Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan Patch Orchestrator
Aktifkan AMS Patch Orchestrator untuk akun Anda dengan mengirimkan permintaan layanan yang mencakup detail berikut:
Kategori: Lain-lain
Subjek: Onboard ke Patch Orchestrator
Email CC: Alamat email CC menerima pemberitahuan saat status RFC orientasi ini berubah
Detail: Tempelkan informasi berikut ke dalam email dan berikan nilai Anda. Perhatikan bahwa ini ThirdTagKey adalah opsional. Untuk rekomendasi dan contoh, lihat tabel berikut.
Default maintenance window Schedule: Default Maintenance Window Schedule TimeZone: Default Maintenance Window Duration: Default Maintenance Window Cutoff: Default Patch Backup Retention In Days: Default Maintenance Window Notification Emails: First Tag Key: Second Tag Key: Third Tag Key:
Tabel berikut menjelaskan format dan rekomendasi untuk nilai yang Anda berikan.
| Nama parameter | Informasi | Rekomendasi atau contoh |
|---|---|---|
Jadwal Jendela Pemeliharaan Default |
Jadwal jendela pemeliharaan default dalam bentuk ekspresi cron atau rate. Misalnya:
Untuk informasi selengkapnya tentang membuat ekspresi cron, dan tautan ke cron dan sumber daya ekspresi tingkat, lihat Cron dan ekspresi tingkat untuk jendela pemeliharaan. |
Kami merekomendasikan agar jendela berjalan setidaknya sekali per bulan pada hari kerja yang konsisten. |
Jendela Pemeliharaan Default Jadwal Zona Waktu |
Zona waktu yang dijalankan jendela pemeliharaan default didasarkan pada, dalam format Internet Assigned Numbers Authority (IANA). |
Misalnya:
|
Durasi Jendela Pemeliharaan Default |
Durasi jendela pemeliharaan default dalam jam. |
Setidaknya 1 jam per setiap 50 instance, ditambah 2 jam untuk cutoff. |
Pemotongan Jendela Pemeliharaan Default |
Jumlah jam sebelum akhir Jendela Pemeliharaan Default di mana tidak ada perintah patching baru yang dimulai. Interval ini ada untuk memberikan waktu yang cukup untuk penambalan selesai sebelum jendela berakhir. |
Setidaknya 2 jam. |
Retensi Cadangan Patch Default Dalam Hari (opsional) |
Waktu default dalam beberapa hari untuk menjaga titik pemulihan EBS dibuat sebelum menambal instance. |
Kami merekomendasikan untuk menjaga default, yaitu 60. |
Email Pemberitahuan Jendela Pemeliharaan Default |
Satu hingga lima alamat email atau daftar distribusi untuk menerima pemberitahuan tentang status patching jendela pemeliharaan default. |
Sebaiknya gunakan daftar distribusi grup alih-alih email individual. |
Kunci Tag Pertama |
Tombol tag pertama yang digunakan untuk membuat nilai tag Grup Patch Anda. |
Sebagai contoh, AppId. Tentukan null jika Anda sudah mendefinisikan grup tambalan Anda sendiri dengan tag Grup Patch. |
Kunci Tag Kedua |
Tombol tag kedua yang digunakan untuk membuat nilai tag Grup Patch Anda. |
Misalnya, Lingkungan. Tentukan null jika Anda telah mendefinisikan grup tambalan Anda sendiri dengan tag Grup Patch. |
Kunci Tag Ketiga (opsional) |
Tombol tag ketiga opsional yang digunakan untuk membuat nilai tag Grup Patch Anda. |
Misalnya, Grup. |
Setelah Anda masuk ke model layanan patching Patch Orchestrator yang baru, semua instance yang ditandai dengan tepat di akun Anda milik grup patch dengan tag Grup Patch. Patch Orchestrator menggunakan tag Patch Group yang ada, atau tag buatan AMS yang terdiri dari dua atau tiga nilai tag gabungan yang Anda tentukan selama onboarding Patch Orchestrator. Misalnya, {Tag Value
1} - {Tag Value 2} - {Tag
Value 3}. AMS memperbarui tag Grup Patch yang diterapkan AMS ini setiap 12 jam. Jika diperlukan, Anda dapat memperbarui nilai tag Grup Patch Anda dengan jenis perubahan Tag | Update (Review Required) atau Tag | Update (Review Required).
Misalnya, jika EC2 instans Amazon Anda memiliki pasangan kunci tag berikut: nilai:
AppId:MyApplicationEnvironment:ProductionGroup:1
Selama onboarding Anda menentukan kunci tag berikut:
First Tag Key = AppIdSecond Tag Key = EnvironmentThird Tag Key = Group
AMS membuat tag Grup Patch berikut dan menerapkannya ke instance Anda:Patch Group:MyApplication-Production-1.
catatan
Peringatan kegagalan patch tidak dibuat untuk instance yang memiliki sistem operasi yang tidak didukung, atau yang dihentikan selama jendela pemeliharaan.
