Domande frequenti su Amazon Linux 2

Amazon Linux 2 è un sistema operativo di Amazon Linux che offre un ambiente di applicazioni moderne con i miglioramenti più recenti provenienti dalla community di Linux e include supporto a lungo termine. Oltre ad Amazon Machine Images (AMI) e ai formati di immagine dei container, Amazon Linux 2 è disponibile come immagine della macchina virtuale per lo sviluppo e il test on-premises, consentendo di sviluppare, testare e certificare facilmente le applicazioni direttamente dall'ambiente di sviluppo locale.

La data di fine del supporto di Amazon Linux 2 (End of Life o EOL) sarà il 30/06/2026.

I clienti devono migrare ad Amazon Linux 2023 (AL2023) prima della fine del supporto di AL2 (EOS), prevista per il 30 giugno 2026 [vedi Q2]. AWS non rilascerà nuove versioni di Amazon Linux nel 2025 o nel 2026. Inoltre, AWS fornirà un preavviso di un anno prima del lancio di eventuali nuove versioni del sistema operativo, così da consentire una pianificazione adeguata della migrazione. AL2023 è la versione più recente di Amazon Linux e offre funzionalità di sicurezza avanzate, tra cui la certificazione FIPS, versioni aggiornate dei pacchetti, prestazioni migliorate e supporto garantito fino a giugno 2029. Per le best practice sulla migrazione AL2023, fai riferimento qui.

Consulta la documentazione per ulteriori informazioni sulle principali differenze tra queste distribuzioni.

Amazon Linux 2 supporta le più recenti funzionalità delle istanze Amazon Elastic Compute Cloud (Amazon EC2) e include pacchetti che consentono una facile integrazione con AWS. È ottimizzato per l'utilizzo su Amazon EC2 con una versione del kernel Linux più recente e adeguata. Di conseguenza, molti carichi di lavoro dei clienti offrono prestazioni migliori su Amazon Linux 2. Amazon Linux 2 è disponibile come immagini di macchine virtuali on-premise che consentono lo sviluppo e il test locali.

Amazon Linux 2 è adatto per un'ampia varietà di carichi di lavoro virtualizzati e containerizzati, come database, analisi dei dati, applicazioni di settore, applicazioni Web e desktop e altro ancora in contesti di produzione. È inoltre disponibile per l'utilizzo sulle istanze EC2 Bare Metal sia come sistema operativo bare metal che come host di virtualizzazione.

I componenti principali di Amazon Linux 2 sono:

1. Un kernel Linux ottimizzato per le prestazioni su Amazon EC2.

2. Una serie di pacchetti principali tra cui systemd, GCC 7.3, Glibc 2.26, Binutils 2.29.1 che ricevono supporto a lungo termine (Long Term Support, LTS) da AWS.

3. Un canale aggiuntivo per tecnologie in rapida evoluzione che probabilmente verranno aggiornate frequentemente e al di fuori del modello di supporto a lungo termine (LTS).

1. Amazon Linux 2 è disponibile come immagini di macchine virtuali per lo sviluppo e il test on-premises.

2. Amazon Linux 2 fornisce il servizio systemd e il gestore di sistemi, rispetto al sistema init System V presente nell'AMI Amazon Linux.

3. Amazon Linux 2 include un kernel Linux aggiornato, una libreria C, un compilatore e degli strumenti.

4. Amazon Linux 2 offre la possibilità di installare ulteriori pacchetti software tramite il meccanismo degli extra.

AWS fornisce un'Amazon Machine Image (AMI) per Amazon Linux 2 che è possibile utilizzare per avviare un'istanza dalla console Amazon EC2, dall'SDK AWS e dalla CLI. Consulta la documentazione di Amazon Linux per ulteriori dettagli.

No, non sono previsti costi aggiuntivi per l'utilizzo di Amazon Linux 2. Si applicano le tariffe standard di Amazon EC2 e AWS per l'esecuzione delle istanze Amazon EC2 e di altri servizi.

