Confronto tra AL2 e AL2023 - Amazon Linux 2023

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Confronto tra AL2 e AL2023

I seguenti argomenti descrivono le differenze principali tra AL2 e AL2023.

Pacchetti aggiunti, aggiornati e rimossi

AL2023 contiene migliaia di pacchetti software disponibili per l'uso. Per un elenco completo di tutti i pacchetti aggiunti, aggiornati o rimossi in AL2023 rispetto alle versioni precedenti di Amazon Linux, consulta Modifiche apportate ai pacchetti in AL2023.

Per richiedere l'aggiunta o la modifica di un pacchetto in AL2023, segnala un problema nel repository amazon-linux-2023 su. GitHub

Supporto per ogni rilascio

Per AL2023, offriamo cinque anni di supporto.

Per ulteriori informazioni, consulta Cadenza di rilascio.

Modifiche alla denominazione e al controllo delle versioni

AL2023 supporta gli stessi meccanismi supportati da AL2 per l'identificazione della piattaforma. AL2023 introduce anche nuovi file per l'identificazione della piattaforma.

Per ulteriori informazioni, consulta Denominazione e controllo delle versioni.

Ottimizzazioni

AL2023 ottimizza i tempi di avvio per ridurre il periodo che intercorre tra l'avvio dell'istanza e l'esecuzione del carico di lavoro del cliente. Queste ottimizzazioni riguardano la configurazione del kernel dell'istanza Amazon EC2, le configurazioni cloud-init e le funzionalità integrate nei pacchetti del sistema operativo come kmod e systemd.

Per ulteriori informazioni su queste ottimizzazioni, consulta Ottimizzazioni relative a operazioni e prestazioni.

Python 2.7 è stato sostituito con Python 3

AL2 fornisce supporto e patch di sicurezza per Python 2.7 fino a giugno 2025, come parte del nostro impegno di supporto a lungo termine (LTS) per i pacchetti principali di AL2. Questo supporto si estende oltre la dichiarazione della comunità Python upstream di Python end-of-life 2.7 di gennaio 2020.

AL2 usa il gestore di yum pacchetti, che ha una forte dipendenza da Python 2.7. In AL2023 il gestore di pacchetti dnf ha effettuato la migrazione a Python 3 e non richiede più Python 2.7. AL2023 è stato completamente spostato su Python 3.

Nota

AL2023 ha rimosso Python 2.7, quindi tutti i componenti del sistema operativo che richiedono Python sono scritti per funzionare con Python 3. Per continuare a usare una versione di Python fornita e supportata da Amazon Linux, converti il codice di Python 2 in Python 3.

Per ulteriori informazioni su Python su Amazon Linux, consulta Python in AL2023.

Aggiornamenti di sicurezza

SELinux

Per impostazione predefinita, Security Enhanced Linux (SELinux) per AL2023 è enabled e impostato sulla modalità permissive. In modalità permissive, le negazioni di autorizzazione vengono registrate ma non applicate.

SELinux è una funzionalità di sicurezza del kernel Amazon Linux, che era disabled in AL2. SELinux è una raccolta di funzionalità e utilità del kernel che fornisce l'architettura per il controllo degli accessi obbligatorio (MAC) nei principali sottosistemi del kernel.

Per ulteriori informazioni, consulta Impostazione delle modalità SELinux per AL2023.

Per ulteriori informazioni su repository, strumenti e policy di SELinux, consulta le pagine dedicate a SELinux Notebook, tipi di policy SELinux e progetto SELinux.

OpenSSL 3

AL2023 dispone del toolkit di crittografia Open Secure Sockets Layer version 3 (OpenSSL 3). AL2023 supporta i protocolli di rete TLS 1.3 e TLS 1.2.

Per impostazione predefinita, AL2 viene fornito con OpenSSL 1.0.2. Puoi sviluppare applicazioni contro OpenSSL 1.1.1.

Per ulteriori informazioni su OpenSSL, consulta la guida per la migrazione a OpenSSL.

