Nu aș atinge Amazon Linux 2 pentru nimic care necesită stabilitate sau pentru orice alt motiv, de fapt. Amazon Linux (atât 1, cât și 2) au fost construite în primul rând pentru nevoile Amazon și pentru a rula serviciile Amazon și le partajează public doar pentru comoditate. Este actualizat conform programului Amazon, nu al tău. AL2 a fost bifurcat de la CentOS 7 și apoi Amazon se abate de la acea distribuție, adesea atât de mult încât multe pachete construite pentru CentOS 7 (cum ar fi EPEL) nu mai funcționează. Deci și compatibilitatea a dispărut.
Cu asta din drum:
Un moment în care schimbați distribuțiile pentru site-ul dvs. web public (sau cel puțin intranet) este al doilea cel mai bun moment pentru a vă aduce distro-ul la cea mai recentă versiune majoră disponibilă. (Prima fiind când acea distribuție este lansată.) În acest moment, înseamnă RHEL 8.4 sau CentOS 8.4. Dar, deoarece CentOS pare să dispară la sfârșitul anului, probabil cel mai bine să treceți la Rocky Linux dacă nu vă calificați pentru abonamente RHEL gratuite (până la 16 mașini fizice sau virtuale, iar producția este permisă); asta pare să fie ceea ce majoritatea oamenilor aleg în locul Alma Linux.
În cele din urmă, în ceea ce privește actualizările automate, rulez câteva zeci de site-uri web publice, iar serverele lor sunt toate pe actualizări automate. (Ele sunt activate puțin diferit pe RHEL 8, totuși, deoarece yum-cron a dispărut, folosind dnf-automat fac acest lucru de câțiva ani și nu-mi amintesc ultima dată când a apărut o problemă legată de actualizări.
În ceea ce privește actualizările de securitate pe CentOS: nu și-au etichetat niciodată actualizările ca actualizări de securitate, așa că yum --securitate... comenzile nu au funcționat niciodată cu adevărat. Rocky Linux a început să facă acest lucru, așa că comenzile echivalente din <distro> 8 (de exemplu, `dnf --security ...) funcționează așa cum era de așteptat pe RHEL sau Rocky Linux. (Deși nu instalez doar actualizări de securitate, ci tot ce este disponibil și rulează zilnic.)
Acestea fiind spuse, am monitorizare pe toate serverele, așa că dacă ceva s-a stricat, aș fi anunțat și aș putea să mă trezesc și să o repar. Pentru site-urile publice, am analizat site-urile și scopul lor și cred că riscul de compromis extern, în special în ziua 0 sau mai devreme, este mult mai mare decât riscul de rupere a unui site din cauza unui bug într-o actualizare. De aceea am și SELinux configurat și aplicat.
Deci recomandarea mea pentru tine ar fi să mergi la RHEL 8.4 dacă vă calificați pentru abonamentul gratuit și Rocky Linux 8.4 daca tu nu. (Și alegeți regiunea corectă; nu doriți să serviți din us-east-* dacă toți vizitatorii dvs. sunt în Europa, de exemplu.)
Nu uitați să faceți un instantaneu AWS înainte de actualizare. În cazul în care ceva nu merge bine, puteți fie să îl remediați rapid, fie să reveniți la instantaneul AWS.
