如果你手里跑着 Oracle Cloud 的免费 Arm 实例,或者自建了基于 Ampere Altra 的 ARM 服务器,有个消息应该能让你松口气——Canonical 的 Livepatch 服务现在正式支持 Arm64 平台了。这意味着,你的 ARM 架构 Ubuntu 服务器从此也能像 x86 那样,在不重启、不停机的情况下完成内核安全更新。
说实话,对于需要 7×24 小时在线的服务器来说,重启这件事一直是个让人头疼的选择题。不打补丁,系统暴露在漏洞风险里;打了补丁,服务就得中断。尤其是内核级别的安全更新,传统做法几乎绕不开一次重启。Canonical 的 Livepatch 本质上就是来解决这个死结的——它把补丁直接打到运行中的内核内存里,业务不用停,连接不会断,用户甚至感知不到背后已经做了一次安全加固。
不过在此之前,Livepatch 的覆盖范围一直局限在 amd64 架构上。从 Ubuntu Core 20 开始,x86 平台的用户就已经享受到了这项便利,而 Arm64 这边却始终缺位。随着 ARM 服务器在云计算和边缘计算场景里越来越常见,这个缺口显得越来越扎眼。毕竟,Oracle 的免费 Arm 实例、AWS 的 Graviton 系列,还有各路基于 ARM 的私有云方案,用户基数早就不是小众了。
好在 Canonical 终于把这个坑填上了。
具体来说,Arm64 平台的 Livepatch 支持从 Ubuntu Core 26 开始落地。也就是说,如果你在用 Ubuntu Core 26 或更高版本的 Arm64 系统,现在可以直接启用这项服务。另外,运行 Ubuntu 26.04 LTS 的 Arm64 设备也同样在支持范围内。还在用旧版本的朋友,或许是时候考虑升级了——毕竟新版本带来的不只是一个功能,而是整套安全运维思路的更新。
说到这儿,可能有人要问了:为什么偏偏内核更新这么特殊?普通软件包升级不都是无缝的么?
确实,日常的应用层更新大多数情况下不需要重启服务就能生效。但内核不一样——它是整个系统的地基,所有进程都跑在它上面。一旦内核代码本身需要更新,理论上必须加载一个全新的内核镜像才能生效。Livepatch 的巧妙之处在于,它并不替换整个内核,而是把有漏洞的那部分函数用补丁版本替换掉,直接在内存里完成热切换。对于高危和关键级别的内核安全漏洞,这种方式能帮你争取宝贵的时间,把真正的重启维护窗口留到业务低峰期。
更良心的是,这项服务个人用户完全可以白嫖。Canonical 把 Livepatch 打包进了 Ubuntu Pro 订阅里,而 Ubuntu Pro 对个人用户是免费的——最多覆盖五台设备。换句话说,只要你有一个 Ubuntu One 账号,去 Ubuntu Pro 页面领一个免费订阅令牌,就能在自家服务器上开启 Livepatch,一分钱不用花。
操作起来也不复杂。拿到令牌之后,在终端里跑几条命令就能搞定:
plain
sudo pro attach <你的令牌> sudo pro enable livepatch装完之后,用下面任意一条命令确认服务状态:
plain
canonical-livepatch status sudo pro status如果看到 Livepatch 的状态是 enabled,那就说明补丁通道已经打通了。后续一旦有高危内核漏洞被公开,Canonical 会推送对应的 Livepatch,你的系统会在后台静默完成修补,整个过程不需要你半夜爬起来重启机器。
当然,Livepatch 也不是万能药。它只针对关键和高危级别的内核安全问题,常规的系统更新该做还得做。而且 Canonical 官方也提醒过,机器跑太久不重启,可能会积累一些 Livepatch 无法解决的状态问题——比如内存碎片、某些驱动资源的长期占用。所以最健康的做法还是:用 Livepatch 扛住紧急漏洞的窗口期,然后定期安排维护窗口做一次完整的重启和系统更新。
总的来说,Arm64 平台获得 Livepatch 支持,对 ARM 生态的运维人员来说是个实打实的好消息。以前只有 x86 能享受的零停机内核补丁,现在 ARM 服务器也能用上了。再加上 Ubuntu Pro 个人版的免费额度,小团队和个人开发者几乎没有任何门槛就能部署这套方案。如果你正好有 Arm64 的 Ubuntu 服务器在跑,不妨花十分钟把它开起来——毕竟,谁也不想因为一次内核漏洞而在凌晨三点被报警电话叫醒,对吧?