Amazon Linux 2 常見問答集

Amazon Linux 2 是 Amazon Linux 作業系統，為現代應用程式環境提供 Linux 社群的最新增強功能，並提供長期支援。除了 Amazon Machine Image (AMI) 和容器映像格式外，Amazon Linux 2 還可以作為虛擬機器映像，用於內部部署開發和測試，使您可以從本機開發環境輕鬆開發、測試和認證應用程式。

Amazon Linux 2 的支援結束日期 (生命週期結束即 EOL) 將為 2026 年 6 月 30 日。

客戶需在 2026 年 6 月 30 日 AL2 終止支援 (EOS) 之前遷移至 Amazon Linux 2023 (AL2023) [請參閱 Q2]。AWS 不會於 2025 或 2026 年發布全新 Amazon Linux 版本。AWS 在發布全新作業系統版本之前，將會提前一年發出通知，以便協助您規劃遷移。AL2023 是 Amazon Linux 的最新版本，可提供增強的安全性功能，包括 FIPS 認證、現代套件版本、改善的效能，以及直至 2029 年 6 月的支援。如需了解 AL2023 遷移的最佳實務，請參閱這裡。

如需深入了解這些分發版本間的主要差異，請參閱 文件。

Amazon Linux 2 支援最新的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體功能，且包含可與 AWS 輕鬆整合的套件。其針對在 Amazon EC2 中使用最佳化，具備最新且經過調整的 Linux 核心版本。因此，許多客戶工作負載在 Amazon Linux 2 上的效能更佳。Amazon Linux 2 可做為內部部署虛擬機器映像檔使用，支援本機開發與測試。

Amazon Linux 2 適用於各種虛擬化和容器化工作負載，例如資料庫、資料分析、業務線應用程式、Web 和桌面應用程式等生產環境中的更多功能。其亦可在 EC2 裸機執行個體上，同時做為裸機作業系統和虛擬化主機使用。

Amazon Linux 2 的核心元件包括：

1. 針對 Amazon EC2 上的效能進行調整的 Linux 核心。

2. 一組核心套件，包括從 AWS 取得長期支援 (LTS) 的 systemd、GCC 7.3、Glibc 2.26、Binutils 2.29.1。

3. 一個適用於快速演進技術的額外通道，這些技術可能會頻繁更新，且不包括在長期支援 (LTS) 模型當中。

1. Amazon Linux 2 可做為虛擬機器映像檔使用，支援內部部署開發與測試。

2. Amazon Linux 2 提供 systemd 服務與系統管理器，而非 Amazon Linux AMI 中的 System V init 系統。

3. Amazon Linux 2 隨附更新的 Linux 核心、C 程式庫、編譯器和工具。

4. Amazon Linux 2 提供透過額外機制安裝其他軟體套件的功能。

AWS 提供適用於 Amazon Linux 2 的 Amazon Machine Image (AMI)，可供您用來從 Amazon EC2 主控台、AWS SDK 和 CLI 啟動執行個體。如需詳細資訊，請參閱 Amazon Linux 文件。

否，執行 Amazon Linux 2 無須額外收費。標準 Amazon EC2 及 AWS 費用適用於執行 Amazon EC2 執行個體與其他服務。

Amazon Linux 2 支援所有支援 HVM AMI 的 Amazon EC2 執行個體類型。Amazon Linux 2 不支援需要半虛擬化 (PV) 功能的舊版執行個體。

是，Amazon Linux 2 支援 32 位元應用程式和程式庫。若您執行 2018 年 10 月 04 日前推出的 Amazon Linux 2 版本，則可執行「yum 升級」取得完整的 32 位元支援。 

是。Amazon Linux 2 中的 yumdownloader 原始程式碼工具提供眾多元件的原始程式碼存取權。

儘管上游 Python 社群在 2020 年 1 月已聲明 Python 2.7 生命週期結束，我們將繼續根據 Amazon Linux 2 核心套件的 LTS 承諾，為 Python 2 提供關鍵的安全性修補程式。