Per ulteriori informazioni sulla sicurezza, consulta Aggiornamenti e funzionalità di sicurezza.

IMDSv2

Per impostazione predefinita, tutte le istanze avviate con l'AMI AL2023 richiedono IMDSv2 solo -only e il limite di hop predefinito sarà impostato su 2 per consentire il supporto di carichi di lavoro containerizzati. Questo è possibile impostando il parametro imds-support su v2.0. Per ulteriori informazioni, consulta Configurare l'AMI nella Guida per l'utente di Amazon EC2.

Nota

Il periodo di validità del token di sessione può essere compreso tra 1 secondo e 6 ore. Gli indirizzi a cui inviare le richieste API per le query IMDSv2 sono i seguenti:

  • IPv4: 169.254.169.254

  • IPv6: fd00:ec2::254

Puoi sovrascrivere manualmente queste impostazioni e abilitarle IMDSv1 utilizzando le proprietà di avvio dell'opzione Instance Metadata. Puoi anche utilizzare i controlli IAM per applicare impostazioni diverse. IMDS Per ulteriori informazioni sulla configurazione e l'utilizzo del servizio di metadati dell'istanza, consulta Usa IMDSv2, configura le opzioni dei metadati delle istanze per le nuove istanze e Modifica delle opzioni dei metadati delle istanze per le istanze esistenti, nella Guida per l'utente di Amazon EC2.

Rimozione di hotpatch log4j (log4j-cve-2021-44228-hotpatch)

Nota

AL2023 non viene fornito con il pacchetto log4j-cve-2021-44228-hotpatch.

In risposta a CVE-2021-44228, Amazon Linux ha rilasciato una versione in pacchetto RPM di Hotpatch per Apache Log4j per AL1 e AL2. Nell'annuncio dell'aggiunta dell'hotpatch ad Amazon Linux abbiamo indicato che l'installazione dell'hotpatch non sostituisce l'aggiornamento a una versione log4j che mitiga CVE-2021-44228 o CVE-2021-45046.

L'hotpatch era una mitigazione per consentire il tempo necessario per applicare le patch log4j. La prima versione disponibile a livello generale di AL2023 risale a 15 mesi dopo CVE-2021-44228, quindi AL2023 non viene fornito con l'hotpatch (abilitato o meno).

Gli utenti che eseguono log4j le proprie versioni su Amazon Linux devono assicurarsi di aver effettuato l'aggiornamento alle versioni non interessate da CVE-2021-44228 o CVE-2021-45046.

AL2023 fornisce indicazioni su Aggiornamento di AL2023 in modo da restare al passo con le patch di sicurezza. Gli avvisi di sicurezza sono pubblicati nella pagina Amazon Linux Security Center.

Aggiornamenti deterministici per la stabilità

Con gli aggiornamenti deterministici tramite la funzionalità di repository con versioni, ogni AMI AL2023 per impostazione predefinita è bloccata su una versione di repository specifica. Puoi usare gli aggiornamenti deterministici per ottenere una maggiore coerenza tra gli aggiornamenti e le versioni dei pacchetti. Ogni rilascio, principale o secondario, include una versione di repository specifica.

Novità di AL2023: l'aggiornamento deterministico per impostazione predefinita è abilitato. Si tratta di un miglioramento rispetto al metodo di blocco manuale incrementale utilizzato in AL2 e in altre versioni precedenti.

Per ulteriori informazioni, consulta Utilizzo degli aggiornamenti deterministici tramite il repository con versioni su AL2023.

Origine da diversi upstream

AL2023 è basato su RPM e include componenti che hanno origine da più versioni di Fedora e altre distribuzioni, come CentOS 9 Stream. Il kernel Amazon Linux ha origine dai rilasci di supporto a lungo termine (LTS) direttamente da kernel.org, scelti indipendentemente dalle altre distribuzioni.

Per ulteriori informazioni, consulta Relazione con Fedora.

