Kernel Live Patching utilizza Patch Manager Come Kernel Live Patching utilizza Patch Manager

• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la documentazione di Amazon CloudWatch Dashboard.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di Kernel Live Patching su nodi gestiti Amazon Linux 2

Kernel Live Patching per Amazon Linux 2 ti consente di applicare patch di vulnerabilità della sicurezza e di bug critici a un kernel Linux in esecuzione, senza riavvii o interruzioni delle applicazioni in esecuzione. Questa procedura ti permette una maggiore disponibilità di servizi e applicazioni, mantenendo al contempo la sicurezza e l'aggiornamento dell'infrastruttura. Kernel Live Patching è supportato nelle istanze Amazon EC2, nei dispositivi core AWS IoT Greengrass e nelle macchine virtuali on-premises che utilizzano Amazon Linux 2.

Per informazioni generali su questo Kernel Live Patching argomento, AL2 consulta Kernel Live Patching la Amazon Linux 2 User Guide.

Dopo aver attivato Kernel Live Patching su un nodo gestito Amazon Linux 2, è possibile usare Patch Manager, uno strumento di AWS Systems Manager, per applicare patch live del kernel al nodo gestito. L'utilizzo di Patch Manager per applicare gli aggiornamenti è un'alternativa ai flussi di lavoro yum nel nodo.

Prima di iniziare

Per utilizzare Patch Manager per applicare patch live del kernel ai nodi gestiti di Amazon Linux 2, assicurati che i nodi siano basati sull'architettura e sulla versione del kernel corrette. Per informazioni, consulta Configurazioni e prerequisiti supportati nelle istanze Guida per l'utente di Amazon EC2.

Argomenti

Kernel Live Patching utilizza Patch Manager

Aggiornamento della versione del kernel: Non è necessario riavviare un nodo gestito dopo aver applicato un aggiornamento della patch live del kernel. Tuttavia, AWS fornisce patch live del kernel per una versione del kernel di Amazon Linux 2 per un massimo di tre mesi dopo il suo rilascio. Dopo il periodo di tre mesi, è necessario eseguire l'aggiornamento a una versione del kernel successiva per continuare a ricevere patch live del kernel. Ti consigliamo di utilizzare una finestra di manutenzione per pianificare un riavvio del nodo almeno una volta ogni tre mesi per richiedere l'aggiornamento della versione del kernel.
Disinstallazione delle patch live del kernel: Le patch live del kernel non possono essere disinstallate utilizzando Patch Manager. È possibile invece disabilitare Kernel Live Patching, che rimuove i pacchetti RPM per le patch live del kernel applicate. Per ulteriori informazioni, consulta Disattivazione di Kernel Live Patching tramite Run Command.
Conformità del kernel: In alcuni casi, l'installazione di tutte le correzioni CVE dalle patch live per la versione corrente del kernel può far sì che il kernel sia stesso stato di conformità di una versione più recente. Quando ciò accade, la versione più recente viene segnalata come Installed e il nodo gestito restituito come Compliant. Tuttavia, non viene restituita l'ora di installazione per la versione più recente del kernel.
Una patch live del kernel, più CVEs: Se una patch live del kernel si rivolge a più CVEs patch e queste CVEs hanno diversi valori di classificazione e gravità, per la patch CVEs viene riportata solo la classificazione e la gravità più elevate tra le altre.

Nella parte restante di questa sezione viene descritto come utilizzare Patch Manager per applicare patch live del kernel ai nodi gestiti che soddisfano questi requisiti.

Come Kernel Live Patching utilizza Patch Manager

AWS rilascia due tipi di patch live del kernel per Amazon Linux 2: aggiornamenti di sicurezza e correzioni di bug. Per applicare questi tipi di patch, utilizzare un documento della baseline delle patch destinato solo alle classificazioni e alle severità elencate nella tabella seguente.

Classificazione	Gravità
`Security`	`Critical`, `Important`
`Bugfix`	`All`

È possibile creare una baseline delle patch personalizzata destinata solo a queste patch oppure utilizzare la baseline delle patch AWS-AmazonLinux2DefaultPatchBaseline predefinita. In altre parole, è possibile utilizzare AWS-AmazonLinux2DefaultPatchBaseline con i nodi gestiti Amazon Linux 2 in cui è abilitato Kernel Live Patching per applicare gli aggiornamenti live del kernel.

Nota

La configurazione AWS-AmazonLinux2DefaultPatchBaseline specifica un periodo di attesa di 7 giorni dopo il rilascio o l'ultimo aggiornamento di una patch prima dell'installazione automatica. Se non si desidera attendere 7 giorni per l'approvazione automatica delle patch live del kernel, è possibile creare e utilizzare una baseline delle patch personalizzata. Nella baseline delle patch, è possibile specificare nessun periodo di attesa per l'approvazione automatica o specificarne uno più breve o più lungo. Per ulteriori informazioni, consulta Utilizzo delle baseline delle patch personalizzate.

Ti consigliamo la seguente strategia per applicare patch ai nodi gestiti con aggiornamenti live del kernel:

Attiva Kernel Live Patching sui nodi gestiti Amazon Linux 2.
Utilizza Run Command uno strumento per eseguire un'Scanoperazione sui tuoi nodi gestiti utilizzando la patch di base predefinita AWS-AmazonLinux2DefaultPatchBaseline o personalizzata che si rivolge anche solo agli Security aggiornamenti con gravità classificata come Critical eImportant, e la gravità di. AWS Systems ManagerBugfix All
Utilizza Compliance, uno strumento in AWS Systems Manager grado di verificare se viene segnalata la non conformità per l'applicazione di patch per uno qualsiasi dei nodi gestiti sottoposti a scansione. In caso affermativo, visualizza i dettagli della conformità del nodo per determinare se alcune patch live del kernel mancano dal nodo gestito.
Per installare patch live del kernel mancanti, utilizza Run Command con la stessa baseline delle patch specificata in precedenza, ma questa volta esegui un'operazione Install invece di un'operazione Scan.

Poiché le patch live del kernel vengono installate senza la necessità di riavviare, è possibile scegliere l'opzione di riavvio NoReboot per questa operazione.

Nota
È comunque possibile riavviare il nodo gestito se necessario per altri tipi di patch installati nel nodo o se vuoi eseguire l'aggiornamento a un kernel più recente. In questi casi, scegli invece l'opzione di riavvio RebootIfNeeded.
Torna a Conformità per verificare che le patch live del kernel siano state installate.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Applicazione di patch rilasciata da Microsoft in Windows Server

Attivazione di Kernel Live Patching