Verwenden von Patch Orchestrator - AMS-Benutzerhandbuch für Fortgeschrittene
Voraussetzungen für Patch OrchestratorFür Patch Orchestrator reservierte Tags

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Patch Orchestrator

Aktivieren Sie AMS Patch Orchestrator für Ihr Konto, indem Sie eine Serviceanfrage einreichen, die die folgenden Details enthält:

  • Kategorie: Andere

  • Betreff: Integriert in Patch Orchestrator

  • CC-E-Mails: CC-E-Mail-Adressen erhalten Benachrichtigungen, wenn sich der Status dieses Onboarding-RFC ändert

  • Details: Fügen Sie die folgenden Informationen in die E-Mail ein und geben Sie Ihre Werte ein. Beachten Sie, dass das optional ThirdTagKey ist. Empfehlungen und Beispiele finden Sie in der folgenden Tabelle. 

    Default maintenance window Schedule:
Default Maintenance Window Schedule TimeZone:
Default Maintenance Window Duration:
Default Maintenance Window Cutoff:
Default Patch Backup Retention In Days:
Default Maintenance Window Notification Emails:
First Tag Key:
Second Tag Key:
Third Tag Key:

In der folgenden Tabelle werden das Format und die Empfehlungen für Ihre angegebenen Werte beschrieben.

Patch-Konfigurationen auf Basis von Patch-Orchestrator-Tags
Name des Parameters Informationen Empfehlung oder Beispiel

Standardzeitplan für das Wartungsfenster

Der Zeitplan des Standard-Wartungsfensters in Form eines Cron- oder Ratenausdrucks. Beispiel:

  • cron(0 3 ? * 6L *): 03:00 Uhr am letzten Freitag im Monat

  • rate(7 days): Alle sieben Tage

Weitere Informationen zum Erstellen von Cron-Ausdrücken und Links zu Ressourcen für Cron- und Rate-Ausdrücke finden Sie unter Cron- und Rate-Ausdrücke für Wartungsfenster.

Wir empfehlen, das Fenster mindestens einmal pro Monat an einem gleichbleibenden Wochentag laufen zu lassen.

Standard-Wartungsfenster, Zeitplan, Zeitzone

Die Zeitzone, auf der das Standard-Wartungsfenster läuft, im Format Internet Assigned Numbers Authority (IANA).

Beispiel:

  • Amerika/Los_Angeles

  • ETC/UTC

Standarddauer des Wartungsfensters

Die Dauer des Standard-Wartungsfensters in Stunden.

Mindestens 1 Stunde pro 50 Instanzen, plus 2 Stunden für den Cutoff.

Standardmäßiger Cutoff für das Wartungsfenster

Die Anzahl der Stunden vor dem Ende des Standard-Wartungsfensters, in denen keine neuen Patchbefehle gestartet werden. Dieses Intervall ist so gewählt, dass genügend Zeit für den Abschluss des Patches zur Verfügung steht, bevor das Fenster endet.

Mindestens 2 Stunden.

Standardmäßige Aufbewahrung von Patch-Backups in Tagen (optional)

Die Standarddauer in Tagen für die Aufbewahrung der EBS-Wiederherstellungspunkte, die vor dem Patchen von Instanzen erstellt wurden.

Wir empfehlen, die Standardeinstellung beizubehalten, die 60 ist.

Standard-Benachrichtigungs-E-Mails für das Wartungsfenster

Ein bis fünf E-Mail-Adressen oder Verteilerlisten, um Benachrichtigungen über den Status der standardmäßigen Patches im Wartungsfenster zu erhalten.

Wir empfehlen, Gruppenverteilerlisten anstelle von einzelnen E-Mails zu verwenden.

Erster Tag-Schlüssel

Der erste Tag-Schlüssel, den Sie für die Erstellung Ihrer Patch-Group-Tag-Werte verwenden können.

Zum Beispiel. AppId Geben Sie Null an, wenn Sie bereits Ihre eigenen Patchgruppen mit einem Patchgruppen-Tag definiert haben.

Zweiter Tag-Schlüssel

Der zweite Tag-Schlüssel, den Sie für die Erstellung Ihrer Patch-Group-Tag-Werte verwenden können.

Zum Beispiel Umgebung. Geben Sie Null an, wenn Sie bereits Ihre eigenen Patchgruppen mit einem Patch Group-Tag definiert haben.

Dritter Tag-Schlüssel (optional)

Der optionale dritte Tag-Schlüssel, den Sie für die Erstellung Ihrer Patch-Gruppen-Tag-Werte verwenden können.

Zum Beispiel Group.

Nachdem Sie in das neue Patch-Servicemodell von Patch Orchestrator integriert wurden, gehören alle entsprechend markierten Instanzen in Ihrem Konto zu einer Patch-Gruppe mit einem Patch Group-Tag. Patch Orchestrator verwendet entweder Ihr vorhandenes Patch Group-Tag oder ein von AMS erstelltes Tag, das aus den zwei oder drei verketteten Tag-Werten besteht, die Sie beim Onboarding von Patch Orchestrator angegeben haben. Zum Beispiel {} - {} - {}Tag Value 1. Tag Value 2 Tag Value 3 AMS aktualisiert diese von AMS angewandten Patch Group-Tags alle 12 Stunden. Bei Bedarf können Sie die Tagwerte Ihrer Patchgruppe mit den Änderungstypen Tag | Update (Überprüfung erforderlich) oder Tag | Update (Überprüfung erforderlich) aktualisieren.

