Canonical社よりAWS専用の「Ubuntu Pro」が発表されました

まいど、大阪の市田です。
re:Inventの新発表を追いかけている最中、ふと見慣れないニュースが目に止まりました。

なんと、2019年12月4日からCanonical社が提供しているUbuntuにて、新たに AWS専用のAMIとして「Ubuntu Pro」なるAMIがプレミアムバージョンとしてリリースされたというではありませんか。

• Canonical announces Ubuntu Pro for Amazon Web Services | Ubuntu

Ubuntu Pro の概要

従来よりUbuntuは「AWS Marketplace」にて各バージョンのAMIを公開していました。
今回公開された「Ubuntu Pro」では、標準的なUbuntu AMIの最適化、主要なセキュリティ対応とコンプライアンスサブスクリプションが含まれている、とのことです。

また、今回利用できるバージョンは下記の3種類となります。

• Ubuntu 14.04 LTS
• Ubuntu 16.04 LTS
• Ubuntu 18.04 LTS

Ubuntu Pro の主な機能

公式発表の内容は下記のとおりです。

• 10年間のパッケージアップデートとセキュリティメンテナンス
• カーネル ライブパッチ
  • これは再起動なしにカーネルのセキュリティアップデートが適用できるものになります。
• FedRAMP、PCI、HIPAA、ISOなどのコンプライアンス体制下の環境で使用するためにカスタマイズされたFIPSおよびCommon Criteria EAL準拠のコンポーネント
• Apache Kafka、MongoDB、Node.js、RabbitMQ、Redisなどを含む数百のオープンソースワークロードにまたがるUbuntuのインフラストラクチャおよびアプリケーションリポジトリのパッチカバレッジ
• AWS Security Hub、AWS CloudTrailなどを含むAWSセキュリティおよびコンプライアンス機能との統合
  • 2020年第一四半期から利用可能（具体的なタイミングは不明でした）

カーネルのライブパッチがサポートされている点などを見ると、Canonicalの商用サポート製品である「Ubuntu Advantage」で提供されている内容が部分的に盛り込まれているようです。

また、これまで同様に「Landscape」による複数台のサーバ管理も可能なようです。

Ubuntu Pro のサポート

Ubuntuの公式ページによると、「Canonical社による技術サポートが必要な場合は、AWS Marketplaceを通して Ubuntu Advantageのサポートパッケージにサブスクリプションを追加」する必要があるようです。

また対応しているサポート種別は、3種類の内の上位2種類である「STANDARD」「ADVANCED」が必要となります。
実際、MarketplaceのページにはAWSによるサポートプランの内容が記載されていましたので、OS以上のレイヤのサポートは別途サブスクリプションが必要なようです。

サポートを利用される場合や、Ubuntu Proの詳細については、別途Canonical社までお問い合わせいただければと思います。

• Ubuntu Advantage service description | Ubuntu
• Ubuntu Advantage サービス範囲 | Ubuntu
• Ubuntu Advantageエンタープライズ向けサポート | Ubuntu | Ubuntu

Ubuntu Pro を試してみた

すでにMarketplaceから利用できるので、インスタンスを立ててみます。
EC2のウィザードより3つのLTSバージョンが選択できます。今回は「18.04 LTS」を選択しました。

次のような画面が出たらそのまま「Continue」で進みましょう。

SSHで接続します。ログインユーザはubuntuです。

The authenticity of host 'xx.xx.xx.xx (xx.xx.xx.xx)' can't be established.
ECDSA key fingerprint is SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'xx.xx.xx.xx' (ECDSA) to the list of known hosts.
Welcome to Ubuntu 18.04.3 LTS (GNU/Linux 4.15.0-1054-aws x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage

  System information as of Thu Dec  5 14:26:08 UTC 2019

  System load:  0.0               Processes:           92
  Usage of /:   15.8% of 7.69GB   Users logged in:     0
  Memory usage: 17%               IP address for ens5: 10.60.3.167
  Swap usage:   0%

21 packages can be updated.
21 updates are security updates.



