Utilizzo di Patch Orchestrator - Guida per l'utente avanzato di AMS
Prerequisiti di Patch OrchestratorTag riservati di Patch Orchestrator

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di Patch Orchestrator

Abilita AMS Patch Orchestrator per il tuo account inviando una richiesta di servizio che include i seguenti dettagli:

  • Categoria: Altro

  • Oggetto: Onboard to Patch Orchestrator

  • E-mail CC: gli indirizzi e-mail CC ricevono notifiche quando lo stato di questa RFC di onboarding cambia

  • Dettagli: incolla le seguenti informazioni nell'e-mail e fornisci i tuoi valori. Tieni presente che ThirdTagKey è facoltativo. Per consigli ed esempi, consulta la tabella seguente. 

    Default maintenance window Schedule:
Default Maintenance Window Schedule TimeZone:
Default Maintenance Window Duration:
Default Maintenance Window Cutoff:
Default Patch Backup Retention In Days:
Default Maintenance Window Notification Emails:
First Tag Key:
Second Tag Key:
Third Tag Key:

La tabella seguente descrive il formato e i consigli per i valori forniti.

Configurazioni di patching basate su tag di Patch Orchestrator
Nome del parametro Informazioni Raccomandazione o esempio

Pianificazione predefinita della finestra di manutenzione

La pianificazione della finestra di manutenzione predefinita sotto forma di espressione cron o rate. Ad esempio:

  • cron(0 3 ? * 6L *): 03:00 l'ultimo venerdì di ogni mese

  • rate(7 days): Ogni sette giorni

Per ulteriori informazioni sulla creazione di espressioni cron e collegamenti alle risorse relative alle espressioni cron e rate, consulta Cron and rate expression for maintenance windows.

Ti consigliamo di far funzionare la finestra almeno una volta al mese in un giorno feriale costante.

Fuso orario di pianificazione della finestra di manutenzione predefinita

Il fuso orario su cui viene eseguita la finestra di manutenzione predefinita si basa sul formato Internet Assigned Numbers Authority (IANA).

Ad esempio:

  • America/Los_Angeles

  • etc/UTC

Durata predefinita della finestra di manutenzione

La durata della finestra di manutenzione predefinita, in ore.

Almeno 1 ora ogni 50 istanze, più 2 ore per l'interruzione.

Interruzione predefinita della finestra di manutenzione

Il numero di ore prima della fine della finestra di manutenzione predefinita in cui non viene avviato alcun nuovo comando di applicazione delle patch. Questo intervallo serve per consentire il completamento dell'applicazione delle patch prima della fine della finestra.

Almeno 2 ore.

Conservazione predefinita del backup delle patch in giorni (opzionale)

L'intervallo di tempo predefinito, espresso in giorni, per conservare i punti di ripristino EBS creati prima dell'applicazione delle patch alle istanze.

Ti consigliamo di mantenere il valore predefinito, che è 60.

Email di notifica della finestra di manutenzione predefinita

Da uno a cinque indirizzi e-mail o liste di distribuzione per ricevere notifiche sullo stato di applicazione delle patch nella finestra di manutenzione predefinita.

Si consiglia di utilizzare le liste di distribuzione di gruppo anziché le singole e-mail.

First Tag Key

La prima chiave di tag da utilizzare per creare i valori dei tag del Patch Group.

Ad esempio,. AppId Specificate null se avete già definito i vostri gruppi di patch con un tag Patch Group.

Seconda chiave del tag

La seconda chiave di tag da utilizzare per creare i valori dei tag del Patch Group.

Ad esempio, Environment. Specificate null se avete già definito i vostri gruppi di patch con un tag Patch Group.

Terza chiave del tag (opzionale)

La terza chiave di tag opzionale da utilizzare per creare i valori dei tag del Patch Group.

Ad esempio, Group.

Dopo aver effettuato l'onboarding al nuovo modello di servizio di patching Patch Orchestrator, tutte le istanze con tag appropriati presenti nel tuo account appartengono a un gruppo di patch con un tag Patch Group. Patch Orchestrator utilizza il tag Patch Group esistente o un tag creato da AMS composto dai due o tre valori di tag concatenati specificati durante l'onboarding di Patch Orchestrator. Ad Tag Value 1 esempioTag Value 2, Tag Value 3 {} - {} - {}. AMS aggiorna questi tag AMS-Applied Patch Group ogni 12 ore. Se necessario, puoi aggiornare i valori dei tag del Patch Group con i tipi di modifica Tag | Update (Review Required) o Tag | Update (Review Required).

