Tôi có nên nâng cấp các gói kernel trên các phiên bản EC2 không?


18

Trên máy chủ EC2 của tôi, khi tôi làm sudo apt-get update && sudo apt-get upgrade, tôi thấy:

The following packages have been kept back:
  linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual

Tôi có nên đi trước và làm gì sudo apt-get install linux-ec2 linux-image-ec2 linux-image-virtual linux-virtualđể buộc các gói này được nâng cấp?


3
Hoặc làm apt-get update && apt-get upgrade && apt-get dist-upgrade. Điều đó sẽ nâng cấp các gói giữ lại.
Mark Russell

Câu trả lời:


18

Câu trả lời ngắn gọn là, vâng, bạn nên cập nhật hệ thống của mình đối với các bản vá bảo mật.

Làm thế nào chính xác bạn tung ra các bản vá bảo mật phụ thuộc vào khả năng chịu rủi ro của bạn. Dưới đây là một số tùy chọn mà tôi đã sử dụng để trả lời câu hỏi này trong quá khứ:

  1. Áp dụng các bản nâng cấp cho một tập hợp các hệ thống QA bắt chước môi trường sản xuất của bạn và chạy tất cả các bài kiểm tra hồi quy của bạn để đảm bảo rằng các thay đổi không phá vỡ bất kỳ chức năng nào hoặc gây ra các vấn đề về hiệu suất. Khi bạn hài lòng, hãy tung ra các bản nâng cấp cho hệ thống sản xuất của bạn.

  2. Đợi một ngày và xem nếu có sự phản đối công khai về các vấn đề gây ra bởi các bản cập nhật. Nếu tất cả có vẻ yên bình, hãy nâng cấp hệ thống sản xuất của bạn.

  3. Áp dụng mọi bản vá bảo mật trên các hệ thống sản xuất của bạn ngay khi có sẵn.

Tôi đã sử dụng kết hợp cả ba cách tiếp cận này bằng Ubuntu và dần dần chuyển sang tùy chọn 3 trong những năm qua. Các bản vá bảo mật được kiểm tra kỹ lưỡng trước khi phát hành và rất cẩn thận để không phá vỡ chức năng hiện có. Tôi chưa bao giờ gặp sự cố khi nâng cấp trong các hình ảnh được Ubuntu hỗ trợ (mặc dù tôi đã từng gặp sự cố cách đây nhiều năm khi tôi đang sử dụng hạt nhân không phải Ubuntu với Ubuntu trên EC2).

Lưu ý rằng việc nâng cấp kernel cũng yêu cầu khởi động lại để áp dụng các thay đổi.

Kinh nghiệm và đề xuất ở trên chỉ áp dụng cho việc nâng cấp trong bản phát hành Ubuntu (ví dụ: 11.04). Nâng cấp lên bản phát hành Ubuntu mới là một nhiệm vụ lớn hơn và rủi ro hơn nhiều và chắc chắn cần phải thử nghiệm trước khi bạn đưa nó ra hệ thống sản xuất của mình.

Đây là một bài viết về chủ đề này vừa được RightScale xuất bản về cách quản lý nâng cấp bảo mật trong môi trường của họ:

http://blog.rightscale.com/2011/09/11/security-patching-in-the-rightscale-universe/


3
Câu trả lời tốt. Có lẽ thêm một lưu ý rằng việc nâng cấp kernel chỉ thực sự khả thi trên các phiên bản được hỗ trợ bởi EBS? Đó vẫn là trường hợp, phải không?
Mark Russell

3
Mark: Trước đây, đúng là các thể hiện của cửa hàng cá thể không thể nâng cấp hạt nhân của chúng, nhưng với việc phát hành paravirtualization một thời gian, các hạt nhân thực tế có thể được lưu trữ trên AMI chứ không phải AKI. Điều này có nghĩa là cá thể có thể nâng cấp kernel trên khối lượng EBS cục bộ của nó và để nó dính sau khi khởi động lại mặc dù nó sử dụng cùng một AKI. Tôi vừa thử nghiệm điều này với Ubuntu 11.04 (us-East-1 ami-e2af508b) và cá thể cửa hàng cá thể đã đưa ra đúng kernel mới hơn sau khi nâng cấp và khởi động lại.
Eric Hammond

2
sửa lỗi cho nhận xét trước đây của tôi: "cá thể có thể nâng cấp hạt nhân trên khối lượng gốc lưu trữ cá thể cục bộ của nó và giữ nó"
Eric Hammond
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.