Я бы не стал трогать Amazon Linux 2 ни из-за чего-то, что требует стабильности, да и вообще по какой-либо другой причине. Amazon Linux (и 1, и 2) были созданы в первую очередь для нужд Amazon и для запуска сервисов Amazon, и они публикуют его только для удобства. Он обновляется по расписанию Amazon, а не по вашему. AL2 был раздвоенный от CentOS 7, а затем Amazon отклоняется от этого дистрибутива, часто настолько, что многие пакеты, созданные для CentOS 7 (например, EPEL), больше не работают. Так что совместимость тоже пропала.
С этим из пути:
Время, когда вы переключаете дистрибутивы для общедоступного (или, по крайней мере, внутреннего) веб-сайта, является вторым лучшим временем для обновления вашего дистрибутива до последней доступной основной версии. (Первый — когда этот дистрибутив будет выпущен.) На данный момент это означает RHEL 8.4 или CentOS 8.4. Но поскольку CentOS, похоже, исчезнет в конце года, вероятно, лучше переключиться на Rocky Linux, если вы не имеете права на бесплатную подписку RHEL (до 16 физических или виртуальных машин и разрешено производство); похоже, это то, что большинство людей выбирают вместо Alma Linux.
Наконец, что касается автоматических обновлений, я управляю несколькими десятками общедоступных веб-сайтов, и все их серверы находятся на автоматических обновлениях. (Однако они активируются немного по-другому в RHEL 8, поскольку yum-cron больше не используется, используя днф-автомат package.) Я делаю это уже несколько лет и не могу вспомнить, когда в последний раз возникала проблема, связанная с обновлениями.
Что касается обновлений безопасности в CentOS: они никогда не помечали свои обновления как обновления безопасности, поэтому ням --безопасность ... команды никогда не работали. Rocky Linux начал делать это, поэтому эквивалентные команды в <distro> 8 (например, `dnf --security ...) работают, как и ожидалось, в RHEL или Rocky Linux. (правда я устанавливаю не только обновления безопасности, а все что есть, и работает ежедневно.)
Тем не менее, у меня есть мониторинг на всех серверах, поэтому, если что-то сломается, я буду уведомлен и смогу проснуться и исправить это. Для общедоступных сайтов я проанализировал сайты и их назначение, и я считаю, что риск внешней компрометации, особенно в день 0 или ранее, намного выше, чем риск выхода сайта из строя из-за ошибки в обновлении. Вот почему я также настроил и внедрил SELinux.
Так что моя рекомендация для вас будет пойти в РЕЛ 8.4 если вы имеете право на бесплатную подписку и Рокки Линукс 8.4 если ты не. (И выберите правильный регион; например, если все ваши посетители находятся в Европе, вы не хотите обслуживать сайт us-east-*.)
Не забудьте сделать снимок состояния AWS перед обновлением. Если что-то пойдет не так, вы можете быстро исправить это или вернуться к моментальному снимку AWS.
