Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Praktik terbaik untuk menyebarkan pembaruan dengan aman

PDF
RSS
Mode fokus
Praktik terbaik untuk menyebarkan pembaruan dengan aman - Amazon Linux 2023
Mempersiapkan Pembaruan KecilMempersiapkan Pembaruan Utama

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Amazon Linux 2023 (AL2023) memiliki beberapa fitur yang dirancang untuk membantu menyebarkan pembaruan ke Sistem Operasi dengan aman, dan dapat mengetahui apa yang berubah di antara pembaruan, dan jika perlu, dengan mudah kembali ke versi yang lebih lama. Bagian ini mengeksplorasi pelajaran AWS dari lebih dari satu dekade penggunaan internal dan eksternal Amazon Linux.

Awas

Menjalankan dnf --releasever=latest update bukanlah praktik terbaik, dan kemungkinan akan menghasilkan pembaruan OS yang pertama kali diuji dalam produksi.

Alih-alih menggunakanlatest, gunakan versi rilis AL2 023 tertentu. Ini memastikan Anda menerapkan perubahan yang sama di seluruh instance produksi seperti yang Anda uji sebelumnya. Misalnya, dnf --releasever=2023.7.20250331 update akan selalu memperbarui ke rilis 2023.7.20250331.

Untuk informasi selengkapnya, lihat bagian Memperbarui AL2 023 di Panduan Pengguna AL2 023.

Tanpa merencanakan keamanan penerapan pembaruan OS, dampak interaksi negatif yang tidak terduga antara aplikasi/layanan Anda dan pembaruan OS dapat secara signifikan lebih besar, hingga dan termasuk pemadaman total. Seperti halnya masalah perangkat lunak apa pun, semakin awal masalah terdeteksi, semakin sedikit dampaknya terhadap pengguna akhir.

Penting untuk tidak jatuh ke dalam perangkap mempercayai dua hal yang pada dasarnya tidak benar:

  1. Vendor OS tidak akan pernah membuat kesalahan dalam pembaruan ke OS.

  2. Perilaku spesifik atau antarmuka ke OS yang Anda andalkan pada perilaku dan antarmuka yang vendor OS akan mempertimbangkan sesuatu untuk diandalkan.

    yaitu vendor OS dan Anda akan setuju bahwa ada masalah dengan pembaruan.

Jangan mengandalkan niat baik, letakkan sistem di tempat untuk memastikan bahwa keamanan penyebaran mencakup pembaruan apa pun ke OS.

Tidak disarankan untuk menguji pembaruan OS baru dengan menerapkan ke lingkungan produksi. Merupakan praktik terbaik untuk mempertimbangkan OS sebagai bagian lain dari penerapan Anda, dan pikirkan tentang menerapkan mekanisme keselamatan penerapan yang sama yang Anda anggap cocok untuk perubahan lain pada lingkungan produksi.

Ini adalah praktik terbaik untuk menguji setiap dan semua pembaruan OS sebelum menerapkan ke sistem produksi. Saat menerapkan, peluncuran bertahap yang dikombinasikan dengan pemantauan yang baik direkomendasikan. Peluncuran bertahap dapat memastikan bahwa jika masalah terjadi, bahkan jika tidak langsung, dampak terbatas pada subset armada, dan penyebaran pembaruan lebih lanjut dapat dihentikan sementara penyelidikan dan mitigasi lebih lanjut dapat terjadi.

Mitigasi dampak negatif dari mengambil pembaruan ke OS sering menjadi prioritas pertama, diikuti dengan menyelesaikan masalah, di mana pun itu berada. Dimana pengenalan pembaruan OS berkorelasi dengan dampak negatif, kemampuan untuk kembali ke versi OS yang diketahui baik sebelumnya adalah alat yang ampuh untuk dimiliki.

Amazon Linux 2023 memperkenalkanPeningkatan deterministik melalui repositori berversi, fitur baru yang kuat untuk memastikan setiap perubahan pada versi OS (atau paket individual) dapat diulang. Jadi, jika masalah ditemui ketika berpindah dari satu versi OS ke versi berikutnya, ada mekanisme yang mudah digunakan yang tersedia untuk tetap menggunakan versi OS yang diketahui saat mencari cara menyelesaikan masalah.

