2 в средах Intel и Graviton. Подробную информацию см. на веб-сайте CMVP.
Дополнения Amazon Linux
Вопрос. Что такое дополнения Amazon Linux?
Дополнения — это механизм Amazon Linux 2, позволяющий использовать новые версии приложений в стабильной операционной системе, поддерживаемой до 30 июня 2025 года. Дополнения помогают упростить поиск компромисса между стабильностью ОС и актуальностью доступного ПО. Например, теперь вы можете установить новые версии MariaDB в стабильной операционной системе, которая будет поддерживаться в течение пяти лет. Примеры дополнений: Ansible 2.4.2, memcached 1.5, nginx 1.12, Postgresql 9.6, MariaDB 10.2, Go 1.9, Redis 4.0, R 3.4, Rust 1.22.1.
Вопрос. Как работают дополнения Amazon Linux?
В дополнениях представлены темы для выбора пакетов программ. Каждая тема содержит все зависимости, необходимые для установки и работы ПО в Amazon Linux 2. Например, Rust — это тема дополнения в курируемом списке, предоставленном Amazon. Она предоставляет набор инструментов и среду выполнения для языка системного программирования Rust. Тема включает в себя систему сборки cmake для Rust, cargo — менеджер пакетов rust — и набор инструментов компилятора на основе LLVM для Rust. Пакеты, связанные с каждой темой, обрабатываются хорошо известным установщиком yum.
Вопрос. Как установить пакет программного обеспечения из репозитория дополнений Amazon Linux?
Список доступных пакетов можно отобразить с помощью команды amazon-linux-extras в оболочке Amazon Linux 2. Пакеты из дополнений можно установить с помощью команды sudo amazon-linux-extras install.
Пример: $ sudo amazon-linux-extras install rust1
Дополнительные сведения о начале работы с дополнениями Amazon Linux см. в документации по Amazon Linux.
Вопрос. Будут ли пакеты с дополнениями перенесены в «базовый» пакет с долгосрочной поддержкой?
Со временем перспективные технологии дополнений будут развиваться и стабилизироваться, и могут быть добавлены в «ядро» Amazon Linux 2, к которому применяется политика долгосрочной поддержки.
Поддержка вендоров ПО (ISV)
Вопрос. Какие сторонние приложения поддерживаются для запуска в Amazon Linux 2?
Пул вендоров ПО (ISV) Amazon Linux 2 быстро растет. Сейчас в него входят Chef, Puppet, Vertica, Trend Micro, Hashicorp, Datadog, Weaveworks, Aqua Security, Tigera, SignalFX и другие.
Полный список поддерживаемых приложений ISV доступен на странице Amazon Linux 2
Свяжитесь с нами, чтобы сертифицировать свое приложение на Amazon Linux 2.
Обновление ядра в реальном времени
Вопрос. Что представляет собой обновление ядра в реальном времени в Amazon Linux 2?
Обновление ядра в реальном времени в Amazon Linux 2 — это функция, которая позволяет применять обновления безопасности и исправления к работающему ядру Linux без необходимости перезагрузки. Обновления в реальном времени для ядра Amazon Linux поставляются в существующие репозитории пакетов для Amazon Linux 2 и могут быть применены с помощью обычных команд yum, таких как yum update —security после активации этой функции.
Вопрос. Каковы примеры использования обновления ядра в реальном времени в Amazon Linux 2?
Мы можем привести следующие примеры использования обновления ядра в реальном времени в Amazon Linux 2:
- Экстренное обновление для устранения серьезных уязвимостей безопасности и ошибок, связанных с повреждением данных, без простоя сервиса.
- Обновление ОС без необходимости завершения длительных задач, выхода пользователей из системы или планирования перезагрузки для установки обновлений безопасности.
- Ускорение внедрения исправлений уязвимости за счет устранения необходимости непрерывных перезагрузок в системах с высокой доступностью
Вопрос. Когда AWS предоставляет обновления ядра в реальном времени?
