Amazon Linux 2 に関するよくある質問

Q:Amazon Linux 2 とは何ですか?

Amazon Linux 2 は Amazon Linux オペレーティングシステムです。お客様は長期サポートを受けながら、Linux コミュニティによる機能拡張が施された最新のアプリケーション環境を活用できます。Amazon Linux 2 は、Amazon マシンイメージ (AMI) 形式やコンテナイメージ形式で入手できます。また、オンプレミスでの開発とテスト用に仮想マシンイメージとしても入手できるため、ローカルの開発環境で直接アプリケーションの開発、テスト、動作保証を行う際に便利です。

Q:Amazon Linux 2 のサポートはいつ終了するのですか?

Amazon Linux 2 のサポート終了日 (EOL、End of Life) は、次のバージョンへの移行に十分な時間を提供するために、2023 年 6 月 30 日から 2025 年 6 月 30 日に 2 年間延長されました。

Q:Amazon Linux 2 と Amazon Linux 2023 の違いは何ですか?

これらのディストリビューションの主な違いについて詳しくは、ドキュメントを参照してください。

Q:Amazon Linux 2 を使用することの利点は何ですか?

Amazon Linux 2 では、Amazon Linux AMI と同様、最新の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの機能がサポートされ、AWS と簡単に統合できるパッケージが含まれています。Amazon EC2 での使用に最適化されており、調整を施した最新の Linux カーネルバージョンが使用されています。その結果、多くの場合、Amazon Linux 2 によってお客様のワークロードのパフォーマンスが向上します。Amazon Linux 2 は、2025 年 6 月 30 日までサポートされ、セキュリティとメンテナンスの更新が提供されます。Amazon Linux 2 は、オンプレミスの仮想マシンイメージとして利用できるため、ローカル環境での開発とテストが可能になります。

Q:Amazon Linux 2 はどのようなワークロードやユースケースに対応していますか?

Amazon Linux 2 は、データベース、データ分析、業務アプリケーション、ウェブアプリケーション、デスクトップアプリケーションなど、本番環境での幅広い仮想ワークロードやコンテナ化されたワークロードに適しています。またベアメタル OS および仮想化ホストとして、EC2 ベアメタルインスタンスで使用することもできます。

Q:Amazon Linux 2 の主要なコンポーネントにはどのようなものがありますか?

Amazon Linux 2 の主要なコンポーネントには、以下のようなものがあります。

1. Amazon EC2 でのパフォーマンス向けに調整された Linux カーネル。
2. AWS の長期サポート (LTS) の対象である主要なパッケージのセット (systemd、GCC 7.3、Glibc 2.26、Binutils 2.29.1 など)。
3. 頻繁に更新される可能性があり、長期サポート (LTS) モデルに含まれない、急速に進化しているテクノロジー向けの Extras チャネル。

Q:Amazon Linux 2 と Amazon Linux AMI の違いは何ですか?
Amazon Linux 2 と Amazon Linux AMI の主な違いは以下のとおりです。

1. Amazon Linux 2 では、2025 年 6 月 30 日まで長期サポートを受けることができます。
2. Amazon Linux 2 は、オンプレミスでの開発とテスト用の仮想マシンイメージとして利用できます。
3. Amazon Linux 2 では、Amazon Linux AMI の System V init システムの代わりに、systemd のサービスとシステムマネージャーを提供しています。
4. Amazon Linux 2 には、更新された Linux カーネル、C ライブラリ、コンパイラ、ツールが含まれています。
5. Amazon Linux 2 では、Extras メカニズムによって追加ソフトウェアパッケージをインストールすることができます。

Q:AWS で Amazon Linux 2 の使用を開始するにはどうしたらよいですか?

AWS では Amazon Linux 2 用の Amazon Machine Image (AMI) を入手できます。これを使用して、Amazon EC2 コンソール、AWS SDK、CLI からインスタンスを作成できます。詳細については、Amazon Linux のドキュメントを参照してください。

Q:Amazon EC2 で Amazon Linux 2 を実行することによるコストは発生しますか?

いいえ。Amazon Linux 2 を実行しても、追加料金は発生しません。Amazon EC2 インスタンスや他のサービスの実行には、Amazon EC2 および AWS の標準料金が適用されます。

Q:Amazon Linux 2 では、どの Amazon EC2 インスタンスタイプがサポートされていますか?