Dengan AL2 023, setiap kali kami merilis pembaruan paket baru, ada versi baru untuk dikunci, dan baru AMIs yang mengunci ke versi itu. Catatan Rilis AL2 023 mencakup perubahan di setiap rilis, dan Penasihat Keamanan Amazon Linux untuk 023 AL2 mencakup masalah keamanan yang ditangani dalam pembaruan paket.

Misalnya, jika Anda terpengaruh oleh masalah yang ada dalam rilis 2023.6.20241028, Anda dapat segera kembali menggunakan gambar AMIs dan penampung dari rilis sebelumnya, 2023.6.20241010. Dalam hal ini, ada bug dalam paket yang diperbaiki pada rilis 2023.6.20241031 berikutnya, tetapi dengan Peningkatan deterministik melalui repositori berversi siapa pun yang terpengaruh dapat segera mengambil tindakan sederhana untuk mengurangi: cukup gunakan gambar sebelumnya.

Peningkatan deterministik melalui repositori berversijuga memberikan jaminan bahwa setiap penyebaran pembaruan OS yang sedang berlangsung, baik di tempat atau dengan meluncurkan gambar baru AMIs atau kontainer, tidak terpengaruh oleh pembaruan OS yang dirilis selanjutnya.

Untuk contoh pertama kami, armada A adalah armada besar yang setengah jalan menerapkan pembaruan dari 2023.5.20241001 ke rilis 2023.6.20241010 ketika rilis 2023.6.20241028 keluar. Peningkatan deterministik melalui repositori berversiberarti bahwa penyebaran untuk armada A berlanjut tanpa perubahan apa pun pada pembaruan apa yang diterapkannya.

Tujuan dari strategi penyebaran berbasis gelombang atau fase seperti penyebaran pertama ke 1% armada, kemudian 5%, 10%, 20%, 40%, hingga mencapai 100%, adalah untuk dapat menguji perubahan secara terbatas sebelum meluncurkannya lebih luas. Jenis strategi penyebaran ini umumnya dianggap sebagai praktik terbaik untuk menerapkan perubahan produksi apa pun.

Dengan strategi penyebaran berbasis gelombang dan pembaruan armada A ke 2023.6.20241010 berada pada tahap di mana ia digunakan ke banyak host sekaligus, fakta bahwa 2023.6.20241028 dirilis tidak berdampak pada penyebaran yang sedang berlangsung berkat penggunaan. Peningkatan deterministik melalui repositori berversi

Jika armada B menjalankan versi yang lebih lama, katakanlah 2023.5.20240708, dan telah mulai menerapkan pembaruan ke 2023.6.20241028, dan armada B terpengaruh oleh masalah dalam versi itu, ini akan diperhatikan di awal penerapan. Pada saat itu, keputusan dapat dibuat apakah akan menghentikan sementara peluncuran apa pun hingga perbaikan untuk masalah itu tersedia, atau jika sementara itu untuk memulai penerapan versi yang sama armada A sedang berjalan, 2023.6.20241010 sehingga armada B mendapatkan semua pembaruan antara 2023.5.20240708 dan 2023.6.20241010.

Penting untuk dicatat bahwa tidak mengambil pembaruan OS segera dapat menyebabkan masalah. Pembaruan baru kemungkinan berisi perbaikan bug dan keamanan yang mungkin relevan dengan lingkungan Anda. Untuk informasi selengkapnya, lihat Keamanan dan Kepatuhan di Amazon Linux 2023 dan Kelola pembaruan paket dan sistem operasi di AL2 023.

Penting untuk mengonfigurasi sistem penyebaran Anda agar dapat dengan mudah mengambil pembaruan OS baru, mengujinya sebelum menerapkan ke produksi, dan menggunakan mekanisme seperti penerapan berbasis gelombang untuk meminimalkan dampak negatif apa pun. Agar dapat mengurangi dampak negatif dari pembaruan OS, penting untuk mengetahui cara membuat sistem penyebaran Anda mengarah ke versi OS yang diketahui baik sebelumnya, dan setelah masalah ini diatasi, tidak lagi dikunci ke versi lama yang diketahui bagus melainkan pindah ke versi baru yang diketahui bagus.

