Uso de Patch Orchestrator - Guía de usuario avanzada de AMS
Requisitos previos de Patch OrchestratorEtiquetas reservadas de Patch Orchestrator

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de Patch Orchestrator

Habilite AMS Patch Orchestrator para su cuenta enviando una solicitud de servicio que incluya los siguientes detalles:

  • Categoría: Otros

  • Asunto: A bordo de Patch Orchestrator

  • Correos electrónicos de CC: las direcciones de correo electrónico de CC reciben notificaciones cuando cambia el estado de esta RFC de incorporación

  • Detalles: pegue la siguiente información en el correo electrónico e indique sus valores. Tenga en cuenta que ThirdTagKey es opcional. Para ver recomendaciones y ejemplos, consulte la siguiente tabla. 

    Default maintenance window Schedule:
Default Maintenance Window Schedule TimeZone:
Default Maintenance Window Duration:
Default Maintenance Window Cutoff:
Default Patch Backup Retention In Days:
Default Maintenance Window Notification Emails:
First Tag Key:
Second Tag Key:
Third Tag Key:

En la siguiente tabla se describen el formato y las recomendaciones para los valores proporcionados.

Configuraciones de parches basadas en etiquetas de Patch Orchestrator
Nombre del parámetro Información Recomendación o ejemplo

Programa de ventanas de mantenimiento predeterminado

El cronograma del período de mantenimiento predeterminado en forma de cron o expresión de tasa. Por ejemplo:

  • cron(0 3 ? * 6L *): el último viernes de cada mes a las 03:00

  • rate(7 days): Cada siete días

Para obtener más información sobre la creación de expresiones cron y enlaces a recursos de expresiones cron y rate, consulta Cron y rate expresiones para ver los períodos de mantenimiento.

Recomendamos que el período se ejecute al menos una vez al mes en un día laborable constante.

Ventana de mantenimiento predeterminada: programa la zona horaria

La zona horaria en la que se ejecuta el período de mantenimiento predeterminado se basa en el formato de la Autoridad de Números Asignados de Internet (IANA).

Por ejemplo:

  • America/Los_Angeles

  • etc/UTC

Duración predeterminada del período de mantenimiento

La duración del período de mantenimiento predeterminado en horas.

Al menos 1 hora por cada 50 instancias, más 2 horas de cierre.

Límite predeterminado de la ventana de mantenimiento

El número de horas que faltan para que finalice el período de mantenimiento predeterminado en el que no se inician nuevos comandos de aplicación de parches. Este intervalo existe para dejar tiempo suficiente para que se complete la aplicación de parches antes de que finalice el período.

Al menos 2 horas.

Retención predeterminada de Patch Backup en días (opcional)

El tiempo predeterminado en días para conservar los puntos de restauración de EBS creados antes de aplicar parches a las instancias.

Recomendamos mantener el valor predeterminado, que es 60.

Correos electrónicos de notificación de la ventana de mantenimiento predeterminada

De una a cinco direcciones de correo electrónico o listas de distribución para recibir notificaciones sobre el estado predeterminado de los parches del período de mantenimiento.

Recomendamos utilizar listas de distribución grupales en lugar de correos individuales.

Primera clave de etiqueta

La primera clave de etiqueta que se utilizará para crear los valores de las etiquetas de su grupo de parches.

Por ejemplo,. AppId Especifique nulo si ya ha definido sus propios grupos de parches con una etiqueta de grupo de parches.

Segunda clave de etiqueta

La segunda clave de etiqueta que se utilizará para crear los valores de las etiquetas de su grupo de parches.

Por ejemplo, Medio ambiente. Especifique nulo si ya ha definido sus propios grupos de parches con una etiqueta de grupo de parches.

Tercera clave de etiqueta (opcional)

La tercera clave de etiqueta opcional que se utilizará para crear los valores de las etiquetas de su grupo de parches.

Por ejemplo, Grupo.

Una vez que te hayas incorporado al nuevo modelo de servicio de parches de Patch Orchestrator, todas las instancias de tu cuenta debidamente etiquetadas pertenecerán a un grupo de parches con una etiqueta de grupo de parches. Patch Orchestrator usa tu etiqueta de grupo de parches existente o una etiqueta creada por AMS que consta de los dos o tres valores de etiqueta concatenados que especificaste durante la incorporación de Patch Orchestrator. Por ejemplo, {} - {} - {}Tag Value 1. Tag Value 2 Tag Value 3 AMS actualiza estas etiquetas del grupo de parches aplicadas por AMS cada 12 horas. Si es necesario, puede actualizar los valores de las etiquetas del grupo de parches con los tipos de cambio Tag | Update (se requiere revisión) o Tag | Update (se requiere revisión).