Amazon Linux 2 supporta tutti i tipi di istanze Amazon EC2 che supportano le AMI HVM. Amazon Linux 2 non supporta le istanze precedenti che richiedono funzionalità di paravirtualizzazione (PV).

Sì, Amazon Linux 2 supporta librerie e applicazioni a 32 bit. Se stai utilizzando una versione di Amazon Linux 2 lanciata prima del 04/10/2018, puoi eseguire uno "yum upgrade" per ottenere il supporto completo a 32 bit.  

Sì. Lo strumento yumdownloader --source di Amazon Linux 2 fornisce l'accesso al codice sorgente per molti componenti.

Continueremo a fornire patch di sicurezza critiche per Python 2 come previsto dal nostro impegno LTS per i pacchetti principali di Amazon Linux 2, anche se la comunità Python upstream ha dichiarato la fine del ciclo di vita di Python 2.7 a gennaio 2020.

Consigliamo vivamente ai nostri clienti di installare Python 3 sui loro sistemi Amazon Linux 2 e di migrare il codice e le applicazioni su Python 3.

Non è prevista alcuna modifica dell'interprete Python predefinito. È nostra intenzione mantenere Python 2.7 come impostazione predefinita per tutta la vita di Amazon Linux 2. Se necessario, eseguiremo il backport delle correzioni di sicurezza ai nostri pacchetti Python 2.7.

Durante una versione LTS del sistema operativo, il rischio di apportare modifiche fondamentali, sostituire o aggiungere un altro gestore di pacchetti è estremamente elevato. Pertanto, nel pianificare la migrazione di Python 3 per Amazon Linux, abbiamo deciso di farlo attraverso un limite di rilascio principale anziché all'interno di Amazon Linux 2. Si tratta di un approccio condiviso da altre distribuzioni Linux basate su RPM, anche quelle senza impegni LTS.

Kernel 5.10 offre una serie di miglioramenti delle funzionalità e delle prestazioni, tra cui ottimizzazioni per i processori Intel Ice Lake e Graviton 2 che supportano le istanze EC2 di ultima generazione.

Dal punto di vista della sicurezza, i clienti traggono vantaggio da WireGuard VPN, che aiuta a configurare una rete privata virtuale efficace con una superficie di attacco ridotta e consente la crittografia con un sovraccarico inferiore. Kernel 5.10 include anche una funzionalità di blocco del kernel per impedire modifiche non autorizzate della sua immagine e una serie di miglioramenti BPF, incluso il CO-RE (Compile Once - Run Everywhere, ovvero 'compila una volta - esegui dappertutto').

I clienti con operazioni di input-output intensive trarranno vantaggio dal miglioramento delle prestazioni di scrittura, dalla condivisione più sicura degli anelli io_uring tra i processi per operazioni di input-output più veloci e dal supporto del nuovo sistema exFAT per una migliore compatibilità con i dispositivi di archiviazione. Con l'aggiunta di MultiPath TCP (MPTCP), i clienti con diverse interfacce di rete possono combinare tutti i percorsi di rete disponibili per aumentare l’effettivo throughput e ridurre gli errori di rete.

elfutils-libelf, glibc, glibc-utils, hesiod, krb5-libs, libgcc, libgomp, libstdc++, libtbb.so, libtbbmalloc.so, libtbbmalloc_proxy.so, libusb, libxml2, libxslt, pam, audit-libs, audit-libs-python, bzip2-libs, c-ares, clutter, cups-libs, cyrus-sasl-gssapi, cyrus-sasl-lib, cyrus-sasl-md5, dbus-glib, dbus-libs, elfutils-libs, expat, fuse-libs, glib2, gmp, gnutls, httpd, libICE, libSM, libX11, libXau, libXaw, libXext, libXft, libXi, libXinerama, libXpm, libXrandr, libXrender, libXt, libXtst, libacl, libaio, libatomic, libattr, libblkid, libcap-ng, libdb, libdb-cxx, libgudev1, libhugetlbfs, libnotify, libpfm, libsmbclient, libtalloc, libtdb, libtevent, libusb, libuuid, ncurses-libs, nss, nss-sysinit, numactl, openssl, p11-kit, papi, pcre, perl, perl-Digest-SHA, perl-Time-Piece, perl-libs, popt, python, python-libs, readline, realmd, ruby, scl-utils, sqlite, systemd-libs, systemtap, tcl, tcp_wrappers-libs, xz-libs, and zlib