Amazon Linux 2 では、HVM AMI に対応する Amazon EC2 インスタンスタイプすべてがサポートされています。Amazon Linux 2 では、準仮想化 (PV) 機能を必要とする古いインスタンスはサポートされていません。

Q:Amazon Linux 2 では、32 ビットのアプリケーションとライブラリはサポートされていますか?

はい。Amazon Linux 2 では、32 ビットのアプリケーションとライブラリがサポートされています。2018 年 10 月 4 日以前にリリースされたバージョンの Amazon Linux 2 を実行している場合は、“yum upgrade” を実行することで 32 ビットに完全に対応します。 

Q:Amazon Linux 2 には、グラフィカルユーザーインターフェイス (GUI) デスクトップは付属していますか?
はい。Amazon Linux 2 では、MATE デスクトップ環境が別途に提供されます。Amazon Workspaces によって、GUI を備えた Amazon Linux 2 ベースのクラウドデスクトップが提供されています。詳細については、こちらを参照してください。

Q:Amazon Linux 2 コンポーネントのソースコードを見ることができますか?

はい。Amazon Linux 2 のソースツールである yumdownloader によって、多くのコンポーネントのソースコードにアクセスできます。

Q:Python 2.7 がまだ Amazon Linux 2 の一部である理由は何ですか?

アップストリームの Python コミュニティが 2020 年 1 月に Python 2.7 終了日を宣言した場合でも、Amazon Linux 2 コアパッケージの LTS 契約通りに (2025 年 6 月まで) 引き続き Python 2 の重要なセキュリティパッチを提供します。

Q:コードを Python 3 に移行し、Python 2.7 から移行する必要がありますか?

Amazon Linux 2 システムに Python 3 をインストールし、コードとアプリケーションを Python 3 に移行することを強くお勧めします。

Q:Amazon Linux 2 は Python 2.7 から移行していますか?

デフォルトの Python インタープリタを変更する予定はありません。Amazon Linux 2 の存続期間中、Python 2.7 をデフォルトとして保持することを意図しています。必要に応じて、Python 2.7 パッケージのセキュリティ修正をバックポートします。

Q:Amazon Linux 2 が「yum」パッケージマネージャーとして Python 2.7 から切り替えられない、または Python 3 ベースの DNF に移行しない理由は何ですか?

オペレーティングシステムの LTS リリース中は、別のパッケージマネージャーに根本的な変更を加えたり、置き換えたり、追加したりするリスクが非常に高くなります。したがって、Amazon Linux 用の Python 3 移行を計画する際に、Amazon Linux 2 内ではなく、メジャーリリースの境界を越えて行うことを決定しました。これは、LTS 契約を結んでいない場合でも、他の RPM ベースの Linux ディストリビューションで共有されるアプローチです。

Q:カーネル 5.10 はカーネル 4.14 とどう違うのですか?

カーネル 5.10 は、インテル Ice Lake プロセッサの最適化や最新世代の EC2 インスタンスに電力を供給する Graviton 2 など、多くの機能とパフォーマンスの向上をもたらします。 

セキュリティの観点から、顧客は WireGuard VPN の恩恵を受けています。これは攻撃対象領域が少なく、オーバーヘッドが少ない暗号化を可能にする効果的な仮想プライベートネットワークのセットアップに役立ちます。カーネル 5.10 には、カーネルイメージの不正な変更を防ぐためのカーネルロックダウン機能と、CO-RE (Compile Once - Run Everywhere) を含む多くの BPF の改善も含まれています。

入出力オペレーションを多用するお客様には、書き込みパフォーマンスの向上、入出力オペレーションの高速化のためのプロセス間での io_uring リングの安全な共有、ストレージデバイスとの互換性を高める新しい exFAT システムのサポートなどの利点があります。MPTCP (MultiPath TCP) を追加することで、複数のネットワークインターフェースを持つお客様は、利用可能なすべてのネットワークパスを組み合わせて、スループットの向上やネットワーク障害の低減を図ることができます。

Q:Amazon Linux 2 の長期サポートには何が含まれていますか?

