我在 EC2 上运行一些 Ubuntu Server 实例,并且始终安装最新的 apt 安全更新。我刚刚才意识到 AMI 具有固定的 AKI(内核 ID)/Amazon 仅允许一组特定的内核启动。那么,即使安装了最新的内核更新,EC2 实例是否也始终启动到同一个内核?这是否意味着每次有新的内核更新时,我都需要从 Ubuntu EC2 团队查找最新的 AKI,然后在ec2-modify-instance-attribute --kernel NEWAKI所有实例上运行(并使用 NEWAKI 重新注册我的 AMI),否则我将启动到旧的/不安全的内核?
答案1
您的担心实际上是错误的,因为亚马逊现在实际上允许您运行任何您喜欢的内核。以前是按照您描述的方式,但现在您可以从虚拟机内部编译和运行内核。
话虽如此,但通常的做法并非如此。许多镜像仍然使用亚马逊提供的 AMI。一些镜像(例如 Ubuntu 镜像)使用供应商提供的图像。
您不必太担心内核中的安全问题。大多数安全问题都不会发生在那里。更重要的是与您的硬件平台的兼容性/稳定性。
如果有较新的供应商提供的内核,并且您无论如何都要进行维护,那么使用您提供的命令来添加一个内核是一个好主意。如果您使用的是 Amazon 内核,我会保持原样,不用担心。只有当您有特殊需求时,我才会费心让它使用 AMI 内部的自定义内核。