Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de Patch Orchestrator
Activez AMS Patch Orchestrator pour votre compte en soumettant une demande de service incluant les informations suivantes :
Catégorie : Autres
Objet : Intégration à Patch Orchestrator
E-mails CC : les adresses e-mail CC reçoivent des notifications lorsque le statut de cette RFC d'intégration change
Détails : collez les informations suivantes dans l'e-mail et indiquez vos valeurs. Notez que ThirdTagKey c'est facultatif. Pour des recommandations et des exemples, consultez le tableau suivant.
Default maintenance window Schedule: Default Maintenance Window Schedule TimeZone: Default Maintenance Window Duration: Default Maintenance Window Cutoff: Default Patch Backup Retention In Days: Default Maintenance Window Notification Emails: First Tag Key: Second Tag Key: Third Tag Key:
Le tableau suivant décrit le format et les recommandations pour les valeurs que vous avez fournies.
| Nom du paramètre | Informations | Recommandation ou exemple |
|---|---|---|
Calendrier de la fenêtre de maintenance par défaut |
Le calendrier de la fenêtre de maintenance par défaut sous la forme d'une expression cron ou rate. Exemples :
Pour plus d'informations sur la création d'expressions cron et des liens vers des ressources d'expressions cron et rate, voir Expressions cron et rate pour les fenêtres de maintenance. |
Nous recommandons de faire fonctionner la fenêtre au moins une fois par mois, un jour de semaine régulier. |
Fuseau horaire de planification de la fenêtre de maintenance par défaut |
Le fuseau horaire sur lequel s'exécute la fenêtre de maintenance par défaut est basé sur le format IANA (Internet Assigned Numbers Authority). |
Exemples :
|
Durée de la fenêtre de maintenance par défaut |
Durée de la fenêtre de maintenance par défaut en heures. |
Au moins 1 heure toutes les 50 instances, plus 2 heures pour la coupure. |
Coupure de la fenêtre de maintenance par défaut |
Nombre d'heures avant la fin de la fenêtre de maintenance par défaut pendant laquelle aucune nouvelle commande d'application de correctifs n'est lancée. Cet intervalle existe pour laisser suffisamment de temps pour que l'application des correctifs soit terminée avant la fin de la fenêtre. |
Au moins 2 heures. |
Conservation des correctifs de sauvegarde par défaut en jours (facultatif) |
Durée par défaut, en jours, pour conserver les points de restauration EBS créés avant d'appliquer des correctifs aux instances. |
Nous vous recommandons de conserver la valeur par défaut, qui est 60. |
E-mails de notification de la fenêtre de maintenance par défaut |
Une à cinq adresses e-mail ou listes de distribution pour recevoir des notifications concernant l'état d'application des correctifs par défaut dans les fenêtres de maintenance. |
Nous vous recommandons d'utiliser des listes de distribution de groupe plutôt que des e-mails individuels. |
Clé du premier tag |
La première clé de balise à utiliser pour créer les valeurs des balises de votre groupe de patchs. |
Par exemple, AppId. Spécifiez null si vous avez déjà défini vos propres groupes de correctifs avec une balise Patch Group. |
Deuxième clé de tag |
Deuxième clé de balise à utiliser pour créer les valeurs des balises de votre groupe de patchs. |
Par exemple, Environnement. Spécifiez null si vous avez déjà défini vos propres groupes de correctifs avec une balise Patch Group. |
Troisième clé de tag (facultatif) |
Troisième clé de balise facultative à utiliser pour créer les valeurs des balises de votre groupe de patchs. |
Par exemple, Group. |
Une fois que vous êtes intégré au nouveau modèle de service de correctifs Patch Orchestrator, toutes les instances correctement étiquetées de votre compte appartiennent à un groupe de correctifs doté d'une balise Patch Group. Patch Orchestrator utilise soit votre balise de groupe de patchs existante, soit une balise créée par AMS composée des deux ou trois valeurs de balise concaténées que vous avez spécifiées lors de l'intégration de Patch Orchestrator. Par exemple, {Tag Value
1} - {Tag Value 2} - {Tag
Value 3}. AMS met à jour ces balises de groupe de correctifs appliquées par AMS toutes les 12 heures. Si nécessaire, vous pouvez mettre à jour les valeurs des balises de votre groupe de correctifs avec les types de modification Tag | Mettre à jour (révision requise) ou Tag | Mettre à jour (révision requise).
Par exemple, si votre EC2 instance Amazon possède les paires clé:valeur de balise suivantes :
AppId:MyApplicationEnvironment:ProductionGroup:1
Lors de l'intégration, vous avez spécifié les clés de balise suivantes :
First Tag Key = AppIdSecond Tag Key = EnvironmentThird Tag Key = Group
AMS crée la balise Patch Group suivante et l'applique à vos instances :Patch Group:MyApplication-Production-1.
