Domande frequenti su Amazon Linux 2

D: Cos'è Amazon Linux 2?

Amazon Linux 2 è un sistema operativo di Amazon Linux che offre un ambiente di applicazioni moderne con i miglioramenti più recenti provenienti dalla community di Linux e include supporto a lungo termine. Oltre ad Amazon Machine Images (AMI) e ai formati di immagine dei container, Amazon Linux 2 è disponibile come immagine della macchina virtuale per lo sviluppo e il test on-premise, consentendo di sviluppare, testare e certificare facilmente le applicazioni direttamente dall'ambiente di sviluppo locale.

D: Quando terminerà il supporto per Amazon Linux 2?

La data di scadenza del supporto (End of Life, EOL) di Amazon Linux 2 è stata prorogata di due anni dal 30/06/2023 al 30/06/2025 per garantire ai clienti tutto il tempo necessario per migrare alla versione successiva.

D: Quali differenze ci sono tra Amazon Linux 2 e Amazon Linux 2023?

Consulta la documentazione per ulteriori informazioni sulle principali differenze tra queste distribuzioni.

D: Quali sono i vantaggi dell'utilizzo di Amazon Linux 2?

Analogamente all'AMI Amazon Linux, Amazon Linux 2 supporta le più recenti funzionalità delle istanze Amazon Elastic Compute Cloud (Amazon EC2) e include pacchetti che consentono una facile integrazione con AWS. È ottimizzato per l'utilizzo su Amazon EC2 con una versione del kernel Linux più recente e adeguata. Di conseguenza, molti carichi di lavoro dei clienti offrono prestazioni migliori su Amazon Linux 2. Le offerte di Amazon Linux 2 garantiranno il supporto fino al 30 giugno 2025 con aggiornamenti di sicurezza e manutenzione. Amazon Linux 2 è disponibile come immagini di macchine virtuali on-premise che consentono lo sviluppo e il test locali.

D: Quali carichi di lavoro o casi d'uso sono supportati da Amazon Linux 2?

Amazon Linux 2 è adatto per un'ampia varietà di carichi di lavoro virtualizzati e containerizzati, come database, analisi dei dati, applicazioni di settore, applicazioni Web e desktop e altro ancora in contesti di produzione. È inoltre disponibile per l'utilizzo sulle istanze EC2 Bare Metal sia come sistema operativo bare metal che come host di virtualizzazione.

D: Quali sono i componenti principali di Amazon Linux 2?

I componenti principali di Amazon Linux 2 sono:

1. Un kernel Linux ottimizzato per le prestazioni su Amazon EC2.
2. Una serie di pacchetti principali tra cui systemd, GCC 7.3, Glibc 2.26, Binutils 2.29.1 che ricevono supporto a lungo termine (Long Term Support, LTS) da AWS.
3. Un canale aggiuntivo per tecnologie in rapida evoluzione che probabilmente verranno aggiornate frequentemente e al di fuori del modello di supporto a lungo termine (LTS).

D: In che modo Amazon Linux 2 è diverso dall'AMI Amazon Linux?
Le principali differenze tra Amazon Linux 2 e l'AMI Amazon Linux sono:

1. Amazon Linux 2 offre un supporto a lungo termine fino al 30 giugno 2025.
2. Amazon Linux 2 è disponibile come immagini di macchine virtuali per lo sviluppo e il test on-premise.
3. Amazon Linux 2 fornisce il servizio systemd e il gestore di sistemi, rispetto al sistema init System V presente nell'AMI Amazon Linux.
4. Amazon Linux 2 include un kernel Linux aggiornato, una libreria C, un compilatore e degli strumenti.
5. Amazon Linux 2 offre la possibilità di installare ulteriori pacchetti software tramite il meccanismo degli extra.

D: Come si inizia a utilizzare Amazon Linux 2 su AWS?

AWS fornisce un'Amazon Machine Image (AMI) per Amazon Linux 2 che è possibile utilizzare per avviare un'istanza dalla console Amazon EC2, dall'SDK AWS e dalla CLI. Consulta la documentazione di Amazon Linux per ulteriori dettagli.

D: Sono previsti costi associati all'esecuzione di Amazon Linux 2 su Amazon EC2?

No, non sono previsti costi aggiuntivi per l'utilizzo di Amazon Linux 2. Si applicano le tariffe standard di Amazon EC2 e AWS per l'esecuzione delle istanze Amazon EC2 e di altri servizi.

D: Quali tipi di istanze Amazon EC2 supporta Amazon Linux 2?