Amazon Linux 2 の長期サポートは主要なパッケージにのみ適用され、以下の内容を含んでいます。
1) AWS では 2025 年 6 月 30 日まで、すべての主要なパッケージのセキュリティ更新とバグ修正を提供します。
2) AWS では、以下の主要なパッケージに対して、ユーザー空間のアプリケーションバイナリインターフェイス (ABI) の互換性を維持します。

elfutils-libelf、glibc、glibc-utils、hesiod、krb5-libs、libgcc、libgomp、libstdc++、libtbb.so、libtbbmalloc.so、libtbbmalloc_proxy.so、libusb、libxml2、libxslt、pam、audit-libs、audit-libs-python、bzip2-libs、c-ares、clutter、cups-libs、cyrus-sasl-gssapi、cyrus-sasl-lib、cyrus-sasl-md5、dbus-glib、dbus-libs、elfutils-libs、expat、fuse-libs、glib2、gmp、gnutls、httpd、libICE、libSM、libX11、libXau、libXaw、libXext、libXft、libXi、libXinerama、libXpm、libXrandr、libXrender、libXt、libXtst、libacl、libaio、libatomic、libattr、libblkid、libcap-ng、libdb、libdb-cxx、libgudev1、libhugetlbfs、libnotify、libpfm、libsmbclient、libtalloc、libtdb、libtevent、libusb、libuuid、ncurses-libs、nss、nss-sysinit、numactl、openssl、p11-kit、papi、pcre、perl、perl-Digest-SHA、perl-Time-Piece、perl-libs、popt、python、python-libs、readline、realmd、ruby、scl-utils、sqlite、systemd-libs、systemtap、tcl、tcp_wrappers-libs、xz-libs、zlib

3) AWS では、AWS での管理ができないためにアプリケーションバイナリインターフェイス (ABI) の互換性の提供が不可能な場合を除き、他のすべての主要なパッケージにその互換性を提供します。

Q: Amazon Linux 2 ではカーネルスペース ABI の互換性が維持されますか?
いいえ。Amazon Linux 2 でカーネルスペース ABI の互換性は維持されません。上流の Linux カーネルで ABI の安定性に影響する変更があった場合、サードパーティのカーネルドライバーを利用しているアプリケーションでさらに変更が必要となる場合があります。

Q: AWS では、Amazon Linux 2 のセキュリティ修正をバックポートしますか?
はい。Amazon では、アップストリームのソフトウェアパッケージの最新バージョンから定期的に修正を取り出し、それを Amazon Linux 2 のパッケージのバージョンに適用します。このプロセスの間、修正を他の変更から分離し、不要な副次的影響を起こさないようにしてから、その修正を適用します。

Q: 長期サポートポリシーは Exras トピックに適用されますか?
Extras トピックのコンテンツは、長期サポートとバイナリ互換性に関する Amazon Linux ポリシーの対象外です。Extras トピックは、急速に進化している厳選されたテクノロジーのリストを含み、頻繁に更新される可能性があります。Extras トピックでパッケージの新しいバージョンがリリースされた場合、最新のパッケージのみがサポートされます。これらのテクノロジーは時間をかけて作り上げられて完成し、最終的に Amazon Linux 2 の "主要な" リポジトリに追加されて、Amazon Linux 2 の長期サポートポリシーが適用されるようになることがあります。

Q:LTS ビルドのリリース後、追加の Amazon Linux 2 ビルドは提供されますか?
はい。新しいビルドでは、同じリポジトリを使用し、セキュリティおよび機能更新の累積を含んでいるため、保留中の更新を適用する必要はありません。

Q: Amazon Linux 2 の更新はどこで入手できますか?
Amazon Linux 2 の更新は、各 AWS リージョンでホストされている設定済みリポジトリによって提供されます。新しいインスタンスを初めて起動する時に、Amazon Linux は、クリティカルまたは重要と評価されたユーザースペースセキュリティアップデートのインストールを試みます。また、インスタンス作成時の必須かつ重要なセキュリティパッチの自動インストールは、有効または無効にすることができます。

Q:Amazon Linux 2 への大規模なセキュリティパッチ適用を自動化するにはどうすればよいですか?

