Amazon Linux 2 に関するよくある質問

Amazon Linux 2 は Amazon Linux オペレーティングシステムです。お客様は長期サポートを受けながら、Linux コミュニティによる機能拡張が施された最新のアプリケーション環境を活用できます。Amazon Linux 2 は、Amazon マシンイメージ (AMI) 形式やコンテナイメージ形式で入手できます。また、オンプレミスでの開発とテスト用に仮想マシンイメージとしても入手できるため、ローカルの開発環境で直接アプリケーションの開発、テスト、動作保証を行う際に便利です。

Amazon Linux 2 のサポート終了日 (サポート終了、または EOL) は 2026 年 6 月 30 日です。

お客様は、2026 年 6 月 30 日に AL2 のサポート終了 (EOS) が終了する前に、Amazon Linux 2023 (AL2023) に移行する必要があります [第 2 四半期を参照]。AWS は、2025 年または 2026 年に新しい Amazon Linux バージョンをリリースする予定はありません。AWS では、移行計画に役立つように、新しい OS バージョンをリリースする前に 1 年前にお知らせします。AL2023 は Amazon Linux の最新バージョンで、FIPS 認定、最新のパッケージバージョン、パフォーマンスの向上、2029 年 6 月までのサポートなど、強化されたセキュリティ機能を提供します。AL2023 移行のベストプラクティスについては、こちらを参照してください。

これらのディストリビューションの主な違いについて詳しくは、ドキュメントを参照してください。

Amazon Linux 2 では、最新の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの機能がサポートされ、AWS と簡単に統合できるパッケージが含まれています。Amazon EC2 での使用に最適化されており、調整を施した最新の Linux カーネルバージョンが使用されています。その結果、多くの場合、Amazon Linux 2 によってお客様のワークロードのパフォーマンスが向上します。Amazon Linux 2 は、オンプレミスの仮想マシンイメージとして利用できるため、ローカル環境での開発とテストが可能になります。

Amazon Linux 2 は、データベース、データ分析、業務アプリケーション、ウェブアプリケーション、デスクトップアプリケーションなど、本番環境での幅広い仮想ワークロードやコンテナ化されたワークロードに適しています。またベアメタル OS および仮想化ホストとして、EC2 ベアメタルインスタンスで使用することもできます。

Amazon Linux 2 の主要なコンポーネントには、以下のようなものがあります。

1. Amazon EC2 でのパフォーマンス向けに調整された Linux カーネル。

2. AWS の長期サポート (LTS) の対象である主要なパッケージのセット (systemd、GCC 7.3、Glibc 2.26、Binutils 2.29.1 など)。

3. 頻繁に更新される可能性があり、長期サポート (LTS) モデルに含まれない、急速に進化しているテクノロジー向けの Extras チャネル。

1. Amazon Linux 2 は、オンプレミスでの開発とテスト用の仮想マシンイメージとして利用できます。

2. Amazon Linux 2 では、Amazon Linux AMI の System V init システムの代わりに、systemd のサービスとシステムマネージャーを提供しています。

3. Amazon Linux 2 には、更新された Linux カーネル、C ライブラリ、コンパイラ、ツールが含まれています。

4. Amazon Linux 2 では、Extras メカニズムによって追加ソフトウェアパッケージをインストールすることができます。

AWS では Amazon Linux 2 用の Amazon マシンイメージ (AMI) を入手できます。これを使用して、Amazon EC2 コンソール、AWS SDK、CLI からインスタンスを作成できます。詳細については、Amazon Linux のドキュメントを参照してください。

いいえ。Amazon Linux 2 を実行しても、追加料金は発生しません。Amazon EC2 インスタンスや他のサービスの実行には、Amazon EC2 および AWS の標準料金が適用されます。

Amazon Linux 2 では、HVM AMI に対応する Amazon EC2 インスタンスタイプすべてがサポートされています。Amazon Linux 2 では、準仮想化 (PV) 機能を必要とする古いインスタンスはサポートされていません。

はい。Amazon Linux 2 では、32 ビットのアプリケーションとライブラリがサポートされています。2018 年 10 月 4 日以前にリリースされたバージョンの Amazon Linux 2 を実行している場合は、“yum upgrade” を実行することで 32 ビットに完全に対応します。 

はい。Amazon Linux 2 のソースツールである yumdownloader によって、多くのコンポーネントのソースコードにアクセスできます。

アップストリームの Python コミュニティが 2020 年 1 月に Python 2.7 終了日を宣言した場合でも、Amazon Linux 2 コアパッケージの LTS 契約通りに引き続き Python 2 の重要なセキュリティパッチを提供します。