Mempersiapkan Pembaruan Kecil

Mempersiapkan pembaruan yang lebih kecil untuk OS, seperti rilis poin baru AL2 023 dimaksudkan untuk dibatasi hingga nol usaha. Pastikan untuk membaca Catatan Rilis AL2 023 untuk setiap perubahan yang akan datang.

Periode dukungan paket yang akan segera berakhir mungkin melibatkan pemindahan ke versi runtime bahasa yang lebih baru (seperti withPHP di AL2 023). Ini adalah praktik terbaik untuk mempersiapkan ini terlebih dahulu dengan pindah ke versi waktu berjalan bahasa baru dengan nyaman sebelum periode dukungan berakhir.

Untuk paket sepertipcreversi 1, ada juga kesempatan untuk merencanakan terlebih dahulu dan memigrasikan kode Anda ke penggantinya, yang dalam hal ini adalah pcre versi 2. Ini adalah praktik terbaik untuk melakukannya sesegera mungkin, untuk memberikan waktu untuk setiap kemunduran.

Jika tidak ada penggantian langsung, seperti denganBerkeley DB () libdb, Anda mungkin perlu membuat pilihan berdasarkan kasus penggunaan Anda.

Mempersiapkan Pembaruan Utama

Memperbarui ke versi utama baru dari Sistem Operasi hampir secara universal dipandang sebagai sesuatu yang memerlukan perencanaan, bekerja untuk beradaptasi dengan fungsionalitas yang diubah atau tidak digunakan lagi, dan juga pengujian sebelum penerapan. Tidak jarang dapat mempersiapkan versi utama Amazon Linux 2023 berikutnya secara lebih bertahap, seperti menangani penggunaan fungsionalitas yang tidak digunakan lagi atau dihapus sebelum melanjutkan dengan pindah ke versi utama berikutnya.

Misalnya, ketika berpindah dari AL2 ke AL2 023, membaca Fungsionalitas tidak digunakan lagi AL2 dan dihapus di 023 AL2 bagian dapat menghasilkan sejumlah langkah aman dan kecil yang dapat terjadi saat masih menggunakan AL2 untuk mempersiapkan AL2 023. Misalnya, Python 2.7 telah diganti dengan Python 3 penggunaan apa pun (di luar penggunaan OS seperti di manajer yum paket) dapat dimigrasikan ke Python 3 sebagai persiapan untuk digunakan. Python di AL2 023 Jika menggunakan PHP, keduanya AL2 (melalui PHP 8.2 AL2 Extra) dan AL2 023 mengirimkan PHP 8.2, dan dengan demikian migrasi versi PHP dan migrasi OS tidak harus terjadi secara bersamaan.

Saat menggunakan AL2 023, dimungkinkan juga untuk mempersiapkan versi utama Amazon Linux 2023 berikutnya hari ini, saat menggunakan AL2 023. Usang pada 023 AL2Bagian ini mencakup fitur dan paket yang tidak digunakan lagi di AL2 023 dan karena akan dihapus.

Misalnya, memigrasikan System V init (sysvinit) penggunaan yang tersisa, seperti init skrip ke systemd padanannya akan mempersiapkan Anda untuk masa depan, serta memungkinkan Anda untuk menggunakan set lengkap systemd fitur untuk memantau layanan, bagaimana dan jika memulai ulang, layanan lain apa yang dibutuhkan, dan jika ada batasan sumber daya atau izin yang harus diterapkan.

Untuk fitur seperti dukungan 32-bit, penghentian dapat mencakup beberapa versi utama OS. Untuk 32-bit, Amazon Linux 1 (AL1) tidak digunakan lagi, Amazon Linux 2 tidak 32-bit x86 (i686) AMIs digunakan lagi, dan Amazon Linux Paket 32-bit x86 (i686) 2023 tidak digunakan lagi. Dukungan runtime 32bit x86 (i686) Transisi menjauh dari IMDSv1 juga mencakup beberapa versi utama OS. Untuk jenis perubahan ini, dapat dipahami bahwa beberapa pelanggan memerlukan waktu lebih lama untuk beradaptasi dengannya, sehingga ada banyak kelonggaran sebelum fungsionalitas tidak lagi tersedia di Amazon Linux 2023.

Daftar fungsionalitas yang tidak digunakan lagi diperbarui selama masa pakai OS, dan disarankan untuk tetap up to date dengan perubahan padanya.

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.