关键字: [Amazon Web Services re:Invent 2023, Amazon Linux, Amazon Linux 2023, Security Updates, Deterministic Updates, Migration, Operating System Optimization]
本文字数: 1700, 阅读完需: 8 分钟
视频
如视频不能正常播放,请前往bilibili观看本视频。>> https://www.bilibili.com/video/BV1qw411h7Xa
导读
业界领先的安全性、Amazon EC2 实例上的最佳性能以及与其他亚马逊云科技产品的出色集成是使用 Amazon Linux 2023 的关键原因。在本论坛中,学习亚马逊云科技如何实现这一点,以及您可以从未来的 Amazon Linux 版本中期待什么。了解如何使用 Amazon Linux 作为云应用程序的安全和高效基础。
演讲精华
以下是小编为您整理的本次演讲的精华,共1400字,阅读时间大约是7分钟。如果您想进一步了解演讲内容或者观看演讲全文,请观看演讲完整视频或者下面的演讲原文。
埃尔文·拉维施兰(Alvin Ravischlan)和克里斯·施拉杰(Chris Schrage)两位主讲人首先进行了自我介绍。阿尔文是EC2部门的高级产品经理,而克里斯则是EC2部门的内核和操作系统总监。正如克里斯所解释的,亚马逊Linux是他所在组织的关键交付成果之一。
主讲人从亚马逊Linux的简要概述开始。正如克里斯描述的,亚马逊Linux是一个基于RPM的发行版,尽管在2014年之前亚马逊已经有内部版本。这个想法是基于它针对亚马逊云科技的使用场景进行了优化。如果你想要在亚马逊云科技上运行工作负载并需要一个操作系统,那么亚马逊Linux旨在成为最佳选择。
亚马逊Linux有多种形式可供选择,因此无论你是在裸金属实例、EC2实例、使用ECS或EKS的容器上运行,还是使用虚拟化技术的内部部署上,都可以使用它。它被设计成一个专注于云环境中常见的工作负载的一般用途操作系统。作为证据,克里斯指出,几乎亚马逊所有的云服务都在内部运行在亚马逊Linux上。
接下来,阿尔文和克里斯提供了关于最新版本——亚马逊Linux 2023的细节。这个版本是在2022年3月首次发布的,并提供为期5年的支持。一些使亚马逊Linux 2023独特的关键功能包括:
- 每季度更新以修复错误和新软件包
- 每周二次的安全更新
- 通过将软件包数量从超过3000减少到低于2000来提高安全姿态
- 添加了SELinux支持以及预配置的策略以满足通用指南
- 在Graviton3中启用了内核指针认证以增强内核加固
- 引入了实时内核补丁程序以在不造成停机的情况下修补漏洞
- 转向更可预测的总体更新节奏
如克里斯强调的,客户应尽快迁移到亚马逊Linux 2023以利用这些功能和持续的支持。
转到演讲的主要部分,阿尔文概括了四个关键支柱,解释了为什么亚马逊Linux应该是亚马逊云科技上的首选操作系统:
- 针对亚马逊云科技的优化
- 默认安全
- 简单且易于维护
- 成本效益高
从优化开始,亚马逊Linux内置了运行亚马逊云科技工作负载所需的工具、代理和服务支持。克里斯给出了一些例子来说明这一点。
当启动一个EC2实例时,无论所选实例系列或类型如何,Amazon Linux都能顺利运行。这个发行版附带了许多额外的工具,例如用于系统管理功能的SSM代理,支持诸如EC2实例连接和亚马逊云科技补丁管理器等功能。Inspector代理已经预安装好,以便可以使用亚马逊检查器进行漏洞扫描。对于ECS和EKS上的容器工作负载,提供了优化的Amazon Linux AMI。开发者可以在Lambda函数上运行代码,而无需配置服务器。应用程序可以部署在Elastic Beanstalk上,并自动运行最新的Amazon Linux版本。简而言之,Amazon Linux支持在亚马逊云科技上运行工作负载的所有方式。
在安全方面,Amazon Linux的理念是在每次发布时持续提高安全性。Amazon Linux 2023的一些主要增强功能包括:将软件包足迹从超过3000减少到低于2000个,以限制暴露;添加SELinux支持以及针对常见行业指南的预配置策略;在Graviton3中启用指针身份验证以加强内核安全;引入实时内核补丁以解决漏洞而不影响正常运行时间。
为了提供一些关于安全的指标,Palvi分享说,Amazon Linux团队每年评估超过3000个CVE,p95响应时间在3天或更短。截至2022年,他们已经在被认为适用的Amazon Linux版本中修补了2000多个CVE。具体来说,他们在Amazon Linux 1上修补了232个CVE,在Amazon Linux 2上修补了1000个CVE,在Amazon Linux 2023上修补了592个CVE。与其他一些发行版不同,Amazon Linux主动修补所有严重级别的CVE,而不仅仅是关键和高级别的CVE。
亚马逊Linux安全中心提供了RSS源和其他资源,以获取最新CVE信息和安全更新。对于最近将工作负载迁移到Amazon Linux 2023的客户,如Klarna,增强的安全状况已经成为一个主要优势。正如Klarna的高级工程经理Simone Marzola所说:
安全是首要任务。随着我们转向AL 2023并实施原子升级策略,我们已经利用AL 2023的版本存储库强化了我们的不变性标准。我们可以确保特定AMI版本运行确切的库版本,为确定性的软件材料清单奠定基础,从而显著提高我们的安全态势。
在简单运营的下一步中,Palvi强调,安全是共同的责任。她强调了Amazon Linux提供的一些工具,以轻松保持工作负载的安全和最新:
- 与Fleet Manager、Patch Manager和其他亚马逊云科技服务紧密集成,以轻松大规模管理实例
- 可预测的季度更新,用于规划迁移和部署
- 通过存储库锁定实现确定的更新,以控制包版本管理
