क्या मुझे EC2 इंस्टेंस पर कर्नेल पैकेज को अपग्रेड करना चाहिए?

18

मेरे EC2 सर्वर पर, जब मैं करता sudo apt-get update && sudo apt-get upgradeहूं, मैं देखता हूं:

The following packages have been kept back:
  linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual

क्या मुझे sudo apt-get install linux-ec2 linux-image-ec2 linux-image-virtual linux-virtualइन पैकेजों को अपग्रेड करने के लिए मजबूर करना चाहिए?

kernel  amazon-ec2 
एडम मोनसेन
स्रोत
3
या करते हैं apt-get update && apt-get upgrade && apt-get dist-upgrade। यह आयोजित बैक पैकेज को अपग्रेड करेगा।
मार्क रसेल

जवाबों:

18

संक्षिप्त उत्तर है, हां, आपको अपने सिस्टम को सुरक्षा पैच के संबंध में अद्यतित रखना चाहिए।

आप वास्तव में सुरक्षा पैच कैसे रोल करते हैं, यह जोखिम के लिए आपकी सहिष्णुता पर निर्भर करता है। यहाँ कुछ विकल्प दिए गए हैं जिनका उपयोग मैंने इस प्रश्न का उत्तर देने के लिए किया है:

  1. क्यूए सिस्टम के एक सेट पर अपग्रेड लागू करें जो आपके उत्पादन वातावरण की नकल करते हैं और यह सुनिश्चित करने के लिए आपके सभी प्रतिगमन परीक्षण चलाते हैं कि परिवर्तन किसी भी कार्यक्षमता को नहीं तोड़ते हैं या प्रदर्शन के मुद्दों का कारण नहीं बनते हैं। एक बार जब आप संतुष्ट हो जाते हैं, तो अपने प्रोडक्शन सिस्टम में अपग्रेड को रोल आउट कर दें।

  2. एक दिन प्रतीक्षा करें और देखें कि क्या अपडेट के कारण होने वाली समस्याओं के बारे में कोई सार्वजनिक नाराजगी है। यदि सभी शांतिपूर्ण लगते हैं, तो अपने उत्पादन सिस्टम को अपग्रेड करें।

  3. जैसे ही यह उपलब्ध हो, अपने उत्पादन प्रणालियों पर हर सुरक्षा पैच लागू करें।

मैंने उबंटू का उपयोग करते हुए इन तीनों दृष्टिकोणों के संयोजन का उपयोग किया है, और धीरे-धीरे वर्षों में विकल्प 3 की ओर बढ़ गया है। रिलीज़ से पहले सुरक्षा पैच का भारी परीक्षण किया जाता है और मौजूदा कार्यक्षमता को नहीं तोड़ने के लिए बहुत सावधानी बरती जाती है। मुझे कभी भी उबंटू समर्थित छवियों के भीतर अपग्रेड करने में कोई समस्या नहीं हुई है (हालांकि एक बार मुझे एक साल पहले एक मुद्दा मिला था जब मैं ईसी 2 पर उबंटू के साथ एक गैर-उबंटू कर्नेल का उपयोग कर रहा था)।

ध्यान दें कि कर्नेल को अपग्रेड करने के लिए भी परिवर्तनों को लागू करने के लिए रिबूट की आवश्यकता होती है।

उपरोक्त अनुभव और सिफारिशें केवल उबंटू रिलीज (जैसे, 11.04) के भीतर उन्नयन के लिए लागू होती हैं । एक नए उबंटू रिलीज में अपग्रेड करना एक बहुत बड़ा और जोखिम भरा काम है और निश्चित रूप से आपके उत्पादन सिस्टम में इसे रोल करने से पहले परीक्षण की आवश्यकता होती है।

यहाँ इस विषय पर एक लेख है जो सिर्फ राइटस्केल द्वारा प्रकाशित किया गया था कि उनके पर्यावरण में सुरक्षा उन्नयन कैसे प्रबंधित करें:

http://blog.rightscale.com/2011/09/28/security-patching-in-the-rightscale-universe/

एरिक हैमंड
स्रोत
3
अच्छा उत्तर। शायद कोई नोट जोड़ सकते कि कर्नेल उन्नयन केवल है वास्तव में EBS समर्थित उदाहरणों पर संभव? अभी भी यही है, नहीं?
मार्क रसेल
3
मार्क: यह सच है कि इंस्टेंट-स्टोर इंस्टेंसेस उनकी गुठली को उन्नत नहीं कर सकते थे, लेकिन थोड़ी देर पहले पैरावर्टलाइज़ेशन के रिलीज के साथ, वास्तविक गुठली को एएमआई पर संग्रहीत किया जा सकता है और एकेआई नहीं। इसका मतलब यह है कि यह उदाहरण कर्नेल को उसके स्थानीय ईबीएस वॉल्यूम पर अपग्रेड कर सकता है और एक ही AKI का उपयोग करने के बावजूद यह रिबूट के बाद चिपक जाता है। मैंने इसे Ubuntu 11.04 (us-east-1 ami-e2af508b) के साथ परीक्षण किया और इंस्टेंट-स्टोर का उदाहरण एक सटीक-अपग्रेड और रिबूट के बाद सही नए कर्नेल के साथ आया।
एरिक हैमंड 7
2
मेरी पिछली टिप्पणी में सुधार: "उदाहरण कर्नेल को उसके स्थानीय इंस्टा-स्टोर रूट वॉल्यूम पर अपग्रेड कर सकता है और उसे चिपका सकता है"
एरिक हैमंड
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.