Amazon Linux 2 システムに Python 3 をインストールし、コードとアプリケーションを Python 3 に移行することを強くお勧めします。

デフォルトの Python インタープリタを変更する予定はありません。Amazon Linux 2 の存続期間中、Python 2.7 をデフォルトとして保持することを意図しています。必要に応じて、Python 2.7 パッケージのセキュリティ修正をバックポートします。

オペレーティングシステムの LTS リリース中は、別のパッケージマネージャーに根本的な変更を加えたり、置き換えたり、追加したりするリスクが非常に高くなります。したがって、Amazon Linux 用の Python 3 移行を計画する際に、Amazon Linux 2 内ではなく、メジャーリリースの境界を越えて行うことを決定しました。これは、LTS 契約を結んでいない場合でも、他の RPM ベースの Linux ディストリビューションで共有されるアプローチです。

カーネル 5.10 は、インテル Ice Lake プロセッサの最適化や最新世代の EC2 インスタンスに電力を供給する Graviton 2 など、多くの機能とパフォーマンスの向上をもたらします。

セキュリティの観点から、顧客は WireGuard VPN の恩恵を受けています。これはアタックサーフェスが少なく、オーバーヘッドが少ない暗号化を可能にする効果的な仮想プライベートネットワークのセットアップに役立ちます。カーネル 5.10 には、カーネルイメージの不正な変更を防ぐためのカーネルロックダウン機能と、CO-RE (Compile Once - Run Everywhere) を含む多くの BPF の改善も含まれています。

入出力オペレーションを多用するお客様には、書き込みパフォーマンスの向上、入出力オペレーションの高速化のためのプロセス間での io_uring リングの安全な共有、ストレージデバイスとの互換性を高める新しい exFAT システムのサポートなどの利点があります。MPTCP (MultiPath TCP) を追加することで、複数のネットワークインターフェースを持つお客様は、利用可能なすべてのネットワークパスを組み合わせて、スループットの向上やネットワーク障害の低減を図ることができます。

elfutils-libelf、glibc、glibc-utils、hesiod、krb5-libs、libgcc、libgomp、libstdc++、libtbb.so、libtbbmalloc.so、libtbbmalloc_proxy.so、libusb、libxml2、libxslt、pam、audit-libs、audit-libs-python、bzip2-libs、c-ares、clutter、cups-libs、cyrus-sasl-gssapi、cyrus-sasl-lib、cyrus-sasl-md5、dbus-glib、dbus-libs、elfutils-libs、expat、fuse-libs、glib2、gmp、gnutls、httpd、libICE、libSM、libX11、libXau、libXaw、libXext、libXft、libXi、libXinerama、libXpm、libXrandr、libXrender、libXt、libXtst、libacl、libaio、libatomic、libattr、libblkid、libcap-ng、libdb、libdb-cxx、libgudev1、libhugetlbfs、libnotify、libpfm、libsmbclient、libtalloc、libtdb、libtevent、libusb、libuuid、ncurses-libs、nss、nss-sysinit、numactl、openssl、p11-kit、papi、pcre、perl、perl-Digest-SHA、perl-Time-Piece、perl-libs、popt、python、python-libs、readline、realmd、ruby、scl-utils、sqlite、systemd-libs、systemtap、tcl、tcp_wrappers-libs、xz-libs、zlib

Amazon Linux 2 のオンプレミスでの使用は現在 AWS サポートの対象外です。Amazon Linux 2 のオンプレミスでの使用については、主に Amazon Linux 2 フォーラムおよび Amazon Linux 2 のドキュメントによるサポートを利用してください。Amazon Linux 2 フォーラムでは質問の投稿、バグ報告、および機能リクエストを受け付けています。

はい。Amazon Linux 2 への移行を促進するために、AWS では 2020 年 12 月 31 日まで、Amazon Linux の最新バージョンに対するセキュリティ更新とコンテナイメージの提供を継続します。また、AWS プレミアムサポートや Amazon Linux ディスカッションフォーラムといった既存のサポートチャネルを使用して、サポートのリクエストを送信することもできます。

詳細はこちら >>

Amazon Linux では、RSS フィードを購読したり、HTML を解析するスキャンツールを設定することで、人間や機械が消費できるセキュリティアドバイザリを提供しています。製品のフィードはこちらでご覧いただけます。

Amazon Linux 1 / Amazon Linux 1 RSS
Amazon Linux 2 / Amazon Linux 2 RSS
Amazon Linux 2023 / Amazon Linux 2023 RSS

Extras は、安定したオペレーティングシステムで新しいバージョンのアプリケーションソフトウェアを利用可能にする Amazon Linux 2 のメカニズムです。Extras は、OS の安定性を確保しつつ、最新のソフトウェアを利用できるようにするうえで役立ちます。例えば、5 年間サポートされる安定したオペレーティングシステムに MariaDB の新しいバージョンをインストールすることができます。Extras の例としては、tomcat9、memcached 1.5、Corretto 1.0.0_242、Postgresql 13、MariaDB 10.5、Go 1.9、Redis 6.0、R 4、Rust 1.38.0 などがあります。

