Я запускаю несколько экземпляров Ubuntu Server на EC2 и всегда устанавливаю последние обновления безопасности. Мне только что пришло в голову, что у AMI есть фиксированный AKI (идентификатор ядра) / что у Amazon есть только определенный набор разрешенных ядер, в которые он будет загружаться. Так всегда ли экземпляры EC2 загружаются в одно и то же ядро, даже после установки последних обновлений ядра? Означает ли это, что каждый раз, когда появляется новое обновление ядра, мне нужно искать последнюю версию AKI от команды Ubuntu EC2, а затем запускать ec2-modify-instance-attribute --kernel NEWAKI на всех моих экземплярах (и перерегистрировать свои AMI в NEWAKI), иначе я бы загрузился в старое / небезопасное ядро?
Фактически, ваше беспокойство неверно, потому что Amazon фактически позволит вам запустить любое ядро, которое вам нравится. Раньше это было так, как вы описываете, но теперь вы можете скомпилировать и запустить ядро внутри вашей виртуальной машины.
При этом, как правило, это не так. Многие изображения по-прежнему используют AMI, поставляемые Amazon. В некоторых образах, таких как Ubuntu, используются образы, предоставленные поставщиком.
Вам не нужно слишком беспокоиться о проблемах безопасности в ядрах. Большинство проблем с безопасностью там не возникает. Гораздо важнее совместимость / стабильность с вашей аппаратной платформой.
Если есть более новые ядра, поставляемые поставщиками, и вы все равно занимаетесь обслуживанием, добавление одного из них с помощью предоставленной вами команды - хорошая идея. Если вы используете ядра Amazon, я бы просто оставил это так и не беспокоился об этом. Только если у вас есть особая потребность, я бы стал использовать собственное ядро из вашего AMI.