Amazon Linux 2 supporta tutti i tipi di istanze Amazon EC2 che supportano le AMI HVM. Amazon Linux 2 non supporta le istanze precedenti che richiedono funzionalità di paravirtualizzazione (PV).

D: Amazon Linux 2 supporta applicazioni e librerie a 32 bit?

Sì, Amazon Linux 2 supporta librerie e applicazioni a 32 bit. Se stai utilizzando una versione di Amazon Linux 2 lanciata prima del 04/10/2018, puoi eseguire uno "yum upgrade" per ottenere il supporto completo a 32 bit.  

D: Amazon Linux 2 è dotato di un desktop con interfaccia utente grafica (Graphical User Interface, GUI)?
Sì, l'ambiente desktop MATE è fornito come extra su Amazon Linux 2. Amazon WorkSpaces fornisce desktop cloud basati su Amazon Linux 2 con una GUI. Per ulteriori informazioni, clicca qui.

D: Posso visualizzare il codice sorgente per i componenti di Amazon Linux 2?

Sì. Lo strumento yumdownloader --source di Amazon Linux 2 fornisce l'accesso al codice sorgente per molti componenti.

D: Perché Python 2.7 fa ancora parte di Amazon Linux 2?

Continueremo a fornire patch di sicurezza critiche per Python 2 come previsto dal nostro impegno LTS per i pacchetti principali di Amazon Linux 2 (fino a giugno 2025), anche se la comunità Python upstream ha dichiarato la fine del ciclo di vita di Python 2.7 a gennaio 2020.

D: È consigliabile migrare il codice a Python 3 ed evitare Python 2.7?

Consigliamo vivamente ai nostri clienti di installare Python 3 sui loro sistemi Amazon Linux 2 e di migrare il codice e le applicazioni su Python 3.

D: Amazon Linux 2 si sta allontanando da Python 2.7?

Non è prevista alcuna modifica dell'interprete Python predefinito. È nostra intenzione mantenere Python 2.7 come impostazione predefinita per tutta la vita di Amazon Linux 2. Se necessario, eseguiremo il backport delle correzioni di sicurezza ai nostri pacchetti Python 2.7.

D: Perché Amazon Linux 2 non abbandona Python 2.7 per il gestore di pacchetti "yum" o non passa a DNF, che è basato su Python 3?

Durante una versione LTS del sistema operativo, il rischio di apportare modifiche fondamentali, sostituire o aggiungere un altro gestore di pacchetti è estremamente elevato. Pertanto, nel pianificare la migrazione di Python 3 per Amazon Linux, abbiamo deciso di farlo attraverso un limite di rilascio principale anziché all'interno di Amazon Linux 2. Si tratta di un approccio condiviso da altre distribuzioni Linux basate su RPM, anche quelle senza impegni LTS.

D: In che misura kernel 5.10 è diverso da kernel 4.14?

Kernel 5.10 offre una serie di miglioramenti delle funzionalità e delle prestazioni, tra cui ottimizzazioni per i processori Intel Ice Lake e Graviton 2 che supportano le istanze EC2 di ultima generazione.

Dal punto di vista della sicurezza, i clienti traggono vantaggio da WireGuard VPN, che aiuta a configurare una rete privata virtuale efficace con una superficie di attacco ridotta e consente la crittografia con un sovraccarico inferiore. Kernel 5.10 include anche una funzionalità di blocco del kernel per impedire modifiche non autorizzate della sua immagine e una serie di miglioramenti BPF, incluso il CO-RE (Compile Once - Run Everywhere, ovvero 'compila una volta - esegui dappertutto').

I clienti con operazioni di input-output intensive trarranno vantaggio dal miglioramento delle prestazioni di scrittura, dalla condivisione più sicura degli anelli io_uring tra i processi per operazioni di input-output più veloci e dal supporto del nuovo sistema exFAT per una migliore compatibilità con i dispositivi di archiviazione. Con l'aggiunta di MultiPath TCP (MPTCP), i clienti con diverse interfacce di rete possono combinare tutti i percorsi di rete disponibili per aumentare la velocità di trasmissione effettiva e ridurre gli errori di rete.

D: Cosa è incluso nel supporto a lungo termine per Amazon Linux 2?