File system root AMI e tipo di volume Amazon EBS predefinito

L'AMI AL2023 e AL2 usano entrambi il file system XFS sul file system root. Per AL2023, le opzioni mkfs per il file system del dispositivo root sono ulteriormente ottimizzate per Amazon EC2. AL2023 supporta anche una serie di altri file system che puoi utilizzare su altri volumi per soddisfare requisiti specifici.

Le AMI AL2023 usano i volumi gp3 di Amazon EBS per impostazione predefinita, mentre le AMI AL2 usano i volumi gp2 di Amazon EBS per impostazione predefinita. Puoi modificare il tipo di volume quando avvii un'istanza.

Per ulteriori informazioni sui tipi di volume di Amazon EBS, consulta la pagina dedicata ai volumi per uso generale di Amazon EBS.

Per ulteriori informazioni sul lancio di un'istanza Amazon EC2, consulta Launch an instance nella Amazon EC2 User Guide.

Servizio di sistema delle reti

Il servizio di sistema systemd-networkd gestisce le interfacce di rete in AL2023. Questa è una modifica rispetto ad AL2, che usa ISC dhclient o dhclient.

Per ulteriori informazioni, consulta Servizio di networking.

Gerarchia dei gruppi di controllo unificati (cgroup v2)

Un gruppo di controllo (cgroup) è una funzionalità del kernel Linux per organizzare gerarchicamente i processi e distribuire le risorse di sistema tra di essi. I gruppi di controllo vengono usati estensivamente per implementare un runtime di container e da systemd.

Supporta AL2 e supporta cgroupv1 AL2023. cgroupv2 Ciò è particolarmente importante se si eseguono carichi di lavoro containerizzati, ad esempio in caso di Utilizzo di AMI Amazon ECS basate su AL2023 per ospitare carichi di lavoro containerizzati.

Sebbene AL2023 includa ancora codice che può far funzionare il sistema utilizzandocgroupv1, questa non è una configurazione consigliata o supportata e verrà completamente rimossa in una futura versione principale di Amazon Linux.

Esiste un'ampia documentazione riguardante le interfacce del kernel Linux di basso livello, nonché la documentazione sulla delega systemd cgroup.

Un caso d'uso comune al di fuori dei contenitori consiste nella creazione di systemd unità con limiti alle risorse di sistema che possono utilizzare. Per ulteriori informazioni, vedere systemd.resource-control.

Pianificazione delle attività

Il pacchetto cronie è stato installato per impostazione predefinita sull'AMI AL2, fornendo supporto per il metodo crontab tradizionale di pianificazione delle attività periodiche. In AL2023, non è incluso per impostazione predefinita. cronie Pertanto, il supporto per non crontab è più fornito per impostazione predefinita.

Facoltativamente, è possibile installare il pacchetto cronie per usare i processi cron classici. Ti consigliamo di eseguire la migrazione ai timer systemd grazie alle funzionalità aggiuntive fornite da systemd.

Pacchetti per glibc, gcc e binutils

AL2023 include molti degli stessi pacchetti principali di AL2.

Abbiamo aggiornato i seguenti tre pacchetti di toolchain principali per AL2023.

Nome pacchetto AL2 AL2023
glibc

2,26

2,34

gcc

7.3

11,3

binutils

2,29

2,39

Per ulteriori informazioni, consulta Pacchetti di toolchain principali glibc, gcc, binutils.

Programma di gestione dei pacchetti

Lo strumento di gestione dei pacchetti software predefinito su AL2023 è DNF. DNF è il successore di YUM, lo strumento di gestione dei pacchetti di AL2.

Per ulteriori informazioni, consulta Strumento di gestione dei pacchetti.

Sistema di registrazione di log

In AL2023 il pacchetto del sistema di registrazione di log è cambiato rispetto ad AL2. AL2023 non installa rsyslog per impostazione predefinita, quindi i file di log basati su testo come /var/log/messages che erano disponibili in AL2 non sono disponibili per impostazione predefinita. La configurazione predefinita per AL2023 è systemd-journal, che può essere esaminata utilizzando journalctl. Sebbene rsyslog sia un pacchetto opzionale in AL2023, consigliamo la nuova interfaccia journalctl basata su systemd basata e i pacchetti correlati. Per ulteriori informazioni, consulta la pagina del manuale di journalctl.