Extras には、ソフトウェアバンドルを選択するためのトピックがあります。各トピックには、Amazon Linux 2 にソフトウェアをインストールし機能させるために必要となる依存関係がすべて含まれます。例えば、Rust は Amazon の厳選したリストに含まれる Extras トピックで、システムプログラミング言語である Rust のツールチェーンとランタイムが提供されます。このトピックには Rust の cmake ビルドシステム、Cargo (Rust のパッケージマネージャー)、Rust 用の LLVM ベースのコンパイラツールチェーンが含まれます。各トピックに関連付けられたパッケージは、よく知られている yum インストールプロセスで使用されます。

利用できるパッケージの一覧は、Amazon Linux 2 のシェルで amazon-linux-extras コマンドを使って表示できます。Extras のパッケージは "sudo amazon-linux-extras install" コマンドを使ってインストールできます。

例: $ sudo amazon-linux-extras install rust1

Amazon Linux Extras の開始方法の詳細については、Amazon Linux のドキュメントを参照してください。

Extras の急速に進化しているテクノロジーは時間をかけて作り上げられて完成し、長期サポートポリシーが適用される Amazon Linux 2 の "主要な" パッケージに追加されることがあります。

Amazon Linux 2 には、Chef、Puppet、Vertica、Trend Micro、Hashicorp、Datadog、Weaveworks、Aqua Security、Tigera、SignalFX などの独立系ソフトウェアベンダー (ISV) の急速に拡大しているコミュニティがあります。

サポートされている ISV アプリケーションの詳細なリストは、Amazon Linux 2 ページで確認できます

Amazon Linux 2 で動作保証されているアプリケーションを取得するには、お問い合わせください。

Amazon Linux 2 のカーネルライブパッチとは、動作中の Linux カーネルに対して、セキュリティやバグ修正を再起動することなく適用できる機能です。Amazon Linux カーネルのライブパッチは、Amazon Linux 2 の既存のパッケージリポジトリに配信され、機能が有効化されている場合は "yum update –security" などの通常の yum コマンドを使用して適用することができます。

カーネルライブパッチの対象となる Amazon Linux 2 でのユースケースには以下が含まれます。

• サービスのダウンタイムなしで、重大なセキュリティ脆弱性やデータ破損のバグに緊急パッチを適用し、対処できます。

• 実行時間の長いタスクの完了やユーザーのログアウト、またはスケジュールされた再起動のタイムスロットを待たずに、OS のアップデートを適用できます。

• 高可用性システムで必要なローリングリブートを排除することにより、セキュリティパッチのロールアウトを迅速化できます

AWS は通常、デフォルトの Amazon Linux 2 カーネルに対して、AWS によって危機的かつ重要と評価された CVE を修正するためのカーネルライブパッチを提供します。Amazon Linux セキュリティアドバイザリーの危機的かつ重要との評価は、Common Vulnerability Scoring System (CVSS) のスコア 7 以上に匹敵します。さらに、AWS は、システムの安定性の問題や潜在的なデータ破損の問題に対処する、バグ修正用のカーネルライブパッチも提供します。技術的な制限により、深刻度が高いにもかかわらずカーネルライブパッチを受け取れない問題が多少存在する可能性があります。例えば、アセンブリコードを変更したり、関数のシグネチャを変更するなどの修正はカーネルライブパッチを受け取れない可能性があります。Amazon Linux 2 Extras に含まれるカーネルや、AWS によってビルドやサービスの提供がなされていないサードパーティー製ソフトウェアは、カーネルライブパッチを受け取りません。

Amazon Linux 2 のカーネルライブパッチは無償で提供しています。

カーネルライブパッチは Amazon が提供しており、Amazon Linux 2 および AWS Systems Manager Patch Manager の yum パッケージマネージャーとユーティリティで使用できます。各カーネルライブパッチは RPM パッケージとして提供されています。カーネルライブパッチは現在、Amazon Linux 2 ではデフォルトで無効になっています。利用可能な yum プラグインを使用して、カーネルライブパッチを有効にしたり無効にしたりすることができます。そして、yum ユーティリティの既存のワークフローを使用して、カーネルライブパッチを含むセキュリティパッチを適用することができます。さらに、kpatch コマンドラインユーティリティを使用して、カーネルライブパッチの列挙、適用、有効化/無効化を行うことができます。

• "sudo yum install -y yum-plugin-kernel-livepatch" は、Amazon Linux 上にカーネルライブパッチ機能用の yum プラグインをインストールします。