我們強烈建議客戶在其 Amazon Linux 2 系統上安裝 Python 3，並將其程式碼和應用程式移轉至 Python 3。

尚無變更預設 Python 解譯器的計畫。我們旨在保留 Python 2.7 做為 Amazon Linux 2 的預設生命週期。我們將視需要將安全修正程式向後移植至 Python 2.7 套件。

在作業系統的 LTS 發行期間，對其進行基本變更、更換或新增其他套件管理員的風險極高。因此，在規劃針對 Amazon Linux 的 Python 3 移轉作業時，我們決定跨越主要發行界限而非在 Amazon Linux 2 中操作。此為其他 RPM 型 Linux 分發版本的共用做法，即使是無 LTS 承諾的分發版本亦然。

核心 5.10 提供眾多功能與效能改進，包括針對 Intel Ice Lake 處理器的最佳化，以及採用最新一代 EC2 執行個體技術的 Graviton 2。

從安全性角度來看，客戶可從 WireGuard VPN 中受益，其有助於設定受攻擊面低的有效虛擬私有網路，且支援負擔更少的加密。核心 5.10 還提供核心鎖定功能以防止未經授權修改核心映像檔，此外也提供眾多 BPF 改進，包括 CO-RE (編譯一次 - 隨處運作)。

使用密集型輸入輸出作業的客戶將享有以下優點：寫入效能更佳、在流程之間安全地共用 io_uring 通道以加快輸入輸出作業，以及支援新 exFAT 系統提昇儲存裝置的相容性。具有數種網路介面的客戶可透過加入多路徑 TCP (MPTCP)，整合所有可用的網路路徑以提高輸送量並減少網路故障。

elfutils-libelf, glibc, glibc-utils, hesiod, krb5-libs, libgcc, libgomp, libstdc++, libtbb.so, libtbbmalloc.so, libtbbmalloc_proxy.so, libusb, libxml2, libxslt, pam, audit-libs, audit-libs-python, bzip2-libs, c-ares, clutter, cups-libs, cyrus-sasl-gssapi, cyrus-sasl-lib, cyrus-sasl-md5, dbus-glib, dbus-libs, elfutils-libs, expat, fuse-libs, glib2, gmp, gnutls, httpd, libICE, libSM, libX11, libXau, libXaw, libXext, libXft, libXi, libXinerama, libXpm, libXrandr, libXrender, libXt, libXtst, libacl, libaio, libatomic, libattr, libblkid, libcap-ng, libdb, libdb-cxx, libgudev1, libhugetlbfs, libnotify, libpfm, libsmbclient, libtalloc, libtdb, libtevent, libusb, libuuid, ncurses-libs, nss, nss-sysinit, numactl, openssl, p11-kit, papi, pcre, perl, perl-Digest-SHA, perl-Time-Piece, perl-libs, popt, python, python-libs, readline, realmd, ruby, scl-utils, sqlite, systemd-libs, systemtap, tcl, tcp_wrappers-libs, xz-libs, and zlib

AWS Support 目前未涵蓋 Amazon Linux 2 的內部部署使用。Amazon Linux 2 論壇與 Amazon Linux 2 文件為 Amazon Linux 2 內部部署使用的主要支援來源。您可以在 Amazon Linux 2 論壇上發文提問、報告錯誤和提出功能請求。

是。為了便於移轉至 Amazon Linux 2，AWS 將繼續為最新版本的 Amazon Linux 和容器映像檔提供安全更新，直到 2020 年 12 月 31 日為止。您也可以使用所有現有的支援管道 (例如 AWS Premium Support 和 Amazon Linux 開發論壇) 繼續提交支援請求。

進一步了解 >>

Amazon Linux 提供人機可用的安全建議，可供客戶訂閱我們的 RSS 摘要或設定掃描工具以剖析 HTML。您可在此處找到我們的產品摘要：

Amazon Linux 1 / Amazon Linux 1 RSS
Amazon Linux 2 / Amazon Linux 2 RSS
Amazon Linux 2023 / Amazon Linux 2023 RSS

