Menggunakan node Kernel Live Patching terkelola Amazon Linux 2 - AWS Systems Manager
Kernel Live Patchingmenggunakan Patch ManagerCara Kernel Live Patching menggunakan Patch Manager karya

• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat dokumentasi CloudWatch Dasbor Amazon.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan node Kernel Live Patching terkelola Amazon Linux 2

Kernel Live Patchinguntuk Amazon Linux 2 memungkinkan Anda menerapkan kerentanan keamanan dan patch bug kritis ke kernel Linux yang sedang berjalan tanpa reboot atau gangguan pada aplikasi yang sedang berjalan. Ini memungkinkan Anda mendapatkan keuntungan dari peningkatan ketersediaan layanan dan aplikasi, sambil menjaga infrastruktur Anda tetap aman dan mutakhir. Kernel Live Patchingdidukung pada instans Amazon EC2, perangkat AWS IoT Greengrass inti, dan mesin virtual lokal yang menjalankan Amazon Linux 2.

Untuk informasi umum tentangKernel Live Patching, lihat Kernel Live Patching AL2di Panduan Pengguna Amazon Linux 2.

Setelah Anda mengaktifkan node terkelola Amazon Linux 2, Anda dapat menggunakanPatch Manager, alat di AWS Systems Manager, untuk menerapkan patch langsung kernel ke node terkelola. Kernel Live Patching Menggunakan Patch Manager adalah alternatif untuk menggunakan alur kerja yum yang ada di node untuk menerapkan pembaruan.

Sebelum Anda mulai

Patch ManagerUntuk menerapkan tambalan langsung kernel ke node terkelola Amazon Linux 2 Anda, pastikan node Anda didasarkan pada arsitektur dan versi kernel yang benar. Untuk selengkapnya, lihat Konfigurasi dan prasyarat yang didukung di Panduan Pengguna Amazon EC2.

Topik

Kernel Live Patchingmenggunakan Patch Manager

Memperbarui versi kernel

Anda tidak perlu me-reboot node terkelola setelah menerapkan pembaruan patch langsung kernel. Namun, AWS menyediakan tambalan langsung kernel untuk versi kernel Amazon Linux 2 hingga tiga bulan setelah dirilis. Setelah periode tiga bulan, Anda harus memperbarui ke versi kernel berikutnya untuk terus menerima patch live kernel. Sebaiknya gunakan jendela pemeliharaan untuk menjadwalkan reboot node Anda setidaknya sekali setiap tiga bulan untuk meminta pembaruan versi kernel.

Menghapus instalasi patch live kernel

Patch langsung kernel tidak dapat dihapus menggunakan. Patch Manager Sebagai gantinya, Anda dapat mematikanKernel Live Patching, yang menghapus paket RPM untuk patch live kernel yang diterapkan. Untuk informasi selengkapnya, lihat Mematikan Kernel Live Patching memakai Run Command.

Kepatuhan kernel

Dalam beberapa kasus, menginstal semua perbaikan CVE dari patch live untuk versi kernel saat ini dapat membawa kernel tersebut ke dalam keadaan kepatuhan yang sama dengan versi kernel yang lebih baru. Ketika itu terjadi, versi yang lebih baru dilaporkan sebagaiInstalled, dan node terkelola dilaporkan sebagaiCompliant. Namun, tidak ada waktu instalasi yang dilaporkan untuk versi kernel yang lebih baru.

Satu tambalan langsung kernel, banyak CVEs

Jika tambalan langsung kernel menangani beberapa CVEs, dan itu CVEs memiliki berbagai nilai klasifikasi dan tingkat keparahan, hanya klasifikasi dan tingkat keparahan tertinggi dari antara CVEs yang dilaporkan untuk tambalan.

Sisa bagian ini menjelaskan cara menggunakan untuk menerapkan patch langsung kernel Patch Manager ke node terkelola yang memenuhi persyaratan ini.

Cara Kernel Live Patching menggunakan Patch Manager karya

AWS merilis dua jenis tambalan langsung kernel untuk Amazon Linux 2: pembaruan keamanan dan perbaikan bug. Untuk menerapkan kedua jenis patch tersebut, Anda menggunakan dokumen dasar patch yang menargetkan hanya klasifikasi dan kepelikan yang tercantum dalam tabel berikut.

Klasifikasi Kepelikan
Security Critical, Important
Bugfix All

Anda dapat membuat dasar patch kustom yang menargetkan hanya patch ini, atau menggunakan dasar patch AWS-AmazonLinux2DefaultPatchBaseline yang telah ditentukan. Dengan kata lain, Anda dapat menggunakan AWS-AmazonLinux2DefaultPatchBaseline dengan node terkelola Amazon Linux 2 yang Kernel Live Patching dihidupkan, dan pembaruan langsung kernel akan diterapkan.

catatan

AWS-AmazonLinux2DefaultPatchBaselineKonfigurasi menentukan masa tunggu 7 hari setelah patch dirilis atau terakhir diperbarui sebelum diinstal secara otomatis. Jika Anda tidak ingin menunggu 7 hari agar tambalan langsung kernel disetujui secara otomatis, Anda dapat membuat dan menggunakan baseline patch khusus. Di dasar patch Anda, Anda dapat menentukan tidak ada periode tunggu persetujuan otomatis, atau menentukan waktu yang lebih pendek atau lebih lama. Untuk informasi selengkapnya, lihat Bekerja dengan dasar patch kustom.

Kami merekomendasikan strategi berikut untuk menambal node terkelola Anda dengan pembaruan langsung kernel:

  1. Kernel Live PatchingNyalakan node terkelola Amazon Linux 2 Anda.

  2. GunakanRun Command, alat di AWS Systems Manager, untuk menjalankan Scan operasi pada node terkelola Anda menggunakan baseline patch yang telah ditentukan AWS-AmazonLinux2DefaultPatchBaseline atau kustom yang juga menargetkan hanya Security pembaruan dengan tingkat keparahan yang diklasifikasikan sebagai Critical danImportant, dan tingkat keparahanBugfix. All

  3. Gunakan Kepatuhan, alat di AWS Systems Manager, untuk meninjau apakah ketidakpatuhan untuk patching dilaporkan untuk salah satu node terkelola yang dipindai. Jika demikian, lihat detail kepatuhan node untuk menentukan apakah patch langsung kernel hilang dari node terkelola.

  4. Untuk menginstal patch live kernel yang hilang, gunakan Run Command dengan baseline patch yang sama yang Anda tentukan sebelumnya, tetapi kali ini jalankan Install operasi alih-alih operasi. Scan

    Karena patch live kernel diinstal tanpa perlu reboot, Anda dapat memilih opsi reboot NoReboot untuk operasi ini.

    catatan

    Anda masih dapat me-reboot node terkelola jika diperlukan untuk jenis tambalan lain yang diinstal di dalamnya, atau jika Anda ingin memperbarui ke kernel yang lebih baru. Dalam kasus ini, pilih opsi reboot RebootIfNeeded sebagai gantinya.

  5. Kembali ke Kepatuhan untuk memverifikasi bahwa patch live kernel telah diinstal.