Penambalan standar AMS - Panduan Pengguna Tingkat Lanjut AMS
Sistem operasi yang didukungPatch yang didukungPatching dan desain infrastrukturKegagalan penambalan standar AMS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Penambalan standar AMS

AMS mendukung pelanggan yang sudah ada menggunakan model patching standar AMS, tetapi model ini tidak tersedia untuk pelanggan baru dan sedang pensiun demi AMS Patch Orchestrator.

Konten tambalan umum untuk patching standar AMS termasuk pembaruan vendor untuk sistem operasi yang didukung dan perangkat lunak yang sudah diinstal sebelumnya dengan sistem operasi yang didukung (misalnya, IIS dan Apache Server).

Selama onboarding AMS, Anda menentukan persyaratan penambalan, kebijakan, frekuensi, dan jendela tambalan pilihan. Konfigurasi ini berarti Anda dapat menghindari aplikasi offline sekaligus untuk penambalan infrastruktur, sehingga Anda dapat mengontrol infrastruktur apa yang ditambal kapan.

catatan

Proses penambalan yang dijelaskan dalam topik ini hanya berlaku untuk tumpukan Anda. Infrastruktur AMS ditambal selama proses terpisah. AWS Managed Services Maintenance Window (atau Maintenance Window) melakukan aktivitas pemeliharaan untuk AWS Managed Services (AMS) dan berulang pada hari Kamis kedua setiap bulan mulai pukul 15:00 hingga 16:00 Waktu Pasifik. AMS dapat mengubah jendela pemeliharaan dengan pemberitahuan 48 jam. Anda mengonfigurasi jendela patch AMS saat onboarding, atau Anda menyetujui atau menolak pemberitahuan layanan patch bulanan.

AMS secara teratur memindai EC2 instans Amazon yang dikelola untuk pembaruan yang tersedia melalui fungsionalitas pembaruan sistem operasi. Kami juga menyediakan pembaruan rutin ke Amazon Machine Images (AMIs) berbasis AMS yang didukung di lingkungan kami.

Setelah divalidasi, rilis AMS AMI dibagikan dengan semua akun AMS. Anda dapat melihat rilis AWS AMI yang tersedia dengan menggunakan panggilan DescribeImagesAmazon EC2 API atau menggunakan EC2 konsol Amazon. Untuk menemukan AMS yang tersedia AMIs, lihatCari AMI IDs, AMS.

AMS melakukan jadwal patching ad hoc hanya jika diminta oleh Anda.Sebelumnya AMS akan mengirim pemberitahuan; saat ini, pemberitahuan tidak dikirim.

catatan

Secara default, AMS menggunakan Systems Manager untuk menerapkan patch dengan meminta manajer paket (Linux) atau layanan Pembaruan Sistem (Windows) menanyakan repositori defaultnya untuk melihat paket baru mana yang tersedia. Jika, selama day-to-day operasi Anda, Anda telah menginstal paket pada host Linux menggunakan manajer paket default, manajer paket itu juga mengambil paket baru untuk perangkat lunak itu ketika mereka tersedia. Dalam kasus seperti itu, Anda mungkin ingin mengambil tindakan penambalan (dijelaskan di bagian ini) untuk memilih keluar untuk contoh itu.

Sistem operasi yang didukung

Sistem operasi yang didukung (x86-64)

  • Amazon Linux 2023

  • Amazon Linux 2 (diharapkan tanggal akhir dukungan AMS 30 Juni 2026)

  • Oracle Linux 9.x, 8.x

  • Red Hat Enterprise Linux (RHEL) 9.x, 8.x

  • SUSE Linux Server Perusahaan 15 SP6

  • SUSE Linux Enterprise Server untuk SAP 15 SP3 dan yang lebih baru

  • Microsoft Windows Server 2022, 2019, 2016

  • Ubuntu 20.04, 22.04, 24.04

Sistem operasi yang didukung (ARM64)

  • Amazon Linux 2023

  • Amazon Linux 2 (diharapkan tanggal akhir dukungan AMS 30 Juni 2026)

Patch yang didukung

AWS Managed Services mendukung patching terutama pada tingkat sistem operasi. Patch yang diinstal mungkin berbeda menurut sistem operasi.

penting

Semua pembaruan diunduh dari repositori jarak jauh layanan dasar patch Systems Manager yang dikonfigurasi pada instance, dan dijelaskan nanti dalam topik ini. Instance harus dapat terhubung ke repositori sehingga patch dapat dilakukan.

Untuk memilih keluar dari layanan baseline patch untuk repositori yang mengirimkan paket yang ingin Anda pertahankan sendiri, jalankan perintah berikut untuk menonaktifkan repositori:

yum-config-manager DASHDASHdisable REPOSITORY_NAME

Ambil daftar repositori yang saat ini dikonfigurasi dengan perintah berikut:

yum repolist

  • Repositori Amazon Linux yang telah dikonfigurasi sebelumnya (biasanya empat):

    ID Repositori Nama repositori

    amzn-utama/terbaru

    Basis Utama AMZN

    amzn-update/terbaru

    AMZN-pembaruan-basis

    epel/x86_64

    Paket Ekstra untuk Enterprise Linux 6 - x86_64

    pbis

    Pembaruan Paket PBIS

  • Repositori Red Hat Enterprise Linux yang telah dikonfigurasi sebelumnya (lima untuk Red Hat Enterprise Linux 7 dan lima untuk Red Hat Enterprise Linux 6):