Modifiche ai pacchetti per curl e libcurl

AL2023 separa i protocolli e le funzionalità comuni dei pacchetti curl e libcurl in curl-minimal e libcurl-minimal. In questo modo è possibile ridurre l'ingombro di disco, memoria e dipendenze per la maggior parte degli utenti e si tratta del pacchetto predefinito per i container e le AMI AL2023.

Se è richiesta la piena funzionalità di curl, ad esempio per il supporto di gopher://, esegui i seguenti comandi per installare i pacchetti curl-full e libcurl-full.

$ dnf swap libcurl-minimal libcurl-full
$ dnf swap curl-minimal curl-full

GNU Privacy Guard (GNUPG)

AL2023 separa le funzionalità minime e complete per il pacchetto gnupg2 nei pacchetti gnupg2-minimal e gnupg2-full. Per impostazione predefinita, solo il pacchetto gnupg2-minimal viene installato. In questo modo è possibile ottenere la funzionalità minima richiesta per verificare le firme digitali sui pacchetti rpm.

Per ulteriori funzionalità di gnupg2 (ad esempio la possibilità di scaricare le chiavi da un server di chiavi), assicurati che il pacchetto gnupg2-full sia installato. Esegui il comando riportato di seguito per scambiare gnupg2-minimal e gnupg2-full.

$ dnf swap gnupg2-minimal gnupg2-full

Amazon Corretto come JVM predefinita

AL2023 viene fornito con Amazon Corretto come Java Development Kit (JDK) predefinito (e unico). Tutti i pacchetti Java basati in AL2023 sono tutti costruiti con. Amazon Corretto 17

Se stai migrando da AL2, puoi passare senza problemi dalla OpenJDK versione equivalente su AL2 a. Amazon Corretto

AWS CLI v2

AL2023 viene fornito con la AWS CLI versione 2, mentre AL2 viene fornito con la versione 1 di. AWS CLI

UEFI Preferred

Per impostazione predefinita, tutte le istanze avviate con l'AMI AL2023 su tipi di istanza che supportano il firmware UEFI vengono avviate in modalità UEFI. Questo è possibile impostando il parametro della modalità di avvio dell'AMI su uefi-preferred. Per ulteriori informazioni, consulta le modalità di avvio nella Guida per l'utente di Amazon EC2.

Modifiche alla configurazione predefinita del server SSH

Per l'AMI AL2023, abbiamo cambiato i tipi delle chiavi host sshd che generiamo con il rilascio. Abbiamo anche eliminato alcuni tipi di chiavi legacy per evitare di generarli al momento dell'avvio. I client devono supportare i protocolli rsa-sha2-256 e rsa-sha2-512 oppure ssh-ed25519 con l'uso di una chiave ed25519. Per impostazione predefinita, le firme ssh-rsa sono disabilitate.

Inoltre, le impostazioni di configurazione di AL2023 nel file sshd_config predefinito contengono UseDNS=no. Questa nuova impostazione significa che è meno probabile che eventuali problemi con DNS blocchino la capacità di stabilire sessioni ssh con le istanze. Come compromesso, le voci di riga from=hostname.domain,hostname.domain nei file authorized_keys non verranno risolte. Poiché sshd non tenta più di risolvere i nomi DNS, ogni valore hostname.domain separato da virgole deve essere tradotto in un IP address corrispondente.

Per ulteriori informazioni, consulta Configurazione del server SSH predefinita.

Extra Packages for Enterprise Linux (EPEL)

Extra Packages for Enterprise Linux (EPEL) è un progetto della community Fedora che ha l'obiettivo di creare una ampio array di pacchetti per sistemi operativi Linux di livello enterprise. Il progetto ha essenzialmente prodotto pacchetti RHEL e CentOS. AL2 offre un elevato livello di compatibilità con CentOS 7. Di conseguenza, molti pacchetti EPEL7 funzionano su AL2. Tuttavia, AL2023 non supporta i repository EPEL o simili a EPEL.

