ClickCease Live Patching Linux en AWS EC2 - TuxCare

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Live Patching Linux en AWS EC2

18 de junio de 2020 - Equipo de RRPP de TuxCare

Live Patching Linux On AWS EC2 blog image

CloudLinux es un socio tecnológico avanzado de Amazon Web Services (AWS), y nuestro sistema de parches en vivo, KernelCare, se utiliza actualmente para parchear los sistemas de AWS Elastic Compute Cloud (EC2).

¿Cómo parchea KernelCare los kernels Linux de los servidores AWS EC2? Siga leyendo para descubrirlo. 

EC2: Un entorno único

 

Amazon utiliza sus propios procesadores Graviton2 ARM64 en muchos de sus tipos de instancia EC2. Lo hace porque estos chips, fabricados a medida por AWS con núcleos ARM Neoverse de 64 bits, ofrecen más flexibilidad, versatilidad y mejor rendimiento. 

 

Estos procesadores de nueva generación alimentan las instancias Amazon EC2, M6g, C6g y R6g. En comparación con los chips Graviton de primera generación, ofrecen un rendimiento aún mayor. Contienen cuatro veces más núcleos, una memoria cinco veces más rápida y cachés dos veces más grandes, todo lo cual les permite ser siete veces más rápidos. 

 

Tanto si el sistema operativo es Amazon Linux 2, Ubuntu, RHEL, CentOS, Fedora, Debian u otros, las instancias de Amazon EC2 utilizan los procesadores Graviton2. En estas instancias, los chips alimentan una amplia variedad de cargas de trabajo que incluyen servidores de aplicaciones, microservicios, informática de alto rendimiento, automatización de diseños electrónicos, bases de datos de código abierto y cachés en memoria.

 

Dentro de EC2, los procesadores Graviton2 también permiten cargas de trabajo de codificación de vídeo, aceleración de hardware para cargas de trabajo de compresión y soporte para inferencia de aprendizaje automático basada en CPU.

 

KernelCare en EC2

 

¿KernelCare hace algo diferente para parchear kernels en servidores EC2 con procesadores Graviton2? No, porque no tiene que hacerlo. El año pasado, el equipo de KernelCare creó con éxito una prueba de concepto para parchear en vivo sistemas alimentados por procesadores ARM, y hoy KernelCare funciona de la misma manera con cualquier servidor que utilice un procesador ARM. 

 

Desde Raspberry Pi hasta dispositivos IoT y gateways de borde, pasando por servidores empresariales, cualquier dispositivo con un chip ARM puede tener su kernel Linux parcheado por KernelCare. Esto incluye las instancias de Amazon EC2, en las que KernelCare funciona de la forma habitual, proporcionando parches de seguridad a través de sus tres componentes: 

 

  1. Servidor de parches
    Un servidor de parches almacena parches para cada versión del kernel. Se puede acceder a él directamente o a través de un cortafuegos. Puede ser un servidor dedicado en la nube o uno interno.

  2. Programa de agentes
    Un pequeño programa agente instalado en el dispositivo o instancia a parchear comprueba periódicamente el servidor de parches en busca de nuevos parches a intervalos especificados.

  3. Módulo del kernel
    Cuando el agente lo ordena, un módulo del kernel se encarga del parcheado, pausando y reiniciando los procesos del kernel para realizar el parcheado en memoria.

Diagrama del proceso de parcheo (1)

Los parches KernelCare se crean a medida para cada versión del núcleo compatible y se distribuyen como paquetes binarios atómicos. Todos ellos están firmados con clave GPG para mayor seguridad.

 

A diferencia de lo que ocurre con las herramientas de actualización tradicionales, como yum y apt-get, KernelCare parchea el núcleo de Linux como un binario en memoria. No es necesario detener o reiniciar el dispositivo ni actualizar instancias. 

 

Durante el proceso de live patching, los cambios se producen tan rápidamente que los usuarios y las aplicaciones no pueden detectar que se están realizando. Desde la perspectiva de un usuario o servidor, el kernel nunca se detiene. 

Vea este vídeo para ver cómo funciona la aplicación de parches en vivo en AWS EC2.

 

{% video_player "embed_player" overrideable=False, type='scriptV4′, hide_playlist=True, viral_sharing=False, embed_button=False, autoplay=False, hidden_controls=False, loop=False, muted=False, full_width=False, width='1920′, height='1080′, player_id='30092780721′, style=" %}

 

¿Utiliza EC2? Contacte con nosotros

 

En resumen, KernelCare funciona perfectamente en servidores AWS EC2. Si su organización ejecuta una instancia EC2, KernelCare proporciona una forma eficaz de mantener sus kernels de servidor actualizados y seguros. 

 

Para hablar con un asesor sobre cómo empezar a utilizar KernelCare en EC2, póngase en contacto con el equipo de KernelCare en [email protected]. Con nuestra prueba gratuita de 7 días, puede evaluarlo de forma gratuita, y también ofrecemos asistencia con la instalación. 


Más contenido de KernelCare y AWS

  1. Grabación del seminario web: Live Patching Linux Kernel Vulnerabilities in Scalable Hosting Environments (Parcheado en directo de vulnerabilidades del núcleo de Linux en entornos de alojamiento escalables)
  2. KernelCare puede adquirirse en AWS Marketplace
  3. KernelCare es el socio tecnológico avanzado de AWS para Live Patching

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín