亚马逊 Linux AL2023 及其未来发展

亚马逊 Linux AL2023 及其未来发展

关键字: [Amazon Web Services re:Invent 2024， 亚马逊云科技， Amazon Linux 2023， Amazon Linux， Operating System， Security Updates， Package Support， Fips Compliance]

导读

本次会议将深入介绍Amazon Linux的新功能，如图形化桌面和EKS。您将了解Amazon Linux的软件包支持策略、生命周期以及持续维护的概况，同时了解客户迁移到新版本时需要注意的事项，以及未来可以期待的内容。

演讲精华

以下是小编为您整理的本次演讲的精华。

在云计算领域，亚马逊云科技长期处于领先地位，提供了一套全面的服务，满足全球企业和组织的不同需求。在这些产品中，由亚马逊云科技精心打造的Linux发行版Amazon Linux成为了支撑公司运营的基础设施的关键组成部分。随着科技世界以惊人的速度不断发展，亚马逊云科技坚持创新，在备受期待的亚马逊云科技 re:Invent 2024大会上推出了其操作系统的最新版本Amazon Linux 2023。

Amazon Linux 2023的发布是一个重要时刻，由亚马逊云科技内核和操作系统开发总监Chris Schlager主持了一场引人入胜的演讲。与他同台的还有两位同事，Amazon Linux产品经理Manan Gupta，以及Genesis公司的Nick Barber，Genesis公司已采用Amazon Linux并分享了宝贵经验。

Chris Schlager首先全面概述了Amazon Linux，追溯到2010年首个版本公开发布时没有版本号。他解释说Amazon Linux是Linux的衍生版本，具体来源于Fedora/RedHat系列，亚马逊云科技在此基础上构建并定制了操作系统，以满足其独特需求并融入客户反馈。

随着时间推移，亚马逊云科技认识到持续发展的必要性，于2017年发布了Amazon Linux 2，最近在2023年3月推出了Amazon Linux 2023。Chris Schlager强调Amazon Linux是支撑整个亚马逊云科技的通用操作系统，证明了其稳健性和通用性。

Schlager阐述了创建Amazon Linux的原因，源于现有Linux发行版无法完全满足亚马逊云科技的特定需求。虽然其他发行版确实可以在亚马逊云科技上运行，但公司希望开发一个针对其硬件和软件基础设施进行了最大程度优化的版本。

Amazon Linux的一个主要重点是安全性。在日益严峻的数字环境中，确保连接互联网的实例和工作负载的安全性变得至关重要。亚马逊云科技采取了多管齐下的方法来加强Amazon Linux的安全态势，包括SELinux等功能，提供了额外的深度防御层，以及内核实时修补，可在无需重启的情况下热修补Linux内核。

Schlager深入探讨了评估和修补常见漏洞和风险(CVE)的复杂过程，这是由美国政府管理的一个项目，用于编目和传播软件漏洞信息。亚马逊云科技的专门团队每年仔细审查约300个CVE，评估其适用性并及时发布补丁。

为了简化维护，亚马逊云科技在Amazon Linux 2023中引入了存储库锁定机制，允许客户将部署锁定到特定的发布版本。这确保了无论主机何时被供应或更新，所有部署都与预定的软件状态相匹配，为整个机群提供了一致且可预测的环境。

Amazon Linux遵循可预测的维护计划，每两周发布一次更新，并在七天内解决关键安全公告。对于更加谨慎的客户，亚马逊云科技提供了季度发布，将前一季度的所有更新合并在一起，满足不同的运营需求。

Schlager强调采用Amazon Linux的好处，它针对亚马逊云科技硬件和软件服务(如Elastic Kubernetes Service (EKS)和Elastic Container Service (ECS))进行了优化。此外，Amazon Linux旨在与亚马逊云科技的软件和硬件产品无缝集成，为客户提供一致且流畅的体验。

Schlager回顾了Amazon Linux 2023自发布以来的卓越表现，超过10万客户已采用这一最新版本，这反映了全球商业社区对亚马逊云科技产品的信任和认可。