Il supporto a lungo termine per Amazon Linux 2 si applica solo ai pacchetti principali e include i seguenti servizi:
1) AWS fornirà aggiornamenti di sicurezza e correzioni di bug per tutti i pacchetti principali fino al 30 giugno 2025.
2) AWS manterrà la compatibilità dell'Application Binary Interface (ABI) nello spazio utente per i seguenti pacchetti principali:

elfutils-libelf, glibc, glibc-utils, hesiod, krb5-libs, libgcc, libgomp, libstdc++, libtbb.so, libtbbmalloc.so, libtbbmalloc_proxy.so, libusb, libxml2, libxslt, pam, audit-libs, audit-libs-python, bzip2-libs, c-ares, clutter, cups-libs, cyrus-sasl-gssapi, cyrus-sasl-lib, cyrus-sasl-md5, dbus-glib, dbus-libs, elfutils-libs, expat, fuse-libs, glib2, gmp, gnutls, httpd, libICE, libSM, libX11, libXau, libXaw, libXext, libXft, libXi, libXinerama, libXpm, libXrandr, libXrender, libXt, libXtst, libacl, libaio, libatomic, libattr, libblkid, libcap-ng, libdb, libdb-cxx, libgudev1, libhugetlbfs, libnotify, libpfm, libsmbclient, libtalloc, libtdb, libtevent, libusb, libuuid, ncurses-libs, nss, nss-sysinit, numactl, openssl, p11-kit, papi, pcre, perl, perl-Digest-SHA, perl-Time-Piece, perl-libs, popt, python, python-libs, readline, realmd, ruby, scl-utils, sqlite, systemd-libs, systemtap, tcl, tcp_wrappers-libs, xz-libs, e zlib

3) AWS fornirà la compatibilità dell'Application Binary Interface (ABI) per tutti gli altri pacchetti principali, a meno che tale compatibilità non sia impossibile per motivi indipendenti da AWS.

D: Amazon Linux 2 mantiene la compatibilità ABI nello spazio del kernel?
No, Amazon Linux 2 non mantiene la compatibilità ABI nello spazio del kernel. Se viene apportata una modifica nel kernel Linux upstream che compromette la stabilità dell'ABI, le applicazioni che fanno capo a driver del kernel di terze parti potrebbero richiedere ulteriori modifiche.

D: AWS offre soluzioni di sicurezza backport per Amazon Linux 2?
Sì. Amazon rimuove regolarmente le correzioni dalla versione più recente dei pacchetti software upstream e le applica alla versione del pacchetto su Amazon Linux 2. Durante questo processo, Amazon isola la correzione da qualsiasi altra modifica, assicura che le correzioni non comportino effetti collaterali indesiderati e poi applica le correzioni.

D: Le politiche di supporto a lungo termine si applicano agli argomenti aggiuntivi?
I contenuti degli argomenti aggiuntivi sono esenti dalla politica di Amazon Linux sul supporto a lungo termine e sulla compatibilità binaria. Gli argomenti aggiuntivi forniscono l'accesso a un elenco curato di tecnologie in rapida evoluzione e probabilmente verranno aggiornati frequentemente. Con il rilascio di nuove versioni di pacchetti negli argomenti aggiuntivi, il supporto verrà fornito solo per i pacchetti più recenti. Nel tempo, queste tecnologie continueranno a maturare e stabilizzarsi e potrebbero eventualmente essere aggiunte ai repository "principali" di Amazon Linux 2 a cui si applicano le politiche di supporto a lungo termine di Amazon Linux 2.

D: Verranno fornite build aggiuntive di Amazon Linux 2 dopo il rilascio delle build LTS?
Sì. Le nuove build faranno riferimento agli stessi repository e includeranno il set cumulativo di aggiornamenti di sicurezza e funzionalità per evitare la necessità di applicare aggiornamenti in sospeso.

D: Dove è possibile reperire aggiornamenti per Amazon Linux 2?
Gli aggiornamenti per Amazon Linux 2 sono forniti con un repository preconfigurato ospitato in ciascuna regione AWS. All'avvio di una nuova istanza, Amazon Linux tenta di installare qualsiasi aggiornamento di sicurezza dello spazio utente considerato critico o importante. Inoltre, è possibile abilitare o disabilitare l'installazione automatica di patch di sicurezza critiche e importanti al momento dell'avvio dell'istanza.

D: In che modo è possibile automatizzare l'applicazione di patch di sicurezza su Amazon Linux 2 su larga scala?

La Gestione patch di AWS Systems Manager funziona con Amazon Linux 2 per automatizzare il processo di patching delle istanze Amazon Linux 2 su larga scala. La Gestione patch può cercare le patch mancanti o cercarle e installarle su grandi gruppi di istanze. La Gestione patch di Systems Manager può essere utilizzata anche per installare patch per aggiornamenti diversi da quelli relativi alla sicurezza.

D: Quali opzioni di supporto premium sono disponibili per Amazon Linux 2?
Il supporto per l'utilizzo di Amazon Linux 2 su Amazon Web Services (AWS) è incluso tramite abbonamenti al Supporto AWS.

