• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 Amazon Linux 2 受管節點上使用 Kernel Live Patching
適用於 Amazon Linux 2 的 Kernel Live Patching 可讓您將安全性漏洞和重大錯誤修補程式套用至執行中的 Linux 核心,而不需要重新啟動或中斷執行中的應用程式。這可讓您從改善的服務和應用程式可用性中受益,同時保持基礎設施的安全和最新狀態。在 Amazon EC2 執行個體、 AWS IoT Greengrass 核心裝置和執行 Amazon Linux 2 的[內部部署虛擬機器](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-2-virtual-machine.html)上支援 Kernel Live Patching。
如需有關 Kernel Live Patching 的一般資訊,請參閱 *Amazon Linux 2 User Guide* 中的 [Kernel Live Patching on AL2](https://docs.aws.amazon.com/linux/al2/ug/al2-live-patching.html)。
在 Amazon Linux 2 受管節點上開啟 Kernel Live Patching 後,您可以使用 Patch Manager ( AWS Systems Manager中的工具) 將核心即時修補程式套用至該受管節點。使用 Patch Manager 是在節點上使用現有 yum 工作流程來套用更新的替代方法。
**開始之前**
若要使用 Patch Manager 將核心即時修補程式套用至您的 Amazon Linux 2 受管節點,請確定您的節點是以正確的架構和核心版本為基礎。如需相關資訊,請參閱《Amazon EC2 使用者指南》**中的 [Supported configurations and prerequisites](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/al2-live-patching.html#al2-live-patching-prereq)。
**Topics**
+ [使用 Patch Manager 的 Kernel Live Patching](#about-klp)
+ [使用 Patch Manager 的 Kernel Live Patching 如何運作](#how-klp-works)
+ [使用 Run Command 開啟 Kernel Live Patching](enable-klp.md)
+ [使用 Run Command 套用核心即時修補程式](install-klp.md)
+ [使用 Run Command 關閉 Kernel Live Patching](disable-klp.md)
## 使用 Patch Manager 的 Kernel Live Patching
更新核心版本
套用核心即時修補程式更新後,您不需要重新啟動受管節點。不過, 會在 Amazon Linux 2 核心版本發行後最多三個月內 AWS 提供核心即時修補程式。在 3 個月期間過後,您必須更新至較新的核心版本,才能繼續接收核心即時修補程式。我們建議您使用維護時段,排程至少每三個月重新啟動節點一次,以提示核心版本更新。
解除安裝核心即時修補程式
無法使用 Patch Manager 解除安裝核心即時修補程式。您可以改為關閉 Kernel Live Patching,這會為已套用核心即時修補程式移除 RPM 套件。如需詳細資訊,請參閱[使用 Run Command 關閉 Kernel Live Patching](disable-klp.md)。
核心合規
在某些情況下,從目前核心版本的即時修補程式安裝所有 CVE 修正程式,可能會使該核心達到與較新核心版本相同的合規狀態。發生這種情況時,會將較新的版本報告為 `Installed`,並將受管節點報告為 `Compliant`。但是,對於較新的核心版本,不會報告任何安裝時間。
一個核心即時修補程式,多個 CVE
如果核心即時修補程式可處理多個 CVE,且這些 CVE 具有各種分類和嚴重性值,則只會報告 CVE 中最高的分類和嚴重性。
本節的其餘部分說明如何使用 Patch Manager,將核心即時修補程式套用至符合這些需求的受管節點。
## 使用 Patch Manager 的 Kernel Live Patching 如何運作
AWS 為 Amazon Linux 2 發行兩種類型的核心即時修補程式:安全性更新和錯誤修正。若要套用這些類型的修補程式,您可以使用修補基準文件,僅針對下表所列分類與嚴重性。
| 分類 | 嚴重性 |
| --- | --- |
| Security | Critical, Important |
| Bugfix | All |
您可以建立自訂修補基準,僅針對這些修補程式,或使用預先定義的 `AWS-AmazonLinux2DefaultPatchBaseline` 修補基準。換句話說,您可以使用 `AWS-AmazonLinux2DefaultPatchBaseline` 搭配啟用 Kernel Live Patching 的 Amazon Linux 2 受管節點,如此將套用核心即時更新。
**注意**
`AWS-AmazonLinux2DefaultPatchBaseline` 組態會指定在自動安裝修補程式之前、發行或最後更新修補程式之後的 7 天等待期。如果不想等待七天,讓核心即時修補程式自動核准,則您可以建立並使用自訂修補基準。在修補基準中,您可以指定非自動核准等待期間,或指定較短或較長的等待期間。如需詳細資訊,請參閱[使用自訂修補基準](patch-manager-manage-patch-baselines.md)。
我們建議您採用下列策略,以核心即時更新修補您的受管節點:
1. 在您的 Amazon Linux 2 受管節點上開啟 Kernel Live Patching。
1. 使用 中的Run Command工具 AWS Systems Manager,使用預先定義`AWS-AmazonLinux2DefaultPatchBaseline`或自訂修補程式基準在您的受管節點上執行`Scan`操作,該基準也僅以嚴重性分類為 `Critical`和 `Important`,以及`Bugfix`嚴重性為 的`Security`更新為目標`All`。
1. 使用 中的工具 Compliance AWS Systems Manager來檢閱是否報告任何已掃描受管節點的修補不合規。若是如此,請檢視節點合規詳細資訊,以判斷受管節點是否遺漏任何核心即時修補程式。
1. 若要安裝遺漏的核心即時修補程式,請使用 Run Command 搭配您之前指定的相同修補基準,但這次請執行 `Install` 操作而非 `Scan` 操作。
由於安裝核心即時修補程式並不需要重新開機,因此您可以為此操作選擇 `NoReboot` 重新開機選項。
**注意**
如果安裝在受管節點上的其他類型修補程式有需要重新啟動,或者您想要更新至較新的核心,仍然可以重新啟動受管節點。在這些情況下,請改選 `RebootIfNeeded` 重新開機選項。
1. 返回 合規以確認已安裝核心即時修補程式。