Должен ли я обновлять пакеты ядра на экземплярах EC2?

На моем сервере EC2, когда я делаю sudo apt-get update && sudo apt-get upgrade , я вижу:

 The following packages have been kept back: linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual 

Должен ли я идти вперед и делать sudo apt-get install linux-ec2 linux-image-ec2 linux-image-virtual linux-virtual чтобы заставить эти пакеты быть обновлены?

Короткий ответ: да, вы должны постоянно обновлять свои системы в отношении патчей безопасности.

Как именно вы развертываете патчи безопасности, зависит от вашей толерантности к риску. Вот некоторые варианты, которые я использовал для ответа на этот вопрос в прошлом:

  1. Примените обновления к набору QA-систем, которые имитируют вашу производственную среду и запускают все ваши регрессионные тесты, чтобы убедиться, что изменения не нарушают функциональность или не вызывают проблемы с производительностью. После того, как вы удовлетворены, разверните обновления для своих производственных систем.

  2. Подождите один день и посмотрите, есть ли публичный протест о проблемах, вызванных обновлениями. Если все кажется мирным, обновите свои производственные системы.

  3. Примените каждое исправление безопасности на своих производственных системах, как только оно будет доступно.

Я использовал комбинацию всех трех этих подходов с использованием Ubuntu и постепенно перешел к варианту 3 на протяжении многих лет. Патчи безопасности тщательно тестируются перед выпуском, и очень осторожны, чтобы не нарушить существующую функциональность. У меня никогда не возникало проблем с обновлением в поддерживаемых Ubuntu изображениях (хотя у меня была проблема несколько лет назад, когда я использовал ядро ​​без Ubuntu с Ubuntu на EC2).

Обратите внимание, что для обновления ядра также требуется перезагрузка, чтобы применить изменения.

Вышеупомянутый опыт и рекомендации относятся только к обновлению в выпуске Ubuntu (например, 11.04). Обновление до новой версии Ubuntu является гораздо более масштабной и более рискованной задачей и, безусловно, требует тестирования перед ее развертыванием в ваши производственные системы.

Вот статья по этой теме, только что опубликованная RightScale о том, как управлять обновлениями безопасности в своей среде:

http://blog.rightscale.com/2011/09/28/security-patching-in-the-rightscale-universe/