我在EC2上运行一些Ubuntu Server实例,并且总是安装最新的安全更新。 我只想到AMI有一个固定的AKI(内核ID)/ Amazon只有一个允许的内核启动。 那么,即使在安装最新的内核更新之后,EC2实例也会始终引导到同一个内核中? 这是否意味着每当有新的内核更新时,我都需要从Ubuntu EC2团队中查找最新的AKI,然后在我的所有实例上运行ec2-modify-instance-attribute --kernel NEWAKI (并重新注册我的AMI与NEWAKI),否则我会引导到一个旧的/不安全的内核?
你的担心实际上是错误的,因为Amazon实际上会让你运行任何你现在喜欢的内核。 它曾经是你描述的方式,但你现在可以从你的虚拟机内部编译和运行一个内核。
这就是说,这通常不是这样做的方式。 许多图像仍然使用亚马逊提供的AMI。 像Ubuntu的一些图像使用供应商提供的图像。
内核中的安全问题不必太担心。 大多数安全问题不会发生在那里。 更重要的是与您的硬件平台的兼容性/稳定性。
如果有更新的供应商提供的内核,并且您正在进行维护,那么使用您提供的命令抛出一个是个好主意。 如果您正在使用亚马逊内核,我会放弃它,不用担心。 只有当你有一个特殊的需求时,我才会费心使用AMI内部的一个自定义内核。