額外功能為 Amazon Linux 2 的一種機制，可在穩定的作業系統上使用新版本的應用程式軟體。額外功能有助於減輕作業系統穩定性與可用軟體新鮮度之間的妥協程度。例如，您現可在享有五年支援的穩定作業系統上，安裝更新版本的 MariaDB。額外功能範例包括 tomcat9、memcached 1.5、Corretto 1.0.0_242、Postgresql 13、MariaDB 10.5、Go 1.9、Redis 6.0、R 4、Rust 1.38.0。

額外功能提供選取軟體服務包的主題。每個主題皆包含軟體在 Amazon Linux 2 上安裝和運作所需的所有相依性。例如，Rust 是 Amazon 所提供策劃清單中的額外主題。其為系統程式設計語言 Rust 提供工具鏈和執行期。本主題包括 Rust 的 cmake 建置系統、cargo-rust 套件管理器，以及適用於 Rust 的 LLVM 編譯器工具鏈。與每個主題關聯的套件皆會用於已知的 yum 安裝流程。

可透過 Amazon Linux 2 Shell 中的 amazon-linux-extras 命令，列出可用的套件。可使用「sudo amazon-linux-extras install」命令安裝額外功能的套件。

範例：$ sudo amazon-linux-extras install rust1

如需關於開始使用 Amazon Linux 額外功能的詳細資訊，請參閱 Amazon Linux 文件。

這些快速發展的技術會隨著時間演進而持續成熟和穩定，且可能會新增至適用長期支援政策的 Amazon Linux 2「核心」。

Amazon Linux 2 具有快速成長的獨立軟體開發廠商 (ISV) 社群，包括 Chef、Puppet、Vertica、Trend Micro、Hashicorp、Datadog、Weaveworks、Aqua Security、Tigera、SignalFX 等等。

您可在 Amazon Linux 2 頁面上，找到受支援 ISV 應用程式的完整清單

如要取得 Amazon Linux 2 的應用程式認證，請聯絡我們。

Amazon Linux 2 中的核心即時修補是一項功能，可將安全性和錯誤修正套用至執行中的 Linux 核心，而無須重新啟動。Amazon Linux 核心的即時修補程式會傳遞至 Amazon Linux 2 的現有套件儲存庫，且在啟動此功能時可使用一般 yum 命令 (例如「yum update —security」)。

Amazon Linux 2 中的核心即時修補鎖定的使用案例包括：

• 緊急修補程式可解決高嚴重性安全漏洞和資料損毀錯誤，而無服務停機時間。

• 套用作業系統更新，而無須等待完成長時間執行的工作、使用者登出，或是排程重新啟動時段以套用安全性更新。

• 透過消除高可用性系統所需的輪流重新啟動，加快推出安全性修補程式

AWS 通常會提供核心即時修補程式，以修正 AWS 評為對於預設 Amazon Linux 2 Kernel 具關鍵和重要地位的 CVE。Amazon Linux 安全建議的關鍵與重要評等通常會對應至 7 分以上的通用漏洞評分系統 (CVSS)。此外，AWS 還將為選定錯誤修正提供核心即時修補程式，以解決系統穩定性問題和潛在的資料損毀問題。在少數情況下，可能會由於技術限制而發生未收到嚴重性相關核心即時修補程式的問題。例如，變更組件程式碼或修改函數簽章的修正程式可能無法接收核心即時修補程式。Amazon Linux 2 額外功能中的核心以及未由 AWS 建置和服務的任何第三方軟體，皆不會收到核心即時修補程式。

我們免費為 Amazon Linux 2 提供核心即時修補程式。

核心即時修補程式是由 Amazon 提供，且可與 Amazon Linux 2 和 AWS Systems Manager Patch Manager 中的 yum 套件管理員一起使用。每個核心即時修補程式皆以 RPM 套件形式提供。依預設，在 Amazon Linux 2 中目前已停用核心即時修補。您可使用提供的 yum 外掛程式，啟用和停用核心即時修補。隨後，您可使用 yum 公用程式中的現有工作流程來套用安全修補程式，包括核心即時修補。此外，kpatch 命令列公用程式可用於列舉、套用以及啟用/停用核心即時修補。

• 「sudo yum install -y yum-plugin-kernel-livepatch」會在 Amazon Linux 上，安裝適用於核心即時修補功能的 yum 外掛程式。