AWS Systems Manager Patch Manager と Amazon Linux 2 は連携して、Amazon Linux 2 インスタンスへの大規模なパッチ適用プロセスを自動化します。Patch Manager では、欠落しているパッチをスキャンすることや、欠落しているパッチをスキャンして大規模なインスタンスグループにインストールすることができます。Systems Manager Patch Manager は、セキュリティ以外の更新のパッチをインストールするためにも使用できます。

Q:Amazon Linux 2 にはどのようなプレミアムサポートオプションがありますか?
AWS Supportに加入すると、アマゾン ウェブ サービス (AWS) での Amazon Linux 2 の使用のサポートを受けることができます。

Amazon Linux 2 のオンプレミスでの使用は現在 AWS サポートの対象外です。Amazon Linux 2 のオンプレミスでの使用については、主に Amazon Linux 2 フォーラムおよび Amazon Linux 2 のドキュメントによるサポートを利用してください。Amazon Linux 2 フォーラムでは質問の投稿、バグ報告、および機能リクエストを受け付けています。

Q:Amazon Linux 2 LTS Candidate 2 から Amazon Linux 2 の LTS バージョンへのローリングアップグレードを実行できますか?
はい。Amazon Linux 2 LTS Candidate 2 から Amazon Linux 2 へのローリングアップグレードは可能です。ただし、最終的な LTS ビルドを変更すると、お客様のアプリケーションが破損する可能性があります。アプリケーションの移行前に、新しくインストールした Amazon Linux 2 でテストすることをお勧めします。

Q:AWS では今後も Amazon Linux AMI のサポートを継続しますか?

はい。Amazon Linux 2 への移行を促進するために、AWS では 2020 年 12 月 31 日まで、Amazon Linux の最新バージョンに対するセキュリティ更新とコンテナイメージの提供を継続します。また、AWS Premium Supportや Amazon Linux Discussion Forumといった既存のサポートチャネルを使用して、サポートのリクエストを送信することもできます。

Q: Amazon Linux 2 は Amazon Linux AMI の既存バージョンと後方互換性がありますか?
Amazon Linux 2 には systemd などのコンポーネントが導入されたため、現在のバージョンの Amazon Linux で実行しているアプリケーションを Amazon Linux 2 で実行するためには、追加の変更が必要になる場合があります。

Q: 既存バージョンの Amazon Linux AMI から Amazon Linux 2 へのインプレースアップグレードを実行できますか?
いいえ。既存バージョンの Amazon Linux から Amazon Linux 2 へのインプレースアップグレードはサポートされていません。アプリケーションの移行前に、新しくインストールした Amazon Linux 2 でテストすることをお勧めします。

Q: Amazon Linux AMI を実行しているインスタンスから Amazon Linux 2 へのローリングアップグレードを実行できますか?
いいえ。Amazon Linux を実行しているインスタンスがローリングアップデートメカニズムで Amazon Linux 2 にアップグレードされることはありません。そのため、既存のアプリケーションの中断も発生しません。詳細については、Amazon Linux のドキュメントと移行ツールを参照してください。

Q:Amazon Linux 2 はどのオンプレミス仮想化プラットフォームで動作しますか?
Amazon Linux 2 仮想マシンイメージは、現在、KVM、Microsoft Hyper-V、Oracle VM VirtualBox、VMware ESXi の各仮想化プラットフォームで開発とテストに利用できます。AWS では、このような仮想化プラットフォームについて認定を取得する予定です。

Q: ローカルの開発環境で Amazon Linux 2 仮想マシンイメージの使用を開始するにはどうしたらよいですか?
サポートされている各ハイパーバイザ用の仮想マシンイメージをダウンロードできます。イメージをダウンロードしてから、Amazon Linux のドキュメントに従って使用を開始してください。

Q: オンプレミスで Amazon Linux 2 を実行することで関連コストは発生しますか?
いいえ。Amazon Linux 2 をオンプレミスで実行しても、追加料金は発生しません。

Q: Amazon Linux 2 をオンプレミスで実行するために AWS アカウントは必要ですか?
いいえ。Amazon Linux 2 をオンプレミスで実行するために AWS アカウントは必要ありません。

