ClickCease 將 KernelCare Enterprise 與 Canonical Live patch 進行比較

將 KernelCare Enterprise 與 Canonical Live patch 進行比較

Canonical 在即時修補方面做得很紮實,但臨時修補是否適合您 - 是否值得支付相對較高的費用?此外,你的其他Linux發行版呢?

即時修補是為Linux系統安裝安全更新的最佳方式。通過即時修補,您可以針對內核漏洞實施最新的安全修復程式,但無需重新啟動系統即可應用補丁。這意味著您無需規劃維護時段,並且您的系統可以更一致地保持安全。

這就是為什麼,就像其他主要的Linux供應商一樣,Canonical決定為Ubuntu開發一個實時補丁工具,稱為Livepatch。然而,Livepatch在工作方式上有兩個關鍵缺陷 - 這是一個相對昂貴的選擇。

作為替代方案,您可能需要考慮TuxCare的KernelCare Enterprise。讓我們深入瞭解這兩種工具之間的差異。

內容:

  1. 什麼是Canonical Livepatch?
  2. 比較臨時修補和持久修補
  3. 支援的Linux內核
  4. Canonical Livepatch 和 KernelCare 之間的成本比較
  5. 從 Canonical Livepatch 過渡到 KernelCare
  6. 結論

什麼是Canonical Livepatch?

Live Linux 內核補丁已經存在了十多年,2009 年麻省理工學院出現了第一個可行的解決方案。它被稱為KSplice。CloudLinux的團隊很快跟進了KernelCare,許多主要的Linux供應商都同時開發了實時補丁工具。對於 Ubuntu 使用者,有 Livepatch 提供安全更新。

對於所有即時修補工具,前提基本上是相同的,儘管臨時修補和持久修補之間的區別很重要,我們將在下一節中介紹。Livepatch 工具上線,運行 Linux 內核並動態替換受影響的代碼 - 前一刻存在內核漏洞,下一刻它運行安全代碼,無需重新啟動。

當您完成獲取 livepatch 令牌並為其部署快照包的動作時,這意味著您的系統管理員團隊不必安排維護視窗並等待停機后再應用補丁。補丁應用一致且沒有延遲,這意味著系統易受攻擊的時間視窗較小。

比較臨時修補和持久修補

所有即時補丁工具都不相同 - 關鍵區別之一是關鍵內核補丁的應用方式。有兩種途徑:臨時修補和持久修補。臨時補丁也稱為動態內核修補,它使用一種特殊技術將補丁移植到內核上,但補丁並未完全集成。

Canonicals Ltd. 的 Ubuntu Livepatch 在應用內核更新時利用了臨時修補技術,在某些時候,系統管理員需要重新啟動計算機才能完全集成該補丁——因此最終需要中斷性重啟。因此,雖然臨時修補為我們帶來了很長的路要走,以運行安全可靠的工作負載,但它仍然不理想。這裡的摩擦來自影響相同代碼的後續補丁之間的可能交互 - 這是非常棘手的,因為已經部署(或未)補丁到給定代碼部分的可能組合數量可能會迅速增長。這就是持久修補的用武之地。

持久修補採用不同的方法,因為每個內核補丁都是動態完全集成的,無需重新啟動即可完成修補。補丁是累積的 - 換句話說,不是將一個補丁應用於另一個補丁之上,而是一次性包含在二進位檔中。持久修補實現了完全消除重新啟動需求的重要目標,並最大程度地減少了停機時間。

支援的Linux內核

大多數託管的即時內核修補工具僅適用於特定的Linux發行版,Canonical Ubuntu Livepatch也是如此,它僅支援Ubuntu系統,並且僅支援4.4和更新的內核。如果您的整個工作負載都基於最新的Ubuntu發行版,那很好 - 但它不會涵蓋其他Linux發行版。由於某些 Linux 發行版更適合某些場景,因此通常會發現多個發行版在給定組織中運行,履行不同的角色。因此,Livepatch只能部分滿足您的即時修補需求。