为了提供实际案例，Genesis Cloud基础设施团队的首席软件工程师兼高级经理Nick Barber登台分享了经验。Genesis是一家知名的通信平台和呼叫中心解决方案提供商，在100多个国家为数千家客户提供服务，涉及零售、医疗保健和政府等行业，面临着严格的合规性要求。

Barber深入探讨了Genesis Cloud的范式和流程，强调公司将开发和运营视为一个统一的范式，而不是孤立的团队。基础Amazon Machine Image (AMI)被视为一种产品，具有明确的合同和接口，在发布给开发团队之前要经过严格的自动化测试和验证。

Genesis Cloud遵循不可变基础设施的原则，采用临时和不可变的范式。这种方法确保了构建工件在构建时被捕获和发布后保持不变，直到被下一个版本替换。Barber强调，他们平台上运行的所有EC2服务都必须遵守30天的最长使用期限，许多团队甚至选择每两周部署一次，以降低潜在问题的风险。

合规性是Genesis Cloud的一个关键考虑因素，因为他们为各行各业的客户提供服务，涉及PCI、HIPAA、PHIPPS、STIG等严格的法规。确保基础AMI符合这些合规性要求是一项持续的工作，需要一个健壮的自动化流程来验证新的要求不会无意中破坏现有的要求。

Barber向观众展示了Genesis Cloud的不可变流程，包括启动最新的Amazon Linux AMI，对其运行自动化，然后对生成的基础AMI进行一系列功能和安全测试。这些测试包括验证关键运行时、确保环境对操作系统和应用程序已知、验证各种配置变体，以及进行服务器加固步骤和CIS基准测试。

Barber基于以前迁移的经验教训，强调了彻底测试、验证性能影响和正确调整集群规模的重要性。他建议保持系统合理的更新状态，以减轻潜在问题并遵循最佳安全实践。

Barber还分享了从Amazon Linux 2迁移到Amazon Linux 2023时遇到的具体挑战。其中一个显著的障碍是联邦信息处理标准(FIPS)合规性，该标准规定了在联邦系统中可以使用的加密算法和协议。Barber指出，在FIPS 140.3模式下，经典负载均衡器与Amazon Linux 2023不兼容，因为经典负载均衡器不支持扩展主密钥，而这是在FIPS下进行安全连接的要求。

另一个挑战是确保安全工具(如Amazon Inspector)与Amazon Linux 2023的兼容性。Barber还指出，在Amazon Linux 2023中，IMDSv2(实例元数据服务)需要在启动时默认启用，这与之前的版本不同。

Amazon Linux产品经理Manan Gupta随后登台，分享了Amazon Linux的路线图更新和未来展望。考虑到客户希望获得更多时间完成迁移到Amazon Linux 2023，亚马逊云科技做出了战略决定，将Amazon Linux 2的支持期延长一年，至2026年6月30日。在此延长期内，客户将继续获得安全更新和关键错误修复，确保现有Amazon Linux 2系统的稳定性和安全性。

对于Amazon Linux 2023，亚马逊云科技承诺提供标准支持，包括新功能、软件包更新、安全更新和错误修复，直至2027年6月30日。标准支持阶段之后，将有两年的维护支持，将Amazon Linux 2023的支持终止日期延长至2029年6月30日。这一延长的支持时间线旨在为客户提供稳定性和信心，以确信地将工作负载升级到Amazon Linux 2023。

Gupta认识到客户日益增长的需求，希望在Amazon Linux 2023发行版中开箱即用地包含更多软件包。虽然一些客户选择从源代码构建这些软件包，但亚马逊云科技正在积极评估和优先考虑最受欢迎的软件包请求，主要考虑因素是对发行版安全态势的影响。

自Amazon Linux 2023发布以来，亚马逊云科技已通过季度更新添加了大约200个软件包，满足了客户对OpenVPN、FreeIPA、.NET、Plank和.NET 8等热门软件包的需求。Gupta鼓励客户继续通过GitHub或亚马逊云科技客户经理提供反馈，因为团队会根据客户需求积极考虑和优先处理软件包添加。

对于需要符合 FIPS (联邦信息处理标准) 的客户， Gupta 概述了 Amazon Linux 2 中可用的经 FIPS 验证的加密模块，以及 Amazon Linux 2023 加密模块正在进行 FIPS 140.3 验证的提交情况。内核加密 API 模块已获得临时验证，而其余四个模块目前在“正在处理的模块”(MIP) 列表中，等待最终审查和认证。

Gupta 建议客户与其合规团队密切合作，以确定在 MIP 状态下使用 Amazon Linux 2023 加密模块的可接受性，并获得满足其特定组织要求所需的批准。

在整个演示过程中，演讲者强调 亚马逊云科技 坚定不移地致力于使 Amazon Linux 成为在 亚马逊云科技 云上运行工作负载的最安全、性能最佳的操作系统。他们鼓励客户积极参与迁移至 Amazon Linux 2023 的过程，利用 亚马逊云科技 提供的延长支持期和资源，确保平稳、成功地过渡。

在 亚马逊云科技 re:Invent 2024 大会上推出 Amazon Linux 2023，标志着 亚马逊云科技 在提供前沿解决方案的征程中迈出了重要的一步，这些解决方案将帮助企业在不断发展的数字化环境中蓬勃发展。凭借其在安全性、性能和以客户为中心的创新方面的专注，Amazon Linux 2023 有望成为组织选择的操作系统，以充分利用 亚马逊云科技 云的潜力。

下面是一些演讲现场的精彩瞬间：

SELinux提供了额外的安全层，内核实时修补允许在短时间内热补丁Linux内核，亚马逊Linux支持最新内核版本的实时修补。

亚马逊云科技在发布安全修复之前，会仔细评估安全漏洞，以确定客户是否受到影响，从而避免内部和外部客户不必要的工作。

基础AMI旨在简化开发人员的合规性、安全性和性能管理，使他们能够专注于为呼叫中心构建弹性微服务。

无论是自动化还是通过手动检查清单，在操作系统级别进行基本测试并在部署前验证配置对于成功迁移至关重要。

Jeff Barr在亚马逊云科技 re:Invent 2024上强调，保持系统合理的最新状态并了解依赖关系对于亚马逊云科技更好的安全实践至关重要。

演讲者强调，遵循文档并与合规团队合作以确保在AL 2023中正确启用和批准FIPS模式，这对于组织合规性至关重要。

总结

在这个引人入胜的叙述中，我们深入探索了Amazon Linux的世界，这是亚马逊云科技量身定制的操作系统，旨在优化其云基础架构的性能和安全性。故事从Chris Schlager开始讲述，他是内核和操作系统开发的主管，带领我们追溯了Amazon Linux从2010年诞生到最新的2023年版本的演进历程。

Chris强调了安全性的重要性，揭示了Amazon Linux采用了极简设计理念，只集成客户所需的基本组件。这种战略性设计减少了攻击面，缓解了漏洞。通过每两周的安全更新和内核加固功能，Amazon Linux 2023为不断演进的网络威胁提供了坚实的防御。

叙述接着转向来自Genesis公司的Nick Barber，他分享了公司从Amazon Linux 2迁移到Amazon Linux 2023的经验。Nick强调了规模和合规性的挑战，以及Genesis如何利用不可变基础设施范式和自动化流水线确保无缝过渡。他还提供了有关迁移陷阱和最佳实践的宝贵见解，强调了保持系统更新和彻底测试依赖关系的重要性。

Amazon Linux产品经理Manan Gupta总结了Amazon Linux的路线图。他宣布将延长对Amazon Linux 2的支持至2026年6月30日，为客户提供充足的时间升级到Amazon Linux 2023。此外，Manan还分享了有关Amazon Linux 2023生命周期、软件包添加和FIPS合规性的更新，进一步加强了亚马逊云科技为客户需求量身定制安全、高性能操作系统的承诺。

随着叙述接近尾声，观众对Amazon Linux背后精心设计和持续改进的工程充满了崇高的敬意，确保它作为亚马逊云科技工作负载的首选操作系统。

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者。提供200多类广泛而深入的云服务，服务全球245个国家和地区的数百万客户。做为全球生成式AI前行者，亚马逊云科技正在携手广泛的客户和合作伙伴，缔造可见的商业价值 – 汇集全球40余款大模型，亚马逊云科技为10万家全球企业提供AI及机器学习服务，守护3/4中国企业出海。