Azioni che puoi intraprendere con l'applicazione di patch standard AMS - Guida per l'utente avanzato di AMS
Cambiare ciò che esce patched/optingPreparazione per l'applicazione delle patchVisualizzazione delle impostazioni delle patch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Azioni che puoi intraprendere con l'applicazione di patch standard AMS

Oltre a testarne di nuovi AMIs, è possibile intraprendere diverse azioni per gestire l'applicazione di patch all'infrastruttura:

  • Se il test degli aggiornamenti ha richiesto più tempo di quanto consentito dalla finestra di patch, puoi richiedere ad AMS di applicare gli aggiornamenti che sono stati annullati quando sei pronto inviando una richiesta di servizio (utilizza i dettagli nella notifica di servizio originale come base).

  • È possibile richiedere l'applicazione di un aggiornamento importante (UI) o altro aggiornamento (OU) prima della successiva finestra di aggiornamento automatico inviando una richiesta di servizio contenente un elenco degli aggiornamenti, delle istanze applicabili e altri dettagli, a seconda dei casi. Poiché questo CT non è automatizzato, la pianificazione e l'esecuzione richiedono più tempo. Verificate gli obiettivi del livello di servizio (SLOs) per il momento opportuno. Per ulteriori informazioni, consulta Obiettivi del livello di servizio AMS (SLOs).

Inoltre, è possibile utilizzare AMS esistenti, con patch, AMIs per crearne di personalizzati AMIs. Per informazioni, consulta AMI | Create.

Nota

Non puoi richiedere una nuova AMI AMS basata su un aggiornamento importante o altro aggiornamento prima della prossima finestra di manutenzione, perché il processo di rilascio dell'AMI AMS segue una cadenza uniforme a vantaggio di tutti i clienti AMS.

Cambiare ciò che esce patched/opting

Con l'applicazione di patch configurata da AMS, nella risposta alla notifica del servizio di applicazione delle patch o in una richiesta di assistenza, puoi modificare le risorse a cui applicare le patch. Puoi eseguire le operazioni indicate di seguito:

  • Definite un elenco di patch da escludere dalla riparazione, per stack e per sistema operativo.

  • Definite un elenco di risorse che devono essere escluse da determinate patch o da tutte le patch.

  • Definite un elenco di risorse che devono essere sempre escluse da tutte le patch.

  • Definite un elenco di risorse a cui applicare le patch in un determinato giorno e in una certa ora (utile se non avete definito una finestra di manutenzione).

Per escludere una o più patch, invia una richiesta di servizio o rispondi alla notifica del servizio di patch utilizzando il modello fornito di seguito. Non inviate una RFC. Includi nella richiesta il nome o i nomi della patch che desideri escludere e il motivo. Includi queste informazioni in una richiesta di assistenza come segue:

  • Nome: il nome della patch. Per le patch di Windows, questo è il nome KB, ad esempioKB3145384. Per le patch Linux, questo è il nome del pacchetto, ad esempio. openssh-6.6.1p1-25.61.amzn1.x86_64

  • Motivo: un commento che indica il motivo per cui la patch viene esclusa.

  • Ora di scadenza: il momento in date/time cui scade l'esclusione.

Se una patch esclusa è già installata, viene rimossa.

La richiesta viene esaminata da un operatore che ne discuterà con l'utente se l'esclusione di tali patch rappresenti un rischio significativo per la sicurezza. Viene inoltre negoziata la data di scadenza per le patch escluse. Dopo la data di scadenza concordata, l'esclusione scade e la patch viene installata su qualsiasi patch successiva.

Le patch presenti nell'elenco di esclusione vengono comunque restituite nei risultati della scansione, se applicabile.

Nota

A differenza di Windows, le patch Linux sono specifiche della versione. Questa distinzione è importante perché le nuove versioni di una patch esclusa non vengono escluse automaticamente. È tua responsabilità notificare ad AMS di escludere nuove versioni di una patch Linux se è quello che vuoi fare.

Modelli di risposta alle notifiche del servizio di patch

È necessario rispondere alle notifiche del servizio di applicazione delle patch, utilizzando il formato specificato, per eseguire l'applicazione delle patch sulle istanze. Dovresti farlo se non hai già impostato una finestra di manutenzione con AMS.

Quando rispondi a una notifica di servizio, utilizza il formato fornito.

Se non è impostata alcuna finestra di manutenzione, facci sapere quando correggere quanto mostrato di seguito:

UTC                 StartTime       StackId                     InstanceId (Optional)
2019-04-01          15:00           stack-123456789012          i-1234566789
2019-04-01          15:00           stack-123456789013          i-1234566784
2019-04-01          15:00           stack-123456789014          i-1234566783
2019-04-01          15:00           stack-123456789015          i-1234566782

Se hai una finestra di manutenzione impostata e desideri che determinate risorse vengano escluse da determinate patch, usa il seguente formato:

StackId                     InstanceId (Optional)       Exclude Patches
stack-123456789012          i-1234566789                PATCH
stack-123456789013          i-1234566784                PATCH
stack-123456789014          i-1234566783                PATCH
stack-123456789015          i-1234566782                PATCH

Se avete una finestra di manutenzione impostata e desiderate che determinate risorse siano sempre escluse da tutte le patch, utilizzate il seguente formato:

StackId                     InstanceId (Optional)       Exclude Patches
stack-123456789012          i-1234566789                ALL
stack-123456789015          i-1234566782                ALL

Preparazione per l'applicazione delle patch

Per preparare l'ambiente all'applicazione automatica delle patch, consigliamo quanto segue:

  • Assicurati di disporre di un inventario completo di tutte le istanze da correggere.

  • Assicuratevi che il backup delle vostre risorse sia effettuato regolarmente nell'ambito della vostra strategia di continuità aziendale. I backup aggiuntivi vengono creati come parte della sequenza di patch e questi vengono eliminati automaticamente in base alla politica di conservazione di Patch Orchestrator configurata (l'impostazione predefinita è 60 giorni).

  • Assicurati che tutte le licenze pertinenti siano aggiornate.

  • Modifica le finestre di manutenzione dello stack per applicare le patch in modo da applicare le patch agli stack di test prima degli stack di produzione. In questo modo, eventuali errori relativi all'applicazione delle patch vengono rilevati negli stack di test e possono essere identificati prima che gli stack di produzione vengano corretti.

Visualizzazione delle impostazioni delle patch

Per scoprire qual è la tua attuale configurazione di applicazione delle patch, puoi fare quanto segue:

  • Inviate una richiesta di servizio ad AMS con la richiesta.

  • Attendi una notifica del servizio di patch. L'avviso di patch indica tutte le patch da applicare e le istanze da applicare e suggerisce anche una finestra di aggiornamento.

È possibile inviare una richiesta di assistenza per modificare quanto segue:

  • Intervallo di scansione: la quantità di tempo, in minuti, tra le scansioni di conformità eseguite sulle istanze di questo stack.

    L'impostazione predefinita è 240 (4 ore).

  • NotificationWindow: con quanto anticipo (in minuti) rispetto a una modifica pianificata (patch) deve esserti inviata la notifica. L'impostazione predefinita è 10080 (7 giorni).