本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Kernel Live Patching 在 Amazon Linux 2 受管節點上
Kernel Live Patching for Amazon Linux 2 可讓您將安全漏洞和關鍵錯誤修補程式套用至執行中的 Linux 核心,而不會重新啟動或中斷執行中的應用程式。這可讓您從改善的服務和應用程式可用性中受益,同時保持基礎架構的安全和最新狀態。Kernel Live Patching 支援執行 Amazon Linux 2 的 Amazon EC2執行個體、 AWS IoT Greengrass 核心裝置和內部部署虛擬機器。
如需 的一般資訊 Kernel Live Patching,請參閱 Kernel Live Patching 在 Amazon EC2使用者指南 中的 Amazon Linux 2 上。
開啟後 Kernel Live Patching 在 Amazon Linux 2 受管節點上,您可以使用 Patch Manager是 的功能 AWS Systems Manager,可將核心即時修補程式套用至受管節點。使用 Patch Manager 是使用節點上現有 yum 工作流程套用更新的替代方案。
開始之前
使用 Patch Manager 若要將核心即時修補程式套用至 Amazon Linux 2 受管節點,請確定您的節點是以正確的架構和核心版本為基礎。如需詳細資訊,請參閱 Amazon EC2使用者指南 中的支援的組態和先決條件。
主題
Kernel Live Patching 使用 Patch Manager
- 更新核心版本
-
套用核心即時修補程式更新後,您不需要重新啟動受管節點。不過, AWS 在 Amazon Linux 2 核心版本發行後,提供其核心即時修補程式長達三個月。在 3 個月期間過後,您必須更新至較新的核心版本,才能繼續接收核心即時修補程式。我們建議您使用維護時段,排程至少每三個月重新啟動節點一次,以提示核心版本更新。
- 解除安裝核心即時修補程式
-
無法使用 解除安裝核心即時修補程式 Patch Manager。 相反地,您可以關閉 Kernel Live Patching,這會移除已套用核心即時修補程式的RPM套件。如需詳細資訊,請參閱使用 Run Command 關閉 Kernel Live Patching。
- 核心合規
-
在某些情況下,從目前核心版本的即時修補程式安裝所有CVE修正可能會使該核心處於與較新的核心版本相同的合規狀態。發生這種情況時,會將較新的版本報告為
Installed
,並將受管節點報告為Compliant
。但是,對於較新的核心版本,不會報告任何安裝時間。 - 一個核心即時修補程式,多個 CVEs
-
如果核心即時修補程式解決多個 CVEs,且這些 CVEs具有各種分類和嚴重性值,則只會CVEs報告該修補程式中來自 的最高分類和嚴重性。
本節的其餘部分說明如何使用 Patch Manager 將核心即時修補程式套用至符合這些需求的受管節點。
方法 Kernel Live Patching 使用 Patch Manager 運作方式
AWS 為 Amazon Linux 2 發行兩種類型的核心即時修補程式:安全更新和錯誤修正。若要套用這些類型的修補程式,您可以使用修補基準文件,僅針對下表所列分類與嚴重性。
分類 | 嚴重性 |
---|---|
Security |
Critical , Important |
Bugfix |
All |
您可以建立自訂修補基準,僅針對這些修補程式,或使用預先定義的 AWS-AmazonLinux2DefaultPatchBaseline
修補基準。換句話說,您可以AWS-AmazonLinux2DefaultPatchBaseline
搭配 Amazon Linux 2 受管節點使用,其中 Kernel Live Patching 已開啟,並將套用核心即時更新。
注意
AWS-AmazonLinux2DefaultPatchBaseline
組態會指定在自動安裝修補程式之前、發行或最後更新修補程式之後的 7 天等待期。如果不想等待七天,讓核心即時修補程式自動核准,則您可以建立並使用自訂修補基準。在修補基準中,您可以指定非自動核准等待期間,或指定較短或較長的等待期間。如需詳細資訊,請參閱使用自訂修補基準。
我們建議您採用下列策略,以核心即時更新修補您的受管節點:
-
開啟 Kernel Live Patching Amazon Linux 2 受管節點上的 。
-
使用 Run Command是 的功能 AWS Systems Manager,可使用預先定義的
AWS-AmazonLinux2DefaultPatchBaseline
或自訂修補程式基準,在您的受管節點上執行Scan
操作,該基準也僅針對嚴重性分類為Critical
和 的更新Important
,以及Bugfix
嚴重性為 的Security
更新All
。 -
使用 合規 功能 AWS Systems Manager,來檢閱是否針對掃描的任何受管節點報告修補不合規。若是如此,請檢視節點合規詳細資訊,以判斷受管節點是否遺漏任何核心即時修補程式。
-
若要安裝缺少的核心即時修補程式,請使用 Run Command 具有您之前指定的相同修補程式基準,但這次會執行
Install
操作,而不是Scan
操作。由於安裝核心即時修補程式並不需要重新開機,因此您可以為此操作選擇
NoReboot
重新開機選項。注意
如果安裝在受管節點上的其他類型修補程式有需要重新啟動,或者您想要更新至較新的核心,仍然可以重新啟動受管節點。在這些情況下,請改選
RebootIfNeeded
重新開機選項。 -
返回 合規以確認已安裝核心即時修補程式。