Q: Amazon Linux 2 を実行する最小システム要件はどのようなものですか?
Amazon Linux 2 を実行するには、少なくとも 512 MB のメモリ、1 つの仮想 CPU、エミュレートされた BIOS を搭載した 64 ビット仮想マシンが必要です。

Q: Amazon Linux 2 のオンプレミス VM イメージに対して、AWS からセキュリティの更新は提供されますか?
はい。AWS では 2025 年 6 月 30 日まで、すべての主要なパッケージのセキュリティ更新とバグ修正を提供します。また、主要なパッケージに対して、ユーザー空間のアプリケーションバイナリインターフェイス (ABI) の互換性を維持します。

Q: AWS サポートから、Amazon Linux 2 のオンプレミス VM イメージに対する有料サポートを受けることはできますか?
いいえ。現時点で、オンプレミスで実行する Amazon Linux 2 VM に対する有料サポートは提供されていません。オンプレミスでの使用に関する質問の回答や問題の解決方法については、主に Amazon Linux 2 フォーラムでのコミュニティによるサポートを利用してください。Amazon Linux 2 のドキュメントには、Amazon Linux 2 の仮想マシンとコンテナの運用、OS の設定、アプリケーションのインストールについてのガイダンスが記載されています。

Q:Amazon Linux はどのように CVE を評価しているのですか?

Amazon Linux では、社内プロセスで発見された CVE (Common Vulnerabilities and Exposures) を評価し、自社製品への潜在的なリスクを評価し、セキュリティアップデートやアドバイザリーを発行するなどの措置を取っています。CVE には、CVSS (Common Vulnerability Scoring System) スコアと呼ばれる、脆弱性の深刻度をスコア化しランク付けするための標準的な手法が用いられています。CVE データの主な情報源は、NVD (National Vulnerability Database) です。また、Amazon Linux は、ベンダーからの勧告、お客様や研究者からの報告など、他の情報源からもセキュリティ情報を収集しています。

詳細 >>

Q: Amazon Linux セキュリティアドバイザリが CVE をそのバージョンで修正すると主張しているのに、セキュリティスキャナーで Amazon Linux パッケージの未修正の CVE が報告されるのはなぜですか?

Amazon Linux は、ほとんどの Linux ディストリビューションと同様に、定期的にセキュリティ修正をリポジトリ内の安定したパッケージバージョンにバックポートします。これらのパッケージがバックポートで更新されると、特定の問題の Amazon Linux セキュリティ速報に、Amazon Linux で問題が修正された特定のパッケージバージョンが一覧表示されます。プロジェクトの作成者によるバージョニングに依存しているセキュリティスキャナーでは、特定の CVE 修正が古いバージョンに適用されたことが検出されないことがあります。Amazon Linux セキュリティセンター (ALAS) でセキュリティ上の問題や修正に関する最新情報を確認できます。

Q:Amazon Linux は、セキュリティ問題の深刻度をどのように伝えているのですか?

Amazon Linux Security では、Amazon Linux 製品に影響を与えるセキュリティアドバイザリを Amazon Linux Security Center (ALAS) で伝えています。セキュリティ勧告には通常、勧告 ID、問題の重要度、CVE ID、勧告の概要、影響を受けるパッケージ、問題の修正などが含まれます。アドバイザリーで参照される CVE には、CVSS スコア (CVSSv3 スコアを使用していますが、2018 年より古い CVE は CVSSv2 スコアの場合があります) と影響を受けるパッケージのベクトルが記載されます。スコアは 0 〜 10 の 10 進数で表され、スコアが高いほど脆弱性が深刻であることを示しています。Amazon Linux は、オープンフレームワークの CVSSv3 計算機スコアに合わせ、基本指標を決定しています。レーティングは、セキュリティ問題の重大性をお客様にお伝えするためのものです。お客様は、これらの評価とお客様の環境の主要な特性を組み合わせることで、より適切なリスク評価を行うことができます。

Q:Amazon Linux のセキュリティ勧告を常に確認するにはどうすればよいですか?

Amazon Linux では、RSS フィードを購読したり、HTML を解析するスキャンツールを設定することで、人間や機械が消費できるセキュリティアドバイザリを提供しています。製品のフィードはこちらでご覧いただけます。

Amazon Linux 1 / Amazon Linux 1 RSS
Amazon Linux 2 / Amazon Linux 2 RSS
Amazon Linux 2023 / Amazon Linux 2023 RSS
 

Q:Amazon Linux Extras とは何ですか?

