FAQ Amazon Linux 2

Amazon Linux 2 est un système d’exploitation Amazon Linux qui fournit un environnement d’applications moderne intégrant les dernières améliorations proposées par la communauté Linux ainsi qu’une prise en charge longue durée. Outre les formats Amazon Machine Images (AMI) et image de conteneur, Amazon Linux 2 est disponible sous forme d’image de machine virtuelle pour le développement et les tests sur site, ce qui vous permet de développer, tester et certifier facilement vos applications directement depuis votre environnement de développement local.

La date de fin du support d’Amazon Linux 2 (Fin de vie, ou EOL) est fixée au 30/06/2026.

Les clients doivent migrer vers Amazon Linux 2023 (AL2023) avant la fin du support de l’AL2 (EOS) le 30 juin 2026 [voir Q2]. AWS ne lancera pas de nouvelles versions d’Amazon Linux en 2025 ni en 2026. AWS fournira un préavis d’un an avant le lancement de nouvelles versions du système d’exploitation afin de vous aider à planifier vos migrations. AL2023 est la dernière version d’Amazon Linux qui offre des fonctionnalités de sécurité améliorées, notamment la certification FIPS, des versions de packages modernes, des performances améliorées et une assistance jusqu’en juin 2029. Pour connaître les meilleures pratiques en matière de migration vers AL2023, cliquez ici.

Veuillez consulter la documentation pour en savoir plus sur les principales différences entre ces distributions.

Amazon Linux 2 prend en charge les dernières fonctionnalités d’instance Amazon Elastic Compute Cloud (Amazon EC2) et inclut des packages qui permettent une intégration aisée avec AWS. Amazon Linux 2 est optimisé pour être utilisé dans Amazon EC2 avec la version du noyau Linux la plus récente et la plus ajustée. Par conséquent, de nombreuses charges de travail client sont plus performantes sur Amazon Linux 2. Amazon Linux 2 est disponible sous forme d’images de machine virtuelle sur site, ce qui permet un développement et des tests locaux.

Amazon Linux 2 convient à une grande variété de charges de travail virtualisées et conteneurisées, telles que les bases de données, les analytiques des données, les applications de secteur d’activité, les applications Web et de bureau, etc. et bien plus encore dans des contextes de production. Il peut également être utilisé sur les instances Bare Metal EC2 à la fois en tant que système d’exploitation en matériel nu et en tant qu’hôte de virtualisation.

Les composants de base d’Amazon Linux 2 sont les suivants :

1. Un noyau Linux optimisé pour améliorer les performances sur Amazon EC2.

2. Un ensemble de packages de base, dont systemd, GCC 7.3, Glibc 2.26, Binutils 2.29.1, qui bénéficient d'une prise en charge à long terme (LTS) de la part d'AWS.

3. Un canal supplémentaire pour les technologies en évolution rapide qui sont susceptibles d’être mises à jour fréquemment et en dehors du modèle prise en charge à long terme (LTS).

1. Amazon Linux 2 est disponible sous forme d’images de machine virtuelle pour le développement et les tests sur site.

2. Amazon Linux 2 fournit le service systemd et le gestionnaire de systèmes contrairement au système d'initialisation System V dans Amazon Linux AMI.

3. Amazon Linux 2 est fourni avec un noyau Linux mis à jour, une bibliothèque C, un compilateur et des outils.

4. Amazon Linux 2 permet d’installer des packages logiciels supplémentaires via le mécanisme des extras.

AWS fournit une Amazon Machine Image (AMI) pour Amazon Linux 2 que vous pouvez utiliser pour lancer une instance à partir de la console Amazon EC2, du kit SDK AWS et de l’AWS CLI. Veuillez consulter la documentation d’Amazon Linux pour plus de détails.

Non, il n’y a pas de frais supplémentaires pour l’exécution d’Amazon Linux 2. Les frais standard d’Amazon EC2 et d’AWS s’appliquent pour l’exécution des instances Amazon EC2 et des autres services.

Amazon Linux 2 prend en charge tous les types d’instances Amazon EC2 qui prennent en charge les AMI HVM. Amazon Linux 2 ne prend pas en charge les anciennes instances qui nécessitent une fonction de paravirtualisation (PV).

