Amazon Linux 2 관리형 노드에서 Kernel Live Patching 사용
Amazon Linux 2용 Kernel Live Patching을 사용하면 실행 중인 애플리케이션을 재부팅하거나 중단하지 않고 실행 중인 Linux 커널에 보안 취약성 및 중요 버그 패치를 적용할 수 있습니다. 이를 통해 서비스 및 애플리케이션 가용성을 향상하는 동시에 인프라를 최신 상태로 안전하게 유지할 수 있습니다. Kernel Live Patching은 Amazon EC2 인스턴스와 Amazon Linux 2를 실행하는 AWS IoT Greengrass 코어 디바이스, 온프레미스 가상 머신에서 지원됩니다.
Kernel Live Patching에 대한 일반적인 내용은 Amazon EC2 사용 설명서의 Amazon Linux 2의 Kernel Live Patching을 참조하세요.
Amazon Linux 2 관리형 노드에서 Kernel Live Patching을 설정한 후 AWS Systems Manager의 기능인 Patch Manager를 사용하여 커널 라이브 패치를 인스턴스에 적용할 수 있습니다. 노드에서 기존 yum 워크플로를 사용하여 업데이트를 적용하는 대신 Patch Manager를 사용할 수 있습니다.
시작하기 전 준비 사항
Patch Manager를 사용하여 커널 라이브 패치를 Amazon Linux 2 관리형 노드에 적용하려면 노드가 올바른 아키텍처와 커널 버전을 기반으로 해야 합니다. 자세한 내용은 Amazon EC2 사용 설명서의 지원되는 구성 및 사전 조건을 참조하세요.
주제
Patch Manager를 사용하는 Kernel Live Patching
- 커널 버전 업데이트
-
커널 라이브 패치 업데이트를 적용한 후 관리형 노드를 재부팅할 필요가 없습니다. 그러나 AWS는 릴리스 후 최대 3개월 동안 Amazon Linux 2 커널 버전에 대한 커널 라이브 패치를 제공합니다. 3개월 후 커널 라이브 패치를 계속 받으려면 최신 커널 버전으로 업데이트해야 합니다. 유지 관리 기간을 사용하여 커널 버전 업데이트를 요청하는 메시지를 표시하도록 최소 3개월에 한 번 노드 재부팅을 예약하는 것이 좋습니다.
- 커널 라이브 패치 제거
-
커널 라이브 패치는 Patch Manager를 사용하여 제거할 수 없습니다. 대신 Kernel Live Patching을 해제하여 적용된 커널 라이브 패치에 대한 RPM 패키지를 제거할 수 있습니다. 자세한 내용은 Run Command를 사용하여 Kernel Live Patching을 해제하려면 단원을 참조하십시오.
- 커널 규정 준수
-
경우에 따라 현재 커널 버전에 대한 라이브 패치에서 모든 CVE 수정 사항을 설치하면 해당 커널이 최신 커널 버전과 동일한 규정 준수 상태가 될 수 있습니다. 이 경우 최신 버전은
Installed
으로 보고되고 관리형 노드는Compliant
로 보고됩니다. 그러나 최신 커널 버전에서는 설치 시간이 보고되지 않습니다. - 하나의 커널 라이브 패치, 여러 CVE
-
커널 라이브 패치가 여러 CVE를 해결하고 해당 CVE가 다양한 분류 및 심각도 값을 갖는 경우, CVE에서 가장 높은 분류 및 심각도만 해당 패치에 대해 보고됩니다.
이 섹션의 나머지 부분에서는 Patch Manager를 사용하여 이러한 요구 사항을 충족하는 관리형 노드에 커널 라이브 패치를 적용하는 방법을 설명합니다.
Patch Manager를 사용하는 Kernel Live Patching의 작동 방식
AWS는 Amazon Linux 2를 위한 2가지 유형의 커널 라이브 패치인 보안 업데이트와 버그 수정 사항을 릴리스합니다. 이러한 유형의 패치를 적용하려면 다음 표에 나열된 분류 및 심각도만 대상으로 하는 패치 기준 문서를 사용합니다.
분류 | 심각도 |
---|---|
Security |
Critical , Important |
Bugfix |
All |
이러한 패치만 대상으로 하는 사용자 지정 패치 기준을 생성하거나, 미리 정의된 AWS-AmazonLinux2DefaultPatchBaseline
패치 기준을 사용할 수 있습니다. 즉, Kernel Live Patching이 설정된 Amazon Linux 2 관리형 노드에서 AWS-AmazonLinux2DefaultPatchBaseline
을 사용할 수 있으며 커널 라이브 업데이트가 적용됩니다.
참고
AWS-AmazonLinux2DefaultPatchBaseline
구성은 패치가 릴리스되거나 마지막으로 업데이트된 후 자동으로 설치되기 전에 7일의 대기 기간을 지정합니다. 7일 동안 커널 라이브 패치 자동 승인을 기다리지 않으려면 사용자 정의 패치 기준선을 생성하여 사용합니다. 패치 기준에서 자동 승인 대기 기간을 지정하거나 더 짧거나 긴 대기 기간을 지정할 수 있습니다. 자세한 내용은 사용자 정의 패치 기준 작업 단원을 참조하십시오.
커널 라이브 업데이트로 관리형 노드를 패치하려면 다음 전략을 사용하는 것이 좋습니다.
-
Amazon Linux 2 관리형 노드에서 Kernel Live Patching 활성화
-
AWS Systems Manager의 기능인 Run Command를 사용하여 미리 정의된
AWS-AmazonLinux2DefaultPatchBaseline
또는 심각도가Critical
과Important
로 분류되었고Bugfix
심각도가All
인Security
업데이트만 대상으로 하는 사용자 정의 패치 기준을 사용하여 관리형 노드에서Scan
작업을 실행합니다. -
AWS Systems Manager의 기능인 규정 준수(Compliance)를 사용하여 스캔된 관리형 노드에 대해 패치 규정 미준수가 보고되는지 검토합니다. 그렇다면 노드 규정 준수 세부 정보를 보고, 관리형 노드에서 누락된 커널 라이브 패치가 있는지 확인합니다.
-
누락된 커널 라이브 패치를 설치하려면 이전에 지정한 것과 동일한 패치 기준에서 Run Command을 사용합니다. 하지만 이번에는
Scan
작업 대신Install
작업을 실행합니다.커널 라이브 패치는 재부팅할 필요 없이 설치되므로 이 작업에 대해
NoReboot
재부팅 옵션을 선택할 수 있습니다.참고
노드에 설치된 다른 유형의 패치가 필요하거나 최신 커널로 업데이트하려는 경우에도 관리형 노드를 재부팅할 수 있습니다. 이러한 경우
RebootIfNeeded
재부팅 옵션을 대신 선택합니다. -
규정 준수로 돌아가서 커널 라이브 패치가 설치되었는지 확인합니다.