Wenn Ihre EC2 Amazon-Instance beispielsweise die folgenden Tag-Schlüssel:Wert-Paare hat:

  • AppId:MyApplication

  • Environment:Production

  • Group:1

Beim Onboarding haben Sie die folgenden Tag-Schlüssel angegeben:

  • First Tag Key = AppId

  • Second Tag Key = Environment

  • Third Tag Key = Group

AMS erstellt das folgende Patch Group-Tag und wendet es auf Ihre Instances an:Patch Group:MyApplication-Production-1.

Anmerkung

Patch-Fehlerwarnungen werden nicht für Instances erstellt, deren Betriebssysteme nicht unterstützt werden oder die während des Wartungsfensters gestoppt werden.

Voraussetzungen für Patch Orchestrator

Der Patch Orchestrator-Workflow zielt auf EC2 Amazon-Instances ab, die mit der neuesten Version des System Manager Automation-Dokuments gepatcht wurden:. AWSManagedServices-PatchInstanceFromMaintenanceWindow

Als Teil des Dokumenten-Workflows wird das Befehlsdokument „AWS-RunPatchBaseline“ für jede EC2 Amazon-Instance aus den Mitgliedern der Patchgruppe ausgeführt. Weitere Informationen finden Sie unter Über das SSM-Dokument AWS- RunPatchBaseline.

Voraussetzungen:

  • EC2 Amazon-Instance, die über das von AMS bereitgestellte Amazon Machine Image (AMI) oder auf einem AMI über das CT „Stack from migration partner migrated instance“ (ct-257p9zjk14ija) bereitgestellt wird.

  • Ausgangsinternetverbindung aktiviert. Für firewall/proxy Lösungen müssen Windows-Update-Endpunkte, and/or Linux-Repository-Spiegelendpunkte, AWS-Systemmanager-Proxyeinstellungen und Metadaten-Proxykonfiguration zugelassen werden. Weitere Informationen finden Sie unter SSM-Agent für die Verwendung eines Proxys konfigurieren und Verwenden eines HTTP-Proxys

  • Die IAM-Rolle entspricht dem zulässigen Mindestzugriff für den SSM-Dienst oder die IAM-Rolle. customer-mc-ec2-instance-profile

  • Wir empfehlen 10 GB verfügbaren Root-Partitionsspeicher. Für Linux-Betriebssysteme sind mindestens 2 GB in der /var Partition verfügbar.

  • Funktionierende und gültige Zertifizierungsstelle für das Herunterladen von Updates.

  • Windows Server Update Services (WSUS) — Registrierung, einschließlich, aber nicht beschränkt auf: DisableWindowsUpdateAccess, NoWindowsUpdate; Automatische Updates dürfen den Betrieb des Windows Update-Prozesses nicht beeinträchtigen.

Validierung:

  • Für Linux-Betriebssysteminstanzen, die den Yum Package Manager verwenden, können Sie die Verfügbarkeit von Updates überprüfen, indem Sie folgenden Befehl ausführen #yum check-update

  • Für Linux OS RedHat 5.7 und neuer, 6.1 und neuer und 7.0 und neuer; EC2 Amazon-Instances, die über das CT „Stack from migration partner migrated instance“ (ct-257p9zjk14ija) auf Ihr AMS-Konto migriert wurden, müssen Sie den Abonnement-Manager-Status für die Aktualisierungsleistung überprüfen.

  • Aktivieren Sie unter Windows OS Windows Server Update Services (WSUS). Keine lokale Richtlinie sollte die Fähigkeit von WSUS zum Scannen oder Installieren von Updates blockieren. Sobald Sie sich als Administrator angemeldet haben, können Sie es überprüfen, indem Sie von der Windows Update Service-Konsole aus nach verfügbaren Updates suchen. Windows Server-Betriebssystemversionen, einschließlich 2012R2, 2016 und 2019, verfügen über Standardeinstellungen für Windows Update zum Herunterladen und Installieren. Sie können die gewünschten Einstellungen vor dem Scannen konfigurieren. Bei späteren Betriebssystemversionen kann dieser Vorgang die Installation auslösen. Konfigurieren Sie das gewünschte Verhalten vorher.

  • Fordern Sie vom AMS Operations Team eine Validierung an, indem Sie eine Serviceanfrage einreichen: „AWSManagedServices-CheckPatchingPrerequisites Automatisierungsdokument zur Ausführung auf EC2 Amazon-Instance zur Bewertung der Patch-Bereitschaft“.

Anmerkung

Patch-Fehlerwarnungen werden nicht für Instances erstellt, deren Betriebssysteme nicht unterstützt werden oder die während des Wartungsfensters gestoppt werden.

Für Patch Orchestrator reservierte Tags

Patch Orchestrator generiert außerdem die folgenden Tags, die nicht geändert werden können:

  • AMSPatchGruppe — Dieses Tag wird für die Generierung von Patch Group-Tagwerten verwendet. Sie sollten die AMSPatch Gruppe nicht ändern. Sie können das Tag „Patch Group“ ändern, wenn Sie einen benutzerdefinierten Wert für „Patch Group“ verwenden möchten. Patch Orchestrator generiert weiterhin einen Wert für AMSPatch Group auf der Grundlage der beim Onboarding bereitgestellten Tag-Schlüssel, ändert jedoch nicht den Tag-Wert „Patch Group“, wenn er von Ihnen auf einen benutzerdefinierten Wert festgelegt wurde. Um die Verwendung eines benutzerdefinierten „Patch Group“ -Werts zu beenden, können Sie den Wert von „Patch Group“ so einstellen, dass er dem Wert des Gruppen-Tags entspricht. AMSPatch

  • AMSDefaultPatchGroup— Dieses Tag gibt mit einem Wert von entweder True oder False an, ob eine Instanz Teil des Standard-Wartungsfensters ist. Wenn die Patch-Gruppe einer Instanz keinem Wartungsfenster zugewiesen ist, wird dieser Wert auf True gesetzt.