Attualmente, il Supporto AWS non copre l'utilizzo on-premises di Amazon Linux 2. Il forum e la documentazione di Amazon Linux 2 sono le principali fonti di supporto per l'utilizzo on-premises di Amazon Linux 2. È possibile pubblicare domande, segnalare bug e richiedere funzionalità nei forum di Amazon Linux 2.

Sì. Per facilitare la migrazione ad Amazon Linux 2, AWS continuerà a offrire aggiornamenti di sicurezza per l'ultima versione di Amazon Linux e dell'immagine di container fino al 31 dicembre 2020. Inoltre, è possibile utilizzare tutti i canali di supporto esistenti come il Supporto AWS Premium e il Forum di discussione di Amazon Linux per continuare a inviare richieste di supporto.

Ulteriori informazioni >>

Amazon Linux offre avvisi di sicurezza utilizzabili da utenti e macchine, in cui il cliente può abbonarsi ai nostri feed RSS o configurare strumenti di scansione per analizzare l'HTML. I feed per i nostri prodotti sono disponibili qui:

Amazon Linux 1 / Amazon Linux 1 RSS
Amazon Linux 2 / Amazon Linux 2 RSS
Amazon Linux 2023 / Amazon Linux 2023 RSS

Extras è un meccanismo di Amazon Linux 2 che consente l'utilizzo di nuove versioni del software applicativo su un sistema operativo stabile. Gli extra contribuiscono a mitigare il compromesso tra la stabilità del sistema operativo e la disponibilità di software aggiornati. Ad esempio, ora è possibile installare le versioni più recenti di MariaDB su un sistema operativo stabile supportato per cinque anni. Esempi di extra includono tomcat9, memcached 1.5, Corretto 1.0.0_242, Postgresql 13, MariaDB 10.5, Go 1.9, Redis 6.0, R 4, Rust 1.38.0.

Gli extra forniscono argomenti per selezionare i pacchetti software. Ogni argomento contiene tutte le dipendenze necessarie per l'installazione e il funzionamento del software su Amazon Linux 2. Ad esempio, Rust è un argomento extra nell'elenco curato fornito da Amazon. Fornisce la toolchain e i runtime per Rust, il linguaggio di programmazione dei sistemi. Questo argomento include il sistema di compilazione cmake per Rust, cargo - il gestore di pacchetti rust e la toolchain di compilazione per Rust basata su LLVM. I pacchetti associati a ciascun argomento vengono utilizzati con il noto processo di installazione yum.

È possibile elencare i pacchetti disponibili con il comando amazon-linux-extras nella shell (interprete di comandi) di Amazon Linux 2. È possibile installare i pacchetti degli extra con il comando "sudo amazon-linux-extras install".

Esempio: $ sudo amazon-linux-extras install rust1

Consulta la documentazione di Amazon Linux per ulteriori dettagli su come iniziare a utilizzare Amazon Linux Extras.

Nel tempo, le tecnologie aggiuntive in rapida evoluzione continueranno a maturare e stabilizzarsi e potrebbero essere aggiunte alla versione "principale" di Amazon Linux 2 a cui si applicano le politiche di Supporto a lungo termine.

Amazon Linux 2 dispone di una comunità di fornitori di software indipendenti (ISV) in rapida crescita, tra cui Chef, Puppet, Vertica, Trend Micro, Hashicorp, Datadog, Weaveworks, Aqua Security, Tigera, SignalFX e altri.