Extras は、安定したオペレーティングシステムで新しいバージョンのアプリケーションソフトウェアを利用可能にする Amazon Linux 2 のメカニズムで、2025 年 6 月 30 日までサポートされます。Extras は、OS の安定性を確保しつつ、最新のソフトウェアを利用できるようにするうえで役立ちます。例えば、5 年間サポートされる安定したオペレーティングシステムに MariaDB の新しいバージョンをインストールすることができます。Extras の例には、Ansible 2.4.2、memcached 1.5、nginx 1.12、Postgresql 9.6、MariaDB 10.2、Go 1.9、Redis 4.0、R 3.4、Rust 1.22.1 などがあります。

Q: Amazon Linux Extras はどのような仕組みになっていますか?
Extras には、ソフトウェアバンドルを選択するためのトピックがあります。各トピックには、Amazon Linux 2 にソフトウェアをインストールし機能させるために必要となる依存関係がすべて含まれます。例えば、Rust は Amazon の厳選したリストに含まれる Extras トピックで、システムプログラミング言語である Rust のツールチェーンとランタイムが提供されます。このトピックには Rust の cmake ビルドシステム、Cargo (Rust のパッケージマネージャー)、Rust 用の LLVM ベースのコンパイラツールチェーンが含まれます。各トピックに関連付けられたパッケージは、よく知られている yum インストールプロセスで使用されます。

Q: Amazon Linux Extras リポジトリからソフトウェアパッケージをインストールするにはどうすればよいですか?
利用できるパッケージの一覧は、Amazon Linux 2 のシェルで amazon-linux-extras コマンドを使って表示できます。Extras のパッケージは "sudo amazon-linux-extras install" コマンドを使ってインストールできます。

例: $ sudo amazon-linux-extras install rust1

Amazon Linux Extras の開始方法の詳細については、Amazon Linux のドキュメントを参照してください。

Q: Extras のパッケージは、長期サポートの対象である "主要な" パッケージになりますか?
Extras の急速に進化しているテクノロジーは時間をかけて作り上げられて完成し、長期サポートポリシーが適用される Amazon Linux 2 の "主要な" パッケージに追加されることがあります。

Q:Amazon Linux 2 では、どのようなサードパーティアプリケーションの実行がサポートされていますか?

Amazon Linux 2 には、Chef、Puppet、Vertica、Trend Micro、Hashicorp、Datadog、Weaveworks、Aqua Security、Tigera、SignalFX などの独立系ソフトウェアベンダー (ISV) の急速に拡大しているコミュニティがあります。

サポートされている ISV アプリケーションの詳細なリストは、Amazon Linux 2 ページで確認できます。

Amazon Linux 2 で動作保証されているアプリケーションを取得するには、お問い合わせください。

Q.Amazon Linux 2 のカーネルライブパッチとは何ですか?

Amazon Linux 2 のカーネルライブパッチとは、動作中の Linux カーネルに対して、セキュリティやバグ修正を再起動することなく適用できる機能です。Amazon Linux カーネルのライブパッチは、Amazon Linux 2 の既存のパッケージリポジトリに配信され、機能が有効化されている場合は "yum update –security" などの通常の yum コマンドを使用して適用することができます。

Q:Amazon Linux 2 でのカーネルライブパッチのユースケースにはどんなものがありますか?

カーネルライブパッチの対象となる Amazon Linux 2 でのユースケースには以下が含まれます。

• サービスのダウンタイムなしで、重大なセキュリティ脆弱性やデータ破損のバグに緊急パッチを適用し、対処できます。
• 実行時間の長いタスクの完了やユーザーのログアウト、またはスケジュールされた再起動のタイムスロットを待たずに、OS のアップデートを適用できます。
• 高可用性システムで必要なローリングリブートを排除することにより、セキュリティパッチのロールアウトを迅速化できます。

Q:AWS はいつカーネルライブパッチを提供しますか?