Note
Les alertes d'échec des correctifs ne sont pas créées pour les instances dont les systèmes d'exploitation ne sont pas pris en charge ou qui sont arrêtées pendant la période de maintenance.
Conditions préalables requises pour Patch Orchestrator
Le flux de travail Patch Orchestrator cible EC2 les instances Amazon auxquelles des correctifs sont appliqués par la dernière version de System Manager Automation Document :. AWSManagedServices-PatchInstanceFromMaintenanceWindow
Dans le cadre du flux de travail documentaire, le document de commande d'exécution « AWS- RunPatchBaseline » est exécuté sur chacune des EC2 instances Amazon des membres du groupe de correctifs. Pour en savoir plus, consultez la section À propos du document SSM AWS- RunPatchBaseline.
Prérequis:
EC2 Instance Amazon déployée à partir d'Amazon Machine Image (AMI) fournie par AMS, ou sur une AMI via le CT « Stack from migration partner migrated instance » (ct-257p9zjk14ija).
Connexion Internet de sortie activée. Pour les firewall/proxy solutions, l'exigence est d'autoriser les points de terminaison du référentiel and/or Linux Windows Update à mettre en miroir les points de terminaison, les paramètres de proxy d'AWS System Manager et la configuration du proxy de métadonnées. Pour plus d'informations, voir Configuration de l'agent SSM pour utiliser un proxy et Utilisation d'un proxy HTTP
Rôle IAM correspondant à un accès permissif minimum pour le service SSM ou le rôle IAM.
customer-mc-ec2-instance-profileNous recommandons 10 Go d'espace de partition racine disponible. Pour le système d'exploitation Linux, au moins 2 Go sont disponibles dans la
/varpartition.Autorité de certification fonctionnelle et valide pour les téléchargements de mises à jour.
Windows Server Update Services (WSUS) - Registre comprenant, mais sans s'y limiter : DisableWindowsUpdateAccess, NoWindowsUpdate ; Les mises à jour automatiques ne doivent pas entraver le fonctionnement du processus Windows Update.
Validation :
Pour les instances du système d'exploitation Linux utilisant le gestionnaire de packages yum, vous pouvez valider la disponibilité des mises à jour en exécutant
#yum check-updatePour les systèmes d'exploitation Linux RedHat 5.7 et versions ultérieures, 6.1 et versions ultérieures, et 7.0 et versions ultérieures ; les EC2 instances Amazon ont migré vers votre compte AMS via le CT « Stack from migration partner migrated instance » (ct-257p9zjk14ija), vous devez valider le statut du gestionnaire d'abonnements pour connaître les performances des mises à jour.
Sur le système d'exploitation Windows, activez Windows Server Update Services (WSUS). Aucune politique locale ne devrait empêcher WSUS de scanner ou d'installer des mises à jour. Une fois connecté en tant qu'administrateur, vous pouvez le valider en analysant les mises à jour disponibles depuis la console Windows Update Service. Les versions du système d'exploitation Windows Server, y compris 2012R2, 2016 et 2019, comportent des paramètres Windows Update par défaut pour le téléchargement et l'installation. Vous pouvez configurer les paramètres souhaités avant de procéder à la numérisation. Dans les versions ultérieures du système d'exploitation, cette opération peut déclencher l'installation ; configurez au préalable le comportement souhaité.
Demandez une validation à l'équipe des opérations AMS en soumettant une demande de service : « Document AWSManagedServices-CheckPatchingPrerequisites d'automatisation à exécuter sur une EC2 instance Amazon pour évaluer l'état de préparation des correctifs ».
Note
Les alertes d'échec des correctifs ne sont pas créées pour les instances dont les systèmes d'exploitation ne sont pas pris en charge ou qui sont arrêtées pendant la période de maintenance.
Balises réservées à Patch Orchestrator
Patch Orchestrator génère également les balises suivantes qui ne peuvent pas être modifiées :
-
AMSPatchGroup — Cette balise est utilisée pour générer la valeur des balises Patch Group. Vous ne devez pas modifier le AMSPatch groupe. Vous pouvez modifier la balise « Patch Group » si vous souhaitez utiliser une valeur personnalisée « Patch Group ». Patch Orchestrator continue de générer une valeur pour AMSPatch Group en fonction des clés de balise fournies lors de l'intégration, mais ne modifiera pas la valeur de balise « Patch Group » si vous l'avez définie sur une valeur personnalisée. Pour arrêter d'utiliser une valeur personnalisée de « groupe de correctifs », vous pouvez définir la valeur de « groupe de correctifs » pour qu'elle corresponde à la valeur de la balise de AMSPatch groupe.
AMSDefaultPatchGroup— Cette balise indique si une instance fait partie de la fenêtre de maintenance par défaut, avec une valeur True ou False. Si le groupe de correctifs d'une instance n'est pas affecté à une fenêtre de maintenance, cette valeur est définie sur True.