Oui, Amazon Linux 2 prend en charge les applications et bibliothèques 32 bits. Si vous utilisez une version d’Amazon Linux 2 lancée avant le 04/10/2018, vous pouvez exécuter « yum upgrade » pour bénéficier de la prise en charge 32 bits complète.  

Oui. L’outil yumdownloader --source d’Amazon Linux 2 permet d’accéder au code source de nombreux composants.

Nous continuerons à fournir des correctifs critiques de sécurité pour Python 2 conformément à notre engagement LTS pour les packages de base d’Amazon Linux 2, même si la communauté Python en amont a annoncé la fin de vie de Python 2.7 en janvier 2020.

Nous recommandons vivement à nos clients d’installer Python 3 sur leurs systèmes Amazon Linux 2 et de migrer leur code et leurs applications vers Python 3.

Il n’est pas prévu de modifier l’interpréteur Python par défaut. Nous avons l'intention de retenir Python 2.7 par défaut pendant toute la durée de vie d'Amazon Linux 2. Nous allons rétroporter les correctifs de sécurité vers nos packages Python 2.7 selon les besoins.

Lors d’une version LTS du système d’exploitation, le risque d’apporter des modifications fondamentales, de remplacer ou d’ajouter un autre gestionnaire de packages est extrêmement élevé. Ainsi, lors de la planification de notre migration vers Python 3 pour Amazon Linux, nous avons pris la décision d'effectuer cette migration à travers la limite entre d’une version majeure plutôt qu’à l'intérieur d'Amazon Linux 2. Il s’agit d’une approche partagée par d’autres distributions Linux basées sur RPM, y compris celles qui ne font pas l’objet d’engagement LTS.

Le noyau 5.10 apporte un certain nombre de fonctionnalité et d’améliorations des performances, dont des optimisations pour les processeurs Intel Ice Lake Graviton 2 qui alimentent la toute dernière génération d’instances EC2.

D’un point de vue sécurité, les clients bénéficient du VPN WireGuard qui permet de configurer un réseau privé virtuel efficace avec une faible surface d’attaque et qui permet le chiffrement avec frais moins élevés. Kernel 5.10 apporte aussi des fonctionnalités de verrouillage du noyau pour empêcher la modification non autorisée de l'image du noyau. Il apporte de même un certain nombre d'améliorations BPF, y compris le CO-RE (Compile Once - Run Everywhere).

Les clients dont les opérations intensives d'entrée-sortie bénéficieront de meilleures performances d'écriture, d'un partage plus sûr des anneaux io_uring entre les processus pour accélérer les opérations d'entrée-sortie et de la prise en charge du nouveau système exFAT pour une meilleure compatibilité avec les périphériques de stockage. Grâce à l’ajout du protocole MultiPath TCP (MPTCP), les clients disposant de plusieurs interfaces réseau peuvent combiner tous les chemins réseau disponibles pour augmenter le débit et réduire les défaillances réseau.

elfutils-libelf, glibc, glibc-utils, hesiod, krb5-libs, libgcc, libgomp, libstdc++, libtbb.so, libtbbmalloc.so, libtbbmalloc_proxy.so, libusb, libxml2, libxslt, pam, audit-libs, audit-libs-python, bzip2-libs, c-ares, clutter, cups-libs, cyrus-sasl-gssapi, cyrus-sasl-lib, cyrus-sasl-md5, dbus-glib, dbus-libs, elfutils-libs, expat, fuse-libs, glib2, gmp, gnutls, httpd, libICE, libSM, libX11, libXau, libXaw, libXext, libXft, libXi, libXinerama, libXpm, libXrandr, libXrender, libXt, libXtst, libacl, libaio, libatomic, libattr, libblkid, libcap-ng, libdb, libdb-cxx, libgudev1, libhugetlbfs, libnotify, libpfm, libsmbclient, libtalloc, libtdb, libtevent, libusb, libuuid, ncurses-libs, nss, nss-sysinit, numactl, openssl, p11-kit, papi, pcre, perl, perl-Digest-SHA, perl-Time-Piece, perl-libs, popt, python, python-libs, readline, realmd, ruby, scl-utils, sqlite, systemd-libs, systemtap, tcl, tcp_wrappers-libs, xz-libs, and zlib

Pour le moment, AWS Support ne couvre pas l’utilisation sur site d’Amazon Linux 2. Le forum Amazon Linux 2 et la documentation Amazon Linux 2 sont les principales sources d’assistance pour l’utilisation sur site d’Amazon Linux 2. Vous pouvez poser des questions, signaler des bugs et demander des fonctionnalités sur les forums Amazon Linux 2.