Attualmente, il Supporto AWS non copre l'utilizzo on-premise di Amazon Linux 2. Il forum e la documentazione di Amazon Linux 2 sono le principali fonti di supporto per l'utilizzo on-premise di Amazon Linux 2. È possibile pubblicare domande, segnalare bug e richiedere funzionalità nei forum di Amazon Linux 2.

D: È possibile eseguire un aggiornamento continuo da Amazon Linux 2 LTS Candidate 2 alla versione LTS di Amazon Linux 2?
Sì, è possibile un aggiornamento continuo da Amazon Linux 2 LTS Candidate 2 ad Amazon Linux 2. Tuttavia, eventuali modifiche nella build LTS finale potrebbero causare danni all'applicazione. Consigliamo di testare l'applicazione su una nuova installazione di Amazon Linux 2 prima di eseguire la migrazione.

D: AWS supporterà l'AMI Amazon Linux in futuro?

Sì. Per facilitare la migrazione ad Amazon Linux 2, AWS continuerà a offrire aggiornamenti di sicurezza per l'ultima versione di Amazon Linux e dell'immagine di container fino al 31 dicembre 2020. Inoltre, è possibile utilizzare tutti i canali di supporto esistenti come il Supporto AWS Premium e il Forum di discussione di Amazon Linux per continuare a inviare richieste di supporto.

D: Amazon Linux 2 è retrocompatibile con la versione esistente dell'AMI Amazon Linux?
A causa dell'inclusione di componenti come systemd in Amazon Linux 2, le applicazioni in esecuzione sulla versione attuale di Amazon Linux potrebbero richiedere modifiche aggiuntive per funzionare su Amazon Linux 2.

D: È possibile eseguire un aggiornamento sul posto da una versione esistente dell'AMI Amazon Linux ad Amazon Linux 2?
No, l'aggiornamento sul posto dall'immagine Amazon Linux esistente ad Amazon Linux 2 non è supportato. Consigliamo di testare l'applicazione su una nuova installazione di Amazon Linux 2 prima di eseguire la migrazione.

D: È possibile eseguire un aggiornamento in sequenza su istanze che eseguono AMI Amazon Linux verso Amazon Linux 2?
No, le istanze che eseguono Amazon Linux non verranno aggiornate ad Amazon Linux 2 con meccanismi di aggiornamento in sequenza. Pertanto, non vi è alcuna interruzione delle applicazioni esistenti. Per maggiori dettagli, consulta gli strumenti di migrazione e la documentazione di Amazon Linux.

D: Su quali piattaforme di virtualizzazione on-premise funziona Amazon Linux 2?
Le immagini delle macchine virtuali Amazon Linux 2 sono attualmente disponibili per le piattaforme di virtualizzazione KVM, Microsoft Hyper-V, Oracle VM VirtualBox e VMware ESXi per l'utilizzo in sviluppo e test. Stiamo cercando di ottenere la certificazione per queste piattaforme di virtualizzazione.

D: Come si inizia a utilizzare l'immagine della macchina virtuale Amazon Linux 2 in un ambiente di sviluppo locale?
È possibile scaricare un'immagine della macchina virtuale per ogni hypervisor supportato. Dopo aver scaricato l'immagine, segui la documentazione di Amazon Linux per iniziare.

D: Sono previsti costi associati all'esecuzione di Amazon Linux 2 on-premise?
No, non sono previsti costi aggiuntivi per l'esecuzione di Amazon Linux 2 on-premise.

D: È necessario un account AWS per eseguire Amazon Linux 2 on-premise?
No, non è necessario un account AWS per eseguire Amazon Linux 2 on-premise.

D: Quali sono i requisiti minimi di sistema per eseguire Amazon Linux 2?
Come minimo, Amazon Linux 2 richiede una macchina virtuale a 64 bit con 512 MB di memoria, 1 CPU virtuale e un BIOS emulato.

D: Le immagini VM on-premise di Amazon Linux 2 riceveranno aggiornamenti di sicurezza da AWS?
Sì, AWS fornirà aggiornamenti di sicurezza e correzioni di bug per tutti i pacchetti principali fino al 30 giugno 2025. Inoltre, AWS manterrà la compatibilità dell'Application Binary Interface (ABI) nello spazio utente per i seguenti pacchetti principali.