Por ejemplo, si tu EC2 instancia de Amazon tiene los siguientes pares de etiquetas key:value:

  • AppId:MyApplication

  • Environment:Production

  • Group:1

Durante la incorporación, especificaste las siguientes claves de etiqueta:

  • First Tag Key = AppId

  • Second Tag Key = Environment

  • Third Tag Key = Group

AMS crea la siguiente etiqueta de grupo de parches y la aplica a sus instancias:Patch Group:MyApplication-Production-1.

nota

Las alertas de error de los parches no se crean para las instancias que tienen sistemas operativos no compatibles o que se detienen durante el período de mantenimiento.

Requisitos previos de Patch Orchestrator

El flujo de trabajo de Patch Orchestrator se dirige a las EC2 instancias de Amazon que están parcheadas con la última versión del documento de automatización de System Manager:. AWSManagedServices-PatchInstanceFromMaintenanceWindow

Como parte del flujo de trabajo del documento, el documento de comandos de ejecución «AWS-RunPatchBaseline» se ejecuta en cada una de las EC2 instancias de Amazon de los miembros del grupo de parches. Para obtener más información, consulte Acerca del documento SSM AWS-. RunPatchBaseline

Requisitos:

  • EC2 Instancia de Amazon implementada desde Amazon Machine Image (AMI) proporcionada por AMS o en una AMI a través del CT «Stack from migration partner migration instance» (ct-257p9zjk14ija).

  • Conexión a Internet de salida habilitada. Para firewall/proxy las soluciones, el requisito es permitir que Windows Update Endpoint, el repositorio de and/or Linux refleje los puntos de enlace, la configuración del proxy del administrador del sistema de AWS y la configuración del proxy de metadatos. Para obtener más información, consulte Configurar el agente SSM para usar un proxy y Usar un proxy HTTP

  • El rol de IAM coincide con el acceso mínimo permisivo para el servicio SSM del rol de IAM. customer-mc-ec2-instance-profile

  • Recomendamos 10 GB de espacio disponible en la partición raíz. Para el sistema operativo Linux, hay al menos 2 GB disponibles en la /var partición.

  • Autoridad de certificación válida y activa para la descarga de actualizaciones.

  • Windows Server Update Services (WSUS): el registro incluye, entre otros: DisableWindowsUpdateAccess, NoWindowsUpdate; Las actualizaciones automáticas no deben impedir el funcionamiento del proceso de Windows Update.

Validación:

  • Para las instancias de sistema operativo Linux que utilizan el administrador de paquetes yum, puede validar la disponibilidad de las actualizaciones ejecutando #yum check-update

  • Para los sistemas operativos Linux RedHat 5.7 y posteriores, 6.1 y 7.0 y posteriores; las EC2 instancias de Amazon migradas a su cuenta AMS mediante el CT «Stack from migration partner migration instance» (ct-257p9zjk14ija), debe validar el estado del administrador de suscripciones para garantizar el rendimiento de la actualización.

  • En el sistema operativo Windows, habilite Windows Server Update Services (WSUS). Ninguna política local debe bloquear la capacidad de WSUS para escanear o instalar actualizaciones. Una vez registrado como administrador, puede validarlo escaneando las actualizaciones disponibles desde la consola de Windows Update Service. Las versiones del sistema operativo Windows Server, incluidas la 2012R2, la 2016 y la 2019, tienen la configuración predeterminada de Windows Update para descargar e instalar. Puede configurar los ajustes que desee antes del escaneo. En versiones posteriores del sistema operativo, esta operación puede activar la instalación; configure previamente el comportamiento deseado.

  • Solicita la validación al equipo de operaciones de AMS enviando una solicitud de servicio: «Documento de AWSManagedServices-CheckPatchingPrerequisites automatización que se ejecutará en una EC2 instancia de Amazon para evaluar la disponibilidad de los parches».

nota

Las alertas de error de los parches no se crean para las instancias que tienen sistemas operativos no compatibles o que se detienen durante el período de mantenimiento.

Etiquetas reservadas de Patch Orchestrator

Patch Orchestrator también genera las siguientes etiquetas que no se pueden modificar:

  • AMSPatchGrupo: esta etiqueta se usa para generar el valor de las etiquetas de Patch Group. No debes modificar el AMSPatch grupo. Puedes modificar la etiqueta «Grupo de parches» si quieres usar un valor personalizado de «Grupo de parches». Patch Orchestrator sigue generando un valor para el AMSPatch grupo en función de las claves de etiquetas proporcionadas durante la incorporación, pero no modificará el valor de la etiqueta «Grupo de parches» si tú lo has establecido en un valor personalizado. Para dejar de usar un valor personalizado de «Grupo de parches», puedes configurar el valor de «Grupo de parches» para que coincida con el valor de la AMSPatch etiqueta de grupo.

  • AMSDefaultPatchGroup— Esta etiqueta indica si una instancia forma parte del período de mantenimiento predeterminado, con un valor verdadero o falso. Si el grupo de parches de una instancia no está asignado a una ventana de mantenimiento, este valor se establece en True.