在 Amazon Linux 2 受管節點上使用 Kernel Live Patching - AWS Systems Manager
使用 Patch Manager 的 Kernel Live Patching使用 Patch Manager 的 Kernel Live Patching 如何運作

在 Amazon Linux 2 受管節點上使用 Kernel Live Patching

適用於 Amazon Linux 2 的 Kernel Live Patching 可讓您將安全性漏洞和重大錯誤修補程式套用至執行中的 Linux 核心,而不需要重新啟動或中斷執行中的應用程式。這可讓您從改善的服務和應用程式可用性中受益,同時保持基礎設施的安全和最新狀態。在 Amazon EC2 執行個體、AWS IoT Greengrass 核心裝置和執行 Amazon Linux 2 的內部部署虛擬機器上支援 Kernel Live Patching。

如需有關 Kernel Live Patching 的一般資訊,請參閱 Amazon Linux 2 User Guide 中的 Kernel Live Patching on AL2

在 Amazon Linux 2 受管節點上開啟 Kernel Live Patching 後,您可以使用 Patch Manager (AWS Systems Manager 中的工具) 將核心即時修補程式套用至該受管節點。使用 Patch Manager 是在節點上使用現有 yum 工作流程來套用更新的替代方法。

開始之前

若要使用 Patch Manager 將核心即時修補程式套用至您的 Amazon Linux 2 受管節點,請確定您的節點是以正確的架構和核心版本為基礎。如需相關資訊,請參閱《Amazon EC2 使用者指南》中的 Supported configurations and prerequisites

主題

使用 Patch Manager 的 Kernel Live Patching

更新核心版本

套用核心即時修補程式更新後,您不需要重新啟動受管節點。不過,AWS 會在 Amazon Linux 2 核心版本的核心即時修補程式發行後提供長達三個月。在 3 個月期間過後,您必須更新至較新的核心版本,才能繼續接收核心即時修補程式。我們建議您使用維護時段,排程至少每三個月重新啟動節點一次,以提示核心版本更新。

解除安裝核心即時修補程式

無法使用 Patch Manager 解除安裝核心即時修補程式。您可以改為關閉 Kernel Live Patching,這會為已套用核心即時修補程式移除 RPM 套件。如需更多詳細資訊,請參閱 使用 Run Command 關閉 Kernel Live Patching

核心合規

在某些情況下,從目前核心版本的即時修補程式安裝所有 CVE 修正程式,可能會使該核心達到與較新核心版本相同的合規狀態。發生這種情況時,會將較新的版本報告為 Installed,並將受管節點報告為 Compliant。但是,對於較新的核心版本,不會報告任何安裝時間。

一個核心即時修補程式,多個 CVE

如果核心即時修補程式可處理多個 CVE,且這些 CVE 具有各種分類和嚴重性值,則只會報告 CVE 中最高的分類和嚴重性。

本節的其餘部分說明如何使用 Patch Manager,將核心即時修補程式套用至符合這些需求的受管節點。

使用 Patch Manager 的 Kernel Live Patching 如何運作

AWS 發行兩種類型的 Amazon Linux 2 核心即時修補程式:安全更新和錯誤修正。若要套用這些類型的修補程式,您可以使用修補基準文件,僅針對下表所列分類與嚴重性。

分類 嚴重性
Security Critical, Important
Bugfix All

您可以建立自訂修補基準,僅針對這些修補程式,或使用預先定義的 AWS-AmazonLinux2DefaultPatchBaseline 修補基準。換句話說,您可以使用 AWS-AmazonLinux2DefaultPatchBaseline 搭配啟用 Kernel Live Patching 的 Amazon Linux 2 受管節點,如此將套用核心即時更新。

注意

AWS-AmazonLinux2DefaultPatchBaseline 組態會指定在自動安裝修補程式之前、發行或最後更新修補程式之後的 7 天等待期。如果不想等待七天,讓核心即時修補程式自動核准,則您可以建立並使用自訂修補基準。在修補基準中,您可以指定非自動核准等待期間,或指定較短或較長的等待期間。如需更多詳細資訊,請參閱 使用自訂修補基準

我們建議您採用下列策略,以核心即時更新修補您的受管節點:

  1. 在您的 Amazon Linux 2 受管節點上開啟 Kernel Live Patching。

  2. 使用 Run Command (AWS Systems Manager 中的工具) 在受管節點上使用預先定義的 AWS-AmazonLinux2DefaultPatchBaseline 或自訂修補基準執行 Scan 操作,此自訂基準也只會針對嚴重性分類為 CriticalImportantSecurity 更新,以及 AllBugfix 嚴重性。

  3. 使用合規 (AWS Systems Manager 中的工具) 檢閱是否針對已掃描的任何受管節點報告不合規修補。若是如此,請檢視節點合規詳細資訊,以判斷受管節點是否遺漏任何核心即時修補程式。

  4. 若要安裝遺漏的核心即時修補程式,請使用 Run Command 搭配您之前指定的相同修補基準,但這次請執行 Install 操作而非 Scan 操作。

    由於安裝核心即時修補程式並不需要重新開機,因此您可以為此操作選擇 NoReboot 重新開機選項。

    注意

    如果安裝在受管節點上的其他類型修補程式有需要重新啟動,或者您想要更新至較新的核心,仍然可以重新啟動受管節點。在這些情況下,請改選 RebootIfNeeded 重新開機選項。

  5. 返回 合規以確認已安裝核心即時修補程式。