D: È possibile ricevere assistenza a pagamento da parte del Supporto AWS per le immagini delle macchine virtuali on-premise di Amazon Linux 2?
No, al momento il Supporto AWS non offre assistenza a pagamento per le macchine virtuali Amazon Linux 2 in esecuzione on-premise. Il supporto della community tramite i forum di Amazon Linux 2 è la principale fonte di assistenza per rispondere alle domande e risolvere i problemi derivanti dall'utilizzo on-premise. La documentazione di Amazon Linux 2 fornisce indicazioni per rendere operative le macchine virtuali e i container Amazon Linux 2, configurare il sistema operativo e installare le applicazioni.

D: In che modo Amazon Linux valuta le CVE?

Amazon Linux valuta le vulnerabilità ed esposizioni comuni (Common Vulnerabilities and Exposures, CVE) rinvenute attraverso il proprio processo interno, stima il rischio potenziale per i propri prodotti e intraprende azioni come il rilascio di un aggiornamento o di un avviso di sicurezza. Alle CVE viene assegnato un punteggio secondo il Common Vulnerability Scoring System (CVSS), un metodo standard per assegnare un punteggio e classificare la gravità delle vulnerabilità. La fonte principale per i dati CVE è il National Vulnerability Database (NVD). Inoltre, Amazon Linux raccoglie informazioni sulla sicurezza da altre fonti, come avvisi dei fornitori e report di clienti e ricercatori.

Ulteriori informazioni >>

D: Perché uno scanner di sicurezza segnala una CVE non corretta in un pacchetto Amazon Linux quando un Amazon Linux Security Advisory afferma che la CVE è stata corretta in quella versione?

Come la maggior parte delle distribuzioni Linux, Amazon Linux esegue regolarmente il backport delle correzioni di sicurezza alle versioni stabili dei pacchetti distribuite nei suoi repository. Quando questi pacchetti vengono aggiornati con un backport, il bollettino sulla sicurezza di Amazon Linux relativo al problema in questione elencherà le versioni specifiche del pacchetto in cui il problema è stato risolto per Amazon Linux. Gli scanner di sicurezza che si basano sul controllo delle versioni degli autori di un progetto a volte non rilevano che una determinata correzione CVE è stata applicata in una versione precedente. I clienti possono rivolgersi all'Amazon Linux Security Center (ALAS) per aggiornamenti su problemi e correzioni di sicurezza.

D: In che modo Amazon Linux comunica la gravità di un problema di sicurezza?

Amazon Linux Security comunica avvisi di sicurezza riguardo ai prodotti Amazon Linux sull'Amazon Linux Security Center (ALAS). Gli avvisi di sicurezza includono in genere l'ID dell'Avviso, la gravità del problema, l'ID della CVE, la panoramica degli avvisi, i pacchetti interessati e la correzione del problema. Le CVE a cui si fa riferimento nell'avviso avranno un punteggio CVSS (utilizziamo punteggi CVSSv3, ma i CVE precedenti al 2018 potrebbero avere un punteggio CVSSv2) e un vettore per i pacchetti interessati. Il punteggio è un valore decimale compreso tra 0 e 10, dove i punteggi più alti indicano una vulnerabilità più grave. Amazon Linux si allinea al punteggio del calcolatore CVSSv3 del framework aperto per determinare la metrica di base. La classificazione indica il modo in cui comunichiamo la gravità dei problemi di sicurezza ai nostri clienti. I clienti possono combinare queste valutazioni con le caratteristiche chiave del proprio ambiente per una valutazione del rischio più appropriata.

D: In che modo i clienti possono tenersi aggiornati sugli avvisi di sicurezza di Amazon Linux?

Amazon Linux offre avvisi di sicurezza utilizzabili da utenti e macchine, in cui il cliente può abbonarsi ai nostri feed RSS o configurare strumenti di scansione per analizzare l'HTML. I feed per i nostri prodotti sono disponibili qui:

Amazon Linux 1 / Amazon Linux 1 RSS
Amazon Linux 2 / Amazon Linux 2 RSS
Amazon Linux 2023 / Amazon Linux 2023 RSS
 

D: Che cos'è FIPS 140-2?

Il Federal Information Processing Standard (FIPS) 140-2 ha specificato i requisiti di sicurezza per i moduli crittografici che proteggono le informazioni sensibili. A settembre 2020, il Cryptographic Module Validation Program (CMVP) è passato a FIPS 140-3 e non accetta più invii FIPS 140-2 per nuovi certificati di convalida.
I moduli convalidati come conformi alla FIPS 140-2 continueranno ad essere accettati dalle agenzie federali di entrambi i paesi per la protezione delle informazioni sensibili (Stati Uniti) o delle informazioni designate (Canada) fino al 21 settembre 2026. Dopo tale periodo, il CMVP inserirà tutti i moduli convalidati FIPS 140-2 nell'elenco storico. 

