Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan node Kernel Live Patching terkelola Amazon Linux 2
Kernel Live Patchinguntuk Amazon Linux 2 memungkinkan Anda menerapkan kerentanan keamanan dan patch bug kritis ke kernel Linux yang sedang berjalan tanpa reboot atau gangguan pada aplikasi yang sedang berjalan. Ini memungkinkan Anda mendapatkan keuntungan dari peningkatan ketersediaan layanan dan aplikasi, sambil menjaga infrastruktur Anda tetap aman dan mutakhir. Kernel Live Patchingdidukung pada instans Amazon EC2, perangkat AWS IoT Greengrass inti, dan mesin virtual lokal yang menjalankan Amazon Linux 2.
Untuk informasi umum tentangKernel Live Patching, lihat Kernel Live Patchingdi Amazon Linux 2 di Panduan Pengguna Amazon EC2.
Setelah Anda mengaktifkan node terkelola Amazon Linux 2, Anda dapat menggunakanPatch Manager, kemampuan AWS Systems Manager, untuk menerapkan patch langsung kernel ke node terkelola. Kernel Live Patching Menggunakan Patch Manager adalah alternatif untuk menggunakan alur kerja yum yang ada di node untuk menerapkan pembaruan.
Sebelum Anda mulai
Patch ManagerUntuk menerapkan tambalan langsung kernel ke node terkelola Amazon Linux 2 Anda, pastikan node Anda didasarkan pada arsitektur dan versi kernel yang benar. Untuk selengkapnya, lihat Konfigurasi dan prasyarat yang didukung di Panduan Pengguna Amazon EC2.
Topik
Tentang Kernel Live Patching dan Patch Manager
- Memperbarui versi kernel
-
Anda tidak perlu me-reboot node terkelola setelah menerapkan pembaruan patch langsung kernel. Namun, AWS menyediakan tambalan langsung kernel untuk versi kernel Amazon Linux 2 hingga tiga bulan setelah dirilis. Setelah periode tiga bulan, Anda harus memperbarui ke versi kernel berikutnya untuk terus menerima patch live kernel. Sebaiknya gunakan jendela pemeliharaan untuk menjadwalkan reboot node Anda setidaknya sekali setiap tiga bulan untuk meminta pembaruan versi kernel.
- Menghapus instalasi patch live kernel
-
Patch langsung kernel tidak dapat dihapus menggunakan. Patch Manager Sebagai gantinya, Anda dapat mematikanKernel Live Patching, yang menghapus paket RPM untuk patch live kernel yang diterapkan. Untuk informasi selengkapnya, lihat Mematikan Kernel Live Patching menggunakan Run Command.
- Kepatuhan kernel
-
Dalam beberapa kasus, menginstal semua perbaikan CVE dari patch live untuk versi kernel saat ini dapat membawa kernel tersebut ke dalam keadaan kepatuhan yang sama dengan versi kernel yang lebih baru. Ketika itu terjadi, versi yang lebih baru dilaporkan sebagai
Installed
, dan node terkelola dilaporkan sebagaiCompliant
. Namun, tidak ada waktu instalasi yang dilaporkan untuk versi kernel yang lebih baru. - Satu patch live kernel, beberapa CVE
-
Jika patch live kernel menunjuk beberapa CVE, dan CVE tersebut memiliki berbagai klasifikasi dan nilai kepelikan, hanya klasifikasi dan kepelikan tertinggi di antara CVE itu yang dilaporkan untuk patch.
Sisa bagian ini menjelaskan cara menggunakan untuk menerapkan patch langsung kernel Patch Manager ke node terkelola yang memenuhi persyaratan ini.
Cara kerjanya
AWS merilis dua jenis tambalan langsung kernel untuk Amazon Linux 2: pembaruan keamanan dan perbaikan bug. Untuk menerapkan kedua jenis patch tersebut, Anda menggunakan dokumen dasar patch yang menargetkan hanya klasifikasi dan kepelikan yang tercantum dalam tabel berikut.
Klasifikasi | Kepelikan |
---|---|
Security |
Critical , Important |
Bugfix |
All |
Anda dapat membuat dasar patch kustom yang menargetkan hanya patch ini, atau menggunakan dasar patch AWS-AmazonLinux2DefaultPatchBaseline
yang telah ditentukan. Dengan kata lain, Anda dapat menggunakan AWS-AmazonLinux2DefaultPatchBaseline
dengan node terkelola Amazon Linux 2 yang Kernel Live Patching dihidupkan, dan pembaruan langsung kernel akan diterapkan.
catatan
AWS-AmazonLinux2DefaultPatchBaseline
Konfigurasi menentukan masa tunggu 7 hari setelah patch dirilis atau terakhir diperbarui sebelum diinstal secara otomatis. Jika Anda tidak ingin menunggu 7 hari agar tambalan langsung kernel disetujui secara otomatis, Anda dapat membuat dan menggunakan baseline patch khusus. Di dasar patch Anda, Anda dapat menentukan tidak ada periode tunggu persetujuan otomatis, atau menentukan waktu yang lebih pendek atau lebih lama. Untuk informasi selengkapnya, lihat Bekerja dengan dasar patch kustom.