Oui. Pour faciliter la migration vers Amazon Linux 2, AWS fournira des mises à jour de sécurité pour la dernière version d’Amazon Linux et de l’image du conteneur jusqu’au 31 décembre 2020. Vous pouvez également utiliser tous vos canaux d’assistance existants tels queAWS Premium Support et le forum de discussion Amazon Linux pour continuer à soumettre des demandes d’assistance.

En savoir plus >>

Amazon Linux propose des avis de sécurité relatifs aux consommables humains et machines, dans lesquels les clients peuvent s’abonner à nos flux RSS ou configurer des outils de numérisation pour analyser le code HTML. Les flux pour nos produits sont disponibles ici :

Amazon Linux 1 / Amazon Linux 1 RSS
Amazon Linux 2 / Amazon Linux 2 RSS
Amazon Linux 2023 / Amazon Linux 2023 RSS

Extras est un mécanisme d’Amazon Linux 2 qui permet l’utilisation de nouvelles versions d’un logiciel d’application sur un système d’exploitation stable. Extras contribue à réduire le compromis entre stabilité du système d’exploitation et utilisation des logiciels disponibles dans leur dernière version. Par exemple, vous pouvez désormais installer les versions les plus récentes de MariaDB sur un système d’exploitation stable pris en charge pendant cinq ans. Parmi les exemples d’extras, citons tomcat9, memcached 1.5, Corretto 1.0.0_242, Postgresql 13, MariaDB 10.5, Go 1.9, Redis 6.0, R 4, Rust 1.38.0.

Extras fournit des rubriques permettant de sélectionner des offres de logiciels. Chaque rubrique contient toutes les dépendances nécessaires à l’installation et au fonctionnement du logiciel sur Amazon Linux 2. Par exemple, Rust est une rubrique extras dans la liste sélectionnée et fournie par Amazon. Cette rubrique fournit la chaîne d'outils et les environnements d'exécution nécessaires à Rust, le langage de programmation des systèmes. Celle-ci inclut le système de construction cmake pour Rust, cargo (le gestionnaire de packages Rust) et la chaîne d’outils de compilation basée sur LLVM pour Rust. Les packages associés à chaque rubrique sont utilisés avec le célèbre processus d’installation de yum.

Les packages disponibles peuvent être répertoriés à l’aide de la commande amazon-linux-extras dans le shell d’Amazon Linux 2. Les packages provenant d'extras peuvent être installés à l'aide de la commande « sudo amazon-linux-extras install ».

Example: $ sudo amazon-linux-extras install rust1

Consultez la documentation Amazon Linux pour plus de détails sur la prise en main d’Amazon Linux extras.

Au fil du temps, les technologies répertoriées dans extras évoluant rapidement vont continuer à de se perfectionner et de se stabiliser. Elles pourraient être ajoutées à la version « de base » d’Amazon Linux 2 auquel s’appliquent les politiques de support à long terme.

Amazon Linux 2 dispose d’une communauté de fournisseurs indépendants de logiciels (ISV) en pleine croissance, dont Chef, Puppet, Vertica, Trend Micro, Hashicorp, Datadog, Weaveworks, Aqua Security, Tigera, SignalFX, et bien d’autres encore.

Une liste complète des applications ISV prises en charge est disponible sur la page Amazon Linux 2

Pour faire certifier votre application avec Amazon Linux 2, contactez-nous.

La fonctionnalité de correctifs en direct du noyau dans Amazon Linux 2 est une fonctionnalité qui permet d’appliquer des correctifs de sécurité et de bugs à un noyau Linux en cours d’exécution sans avoir à le redémarrer. Les correctifs en direct du noyau Amazon Linux sont fournis aux référentiels de packages existants pour Amazon Linux 2 et peuvent être appliqués à l’aide de commandes yum classiques telles que « yum update —security » lorsque la fonctionnalité a été activée.