D: Come posso abilitare FIPS su Amazon Linux 2?

Le istruzioni per abilitare la modalità FIPS sono disponibili in Abilita modalità FIPS.

D: Amazon Linux 2 FIPS è convalidato?

I moduli crittografici Amazon Linux 2 (moduli OpenSSL, Libgcrypt, NSS, GnuTLS, Kernel) sono convalidati FIPS 140-2. Per maggiori dettagli, visita il sito Web del CMVP.

D: Cos'è lo stato FIPS AL2?

D: Come posso essere conforme a FIPS su AL2 dopo ottobre 2024?

Le certificazioni FIPS AL2 verranno ritirate gradualmente a partire da ottobre 2024. È probabile che i moduli convalidati FIPS AL2 siano in stato storico prima che i moduli crittografici AL2023 completino le convalide FIPS. AWS consiglia di migrare ad AL2023 o di consultare il team addetto alla conformità sull'uso dei moduli convalidati FIPS AL2 in stato storico.

D: In quali ambienti operativi sono stati condotti i test di Amazon Linux 2?

AL2 OpenSSL, NSS, Libgcyprt, Kernel e GnuTLS sono convalidati FIPS 140-2 su Intel e Graviton. Per maggiori dettagli, consulta il sito Web del CMVP.

D: Cos'è Amazon Linux extras?

Extras è un meccanismo di Amazon Linux 2 che consente l'utilizzo di nuove versioni del software applicativo su un sistema operativo stabile supportato fino al 30 giugno 2025. Gli extra aiutano a mitigare il compromesso tra la stabilità del sistema operativo e la disponibilità di software aggiornati. Ad esempio, ora è possibile installare le versioni più recenti di MariaDB su un sistema operativo stabile supportato per cinque anni. Esempi di extra includono Ansible 2.4.2, memcached 1.5, nginx 1.12, Postgresql 9.6, MariaDB 10.2, Go 1.9, Redis 4.0, R 3.4, Rust 1.22.1.

D: Come funziona Amazon Linux extras?
Gli extra forniscono argomenti per selezionare i pacchetti software. Ogni argomento contiene tutte le dipendenze necessarie per l'installazione e il funzionamento del software su Amazon Linux 2. Ad esempio, Rust è un argomento extra nell'elenco curato fornito da Amazon. Fornisce la toolchain e i runtime per Rust, il linguaggio di programmazione dei sistemi. Questo argomento include il sistema di compilazione cmake per Rust, cargo - il gestore di pacchetti rust e la toolchain di compilazione per Rust basata su LLVM. I pacchetti associati a ciascun argomento vengono utilizzati con il noto processo di installazione yum.

D: Come si installa un pacchetto software dal repository Amazon Linux extras?
È possibile elencare i pacchetti disponibili con il comando amazon-linux-extras nella shell (interprete di comandi) di Amazon Linux 2. È possibile installare i pacchetti degli extra con il comando "sudo amazon-linux-extras install".

Esempio: $ sudo amazon-linux-extras install rust1

Consulta la documentazione di Amazon Linux per ulteriori dettagli su come iniziare a utilizzare Amazon Linux Extras.

D: I pacchetti inclusi negli extra verranno spostati nella versione principale con Supporto a lungo termine?
Nel tempo, le tecnologie aggiuntive in rapida evoluzione continueranno a maturare e stabilizzarsi e potrebbero essere aggiunte alla versione "principale" di Amazon Linux 2 a cui si applicano le politiche di Supporto a lungo termine.

D: Quali applicazioni di terze parti sono supportate per l'esecuzione su Amazon Linux 2?

Amazon Linux 2 dispone di una comunità di fornitori di software indipendenti (ISV) in rapida crescita, tra cui Chef, Puppet, Vertica, Trend Micro, Hashicorp, Datadog, Weaveworks, Aqua Security, Tigera, SignalFX e altri.

Sulla pagina Amazon Linux 2 è disponibile un elenco completo delle applicazioni ISV supportate

Per ottenere la certificazione della tua applicazione con Amazon Linux 2, contattaci.

D: Cos'è Kernel Live Patching su Amazon Linux 2?

Kernel Live Patching su Amazon Linux 2 è una funzionalità che consente di applicare sicurezza e correzioni di bug a un kernel Linux in esecuzione senza la necessità di riavviare. Le patch live per il kernel Amazon Linux vengono distribuite ai repository di pacchetti esistenti per Amazon Linux 2 e possono essere applicate utilizzando normali comandi yum come "yum update —security" quando la funzionalità è stata attivata.