Kami merekomendasikan strategi berikut untuk menambal node terkelola Anda dengan pembaruan langsung kernel:
-
Kernel Live PatchingNyalakan node terkelola Amazon Linux 2 Anda.
-
GunakanRun Command, kemampuan AWS Systems Manager, untuk menjalankan
Scan
operasi pada node terkelola Anda menggunakan baseline patch yang telah ditentukanAWS-AmazonLinux2DefaultPatchBaseline
atau kustom yang juga menargetkan hanyaSecurity
pembaruan dengan tingkat keparahan yang diklasifikasikan sebagaiCritical
danImportant
, dan tingkat keparahanBugfix
.All
-
Gunakan Kepatuhan, kemampuan AWS Systems Manager, untuk meninjau apakah ketidakpatuhan untuk patching dilaporkan untuk salah satu node terkelola yang dipindai. Jika demikian, lihat detail kepatuhan node untuk menentukan apakah patch langsung kernel hilang dari node terkelola.
-
Untuk menginstal patch live kernel yang hilang, gunakan Run Command dengan baseline patch yang sama yang Anda tentukan sebelumnya, tetapi kali ini jalankan
Install
operasi alih-alih operasi.Scan
Karena patch live kernel diinstal tanpa perlu reboot, Anda dapat memilih opsi reboot
NoReboot
untuk operasi ini.catatan
Anda masih dapat me-reboot node terkelola jika diperlukan untuk jenis tambalan lain yang diinstal di dalamnya, atau jika Anda ingin memperbarui ke kernel yang lebih baru. Dalam kasus ini, pilih opsi reboot
RebootIfNeeded
sebagai gantinya. -
Kembali ke Kepatuhan untuk memverifikasi bahwa patch live kernel telah diinstal.
Menghidupkan Kernel Live Patching menggunakan Run Command
Untuk mengaktifkanKernel Live Patching, Anda dapat menjalankan yum
perintah pada node terkelola atau menggunakan Run Command dan dokumen Systems Manager kustom (dokumen SSM) yang Anda buat.
Untuk informasi tentang mengaktifkan Kernel Live Patching dengan menjalankan yum
perintah langsung pada node terkelola, lihat Mengaktifkan Kernel Live Patching di Panduan Pengguna Amazon EC2.
catatan
Ketika Anda mengaktifkan Kernel Live Patching, jika kernel yang sudah berjalan pada node terkelola lebih awal dari kernel-4.14.165-131.185.amzn2.x86_64
(versi minimum yang didukung), proses menginstal versi kernel terbaru yang tersedia dan me-reboot node terkelola. Jika node sudah berjalan kernel-4.14.165-131.185.amzn2.x86_64
atau lebih baru, proses tidak menginstal versi yang lebih baru dan tidak me-reboot node.
Untuk mengaktifkan Kernel Live Patching menggunakan Run Command (konsol)
Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/
. Di panel navigasi, pilih Run Command.
-
Pilih Jalankan perintah.
-
Di daftar Dokumen perintah, pilih dokumen SSM kustom
AWS-ConfigureKernelLivePatching
. -
Di bagian Command parameters, tentukan apakah Anda ingin node terkelola reboot sebagai bagian dari operasi ini.
-
Untuk informasi tentang bekerja dengan kontrol lainnya di halaman ini, lihat Menjalankan perintah dari konsol.
-
Pilih Jalankan.
Untuk menghidupkan Kernel Live Patching (AWS CLI)
-
Jalankan perintah berikut di mesin lokal Anda.
Ganti
instance-id dengan ID
node terkelola Amazon Linux 2 tempat Anda ingin mengaktifkan fitur tersebut, seperti i-02573CAFCFExample. Untuk mengaktifkan fitur pada beberapa node terkelola, Anda dapat menggunakan salah satu dari format berikut.-
--targets "Key=instanceids,Values=
instance-id1
,instance-id2
" -
--targets "Key=tag:
tag-key
,Values=tag-value
"
Untuk informasi tentang opsi lain yang dapat Anda gunakan dalam perintah, lihat send-commanddi Referensi AWS CLI Perintah.
-
Menerapkan kernel live patch menggunakan Run Command
Untuk menerapkan kernel live patch, Anda dapat menjalankan yum
perintah pada node terkelola atau menggunakan Run Command dan dokumen SSM. AWS-RunPatchBaseline
Untuk informasi tentang menerapkan patch langsung kernel dengan menjalankan yum
perintah langsung pada node terkelola, lihat Menerapkan patch langsung kernel di Panduan Pengguna Amazon EC2.
