AMS-Standard-Patching - AMS-Benutzerhandbuch für Fortgeschrittene
Unterstützte BetriebssystemeUnterstützte PatchesPatching und InfrastrukturdesignFehler beim AMS-Standard-Patchen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AMS-Standard-Patching

AMS unterstützt Bestandskunden, die das AMS-Standard-Patching-Modell verwenden, aber dieses Modell ist nicht für Neukunden verfügbar und wird zugunsten von AMS Patch Orchestrator eingestellt.

Typische Patch-Inhalte für AMS-Standard-Patches umfassen Herstellerupdates für unterstützte Betriebssysteme und Software, auf der unterstützte Betriebssysteme vorinstalliert sind (z. B. IIS und Apache Server).

Beim AMS-Onboarding geben Sie die Patchanforderungen, die Richtlinien, die Häufigkeit und die bevorzugten Patchfenster an. Durch diese Konfigurationen können Sie vermeiden, Anwendungen für Infrastruktur-Patches auf einmal offline zu schalten, sodass Sie kontrollieren können, welche Infrastruktur wann gepatcht wird.

Anmerkung

Der in diesem Thema beschriebene Patchvorgang gilt nur für Ihre Stacks. Die AMS-Infrastruktur wird in einem separaten Prozess gepatcht. Das AWS Managed Services Maintenance Window (oder Maintenance Window) führt Wartungsaktivitäten für AWS Managed Services (AMS) durch und findet jeden zweiten Donnerstag im Monat von 15:00 Uhr bis 16:00 Uhr pazifischer Zeit statt. AMS kann das Wartungsfenster 48 Stunden im Voraus ändern. Sie konfigurieren das AMS-Patchfenster beim Onboarding oder genehmigen oder lehnen die monatliche Patch-Service-Benachrichtigung ab.

AMS durchsucht regelmäßig verwaltete EC2 Amazon-Instances nach Updates, die über die Aktualisierungsfunktion des Betriebssystems verfügbar sind. Wir bieten auch regelmäßige Updates für die AMS-Basis Amazon Machine Images (AMIs), die in unserer Umgebung unterstützt werden.

Nach ihrer Validierung werden AMS-AMI-Releases mit allen AMS-Konten geteilt. Sie können die verfügbaren AWS-AMI-Versionen mithilfe des DescribeImages EC2 Amazon-API-Aufrufs oder der EC2 Amazon-Konsole anzeigen. Informationen zu verfügbaren AMS AMIs finden Sie unterFinde AMI IDs, AMS.

AMS führt Ad-hoc-Patching-Zeitpläne nur dann durch, wenn Sie dies wünschen. Bisher hat AMS eine Benachrichtigung gesendet; derzeit wird keine Benachrichtigung gesendet.

Anmerkung

Standardmäßig verwendet AMS Systems Manager, um Patches anzuwenden, indem der Paketmanager (Linux) oder der Systemaktualisierungsdienst (Windows) sein Standard-Repository abfragt, um zu sehen, welche neuen Pakete verfügbar sind. Wenn Sie im Laufe Ihrer day-to-day Operationen mithilfe des Standard-Paketmanagers ein Paket auf einem Linux-Host installiert haben, nimmt dieser Paketmanager auch neue Pakete für diese Software auf, sobald sie verfügbar sind. In einem solchen Fall möchten Sie vielleicht eine Patch-Aktion (in diesem Abschnitt beschrieben) ergreifen, um sich von dieser Instanz abzumelden.

Unterstützte Betriebssysteme

Unterstützte Betriebssysteme (x86-64)

  • Amazon Linux 2023

  • Amazon Linux 2 (voraussichtliches Enddatum des AMS-Supports am 30. Juni 2026)

  • Oracle Linux 9.x, 8.x

  • RedHat Enterprise Linux (RHEL) 9.x, 8.x

  • SUSE Linux Enterprise Server 15 SP6

  • SUSE Linux Enterprise Server für SAP 15 SP3 und höher

  • Microsoft Windows Server 2022, 2019, 2016

  • Ubuntu 20.04, 22.04, 24.04

Unterstützte Betriebssysteme () ARM64

  • Amazon Linux 2023

  • Amazon Linux 2 (voraussichtliches Enddatum des AMS-Supports am 30. Juni 2026)

Unterstützte Patches

AWS Managed Services unterstützt Patches hauptsächlich auf Betriebssystemebene. Die installierten Patches können sich je nach Betriebssystem unterscheiden.

Wichtig

Alle Updates werden von den Remote-Repositorys des Systems Manager Patch Baseline Service heruntergeladen, die auf der Instanz konfiguriert sind und später in diesem Thema beschrieben werden. Die Instanz muss in der Lage sein, eine Verbindung zu den Repositorys herzustellen, damit das Patchen durchgeführt werden kann.

Um den Patch-Baseline-Dienst für Repositorys zu deaktivieren, die Pakete bereitstellen, die Sie selbst verwalten möchten, führen Sie den folgenden Befehl aus, um das Repository zu deaktivieren:

yum-config-manager DASHDASHdisable REPOSITORY_NAME

Rufen Sie die Liste der aktuell konfigurierten Repositorys mit dem folgenden Befehl ab:

yum repolist

  • Vorkonfigurierte Amazon Linux-Repositorys (normalerweise vier):

    Repository-ID Repository-Name

    amzn-main/latest

    AMZN-Hauptbasis

    amzn-updates/neuestes

    AMZN-Updatebasis

    epel/x86_64

    Zusätzliche Pakete für Enterprise Linux 6 - x86_64

    pbis

    Aktualisierungen der PBIS-Pakete

  • Vorkonfigurierte Repositorys für Red Hat Enterprise Linux (fünf für Red Hat Enterprise Linux 7 und fünf für Red Hat Enterprise Linux 6):