在运营方面,Chris概述了从较旧的Amazon Linux版本迁移到最新版本的最佳实践。他建议在可能的情况下将数据与操作系统分开,启动测试实例以验证应用程序兼容性,并注意新语言运行时、DNF软件包管理器和IMDSv2等更改的影响。
验证后,您可以拍摄旧实例的卷快照并将其附接到新的Amazon Linux 2023实例上,以便顺利进行数据迁移。对于大型容器设置(如Klarna),Amazon Linux 2023的支持cgroups v2至关重要,因为Simone这样描述:“在Klarna的大型容器设置中,迁移到AL 2023极大地提高了我们的运营效率和安全性。AL 2023的cgroups v2支持是关键,它支持像容器感知的OOM杀手和根容器管理等重要功能。”
最后,Palvi指出,除了您准备的亚马逊云科技资源外,Amazon Linux没有其他额外费用,使其成为最成本效益的选项。
在最后一部分中,Chris概述了Amazon Linux背后的哲学。尽管EC2支持所有主要发行版,但Amazon Linux可以简化针对新亚马逊云科技功能和硬件的优化,因为它是在内部构建的。Amazon Linux旨在为每个版本提供来自开源社区的最好的软件包集合。所有组件都是开源的,新功能和平面通过GitHub贡献。
亚马逊Linux的一些独特特性集中在确定性更新上,这有助于进行受控的部署,以及对快速安全补丁的高度重视。亚马逊Linux得益于与亚马逊云科技服务及合作伙伴关系的紧密整合。例如,Klarna在迁移至最新的亚马逊Linux版本后,体验到了安全性、效率和性能的重大提升。
总的来说,演讲者强调了亚马逊Linux作为一个集成的、安全的且适用于亚马逊云科技的低成本操作系统的重要性。定期更新节奏简化了维护工作,同时提供了对最新功能的访问权限。所有运行亚马逊云科技工作负载的客户都应评估迁移到Amazon Linux 2023,以充分利用其诸多优势。要了解亚马逊Linux的功能以及从前版本过渡的指导,有多种资源可供参考。
总之,亚马逊Linux 2023提供了一个强大、安全并经过优化的操作系统,专为在亚马逊云科技上运行工作负载而设计。关键指标反映出对安全的高度关注,包括每年评估超过3000个CVE,并在2022年主动修补各个版本的超过2000个CVE。确定性更新允许在整个机队中控制更新部署。与亚马逊云科技服务的集成简化了各种使用情况的操作和管理,正如Klarna等客户所证明的那样。对于希望改善安全状况、提高运营效率并在亚马逊云科技上优化性能的任何客户,考虑迁移到最新的Amazon Linux 2023版本无疑是值得深思熟虑的选择。
下面是一些演讲现场的精彩瞬间:
在探讨Amazon Linux(一个由亚马逊团队精心打造的重要产品)时,我们需要先了解一下EC2内部的核与操作系统总监。
Amazon Linux经过了精心设计,能够在各种EC2实例类型上流畅运行,并内置了许多方便实例管理的工具和代理程序。
Amazon Linux 2023版是在Amazon Linux 2的基础上进行强化的产物,它通过诸如指针验证等技术来提高内核的安全性。
Amazon Linux 2023引入了确定性更新的概念,通过存储库锁定来实现整个亚马逊云科技基础设施中可预测且一致的更新过程。
然而,行业内部并未充分关注向新版本过渡的过程,导致许多客户在没有充分准备的情况下长时间停留在旧版本。
为了帮助大家更好地了解亚马逊云科技令人振奋的新特性和服务,演讲的最后提供了一系列实用的资源。
总结
该视频主要介绍了Amazon Linux 2023,作为亚马逊最新的Linux发行版,专为亚马逊云科技进行优化。其主要特点包括提高安全性,如减小软件包占用空间、增加SELinux支持、强化内核以及实时补丁程序等,以确保在解决漏洞的同时不影响系统正常运行。
Amazon Linux已经内置了必要的工具和代理,简化了在亚马逊云科技上运行工作负载的过程,例如SSM代理。同时,它与亚马逊云科技的服务进行了集成,使得客户能够轻松地使用诸如EC2、ECS和Lambda等服务。
Amazon Linux 2023的新功能之一是确定性更新,这允许用户控制跨机队的软件包版本,从而促进平滑迁移。此外,Amazon Linux致力于与开源社区合作,遵循开源许可证并接受社区软件包请求。
选择Amazon Linux的原因包括其针对亚马逊云科技的优化、默认安全设计、简化操作以及无需额外成本。他们还提供了从旧版本迁移的方法建议,并强调了定期更新以保持安全的重要性。
演讲原文
https://blog.csdn.net/just2gooo/article/details/134806068
想了解更多精彩完整内容吗?立即访问re:Invent 官网中文网站!
2023亚马逊云科技re:Invent全球大会 - 官方网站
点击此处,一键获取亚马逊云科技全球最新产品/服务资讯!
点击此处,一键获取亚马逊云科技中国区最新产品/服务资讯!
即刻注册亚马逊云科技账户,开启云端之旅!
【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”
亚马逊云科技是谁?
亚马逊云科技(Amazon Web Services)是全球云计算的开创者和引领者,自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务,涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体,以及应用开发、部署与管理等方面;基础设施遍及 31 个地理区域的 99 个可用区,并计划新建 4 个区域和 12 个可用区。全球数百万客户,从初创公司、中小企业,到大型企业和政府机构都信赖亚马逊云科技,通过亚马逊云科技的服务强化其基础设施,提高敏捷性,降低成本,加快创新,提升竞争力,实现业务成长和成功。
604
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
