本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon Linux 核心
Amazon Linux 2023 (AL2023) 在每年第一Q1發行新的長期支援 (LTS) 核心,以上游 Linux 社群的年度 LTS 核心為基礎。每個新的 LTS 核心都提供上游 Linux 核心的最新安全性修正、效能改善、硬體支援和功能。
## 核心生命週期
每個 AL2023 LTS 核心支援四年,分為兩個階段:
1. **完整支援 (第 1–2 年)** – 核心透過上游 LTS 核心上的定期重新基礎收到所有 CVE 嚴重性的修正。此階段符合上游 Linux 社群的 LTS 支援時段。如果上游擴展 LTS 支援時段,Amazon Linux 將遵循相應的要求。
1. **維護支援 (第 3–4 年)** – 在上游 LTS 支援期間結束後,Amazon Linux 團隊會繼續向後移植主要修正重大和重要的 CVEs(CVSS 分數 7.0 以上),以及已知的漏洞。在此階段中,不會向後移植低嚴重性和中等嚴重性CVEs。
四年後,核心達到生命週期結束,不再收到安全更新。較舊的核心仍可透過儲存庫使用,您可以繼續使用它們。您不應預期任何進一步的修補程式或修正。我們建議在此日期之前升級至支援的核心。在核心的支援結束日期之後,不會再更新核心特定的 AMIs。
下表顯示目前 Amazon Linux LTS 核心的支援時間表:
![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/linux/al2023/ug/images/kernel-lifecycle-chart.png)
## 核心更新
從 2026 年 6 月開始,AL2023 將每年更新預設核心。[`al2023-ami-kernel-default`](ec2.md#launch-via-aws-cli) 一組 AMIs將更新為最新的 LTS 核心,因此新啟動的執行個體將會出現新的核心版本。
執行中的執行個體不會自動更新為新的核心。若要升級現有執行個體上的核心,您必須明確安裝新的核心套件並重新啟動。如需詳細資訊,請參閱[在 AL2023 上更新 Linux 核心](kernel-update.md)。
我們強烈建議您立即採用新的核心,以受益於最新的安全性和效能改進。隨著時間的推移,較舊的核心會收到較少且較慢的安全性修正。將核心更新納入現有的測試和部署管道,以在推出生產環境之前驗證相容性。
## 分佈之間的核心版本重疊
為了簡化 Amazon Linux 發行版本之間的遷移,目前和下一個 Amazon Linux 發行版本上至少有一個核心版本可用。這可讓您先升級到現有分發上的新核心、驗證工作負載,然後遷移到新的分發,並確信該處有相同的核心版本可用。
## CVE 處理
AL2023 處理核心 CVEs如下所示:
+ **關鍵和重要的 CVEs** (CVSS 7.0 及更高版本) 和**已知的利用漏洞**會回溯到所有支援的核心。
+ 在整個支援階段,透過定期上游 LTS 重新基底處理**低和中 CVEs**(CVSS 低於 7.0)。在維護支援階段,不會回溯這些 CVEs。如果上游 LTS 重新基底未在 60 天內解析低或中 CVE,則會在 [Amazon Linux 安全中心](https://alas.aws.amazon.com/)將其標記為「未計劃修正」。
執行最新的可用核心是取得最新安全性、效能和功能更新的最佳方式。
## 您應該做什麼
1. **為您的應用程式實作持續整合 (CI)** – 在對您的生產設定進行任何變更之前,請確定已在測試階段正確驗證。在驗證中包含核心更新。
1. **持續使用最新的核心** – 在推出時立即採用每個新的年度 LTS 核心。較新的核心更快收到安全性修正。使用[`al2023-ami-kernel-default`](ec2.md#launch-via-aws-cli)一系列 AMIs來自動位於 Amazon Linux 團隊建議的核心版本。
1. **自動化更新** – 使用 [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 等工具來管理整個機群的核心更新。
1. **規劃重新啟動** – 每次核心更新都需要重新啟動。在維護排程中建置重新啟動時段。