• "sudo yum kernel-livepatch enable -y" はプラグインを有効にします。

• "sudo systemctl enable kpatch.service" は、Amazon Linux で使用されているカーネルライブパッチのインフラストラクチャである kpatch サービスを有効にします。

• "sudo amazon-linux-extras enable livepatch" はカーネルライブパッチリポジトリのエンドポイントを追加します。

• "yum check-update kernel" は更新可能なカーネルの一覧を表示します。

• "yum updateinfo list" は利用可能なセキュリティアップデートの一覧を表示します。

• "sudo yum update -security" は、セキュリティ修正として利用可能なカーネルライブパッチを含む利用可能なパッチをインストールします。

• "kpatch list" はロードされたすべてのカーネルライブパッチを一覧表示します。

はい。AWS SSM Patch Manager を使用すると、パッチがライブパッチとして利用可能であるときに、即座に再起動する必要なく、カーネルライブパッチを自動で適用できます。開始するには、SSM Patch Manager のドキュメントにアクセスしてください。

AWS では、セキュリティ脆弱性を修正するためのカーネルライブパッチの詳細を Amazon Linux セキュリティセンターで公開しています。

Amazon Linux 2 でカーネルライブパッチを適用している間は、ハイバネーションを同時に行ったり、SystemTap や kprobes、eBPF ベースのツールなどの高度なデバッグツールを使用したりすることはできません。また、カーネルライブパッチのインフラストラクチャで使用される ftrace 出力ファイルにアクセスしたりすることもできません。

カーネルライブパッチで問題が発生した場合は、パッチを無効にして AWS サポート、または AWS フォーラムの投稿を通じて Amazon Linux Engineering に連絡してください。

Amazon Linux 2 のカーネルライブパッチは、OS 再起動の必要性を完全に無くすわけではありませんが、重要で危機的なセキュリティ問題を修正するために行う計画的メンテナンスウィンドウ外の再起動を大幅に軽減します。Amazon Linux 2 の各 Linux カーネルは、Amazon Linux カーネルのリリース後、最大約 3 か月間ライブパッチを受け取ります。カーネルのライブパッチを引き続き受信するには、3 か月ごとに OS を最新の Amazon Linux カーネルで再起動する必要があります。

Amazon Linux 2 のカーネルライブパッチは、Amazon Linux 2 がサポートしているすべての x86_64 (AMD/Intel 64 ビット) プラットフォームでサポートされています。これには、すべての HVM EC2 インスタンス、VMware Cloud on AWS、VMware ESXi、VirtualBox、KVM、Hyper-V が含まれます。ARM ベースのプラットフォームは現在サポートされていません。

はい、AWS はすべての OS アップデートに対して定期的なパッチを提供し続けます。原則として、通常のパッチとカーネルライブパッチの両方が同時に提供されます。

デフォルトでは、再起動が実行されると、カーネルライブパッチは通常の「非ライブ」パッチ相当のものに置き換えられます。カーネルライブパッチを通常のパッチに置き換えずに再起動を実行することもできます。詳細については、Amazon Linux 2 カーネルライブパッチのドキュメントをご参照ください。

Amazon Linux 2 のカーネルライブパッチは、Amazon Linux 2 のカーネル ABI 互換性を変更しません。

AWS サポートのビジネスおよびエンタープライズプランには、カーネルライブパッチを含む Amazon Linux のすべての機能に対するプレミアムサポートが含まれています。AWS は AWS が提供するカーネルライブパッチのみをサポートしており、サードパーティーのカーネルライブパッチソリューションの問題については、ベンダーに問い合わせることをお勧めします。AWS は、Amazon Linux 2 では 1 つのカーネルライブパッチソリューションのみを使用することを推奨しています。

Amazon Linux セキュリティセンターのリストには、カーネルライブパッチごとに専用の行が表示されます。エントリには "ALASLIVEPATCH-<datestamp>" などの識別情報があり、パッケージ名は "kernel-livepatch-<kernel-version>" として表示されます。

カーネルの各バージョンは、約 3 か月間ライブパッチを受け取ります。Amazon Linux は、リリースされた最新の 6 つのカーネルに対してカーネルライブパッチを提供します。カーネルライブパッチは、Amazon Linux 2 でリリースされたデフォルトカーネルでのみサポートされます。Extras の次世代カーネルでは、カーネルライブパッチは提供されません。

現在の Linux カーネルがライブパッチを引き続き受信するかどうか、またサポートウィンドウが終了するタイミングを確認するには、次の yum コマンドを使用します。

"yum kernel-livepatch supported"

カーネルライブパッチの yum プラグインは、yum パッケージ管理ユーティリティで通常サポートされているすべてのワークフローをサポートしています。例: "yum update"、"yum update kernel"、"yum update –security"、"yum update all"

カーネルライブパッチの RPM は GPG キーでサインされています。ただし、カーネルモジュールは現在のところサインされていません。