Uso di cloud-init

In AL2023, cloud-init gestisce il repository dei pacchetti. Per impostazione predefinita, nelle versioni precedenti di Amazon Linux, cloud-init installava gli aggiornamenti di sicurezza. Questa non è l'impostazione predefinita per AL2023. Le nuove funzionalità di aggiornamento deterministico per l'aggiornamento di releasever al momento dell'avvio descrivono il modo in cui AL2023 abilita gli aggiornamenti dei pacchetti al momento dell'avvio. Per ulteriori informazioni, consulta Gestione degli aggiornamenti dei pacchetti e del sistema operativo in AL2023 e Aggiornamenti deterministici per la stabilità.

Con AL2023, puoi usare cloud-init con SELinux. Per ulteriori informazioni, consulta Uso di cloud-init per abilitare la modalità enforcing.

Cloud-init carica il contenuto della configurazione con cloud-init da posizioni remote utilizzando HTTP(S). Nelle versioni precedenti, Amazon Linux non ti avvisa quando le risorse remote non sono disponibili. In AL2023, le risorse remote non disponibili creano un errore irreversibile e causano la mancata esecuzione di cloud-init. Questa modifica nel comportamento rispetto ad AL2 fornisce un comportamento predefinito di tipo "fail closed" più sicuro.

Per ulteriori informazioni, consulta cloud-init personalizzato e la documentazione di cloud-init.

Supporto per ambiente grafico o desktop

AL2023, incentrato sul cloud e ottimizzato per l'utilizzo di Amazon EC2, attualmente non include un ambiente grafico o desktop. Per fornire feedback su GitHub, consulta https://github.com/.

Tripletta del compilatore

AL2023 imposta la tripletta del compilatore per GCC e LLVM per indicare che il fornitore è amazon.

Pertanto, aarch64-redhat-linux-gcc AL2 diventa aarch64-amazon-linux-gcc su AL2023.

Questo dovrebbe essere completamente trasparente per la maggior parte degli utenti e potrebbe interessare solo coloro che stanno compilando compilatori su AL2023.

Pacchetti x86 (i686) a 32 bit

Come parte della versione 2014.09 di AL1, è stato annunciato che sarebbe stata l'ultima versione a produrre AMI a 32 bit. Pertanto, a partire dal rilascio 2015.03 di AL1, Amazon Linux non supportava più l'esecuzione del sistema in modalità a 32 bit. AL2 offriva un supporto di runtime limitato per i file binari a 32 bit su host x86-64 e non forniva pacchetti di sviluppo per consentire la creazione di nuovi file binari a 32 bit. AL2023 non include più pacchetti di spazio utente a 32 bit. Ti consigliamo di completare la transizione al codice a 64 bit.

Se è necessario eseguire file binari a 32 bit su AL2023, è possibile utilizzare lo spazio utente a 32 bit di AL2 all'interno di un container AL2 in esecuzione su AL2023.

lsb_release e il pacchetto system-lsb-core

Storicamente, alcuni software richiamavano il comando lsb_release (fornito in AL2 dal pacchetto system-lsb-core) per ottenere informazioni sulla distribuzione Linux su cui veniva eseguito. La Linux Standards Base (LSB) ha introdotto questo comando e le distribuzioni Linux lo hanno adottato. Le distribuzioni Linux si sono evolute per utilizzare lo standard più semplice per la memorizzazione di queste informazioni in /etc/os-release e altri file correlati.

Lo standard os-release viene da systemd. Per ulteriori informazioni, consulta la documentazione di systemd os-release.

AL2023 non viene fornito con il comando lsb_release e non include il pacchetto system-lsb-core. Il software deve completare la transizione allo standard os-release per mantenere la compatibilità con Amazon Linux e le altre principali distribuzioni Linux.