Les cas d’utilisation ciblés par les correctifs en direct du noyau dans Amazon Linux 2 incluent :

• Des correctifs d'urgence pour corriger les failles de sécurité les plus graves et les bugs de corruption de données sans interruption de service.

• L’application de mises à jour du système d'exploitation sans attendre la fin des tâches de longue durée, la déconnexion des utilisateurs ou les plages horaires de redémarrage prévues pour appliquer les mises à jour de sécurité.

• L’accélération du déploiement des correctifs de sécurité en éliminant les redémarrages progressifs requis dans les systèmes hautement disponibles

AWS fournit généralement des correctifs en direct du noyau pour corriger les CVE pour le noyau Amazon Linux 2 par défaut, lorsqu’elles sont notées comme critiques et importantes par AWS. Les notes critiques et importantes attribuées dans un avis de sécurité Amazon Linux correspondent généralement à un score de Système commun d'évaluation des vulnérabilités (CVSS) de 7 ou plus. En outre, AWS fournira également des correctifs en direct du noyau dans le cadre de certaines corrections de bugs afin de résoudre les problèmes de stabilité du système et les problèmes potentiels de corruption des données. Il se peut qu'un petit nombre de problèmes ne reçoivent pas les correctifs en direct du noyau malgré leur gravité en raison de limitations techniques. Par exemple, les correctifs qui modifient le code assembleur ou les signatures des fonctions peuvent ne pas recevoir de correctifs en direct du noyau. Les noyaux d’Amazon Linux 2 Extras et tout logiciel tiers qui n’est pas développé et diffusé par AWS ne recevront pas de correctifs en direct du noyau.

Nous fournissons gratuitement les correctifs en direct du noyau pour Amazon Linux 2.

Les correctifs en direct du noyau sont fournis par Amazon et peuvent être utilisés avec le gestionnaire de packages yum et les utilitaires d’Amazon Linux 2 ainsi que par le gestionnaire de correctifs d’AWS Systems Manager. Chaque correctif en direct du noyau est fourni sous la forme d'un package RPM. Les correctifs en direct du noyau sont actuellement désactivés par défaut dans Amazon Linux 2. Vous pouvez utiliser le plugin yum disponible pour activer et désactiver les correctifs en direct du noyau. Vous pouvez ensuite utiliser les flux de travail existants dans l'utilitaire yum pour appliquer des correctifs de sécurité, notamment des correctifs en direct du noyau. De plus, l'utilitaire de ligne de commande kpatch peut être utilisé pour énumérer, appliquer et activer/désactiver les correctifs en direct du noyau.

• « sudo yum install -y yum-plugin-kernel-livepatch » installe le plugin yum pour la fonctionnalité de correctifs en direct du noyau sur Amazon Linux.

• « sudo yum kernel-livepatch enable -y » active le plugin.

• « sudo systemctl enable kpatch.service » active le service kpatch, l'infrastructure des correctifs en direct du noyau utilisée dans Amazon Linux.

• « sudo amazon-linux-extras enable livepatch » ajoute les points de terminaison du référentiel de correctifs en direct du noyau.

• « yum check-update kernel » affiche la liste des noyaux disponibles pour une mise à jour.

• « yum updateinfo list » répertorie les mises à jour de sécurité disponibles.

• « sudo yum update --security » installe les correctifs disponibles, y compris les correctifs en direct du noyau disponibles en tant que correctifs de sécurité.

• « kpatch list » est utilisée pour répertorier tous les correctifs en direct du noyau chargés.

Oui. Vous pouvez utiliser le gestionnaire de correctifs d’AWS SSM pour automatiser l’application des correctifs en direct du noyau sans avoir à redémarrer immédiatement lorsque le correctif est disponible en tant que correctif en direct. Consultez la documentation du gestionnaire de correctifs d’AWS SSM pour commencer.

AWS publie des informations sur les correctifs en direct du noyau destinés à corriger les failles de sécurité du Amazon Linux Security Center.