AWS は通常、デフォルトの Amazon Linux 2 カーネルに対して、AWS によって危機的かつ重要と評価された CVE を修正するためのカーネルライブパッチを提供します。Amazon Linux セキュリティアドバイザリーの危機的かつ重要との評価は、Common Vulnerability Scoring System (CVSS) のスコア 7 以上に匹敵します。さらに、AWS は、システムの安定性の問題や潜在的なデータ破損の問題に対処する、バグ修正用のカーネルライブパッチも提供します。技術的な制限により、深刻度が高いにもかかわらずカーネルライブパッチを受け取れない問題が多少存在する可能性があります。例えば、アセンブリコードを変更したり、関数のシグネチャを変更するなどの修正はカーネルライブパッチを受け取れない可能性があります。Amazon Linux 2 Extras に含まれるカーネルや、AWS によってビルドやサービスの提供がなされていないサードパーティー製ソフトウェアは、カーネルライブパッチを受け取りません。

Q:Amazon Linux 2 のカーネルライブパッチの利用には料金がかかりますか?

Amazon Linux 2 のカーネルライブパッチは無償で提供しています。

Q:Amazon Linux 2 でカーネルライブパッチを使うにはどうすればいいですか?

カーネルライブパッチは Amazon が提供しており、Amazon Linux 2 および AWS Systems Manager Patch Manager の yum パッケージマネージャーとユーティリティで使用できます。各カーネルライブパッチは RPM パッケージとして提供されています。カーネルライブパッチは現在、Amazon Linux 2 ではデフォルトで無効になっています。利用可能な yum プラグインを使用して、カーネルライブパッチを有効にしたり無効にしたりすることができます。そして、yum ユーティリティの既存のワークフローを使用して、カーネルライブパッチを含むセキュリティパッチを適用することができます。さらに、kpatch コマンドラインユーティリティを使用して、カーネルライブパッチの列挙、適用、有効化/無効化を行うことができます。

• "sudo yum install -y yum-plugin-kernel-livepatch" は、Amazon Linux 上にカーネルライブパッチ機能用の yum プラグインをインストールします。
• "sudo yum kernel-livepatch enable -y" はプラグインを有効にします。
• "sudo systemctl enable kpatch.service" は、Amazon Linux で使用されているカーネルライブパッチのインフラストラクチャである kpatch サービスを有効にします。
• "sudo amazon-linux-extras enable livepatch" はカーネルライブパッチリポジトリのエンドポイントを追加します。
• "yum check-update kernel" は更新可能なカーネルの一覧を表示します。
• "yum updateinfo list" は利用可能なセキュリティアップデートの一覧を表示します。
• "sudo yum update -security" は、セキュリティ修正として利用可能なカーネルライブパッチを含む利用可能なパッチをインストールします。
• "kpatch list" はロードされたすべてのカーネルライブパッチを一覧表示します。

Q.AWS Systems Manager Patch Manager はライブパッチをサポートしていますか?

はい。AWS SSM Patch Manager を使用すると、パッチがライブパッチとして利用可能であるときに、即座に再起動する必要なく、カーネルライブパッチを自動で適用できます。開始するには、SSM Patch Manager のドキュメントにアクセスしてください。

Q.カーネルライブパッチ経由で提供されるセキュリティパッチの詳細はどこで入手できますか?

AWS では、セキュリティ脆弱性を修正するためのカーネルライブパッチの詳細を Amazon Linux セキュリティセンターで公開しています。

Q:カーネルライブパッチの利用に制限はありますか?

Amazon Linux 2 でカーネルライブパッチを適用している間は、ハイバネーションを同時に行ったり、SystemTap や kprobes、eBPF ベースのツールなどの高度なデバッグツールを使用したりすることはできません。また、カーネルライブパッチのインフラストラクチャで使用される ftrace 出力ファイルにアクセスしたりすることもできません。

Q:Amazon Linux 2 にカーネルライブパッチを適用中に発生する可能性のある問題を修正するにはどうすればよいですか?

カーネルライブパッチで問題が発生した場合は、パッチを無効にして AWS サポート、または AWS フォーラムの投稿を通じて Amazon Linux Engineering に連絡してください。

Q:Amazon Linux 2 のカーネルライブパッチは、セキュリティパッチを適用するための再起動の必要性を完全に無くしますか?