Untuk menerapkan tambalan langsung kernel menggunakan Run Command (konsol)
Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/
. Di panel navigasi, pilih Run Command.
-
Pilih Jalankan perintah.
-
Di daftar Dokumen perintah, pilih dokumen SSM
AWS-RunPatchBaseline
. -
Di bagian Parameter perintah, lakukan salah satu hal berikut:
-
Jika Anda memeriksa apakah patch live kernel yang baru tersedia, untuk Operasi, pilih
Scan
. Untuk Opsi Reboot, jika tidak ingin node terkelola Anda reboot setelah operasi ini, pilihNoReboot
. Setelah operasi selesai, Anda dapat memeriksa patch baru dan status kepatuhan dalam Kepatuhan. -
Jika Anda sudah memeriksa kepatuhan patch dan siap untuk menerapkan patch live kernel yang tersedia, untuk Operasi, pilih
Install
. Untuk Opsi Reboot, jika Anda tidak ingin node terkelola Anda reboot setelah operasi ini, pilihNoReboot
.
-
-
Untuk informasi tentang bekerja dengan kontrol lainnya di halaman ini, lihat Menjalankan perintah dari konsol.
-
Pilih Jalankan.
Untuk menerapkan tambalan langsung kernel menggunakan Run Command ()AWS CLI
-
Untuk melakukan operasi
Scan
sebelum memeriksa hasil Anda di Kepatuhan, jalankan perintah berikut dari mesin lokal Anda.Untuk informasi tentang opsi lain yang dapat Anda gunakan dalam perintah, lihat send-commanddi Referensi AWS CLI Perintah.
-
Untuk melakukan operasi
Install
setelah memeriksa hasil Anda di Kepatuhan, jalankan perintah berikut dari mesin lokal Anda.
Di kedua perintah sebelumnya, ganti instance-id dengan ID
node terkelola Amazon Linux 2 tempat Anda ingin menerapkan tambalan langsung kernel, seperti i-02573CAFCFExample. Untuk mengaktifkan fitur pada beberapa node terkelola, Anda dapat menggunakan salah satu dari format berikut.
-
--targets "Key=instanceids,Values=
instance-id1
,instance-id2
" -
--targets "Key=tag:
tag-key
,Values=tag-value
"
Untuk informasi tentang opsi lain yang dapat Anda gunakan dalam perintah ini, lihat send-commanddi Referensi AWS CLI Perintah.
Mematikan Kernel Live Patching menggunakan Run Command
Untuk menonaktifkanKernel Live Patching, Anda dapat menjalankan yum
perintah pada node terkelola atau menggunakan Run Command dan dokumen AWS-ConfigureKernelLivePatching
SSM kustom.
catatan
Jika Anda tidak perlu lagi menggunakan Kernel Live Patching, Anda dapat menonaktifkannya kapan saja. Dalam kebanyakan kasus, Anda tidak perlu menonaktifkan fitur.
Untuk informasi tentang menonaktifkan Kernel Live Patching dengan menjalankan yum
perintah secara langsung di node terkelola, lihat Mengaktifkan Kernel Live Patching di Panduan Pengguna Amazon EC2.
catatan
Saat Anda mematikanKernel Live Patching, proses menghapus instalasi Kernel Live Patching plugin dan kemudian me-reboot node yang dikelola.
Untuk mematikan Kernel Live Patching menggunakan Run Command (konsol)
Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/
. Di panel navigasi, pilih Run Command.
-
Pilih Jalankan perintah.
-
Di daftar Dokumen perintah, pilih dokumen SSM
AWS-ConfigureKernelLivePatching
. -
Di bagian Parameter perintah, tentukan nilai untuk parameter yang diperlukan.
-
Untuk informasi tentang bekerja dengan kontrol lainnya di halaman ini, lihat Menjalankan perintah dari konsol.
-
Pilih Jalankan.
Untuk mematikan Kernel Live Patching (AWS CLI)
-
Jalankan perintah yang serupa dengan yang berikut ini.
Ganti
instance-id dengan ID
node terkelola Amazon Linux 2 tempat Anda ingin menonaktifkan fitur tersebut, seperti i-02573CAFCFExample. Untuk mematikan fitur pada beberapa node terkelola, Anda dapat menggunakan salah satu format berikut.-
--targets "Key=instanceids,Values=
instance-id1
,instance-id2
" -
--targets "Key=tag:
tag-key
,Values=tag-value
"
Untuk informasi tentang opsi lain yang dapat Anda gunakan dalam perintah, lihat send-commanddi Referensi AWS CLI Perintah.
-