Обычно AWS предоставляет обновления ядра в реальном времени для исправления общих рисков и уязвимостей (CVE), которые AWS считает критическими и важными для стандартного ядра Amazon Linux 2. Оценки советов по безопасности Amazon Linux для критических и важных уязвимостей в целом соответствуют баллу общей системы оценки уязвимостей (CVSS), равному 7 и выше. Кроме того, AWS предоставляет обновления ядра в реальном времени для некоторых исправлений, направленных на устранение проблем со стабильностью системы и потенциального повреждения данных. Существует некоторое количество проблем, для которых обновление ядра в реальном времен невозможно из-за технических ограничений, несмотря на их серьезность. Например, исправления, изменяющие код сборки или сигнатуры функций, могут не получать обновления ядра в реальном времени. Ядра дополнений Amazon Linux 2 и любого стороннего программного обеспечения, не созданного и не обслуживаемого AWS, также не будут получать обновления в реальном времени.
Вопрос. Взимается ли плата за обновление ядра в реальном времени в Amazon Linux 2?
Мы предоставляем обновление ядра в реальном времени для Amazon Linux 2 бесплатно.
Вопрос. Как использовать обновление ядра в реальном времени в Amazon Linux 2?
Обновления ядра в реальном времени предоставляются Amazon. Они обрабатываются менеджером пакетов yum, утилитами в Amazon Linux 2 и Менеджером исправлений Менеджера систем AWS. Каждое обновление ядра в реальном времени поставляется в виде пакета RPM. В данный момент обновление ядра в реальном времени в Amazon Linux 2 по умолчанию отключено. Для включения и отключения обновления ядра в реальном времени используйте доступный плагин yum. После включения используйте существующие рабочие процессы в утилите yum для применения исправлений уязвимости — теперь они будут применяться и для обновления ядра в реальном времени. Также для поиска, применения и включения/отключения обновлений ядра в реальном времени можно использовать утилиту командной строки kpatch.
- Команда sudo yum install -y yum-plugin-kernel-livepatch устанавливает плагин yum, который позволяет выполнять обновления ядра в реальном времени в Amazon Linux.
- Команда sudo yum kernel-livepatch enable -y включает плагин.
- Команда sudo systemctl enable kpatch.service включает сервис kpatch, инфраструктуру обновления ядра в реальном времени, используемую в Amazon Linux.
- Команда sudo amazon-linux-extras enable livepatch добавляет адреса репозитория обновления ядра в реальном времени.
- Команда yum check-update kernel отображает список доступных для обновления ядер.
- Команда yum updateinfo list перечисляет доступные обновления безопасности.
- Команда sudo yum update --security устанавливает доступные обновления, включая текущие обновления ядра (доступные как исправления уязвимости).
- Команда kpatch list выводит список всех загруженных обновления ядра в реальном времени.
Вопрос. Поддерживает ли Менеджер исправлений Менеджера систем (SSM) AWS установку обновлений в реальном времени?
Да. С помощью Менеджера исправлений SSM AWS можно автоматизировать применение обновлений ядра в реальном времени без немедленной перезагрузки, когда обновление в реальном времени будет доступно. Перед началом работы ознакомьтесь с документацией по Менеджеру исправлений SSM.
Вопрос. Где я могу получить подробную информацию об исправлениях уязвимости, предоставляемых с помощью обновления ядра в реальном времени?
AWS публикует сведения об обновлениях ядра в реальном времени для устранения уязвимостей безопасности в Центре безопасности Amazon Linux.
Вопрос. Существуют ли ограничения на использование обновления ядра в реальном времени?
При применении обновления ядра в реальном времени в Amazon Linux 2 нельзя переходить в режим гибернации или использовать сложные инструменты отладки, такие как SystemTap, kprobes, инструменты на основе eBPF, а также получать доступ к выходным файлам ftrace, используемым инфраструктурой обновления ядра в реальном времени.
Вопрос. Как устранить проблемы, которые могут возникнуть при обновлении ядра в реальном времени в Amazon Linux 2?
Если у вас возникли проблемы с обновлением ядра в реальном времени, отключите обновление и сообщите об этом в поддержку AWS или Amazon Linux Engineering на форуме AWS.
Вопрос. Устраняет ли обновление ядра в реальном времени в Amazon Linux 2 необходимость перезагрузки для применения исправлений уязвимости?