Lorsque vous appliquez un correctif en direct du noyau dans Amazon Linux 2, vous ne pouvez pas exécuter simultanément une mise en veille prolongée, ni utiliser des outils de débogage avancés tels que SystemTap, kprobes, les outils basés sur eBPF et accéder aux fichiers de sortie ftrace utilisés par l’infrastructure de mise à jour en direct du noyau.

Si vous rencontrez des problèmes avec un correctif en direct du noyau, désactivez le correctif et informez-en AWS Support ou Amazon Linux Engineering via une publication sur les forums AWS.

Les correctifs en direct du noyau dans Amazon Linux 2 ne suppriment pas totalement la nécessité de redémarrer le système d’exploitation, mais permettent de résoudre des problèmes de sécurité importants et critiques en dehors des périodes de maintenance planifiées. Chaque noyau Linux dans Amazon Linux 2 recevra des correctifs actifs environ 3 mois après la sortie d'un noyau Amazon Linux. Après chaque période de 3 mois, le système d’exploitation doit être redémarré avec la dernière version du noyau Amazon Linux pour continuer à recevoir les correctifs en direct du noyau.

Les correctifs en direct du noyau dans Amazon Linux 2 sont pris en charge sur toutes les plateformes x86_64 (AMD/Intel 64 bits) sur lesquelles Amazon Linux 2 est pris en charge. Cela inclut toutes les instances HVM EC2, VMware Cloud on AWS, VMware ESXi, VirtualBox, KVM, Hyper-V et KVM. Les plateformes basées sur ARM ne sont actuellement pas prises en charge.

Oui, AWS continuera à fournir des correctifs réguliers pour toutes les mises à jour du système d’exploitation. En règle générale, les correctifs classiques et les correctifs en direct du noyau seront fournis en même temps.

Par défaut, lorsqu’un redémarrage est effectué, les correctifs en direct du noyau sont remplacés par des correctifs équivalents classiques qui ne sont pas « en direct ». Vous pouvez également effectuer des redémarrages sans remplacer les correctifs en direct du noyau par des correctifs classiques. Consultez la documentation relatives aux correctifs en direct du noyau dans Amazon Linux 2 pour plus de détails.

Les correctifs en direct du noyau dans Amazon Linux 2 ne modifient pas la compatibilité de l’ABI du noyau d’Amazon Linux 2.

Les plans Business et Enterprise pour AWS Support incluent une assistance premium pour toutes les fonctionnalités d’Amazon Linux, y compris les correctifs en direct du noyau. AWS ne prend en charge que les correctifs en direct du noyau fournis par AWS et recommande de contacter votre fournisseur en cas de problème avec des solutions tierces de correctifs en direct du noyau. AWS vous recommande également de n’utiliser qu’une seule solution de correctifs en direct du noyau sur Amazon Linux 2.

Une ligne dédiée dans les listes du centre de sécurité Amazon Linux apparaîtra pour chaque correctif en direct du noyau. L’entrée aura une identification au format suivant : « ALASLIVEPATCH-<datestamp> », et le nom du package apparaîtra sous la format suivant : « kernel-livepatch-<kernel-version> ».

Une version du noyau bénéficiera de correctifs en direct pendant environ 3 mois. Amazon Linux fournira des correctifs en direct pour les 6 derniers noyaux publiés. Notez que les correctifs en direct du noyau seront pris en charge uniquement sur le noyau par défaut publié dans Amazon Linux 2. Le noyau de prochaine génération inclus dans les extras ne recevra pas de correctifs en direct.

Pour savoir si le noyau Linux actuel continue de recevoir des correctifs en direct ou non, et la date à laquelle cette fenêtre de prise en charge se termine, utilisez la commande yum suivante :

« yum kernel-livepatch supported »

Le plugin de correctifs en direct du noyau yum prend en charge tous les flux de travail normalement pris en charge dans l’utilitaire de gestion de packages yum. Par exemple, « yum update », « yum update kernel », « yum update —security », « yum update all ».

Les RPM de correctifs en direct du noyau sont signés à l’aide de clés GPG. Cependant, les modules du noyau ne sont pas signés pour le moment.