Sulla pagina Amazon Linux 2 è disponibile un elenco completo delle applicazioni ISV supportate

Per ottenere la certificazione della tua applicazione con Amazon Linux 2, contattaci

Kernel Live Patching su Amazon Linux 2 è una funzionalità che consente di applicare sicurezza e correzioni di bug a un kernel Linux in esecuzione senza la necessità di riavviare. Le patch live per il kernel Amazon Linux vengono distribuite ai repository di pacchetti esistenti per Amazon Linux 2 e possono essere applicate utilizzando normali comandi yum come "yum update —security" quando la funzionalità è stata attivata.

I casi d'uso su cui si concentra Kernel Live Patching su Amazon Linux 2 includono:

• Applicazione di patch di emergenza per risolvere vulnerabilità di sicurezza ad alta gravità e bug di danneggiamento dei dati senza tempi di inattività del servizio.

• Applicazione degli aggiornamenti del sistema operativo senza attendere il completamento delle attività di lunga durata, la disconnessione degli utenti o gli intervalli di riavvio pianificati per applicare gli aggiornamenti di sicurezza.

• Accelerazione dell'implementazione delle patch di sicurezza eliminando i riavvii continui richiesti nei sistemi ad alta disponibilità

Solitamente, AWS fornisce le patch live del kernel per correggere le CVE, che considera critiche e importanti, per il kernel Amazon Linux 2 predefinito. Le classifiche stilate da Amazon Linux Security Advisory riguardo a criticità e importanza corrispondono generalmente a un punteggio CVSS (Common Vulnerability Scoring System) pari o superiore a 7. Inoltre, AWS fornirà anche patch live del kernel per alcune correzioni di bug per risolvere problemi di stabilità del sistema e potenziali problemi di danneggiamento dei dati. Una piccola quantità di problemi potrebbe non ricevere le patch live del kernel nonostante la loro gravità a causa di limitazioni tecniche. Ad esempio, le correzioni che modificano il codice assembly o modificano le firme delle funzioni potrebbero non ricevere patch live del kernel. I kernel su Amazon Linux 2 Extras e su qualsiasi software di terze parti non creato e gestito da AWS non riceveranno patch live del kernel.

Forniamo patch live del kernel per Amazon Linux 2 gratuitamente.

Le patch live del kernel sono fornite da Amazon e possono essere utilizzate con il gestore di pacchetti yum e le utility di Amazon Linux 2 e della Gestione patch di AWS Systems Manager. Ogni patch live del kernel viene fornita come pacchetto RPM. Kernel Live Patching è attualmente disattivata per impostazione predefinita su Amazon Linux 2. È possibile utilizzare il plugin yum disponibile per abilitare e disabilitare Kernel Live Patching. È quindi possibile utilizzare i flussi di lavoro esistenti nella utility yum per applicare le patch di sicurezza, incluse le patch live del kernel. Inoltre, è possibile utilizzare la utility della linea di comando kpatch per enumerare, applicare e abilitare/disabilitare le patch live del kernel.

• "sudo yum install -y yum-plugin-kernel-livepatch" installa il plugin yum per la funzionalità di live patching del kernel su Amazon Linux.

• "sudo yum kernel-livepatch enable -y" abilita il plugin.

• "sudo systemctl enable kpatch.service" abilita il servizio kpatch, l'infrastruttura di live patching del kernel utilizzata su Amazon Linux.

• "sudo amazon-linux-extras enable livepatch" aggiunge gli endpoint del repository live patch del kernel.

• "yum check-update kernel" mostra l'elenco dei kernel disponibili da aggiornare.

• "yum updateinfo list" elenca gli aggiornamenti di sicurezza disponibili.

• "sudo yum update --security" installa le patch disponibili che includono le patch live del kernel disponibili come correzioni di sicurezza.

• "kpatch list" elenca tutte le patch live del kernel caricate.

Sì. È possibile utilizzare la Gestione patch di AWS SSM per automatizzare l'applicazione delle patch live del kernel senza la necessità di un riavvio immediato quando la patch è disponibile come patch live. Consulta la documentazione relativa alla Gestione patch di SSM per delle nozioni di base.