The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

To run a command as administrator (user "root"), use "sudo <command>".
See "man sudo_root" for details.

中身を確認してみる

試しにカーネルのライブパッチを確認してみます。

通常なら、3台までは「Ubuntu Advantage」を購入しなくても利用できるようですが、その場合は予め専用サイトから「利用トークン」を取得する必要があるみたいです。
（Ubuntu自体の詳しいことは把握できていません。すみません…）

「Ubuntu Pro」はライブパッチを標準で提供しているので、トークンなしに利用できるはずです。やってみましょう。

下記の通り専用のコマンドである canonical-livepatchがすでに利用できる状態です。（通常は、canonical-livepatch のインストール時にトークンを入力する形になります）

$ which canonical-livepatch
/snap/bin/canonical-livepatch

プロセスを確認してみます。canonical-livepatchdというプロセスが立ち上がっていることが分かります。
（デフォルトでSSMエージェントが動いていることも分かりますね）

$ pstree
systemd─┬─accounts-daemon───2*[{accounts-daemon}]
        ├─acpid
        ├─2*[agetty]
        ├─amazon-ssm-agen───7*[{amazon-ssm-agen}]
        ├─atd
        ├─canonical-livep───9*[{canonical-livep}]
        ├─cron
        ├─dbus-daemon
        ├─irqbalance───{irqbalance}
        ├─lvmetad
        ├─lxcfs───2*[{lxcfs}]
        ├─networkd-dispat───{networkd-dispat}
        ├─polkitd───2*[{polkitd}]
        ├─rsyslogd───3*[{rsyslogd}]
        ├─snapd───13*[{snapd}]
        ├─sshd───sshd───sshd───bash───pstree
        ├─systemd───(sd-pam)
        ├─systemd-journal
        ├─systemd-logind
        ├─systemd-network
        ├─systemd-resolve
        ├─systemd-timesyn───{systemd-timesyn}
        ├─systemd-udevd
        └─unattended-upgr───{unattended-upgr}

canonical-livepatch コマンドでライブパッチの状況を確認してみましょう。プロセスが立ち上がっているのでrunning: true と表示されています。
patchState: nothing-to-applyとあるので適用すべきパッチは無い状態であることも分かりました。

$ canonical-livepatch status
client-version: 9.4.8
architecture: x86_64
cpu-model: Intel(R) Xeon(R) Platinum 8175M CPU @ 2.50GHz
last-check: 2019-12-05T13:33:52Z
boot-time: 2019-12-05T13:32:34Z
uptime: 56m26s
status:
- kernel: 4.15.0-1054.56-aws
  running: true
  livepatch:
    checkState: checked
    patchState: nothing-to-apply
    version: ""
    fixes: ""

普段Ubuntuはあまり触らないので、他にも試してみたいことが色々ありますが今回はここまでとします。

利用料金

「Ubuntu Pro」の利用料金はMarketplaceの各ページに一覧が掲載されているので、事前に確認しておきましょう。

利用可能リージョン

全てを確認できていませんが、利用可能なリージョンでは全てAMIが公開されているようです。Tokyoリージョンでも使えます。

re:Inventでラウンドテーブル開催

ラスベガス現地時間の「12月5日 AM11:00-13:00」にて、AWSとCanonical社にて、インタラクティブなラウンドテーブルが開催されるそうでうす。

今回の発表内容や、Ubuntu 20.04のロードマップ、クラウドネイティブに大規模にUbuntuを利用するベストプラクティスなどについてディスカッションできるとのことです。

ちなみに招待制のようなので、まだ間に合う人が入れば急いでイベント登録して参加してみてください！
場所の詳細や登録は下記ページをご確認ください。

• “Ubuntu at scale” roundtable at AWS re:Invent | Ubuntu

最後に

突然のニュース発見でしたが、簡単に言うと「Advantageの内容を盛り込みつつ、AWS専用のUbuntuをAMIとして公開した」ということですね。

UbuntuをAWSで多用している場合は、これを機に「Ubuntu Pro」への切り替えも検討されてみてはいかがでしょうか？

こちらからは以上になります。