• 「sudo yum kernel-livepatch enable -y」會啟用外掛程式。

• 「sudo systemctl enable kpatch.service」會啟用 kpatch 服務、在 Amazon Linux 中使用的核心即時修補基礎架構。

• 「sudo amazon-linux-extras enable livepatch」新增核心即時修補儲存庫端點。

• 「yum check-update kernel」顯示要更新的可用核心清單。

• 「yum updateinfo list」會列出可用的安全性更新。

• 「sudo yum update --security」會安裝可用的修補程式，其包含提供做為安全修正程式的核心即時修補。

• 「kpatch list」會列出所有已載入的核心即時修補。

是。若將修補程式提供做為即時修補，您可使用 AWS SSM Patch Manager 來自動套用核心即時修補，而無須立即重新啟動。如要開始使用，請造訪 SSM Patch Manager 文件。

AWS 會在 Amazon Linux Security Center 上發布關於核心即時修補的詳細資訊，以修正安全漏洞。

在 Amazon Linux 2 中套用核心即時修補時，您無法同時執行休眠狀態，或使用諸如 SystemTap、kprobe、eBPF 工具等進階偵錯工具，以及存取核心即時修補基礎架構所使用的 ftrace 輸出檔案。

若您遇到核心即時修補的問題，請停用修補程式，並透過 AWS 論壇文章通知 AWS Support 或 Amazon Linux Engineering。

Amazon Linux 2 中的核心即時修補並不會完全消除作業系統重新啟動的需求，但可大幅減輕重新啟動作業，以修正規劃維護時段以外的重要與關鍵安全性問題。Amazon Linux 2 中的每個 Linux Kernel 會在 Amazon Linux Kernel 發布後大約 3 個月內，收到即時修補。每隔 3 個月後，作業系統必須重新啟動至最新的 Amazon Linux Kernel，以繼續接收核心即時修修補。

針對支援 Amazon Linux 2 的所有 x86_64 (AMD/Intel 64 位元) 平台，支援 Amazon Linux 2 中的核心即時修補。這包括所有的 HVM EC2 執行個體、VMware Cloud on AWS、VMware ESXi、VirtualBox、KVM、Hyper-V 和 KVM。目前不支援以 ARM 為基礎的平台。

是，AWS 將繼續為所有作業系統更新提供定期修補。根據一般規則，將同時提供一般與核心即時修補。

依預設，執行重新啟動時，核心即時修補會由一般「非即時」修補程式同等項目所取代。您也可以執行重新啟動，而無須將核心即時修補替換為一般修補。如需詳細資訊，請參閱 Amazon Linux 2 核心即時修補文件。

Amazon Linux 2 中的核心即時修補並不會變更 Amazon Linux 2 的核心 ABI 相容性。

AWS Support 的商業和企業計劃包括 Amazon Linux 所有功能的付費支援 (含核心即時修補)。AWS 僅支援 AWS 提供的核心即時修補，建議您針對第三方核心即時修補解決方案的問題與供應商聯絡。此外，AWS 建議您在 Amazon Linux 2 上僅使用一個核心即時修補解決方案。

Amazon Linux 安全中心清單中的專用列會針對每個核心即時修補顯示。此項目將具有識別碼 (例如「ALASLIVEPATCH-<datestamp>」)，而套件名稱會顯示為「kernel-livepatch-<kernel-version>」。

核心版本將在大約 3 個月期間取得即時修補。Amazon Linux 將為最近發行的 6 個核心提供核心即時修補。請注意，僅有在 Amazon Linux 2 中發行的預設核心才支援核心即時修補。額外功能中的下一代核心將不會接收核心即時修補。

如要瞭解目前的 Linux 核心是否會繼續接收即時修補，以及支援期間何時結束，請使用下列 yum 命令：

‘yum kernel-livepatch supported’

核心即時修補 yum 外掛程式支援所有通常在 yum 套件管理公用程式中受到支援的工作流程。例如：‘yum update’、‘yum update kernel’、‘yum update —security’、‘yum update all’。

系統會透過 GPG 金鑰簽署核心即時修補 RPM。但目前尚未簽署核心模組。