AWS pubblica dettagli sulle patch live del kernel per correggere le vulnerabilità di sicurezza sull'Amazon Linux Security Center.

Quando si applica una patch live del kernel su Amazon Linux 2, non è possibile eseguire contemporaneamente l'ibernazione o utilizzare strumenti di debug avanzati, come SystemTap, kprobes, strumenti basati su eBPF, e accedere ai file di output ftrace utilizzati dall'infrastruttura di live patching del kernel.

Se riscontri problemi con una patch live del kernel, disabilita la patch e informa il Supporto AWS o gli ingegneri di Amazon Linux tramite un post sui forum AWS.

Kernel Live Patching su Amazon Linux 2 non elimina completamente la necessità di riavviare il sistema operativo, ma offre una significativa riduzione dei riavvii per risolvere problemi di sicurezza importanti e critici al di fuori delle finestre di manutenzione pianificate. Ogni kernel Linux su Amazon Linux 2 riceverà patch attive per un massimo di circa 3 mesi dopo il rilascio di un kernel Amazon Linux. Dopo ogni trimestre, è necessario riavviare il sistema operativo nella versione più recente del kernel Amazon Linux per continuare a ricevere le patch live del kernel.

Kernel Live Patching su Amazon Linux 2 è supportata su tutte le piattaforme x86_64 (AMD/Intel a 64 bit) su cui è supportato Amazon Linux 2. Questo include tutte le istanze HVM EC2, VMware Cloud su AWS, VMware ESXi, VirtualBox, KVM, Hyper-V e KVM. Le piattaforme basate su ARM non sono attualmente supportate.

Sì, AWS continuerà a fornire patch normali per tutti gli aggiornamenti del sistema operativo. In linea di massima, verranno fornite contemporaneamente sia le patch live normali che quelle del kernel.

Per impostazione predefinita, eseguendo un riavvio, le patch live del kernel vengono sostituite con normali equivalenti di patch "non live". È anche possibile eseguire riavvii senza sostituire le patch live del kernel con patch normali. Per ulteriori informazioni, consulta la documentazione di Kernel Live Patching per Amazon Linux 2.

Kernel Live Patching su Amazon Linux 2 non modifica la compatibilità ABI del kernel di Amazon Linux 2.

I piani Business ed Enterprise per il Supporto AWS includono il supporto premium per tutte le funzionalità di Amazon Linux, compresa Kernel Live Patching. AWS supporta solo le patch live del kernel fornite da AWS e consiglia di contattare il fornitore per problemi con soluzioni di patch live del kernel di terze parti. Inoltre, AWS consiglia di utilizzare una sola soluzione di patch live del kernel su Amazon Linux 2.

Per ogni patch live del kernel apparirà una riga dedicata negli elenchi dell'Amazon Linux Security Center. La voce sarà identificata come, ad esempio, "ALASLIVEPATCH- <datestamp>" e il nome del pacchetto apparirà come "kernel-livepatch-<kernel-version>".

Una versione del kernel riceverà patch live per circa 3 mesi. Amazon Linux fornirà patch live del kernel per gli ultimi 6 kernel rilasciati. Occorre tener presente che Kernel Live Patching sarà supportato solo sul kernel predefinito rilasciato su Amazon Linux 2. Il Kernel di nuova generazione negli Extra non riceverà le patch live del kernel.

Per scoprire se l'attuale kernel Linux continua a ricevere patch live o meno e quando termina la finestra di supporto, utilizza il seguente comando yum:

"yum kernel-livepatch supported"

Il plugin yum per il live patching del kernel supporta tutti i flussi di lavoro normalmente supportati nella utility di gestione dei pacchetti yum. Ad esempio, "yum update", "yum update kernel", "yum update —security", "yum update all".

Gli RPM delle patch live del kernel sono firmati tramite chiavi GPG. Tuttavia, i moduli del kernel non sono attualmente firmati.