自动应用 AWS Elastic Beanstalk 的安全更新

首先，要明确一点，Elastic Beanstalk 并不是您所想象的 PaaS。如果将其分解成几部分，它实际上更像是拥有虚拟化实例模板和应用程序部署自动化，如 puppet 或 chef。除此之外，您还可以自动访问 awe 的负载均衡器服务和云监控，这允许您根据指标启动新的应用程序服务器或关闭现有的应用程序服务器。

它之所以感觉像 PaaS，是因为其主要卖点是应用程序部署系统，它可以获取你的代码并将其复制到集群中的所有应用程序服务器。

一些人对 PaaS 的抱怨之一是 PaaS 供应商替您决定应用程序环境。在我看来，这似乎是 PaaS 的价值主张：作为客户，您可以专注于应用程序功能，而将所有其他细节留给 PaaS 供应商。您支付费用让其他人管理基础设施并提供系统管理。为了这种简单性，您需要向他们支付额外费用，就像 Heroku 的情况一样，它也在 ec2 上运行其基础设施，只是对您来说是透明的。

亚马逊实际上是在 Ec2 及其 REST API 之上提供 Elastic Beanstalk，并且没有花太多精力向您隐藏这一点。这是因为他们是通过 IaaS 赚钱的，而 EB 只是安排一组 ec2 资源的设置，只要您有时间和知识，就可以自己设置。

现在，就 AMI 的具体情况而言，AMI 再次成为用于促进 EB 的众多 ec2 组件之一。EB AMI 并没有什么神奇之处 - 它只是一个预先配置为与 EB 配合使用的 Amazon Linux AMI。与任何其他 AMI 一样，您可以在 EC2 中启动它，对其进行调整，并从正在运行的实例中派生出新的自定义 AMI。Amazon Linux 基本上是 Centos 和 Fedora 的结合体，带有半虚拟化补丁和由 Amazon 维护的预配置 yum 存储库。

您可能知道，Amazon Linux 已配置为在启动时安装安全补丁。但是，在补丁方面，正在运行的实例与任何其他服务器没有什么不同。补丁可能会中断服务。如果您非常关心安全补丁，您可以随时使用容器命令并设置 cron 以某种周期运行 yum update --security。

您还可以利用 EB API 来更改 EB 配置，或自动创建新的 EB 环境，然后在其启动并准备就绪后切换到该环境，然后关闭旧环境。具体描述如下： http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/using-features.CNAMESwap.html

与 AWS 的其他功能一样，有一种方法可以通过编程方式访问和控制每个非 SaaS 功能，因此没有什么可以阻止您创建修补的 AMI，然后使用这些 AMI 创建新的 EB 环境并推出它们。EB 不会强迫您遵循配置细节，也不会为您提供系统管理组来维护基础设施。

自 2016 年 4 月起，Elastic Beanstalk 支持自动平台更新：

https://aws.amazon.com/about-aws/whats-new/2016/04/aws-elastic-beanstalk-introduces-managed-platform-updates/

所有 Beanstalk 应用程序和环境都可以通过 EBEXTENSIONS 文件进行配置，这些文件与您的应用程序部署包（例如 Java 应用程序的 WAR 文件）一起打包，并使用基于 YAML 的配置来更新或重新配置应用程序、容器、操作系统等的任何部分。Beanstalk 是 PaaS，因为它是一个允许您部署应用程序而不必担心底层 IaaS 的平台。最终，所有 PaaS 提供商都会通过某种形式的自动化来混淆底层 IaaS。但是，由于我们讨论的是计算机科学，因此没有适用于所有应用程序的单一最佳状态，并且如果无法在 PaaS 下调整 IaaS，那么您只能依靠 PaaS 服务提供商来确保您的应用程序运行顺畅、快速且安全。

Heroku 在 AWS 上运行，使用不同的管理层。但是，当您必须执行诸如保护应用程序之类的操作时，它就会变得非常麻烦。虽然他们尽最大努力有效地管理他们的解决方案并维护安全性等，但他们无法也不会承担最终导致应用程序漏洞的风险和后果。他们希望使他们的服务尽可能千篇一律。

我认为，调整平台底层 IaaS 的能力是 Beanstalk 的优势和吸引力。