另一方面,KernelCare Enterprise 支援更廣泛的發行版,包括 RHEL、Debian、CentOS 等的內核實時補丁(事實上,涵蓋了 40 多個不同的企業級 Linux 發行版,以及超過 4000 個發行版 + 內核版本組合)。這是一個一站式解決方案,這意味著您無需運行多個即時修補解決方案即可覆蓋所有基於 Linux 的系統。

Canonical Livepatch 和 KernelCare 之間的成本比較

Canonical的Ubuntu Livepatch不是關鍵內核補丁最昂貴的實時解決方案,但它也不是最便宜的。您不能將 Livepatch 作為單獨的產品,它僅作為使用者使用其 Ubuntu One 帳戶註冊的 Ubuntu Advantage 訂閱的一部分包含在內。

定價有點複雜,取決於您運行的是物理伺服器還是虛擬機,但它的起價從每台機器每年 75 美元起,最高為每台機器每年 2,500 美元。TuxCare的KernelCare Enterprise每年每台伺服器不到60美元。

Canonical Ubuntu Livepatch 內核護理企業即時修補
支持的發行版 優麒麟 LTS 14.04, 16.04, 18.04, 20.04, 22.04 Ubuntu LTS 14.04、16.04、18.04、20.04、22.04,以及Red Hat、Oracle、AlmaLinux
架構 貨段86-64 x86-64, 臂64
覆蓋 Linux內核 Linux kernel & Critical userspace (glibc & openssl)
漏洞已修補 高和臨界的子集
內核修補存留期 3-6個月 幾乎無限
自訂補丁 是(聯繫我們獲取特殊版本或設定)
QEMU 修補 是的
資料庫修補 是的
24/7 支援 是的,付費訂閱 是的,在線,24/7/365,不同訂閱有不同的優先順序
補丁集分發 每個補丁都表示為一個單獨的內核模組 所有補丁的單個補丁集
可用的 API ? 是的 是的
回滾功能 是,無需重啟
適用於新客戶? 只有Ubuntu用戶端 是的,支持超過40個發行版
修補類型 臨時 持續
附加元件 自定義補丁、QEMU、資料庫修補
即時修補的成本 包含在所有Ubuntu Advantage for Infrastructure 支援包中(物理伺服器上為225-1,500美元/機器/年,虛擬機上為75-500美元/機器/年)。 每個系統每年59.50美元。訂閱中可以包含不同的載入項。批量定價可用。

準備好瞭解有關切換到內核護理的更多資訊了嗎?

與專家聊天

從 Canonical Livepatch 過渡到 KernelCare

如果您已經在使用 Livepatch,您可以毫不費力地切換到 KernelCare,將所有 Linux 發行版置於一個實時補丁職權範圍內。安裝 KernelCare 很簡單,您需要做的就是在命令行介面上運行一個簡短的腳本——不比啟用 Canonical Livepatch 更困難。

就像您安裝 Livepatch 工具一樣,KernelCare 只需在後台運行,永遠不會中斷您的操作。由於 KernelCare 的持久修補方法,您只需要一個腳本即可幾乎消除與修補相關的重啟——這與 Ubuntu 上的 Livepatch 服務不同,後者需要偶爾重啟。

結論

如果您只是運行 Ubuntu 系統,那麼它實際上歸結為成本以及您適應正在進行的重啟相關中斷以整合關鍵內核補丁的能力。只使用Ubuntu,並且需要訂閱UbuntuAdvantage嗎?那麼是的,Livepatch 內核實時修補可能是一個明智的選擇 - 取決於 Livepatch 臨時修補制度的破壞性。

另一方面,如果您不需要Ubuntu Advantage訂閱的所有裝飾,那麼使用 KernelCare 可能意味著顯著的節省。依靠各種Linux發行版 - 而不僅僅是Ubuntu?例如,Livepatch 不會覆蓋您的非 Ubuntu 機器,您也不能強制 Livepatch 在 RHEL 上運行。如果偶爾重新啟動的 Livepatch 要求導致工作負載出現問題,並且需要減少停機時間,則還應考慮 KernelCare。

與燕尾服專家交談

告訴我們您的挑戰,我們的專家將説明您找到使用TuxCare產品線解決這些問題的最佳方法。