D: Quali sono i casi d'uso per Kernel Live Patching su Amazon Linux 2?

I casi d'uso su cui si concentra Kernel Live Patching su Amazon Linux 2 includono:

• Applicazione di patch di emergenza per risolvere vulnerabilità di sicurezza ad alta gravità e bug di danneggiamento dei dati senza tempi di inattività del servizio.
• Applicazione degli aggiornamenti del sistema operativo senza attendere il completamento delle attività di lunga durata, la disconnessione degli utenti o gli intervalli di riavvio pianificati per applicare gli aggiornamenti di sicurezza.
• Accelerazione dell'implementazione delle patch di sicurezza eliminando i riavvii continui richiesti nei sistemi ad alta disponibilità

D: Quando AWS fornisce le patch live del kernel?

Solitamente, AWS fornisce le patch live del kernel per correggere le CVE, che considera critiche e importanti, per il kernel Amazon Linux 2 predefinito. Le classifiche stilate da Amazon Linux Security Advisory riguardo a criticità e importanza corrispondono generalmente a un punteggio CVSS (Common Vulnerability Scoring System) pari o superiore a 7. Inoltre, AWS fornirà anche patch live del kernel per alcune correzioni di bug per risolvere problemi di stabilità del sistema e potenziali problemi di danneggiamento dei dati. Una piccola quantità di problemi potrebbe non ricevere le patch live del kernel nonostante la loro gravità a causa di limitazioni tecniche. Ad esempio, le correzioni che modificano il codice assembly o modificano le firme delle funzioni potrebbero non ricevere patch live del kernel. I kernel su Amazon Linux 2 Extras e su qualsiasi software di terze parti non creato e gestito da AWS non riceveranno patch live del kernel.

D: Sono previsti costi associati all'utilizzo di Kernel Live Patching su Amazon Linux 2?

Forniamo patch live del kernel per Amazon Linux 2 gratuitamente.

D: In che modo è possibile utilizzare Kernel Live Patching su Amazon Linux 2?

Le patch live del kernel sono fornite da Amazon e possono essere utilizzate con il gestore di pacchetti yum e le utility di Amazon Linux 2 e della Gestione patch di AWS Systems Manager. Ogni patch live del kernel viene fornita come pacchetto RPM. Kernel Live Patching è attualmente disattivata per impostazione predefinita su Amazon Linux 2. È possibile utilizzare il plugin yum disponibile per abilitare e disabilitare Kernel Live Patching. È quindi possibile utilizzare i flussi di lavoro esistenti nella utility yum per applicare le patch di sicurezza, incluse le patch live del kernel. Inoltre, è possibile utilizzare la utility della linea di comando kpatch per enumerare, applicare e abilitare/disabilitare le patch live del kernel.

• "sudo yum install -y yum-plugin-kernel-livepatch" installa il plugin yum per la funzionalità di live patching del kernel su Amazon Linux.
• "sudo yum kernel-livepatch enable -y" abilita il plugin.
• "sudo systemctl enable kpatch.service" abilita il servizio kpatch, l'infrastruttura di live patching del kernel utilizzata su Amazon Linux.
• "sudo amazon-linux-extras enable livepatch" aggiunge gli endpoint del repository live patch del kernel.
• "yum check-update kernel" mostra l'elenco dei kernel disponibili da aggiornare.
• "yum updateinfo list" elenca gli aggiornamenti di sicurezza disponibili.
• "sudo yum update --security" installa le patch disponibili che includono le patch live del kernel disponibili come correzioni di sicurezza.
• "kpatch list" elenca tutte le patch live del kernel caricate.

D: La Gestione patch di AWS Systems Manager supporta l'applicazione di patch live?

Sì. È possibile utilizzare la Gestione patch di AWS SSM per automatizzare l'applicazione delle patch live del kernel senza la necessità di un riavvio immediato quando la patch è disponibile come patch live. Consulta la documentazione relativa alla Gestione patch di SSM per delle nozioni di base.

D: Dove si possono reperire dettagli sulle patch di sicurezza fornite tramite Kernel Live Patching?

AWS pubblica dettagli sulle patch live del kernel per correggere le vulnerabilità di sicurezza sull'Amazon Linux Security Center.

D: Ci sono delle restrizioni all'uso di Kernel Live Patching?

Quando si applica una patch live del kernel su Amazon Linux 2, non è possibile eseguire contemporaneamente l'ibernazione o utilizzare strumenti di debug avanzati, come SystemTap, kprobes, strumenti basati su eBPF, e accedere ai file di output ftrace utilizzati dall'infrastruttura di live patching del kernel.

D: Come si risolvono i problemi che possono verificarsi durante l'applicazione delle patch live del kernel ad Amazon Linux 2?

Se riscontri problemi con una patch live del kernel, disabilita la patch e informa il Supporto AWS o gli ingegneri di Amazon Linux tramite un post sui forum AWS.

D: Kernel Live Patching su Amazon Linux 2 elimina la necessità di riavvii per applicare completamente le patch di sicurezza?

Kernel Live Patching su Amazon Linux 2 non elimina completamente la necessità di riavviare il sistema operativo, ma offre una significativa riduzione dei riavvii per risolvere problemi di sicurezza importanti e critici al di fuori delle finestre di manutenzione pianificate. Ogni kernel Linux su Amazon Linux 2 riceverà patch attive per un massimo di circa 3 mesi dopo il rilascio di un kernel Amazon Linux. Dopo ogni trimestre, è necessario riavviare il sistema operativo nella versione più recente del kernel Amazon Linux per continuare a ricevere le patch live del kernel.

D: Su quali istanze EC2 e ambienti on-premise è supportata Kernel Live Patching con Amazon Linux 2?

Kernel Live Patching su Amazon Linux 2 è supportata su tutte le piattaforme x86_64 (AMD/Intel a 64 bit) su cui è supportato Amazon Linux 2. Questo include tutte le istanze HVM EC2, VMware Cloud su AWS, VMware ESXi, VirtualBox, KVM, Hyper-V e KVM. Le piattaforme basate su ARM non sono attualmente supportate.

D: AWS continuerà a fornire patch regolari ("non live") per gli aggiornamenti del sistema operativo forniti con le patch live del kernel?

Sì, AWS continuerà a fornire patch normali per tutti gli aggiornamenti del sistema operativo. In linea di massima, verranno fornite contemporaneamente sia le patch live normali che quelle del kernel.

D: Cosa succede se viene eseguito un riavvio su sistemi Amazon Linux 2 a cui è stata applicata una patch live del kernel?

Per impostazione predefinita, eseguendo un riavvio, le patch live del kernel vengono sostituite con normali equivalenti di patch "non live". È anche possibile eseguire riavvii senza sostituire le patch live del kernel con patch normali. Per ulteriori informazioni, consulta la documentazione di Kernel Live Patching per Amazon Linux 2.

D: Kernel Live Patching influisce sulla compatibilità ABI di Amazon Linux 2?

Kernel Live Patching su Amazon Linux 2 non modifica la compatibilità ABI del kernel di Amazon Linux 2.

D: Come si fa a ricevere assistenza premium per i problemi che possono verificarsi durante l'applicazione delle patch live del kernel?

I piani Business ed Enterprise per il Supporto AWS includono il supporto premium per tutte le funzionalità di Amazon Linux, compresa Kernel Live Patching. AWS supporta solo le patch live del kernel fornite da AWS e consiglia di contattare il fornitore per problemi con soluzioni di patch live del kernel di terze parti. Inoltre, AWS consiglia di utilizzare una sola soluzione di patch live del kernel su Amazon Linux 2.

D: In che modo verranno indicate le patch live del kernel nell'Amazon Linux Security Center?

Per ogni patch live del kernel apparirà una riga dedicata negli elenchi dell'Amazon Linux Security Center. La voce sarà identificata come, ad esempio, "ALASLIVEPATCH- <datestamp>" e il nome del pacchetto apparirà come "kernel-livepatch-<kernel-version>".

D: Per quanto tempo un kernel Amazon Linux riceve patch live?

Una versione del kernel riceverà patch live per circa 3 mesi. Amazon Linux fornirà patch live del kernel per gli ultimi 6 kernel rilasciati. Occorre tener presente che Kernel Live Patching sarà supportato solo sul kernel predefinito rilasciato su Amazon Linux 2. Il Kernel di nuova generazione negli Extra non riceverà le patch live del kernel.

Per scoprire se l'attuale kernel Linux continua a ricevere patch live o meno e quando termina la finestra di supporto, utilizza il seguente comando yum:

"yum kernel-livepatch supported"

D: Quali sono i flussi di lavoro yum supportati per Kernel Live Patching?

Il plugin yum per il live patching del kernel supporta tutti i flussi di lavoro normalmente supportati nella utility di gestione dei pacchetti yum. Ad esempio, "yum update", "yum update kernel", "yum update —security", "yum update all".

D: Le patch live del kernel sono firmate?

Gli RPM delle patch live del kernel sono firmati tramite chiavi GPG. Tuttavia, i moduli del kernel non sono attualmente firmati.