Amazon Linux 2 のカーネルライブパッチは、OS 再起動の必要性を完全に無くすわけではありませんが、重要で危機的なセキュリティ問題を修正するために行う計画的メンテナンスウィンドウ外の再起動を大幅に軽減します。Amazon Linux 2 の各 Linux カーネルは、Amazon Linux カーネルのリリース後、最大約 3 か月間ライブパッチを受け取ります。カーネルのライブパッチを引き続き受信するには、3 か月ごとに OS を最新の Amazon Linux カーネルで再起動する必要があります。

Q:Amazon Linux 2 のカーネルライブパッチは、どの EC2 インスタンスとオンプレミス環境でサポートされていますか?

Amazon Linux 2 のカーネルライブパッチは、Amazon Linux 2 がサポートしているすべての x86_64 (AMD/Intel 64 ビット) プラットフォームでサポートされていますこれには、すべての HVM EC2 インスタンス、VMware Cloud on AWS、VMware ESXi、VirtualBox、KVM、Hyper-V が含まれます。ARM ベースのプラットフォームは現在サポートされていません。

Q:AWS は、カーネルのライブパッチに付属する OS アップデート用の定期的な (「非ライブ」) パッチを引き続き提供しますか?

はい、AWS はすべての OS アップデートに対して定期的なパッチを提供し続けます。原則として、通常のパッチとカーネルライブパッチの両方が同時に提供されます。

Q:カーネルライブパッチが適用された Amazon Linux 2 のシステムで再起動が行われた場合はどうなりますか?

デフォルトでは、再起動が実行されると、カーネルライブパッチは通常の「非ライブ」パッチ相当のものに置き換えられます。カーネルライブパッチを通常のパッチに置き換えずに再起動を実行することもできます。詳細については、Amazon Linux 2 カーネルライブパッチのドキュメントをご参照ください。

Q:カーネルライブパッチは Amazon Linux 2 の ABI 互換性に影響しますか?

Amazon Linux 2 のカーネルライブパッチは、Amazon Linux 2 のカーネル ABI 互換性を変更しません。

Q:カーネルライブパッチ適用中に発生する可能性のある問題に対してプレミアムサポートを受けるにはどうすればよいですか?

AWS サポートのビジネスおよびエンタープライズプランには、カーネルライブパッチを含む Amazon Linux のすべての機能に対するプレミアムサポートが含まれています。AWS は AWS が提供するカーネルライブパッチのみをサポートしており、サードパーティーのカーネルライブパッチソリューションの問題については、ベンダーに問い合わせることをお勧めします。AWS は、Amazon Linux 2 では 1 つのカーネルライブパッチソリューションのみを使用することを推奨しています。

Q:カーネルライブパッチは Amazon Linux セキュリティセンターでどのように表示されますか?

Amazon Linux セキュリティセンターのリストには、カーネルライブパッチごとに専用の行が表示されます。エントリには "ALASLIVEPATCH-<datestamp>" などの識別情報があり、パッケージ名は "kernel-livepatch-<kernel-version>" として表示されます。

Q:Amazon Linux カーネルはどのくらいの期間、ライブパッチを受け取りますか?

カーネルの各バージョンは、約 3 か月間ライブパッチを受け取ります。Amazon Linux は、リリースされた最新の 6 つのカーネルに対してカーネルライブパッチを提供します。カーネルライブパッチは、Amazon Linux 2 でリリースされたデフォルトカーネルでのみサポートされます。Extras の次世代カーネルでは、カーネルライブパッチは提供されません。

現在の Linux カーネルがライブパッチを引き続き受信するかどうか、またサポートウィンドウが終了するタイミングを確認するには、次の yum コマンドを使用します。

"yum kernel-livepatch supported"

Q:どの yum ワークフローがカーネルライブパッチでサポートされていますか?

カーネルライブパッチの yum プラグインは、yum パッケージ管理ユーティリティで通常サポートされているすべてのワークフローをサポートしています。例: "yum update"、"yum update kernel"、"yum update –security"、"yum update all"

Q:カーネルライブパッチはサインされていますか?

カーネルライブパッチの RPM は GPG キーでサインされています。ただし、カーネルモジュールは現在のところサインされていません。