    Repository-ID Repository-Name

    RHUI-Region- -7/x86_64 client-config-server

    Red Hat Update Infrastructure 2.0 Client-Konfigurationsserver

    RHUI-Region- /7Server/x86_64 rhel-server-releases

    RedHat Enterprise Linux Server 7

    RHUI-Region- /7Server/x86_64 rhel-server-releases

    RedHat Enterprise Linux Server 7 RH Allgemein () RPMs

    epel/x86_64

    Zusätzliche Pakete für Enterprise Linux 7 - x86_64

    pbis

    Aktualisierungen der PBIS-Pakete

    Repository-ID Repository-Name

    RHUI-Region- -6 client-config-server

    Red Hat aktualisiert die Infrastruktur 2.0

    RHUI-Region- rhel-server-releases

    RedHat Enterprise Linux Server (6) RPMs

    RHUI-Region- rhel-server-rh-common

    RedHat Enterprise Linux Server 6 RH Allgemein () RPMs

    Abstoßen

    Zusätzliche Pakete für Enterprise Linux 6 - x86_64

    pbis

    Aktualisierungen der PBIS-Pakete

  • Vorkonfigurierte CentOS 7-Repositorys (normalerweise fünf):

    Repository-ID Repository-Name

    base/7/x86_64

    CentOS-7 - Basis

    Aktualisierungen/7/x86_64

    CentOS-7 - Aktualisierungen

    Extras/7/x86_64

    CentOS-7 - Extras

    epel/x86_64

    Zusätzliche Pakete für Enterprise Linux 7 - x86_64

    pbis

    Aktualisierungen der PBIS-Pakete

  • Für Microsoft Windows Server werden alle Updates mithilfe des Windows Update Agents erkannt und installiert, der für die Verwendung des Windows Update-Katalogs konfiguriert ist (dies schließt keine Updates von Microsoft Update ein).

    Auf Microsoft Windows-Betriebssystemen verwendet Patch Manager die CAB-Datei wsusscn2.cab von Microsoft als Quelle für verfügbare Betriebssystem-Sicherheitsupdates. Diese Datei enthält Informationen über die sicherheitsrelevanten Updates, die von Microsoft veröffentlicht werden. Patch Manager lädt diese Datei regelmäßig von Microsoft herunter und verwendet sie, um die für Windows-Instanzen verfügbaren Patches zu aktualisieren. Die Datei enthält nur Updates, die von Microsoft als sicherheitsrelevant gekennzeichnet wurden. Während die Informationen in der Datei verarbeitet werden, entfernt Patch Manager auch Updates, die durch spätere Updates ersetzt wurden. Daher werden nur die neuesten Updates angezeigt und zur Installation zur Verfügung gestellt. Wenn beispielsweise KB4 012214 ersetzt KB3135456, wird nur KB4 012214 als Update in Patch Manager verfügbar gemacht.

    Weitere Informationen zur Datei wsusscn2.cab finden Sie im Microsoft-Artikel Using WUA to Scan for Updates Offline.

Patching und Infrastrukturdesign

AMS verwendet je nach Infrastrukturdesign unterschiedliche Patching-Methoden: veränderbar oder unveränderlich (detaillierte Definitionen finden Sie unter). Die wichtigsten Begriffe von AMS

Bei veränderlichen Infrastrukturen erfolgt das Patchen mithilfe einer traditionellen In-Place-Methode, bei der Updates direkt auf den EC2 Amazon-Instances einzeln von den Betriebstechnikern von AMS installiert werden. Diese Patching-Methode wird für Stacks verwendet, die keine Auto Scaling Scaling-Gruppen sind und eine einzelne EC2 Amazon-Instance oder einige Instances enthalten. In diesem Szenario würde das Ersetzen des AMI, auf dem die Instance oder der Stack basiert, alle Änderungen zunichte machen, die an diesem System seit der ersten Bereitstellung vorgenommen wurden, sodass dies nicht der Fall ist. Updates werden auf das laufende System angewendet, und es kann aufgrund von Anwendungs- oder Systemneustarts zu Systemausfällen kommen (abhängig von der Stack-Konfiguration). Dies kann mit einer Blue/Green Aktualisierungsstrategie abgemildert werden. Weitere Informationen finden Sie unter AWS CodeDeploy Stellt Blue/Green Bereitstellungen vor.

Bei unveränderlichen Infrastrukturen ist die Patch-Methode der AMI-Ersatz. Unveränderliche Instances werden einheitlich mithilfe eines aktualisierten AMI aktualisiert, das das in der Auto Scaling Scaling-Gruppenkonfiguration angegebene AMI ersetzt. AMS-Versionen werden AMIs jeden Monat aktualisiert (d. h. gepatcht), normalerweise in der Woche, in der Patch Tuesday stattfindet. Im folgenden Abschnitt wird beschrieben, wie das funktioniert.

Fehler beim AMS-Standard-Patchen

Im Falle fehlgeschlagener Updates führt AMS eine Analyse durch, um die Ursache des Fehlers zu ermitteln, und teilt Ihnen das Ergebnis der Analyse mit. Wenn der Fehler auf AMS zurückzuführen ist, wiederholen wir die Updates, sofern der Fehler innerhalb des Wartungsfensters liegt. Andernfalls erstellt AMS Servicemeldungen für das fehlgeschlagene Instance-Update und wartet auf Ihre Anweisungen.

Bei Ausfällen, die auf Ihr System zurückzuführen sind, können Sie eine Serviceanfrage mit einem neuen Patch-RFC einreichen, um die Instances zu aktualisieren.