Prasyarat Patch Orchestrator
Alur kerja Patch Orchestrator menargetkan instans EC2 Amazon yang ditambal oleh versi terbaru Dokumen Otomasi Manajer Sistem:. AWSManagedServices-PatchInstanceFromMaintenanceWindow
Sebagai bagian dari alur kerja dokumen, dokumen perintah run “AWS-RunPatchBaseline” dijalankan terhadap setiap EC2 instance Amazon dari anggota grup patch. Untuk mempelajari lebih lanjut, lihat Tentang dokumen SSM AWS- RunPatchBaseline.
Persyaratan:
EC2 Instans Amazon diterapkan dari Amazon Machine Image (AMI) yang disediakan AMS, atau pada AMI melalui CT “Stack from migration partner migrated instance” (ct-257p9zjk14ija).
Koneksi internet jalan keluar diaktifkan. Untuk firewall/proxy solusi, persyaratannya adalah mengizinkan titik akhir pembaruan Windows titik akhir cermin repositori and/or Linux, pengaturan proxy manajer sistem AWS, dan konfigurasi proxy metadata. Untuk informasi selengkapnya, lihat Mengonfigurasi Agen SSM untuk menggunakan proxy dan Menggunakan proxy HTTP
Peran IAM yang cocok dengan akses permisif minimum untuk layanan SSM peran IAM.
customer-mc-ec2-instance-profileKami merekomendasikan 10 GB ruang partisi root yang tersedia. Untuk OS Linux, setidaknya 2 GB tersedia di
/varpartisi.Otoritas Sertifikat yang berfungsi dan valid untuk unduhan pembaruan.
Layanan Pembaruan Server Windows (WSUS) - Registri termasuk namun tidak terbatas pada: DisableWindowsUpdateAccess, NoWindowsUpdate; Pembaruan Otomatis tidak boleh mengganggu pengoperasian proses Pembaruan Windows.
Validasi:
Untuk instance OS Linux menggunakan pengelola paket yum, Anda dapat memvalidasi ketersediaan pembaruan dengan menjalankan
#yum check-updateUntuk Linux OS RedHat 5.7 dan yang lebih baru, 6.1 dan yang lebih baru, dan 7.0 dan yang lebih baru; EC2 Instans Amazon dimigrasi ke akun AMS Anda melalui CT “Stack from migration partner migrated instance” (ct-257p9zjk14ija), Anda perlu memvalidasi status manajer langganan untuk kinerja pembaruan.
Pada OS Windows, aktifkan Layanan Pembaruan Server Windows (WSUS). Tidak ada kebijakan lokal yang harus memblokir kemampuan WSUS untuk memindai atau menginstal pembaruan. Setelah masuk sebagai administrator, Anda dapat memvalidasinya dengan melakukan pemindaian untuk pembaruan yang tersedia dari konsol Layanan Pembaruan Windows. Rilis OS Windows Server termasuk 2012R2, 2016 dan 2019 memiliki pengaturan Pembaruan Windows default untuk diunduh dan diinstal. Anda dapat mengonfigurasi pengaturan yang diinginkan sebelum memindai. Pada rilis OS selanjutnya, operasi ini dapat memicu instalasi; konfigurasikan perilaku yang diinginkan sebelumnya.
Minta validasi dari tim Operasi AMS dengan mengirimkan permintaan layanan: "Dokumen AWSManagedServices-CheckPatchingPrerequisites otomatisasi untuk dijalankan terhadap EC2 instans Amazon untuk penilaian kesiapan tambalan.”
catatan
Peringatan kegagalan patch tidak dibuat untuk instance yang memiliki sistem operasi yang tidak didukung, atau yang dihentikan selama jendela pemeliharaan.
Tag yang dicadangkan Patch Orchestrator
Patch Orchestrator juga menghasilkan tag berikut yang tidak dapat diubah:
-
AMSPatchGrup - Tag ini digunakan untuk pembuatan nilai tag Grup Patch. Anda tidak harus memodifikasi AMSPatch Grup. Anda dapat memodifikasi tag “Grup Patch” jika Anda ingin menggunakan nilai “Grup Patch” khusus. Patch Orchestrator terus menghasilkan nilai untuk AMSPatch Grup berdasarkan kunci tag yang disediakan selama orientasi, tetapi tidak akan mengubah nilai tag “Grup Patch” jika telah disetel ke nilai khusus oleh Anda. Untuk berhenti menggunakan nilai “Grup Patch” khusus, Anda dapat mengatur nilai “Grup Patch” agar sesuai dengan nilai tag AMSPatch Grup.
AMSDefaultPatchGroup— Tag ini menunjukkan apakah sebuah instance merupakan bagian dari jendela pemeliharaan default, dengan nilai True atau False. Jika Grup Patch instance tidak ditetapkan ke jendela pemeliharaan, nilai ini disetel ke True.