    ID Repositori Nama repositori

    Wilayah Rhui- -7/x86_64 client-config-server

    Red Hat Update Infrastruktur 2.0 Konfigurasi Klien Ser

    Wilayah Rhui- /7Server/X86_64 rhel-server-releases

    Server Linux Perusahaan Red Hat 7

    Wilayah Rhui- /7Server/X86_64 rhel-server-releases

    Red Hat Enterprise Linux Server 7 RH Umum () RPMs

    epel/x86_64

    Paket Ekstra untuk Enterprise Linux 7 - x86_64

    pbis

    Pembaruan Paket PBIS

    ID Repositori Nama repositori

    Wilayah Rhui- -6 client-config-server

    Infrastruktur Pembaruan Red Hat 2.0

    Wilayah Rhui- rhel-server-releases

    Server Linux Perusahaan Red Hat 6 (RPMs)

    Wilayah Rhui- rhel-server-rh-common

    Red Hat Enterprise Linux Server 6 RH Umum () RPMs

    epel

    Paket Ekstra untuk Enterprise Linux 6 - x86_64

    pbis

    Pembaruan Paket PBIS

  • CentOS 7 repositori yang telah dikonfigurasi sebelumnya (biasanya lima):

    ID Repositori Nama Repositori

    dasar/7/x86_64

    CentOS-7 - Dasar

    pembaruan/7/x86_64

    CentOS-7 - Pembaruan

    tambahan/7/x86_64

    CentOS-7 - Ekstra

    epel/x86_64

    Paket Ekstra untuk Enterprise Linux 7 - x86_64

    pbis

    Pembaruan Paket PBIS

  • Untuk Microsoft Windows Server, semua pembaruan terdeteksi dan diinstal menggunakan Agen Pembaruan Windows, yang dikonfigurasi untuk menggunakan katalog Pembaruan Windows (ini tidak termasuk pembaruan dari Pembaruan Microsoft).

    Pada sistem operasi Microsoft Windows, Patch Manager menggunakan file taksi Microsoft wsusscn2.cab sebagai sumber pembaruan keamanan sistem operasi yang tersedia. File ini berisi informasi tentang pembaruan terkait keamanan yang diterbitkan Microsoft. Patch Manager mengunduh file ini secara teratur dari Microsoft dan menggunakannya untuk memperbarui kumpulan tambalan yang tersedia untuk instance Windows. File hanya berisi pembaruan yang diidentifikasi Microsoft sebagai terkait dengan keamanan. Saat informasi dalam file diproses, Patch Manager juga menghapus pembaruan yang telah diganti dengan pembaruan selanjutnya. Oleh karena itu, hanya pembaruan terbaru yang ditampilkan dan tersedia untuk instalasi. Misalnya, jika KB4 012214 menggantikan KB3135456, hanya KB4 012214 yang tersedia sebagai pembaruan di Patch Manager.

    Untuk membaca selengkapnya tentang file wsusscn2.cab, lihat artikel Microsoft Menggunakan WUA untuk Memindai Pembaruan Offline.

Patching dan desain infrastruktur

AMS menggunakan metode penambalan yang berbeda tergantung pada desain infrastruktur Anda: dapat berubah atau tidak dapat diubah (untuk definisi terperinci, lihat). Istilah kunci AMS

Dengan infrastruktur yang dapat berubah, penambalan dilakukan dengan menggunakan metodologi tradisional di tempat untuk menginstal pembaruan langsung ke EC2 instans Amazon, secara individual, oleh insinyur operasi AMS. Metode penambalan ini digunakan untuk tumpukan yang bukan grup Auto Scaling, dan berisi satu instans EC2 Amazon atau beberapa instance. Dalam skenario ini, mengganti AMI yang menjadi dasar instance atau tumpukan akan menghancurkan semua perubahan yang dibuat pada sistem itu sejak pertama kali diterapkan, sehingga tidak dilakukan. Pembaruan diterapkan ke sistem yang sedang berjalan, dan Anda mungkin mengalami downtime sistem (tergantung pada konfigurasi tumpukan) karena aplikasi atau sistem restart. Ini dapat dikurangi dengan strategi Blue/Green pembaruan. Untuk informasi selengkapnya, lihat AWS CodeDeploy Memperkenalkan Blue/Green Penerapan.

Dengan infrastruktur yang tidak dapat diubah, metode penambalan adalah penggantian AMI. Instance yang tidak dapat diubah diperbarui secara seragam menggunakan AMI yang diperbarui yang menggantikan AMI yang ditentukan dalam konfigurasi grup Auto Scaling. Rilis AMS diperbarui (yaitu, ditambal) AMIs setiap bulan, biasanya minggu Patch Tuesday. Bagian berikut menjelaskan cara kerjanya.

Kegagalan penambalan standar AMS

Jika terjadi pembaruan yang gagal, AMS melakukan analisis untuk memahami penyebab kegagalan dan mengkomunikasikan hasil analisis kepada Anda. Jika kegagalan disebabkan oleh AMS, kami mencoba lagi pembaruan jika berada dalam jendela pemeliharaan. Jika tidak, AMS akan membuat notifikasi layanan untuk pembaruan instans yang gagal dan menunggu instruksi Anda.

Untuk kegagalan yang disebabkan oleh sistem Anda, Anda dapat mengirimkan permintaan layanan dengan RFC patch baru untuk memperbarui instance.