Обновление ядра в реальном времени в Amazon Linux 2 не устраняет необходимость перезагрузки ОС полностью, но значительно облегчает процесс и помогает решить важные и критические проблемы безопасности за пределами запланированных периодов обслуживания. Любое ядро Linux в Amazon Linux 2 будет получать обновления в реальном времени в течение примерно 3 месяцев после выпуска ядра Amazon Linux. Чтобы продолжать получать обновления ядра в реальном времени, раз 3 месяца ОС необходимо перезагружать на последнюю версию ядра Amazon Linux.
Вопрос. В каких инстансах EC2 и локальных средах поддерживается обновление ядра в реальном времени Amazon Linux 2?
Обновление ядра в реальном времени в Amazon Linux 2 поддерживается на всех платформах x86_64 (64-разрядные AMD/Intel), на которых поддерживается Amazon Linux 2. Сюда входят все инстансы HVM EC2, VMware Cloud на AWS, VMware ESXi, VirtualBox, KVM, Hyper-V и KVM. Платформы на базе ARM в настоящее время не поддерживаются.
Вопрос. Будет ли AWS продолжать предоставлять обычные (не в реальном времени) обновления ОС, поставляемые вместе с обновлениями ядра в реальном времени?
Да, AWS продолжит выпускать обычные обновления ОС. Как правило, обычные обновления предоставляются одновременно с обновлениями в реальном времени.
Вопрос. Что произойдет, если перезагрузить системы Amazon Linux 2, для которых было выполнено обновление ядра в реальном времени?
По умолчанию при перезагрузке обновления ядра в реальном времени заменяются эквивалентными обычными обновлениями. Можно также выполнять перезагрузку, не заменяя обновления в реальном времени обычными обновлениями. Дополнительные сведения см. в документации по обновлению ядра Amazon Linux 2 в реальном времени.
Вопрос. Влияет ли обновление ядра в реальном времени на совместимость Amazon Linux 2 с ABI?
Обновление ядра в реальном времени в Amazon Linux 2 не влияет на совместимость Amazon Linux 2 с ABI.
Вопрос. Как получить расширенную поддержку по проблемам, которые могут возникнуть при обновлении ядра в реальном времени?
Планы поддержки AWS для бизнеса и предприятий включают премиум-поддержку всех возможностей Amazon Linux, включая обновление ядра в реальном времени. AWS поддерживает только обновления, предоставляемые AWS, и в случае проблем с решениями сторонних разработчиков по обновлению ядра в реальном времени рекомендует обращаться к разработчикам. Также AWS рекомендует использовать только одно решение для обновления ядра в реальном времени в Amazon Linux 2.
Вопрос. Как будут отображаться обновления ядра в реальном времени в Центре безопасности Amazon Linux?
Для каждого обновления ядра в реальном времени в списках Центра безопасности Amazon Linux появится отдельная строка. Запись будет иметь идентификатор, например ALASLIVEPATCH-<дата>, а имя пакета будет выглядеть как kernel-livepatch-<версия-ядра>.
Вопрос. Как долго ядро Amazon Linux будет получать обновления в реальном времени?
Каждая версия ядра будет получать обновления в реальном времени примерно в течение 3 месяцев. Amazon Linux предоставляет обновления в реальном времени для последних 6 выпущенных ядер. Обратите внимание, что обновление ядра в реальном времени будет поддерживаться только ядром по умолчанию, выпущенным в Amazon Linux 2. Ядро следующего поколения в дополнениях не будет получать обновления в реальном времени.
Чтобы узнать, продолжает ли текущее ядро Linux получать обновления и когда закончится период поддержки, используйте следующую команду yum:
yum kernel-livepatch supported
Вопрос. Какие рабочие процессы yum поддерживаются для обновления ядра в реальном времени?
Плагин yum поддерживает для обновления ядра в реальном времени все рабочие процессы, которые обычно поддерживаются утилитой управления пакетами yum. Например, yum update, yum update kernel, yum update —security, yum update all.
Вопрос. Подписываются ли обновления ядра в реальном времени?
RPM обновлений ядра в реальном времени подписываются с помощью ключей GPG. Модули ядра в настоящее время не подписываются.
Получите мгновенный доступ к уровню бесплатного пользования AWS.
Начните разработку с помощью сервиса Amazon Linux 2 в Консоли управления AWS.