Ad esempio, se la tua EC2 istanza Amazon ha le seguenti coppie di tag chiave:valore:

  • AppId:MyApplication

  • Environment:Production

  • Group:1

Durante l'onboarding hai specificato le seguenti chiavi di tag:

  • First Tag Key = AppId

  • Second Tag Key = Environment

  • Third Tag Key = Group

AMS crea il seguente tag Patch Group e lo applica alle tue istanze:. Patch Group:MyApplication-Production-1

Nota

Gli avvisi di errore delle patch non vengono creati per le istanze con sistemi operativi non supportati o che vengono interrotte durante la finestra di manutenzione.

Prerequisiti di Patch Orchestrator

Il flusso di lavoro di Patch Orchestrator si rivolge EC2 alle istanze Amazon a cui è stata applicata la patch dall'ultima versione di System Manager Automation Document:. AWSManagedServices-PatchInstanceFromMaintenanceWindow

Come parte del flusso di lavoro documentale, il documento di comando run «AWS-RunPatchBaseline" viene eseguito su ciascuna delle EC2 istanze Amazon dei membri del gruppo di patch. Per ulteriori informazioni, consulta Informazioni sul documento SSM AWS- RunPatchBaseline.

Requisiti:

  • EC2 Istanza Amazon distribuita da Amazon Machine Image (AMI) fornita da AMS o su un'AMI tramite il CT «Stack from migration partner migrated instance» (ct-257p9zjk14ija).

  • Connessione Internet in uscita abilitata. Per firewall/proxy le soluzioni, il requisito è consentire gli endpoint di mirroring del repository and/or Linux di Windows Update, le impostazioni proxy di AWS System Manager e la configurazione del proxy di metadati. Per ulteriori informazioni, consulta Configurazione dell'agente SSM per l'utilizzo di un proxy e Utilizzo di un proxy HTTP

  • Ruolo IAM corrispondente all'accesso minimo permissivo per il servizio SSM del ruolo IAM. customer-mc-ec2-instance-profile

  • Consigliamo 10 GB di spazio disponibile nella partizione root. Per il sistema operativo Linux, almeno 2 GB disponibili nella /var partizione.

  • Autorità di certificazione funzionante e valida per il download degli aggiornamenti.

  • Windows Server Update Services (WSUS) - Registro che include, a titolo esemplificativo ma non esaustivo: DisableWindowsUpdateAccess, NoWindowsUpdate; Gli aggiornamenti automatici non devono compromettere il funzionamento del processo di Windows Update.

Convalida:

  • Per le istanze del sistema operativo Linux che utilizzano yum package manager, è possibile convalidare la disponibilità degli aggiornamenti eseguendo #yum check-update

  • Per Linux OS RedHat 5.7 e versioni successive, 6.1 e versioni successive e 7.0 e versioni successive; EC2 istanze Amazon migrate al tuo account AMS tramite il CT «Stack from migration partner migrated instance» (ct-257p9zjk14ija), devi convalidare lo stato del gestore delle sottoscrizioni per aggiornare le prestazioni.

  • Sul sistema operativo Windows, abilita Windows Server Update Services (WSUS). Nessuna politica locale dovrebbe bloccare la capacità di WSUS di scansionare o installare gli aggiornamenti. Una volta effettuato l'accesso come amministratore, è possibile convalidarlo eseguendo una scansione degli aggiornamenti disponibili dalla console del servizio Windows Update. Le versioni del sistema operativo Windows Server, tra cui 2012R2, 2016 e 2019, dispongono di impostazioni Windows Update predefinite per il download e l'installazione. È possibile configurare le impostazioni desiderate prima della scansione. Nelle versioni successive del sistema operativo, questa operazione può innescare l'installazione; configurate prima il comportamento desiderato.

  • Richiedi la convalida al team AMS Operations inviando una richiesta di servizio: "Documento di AWSManagedServices-CheckPatchingPrerequisites automazione da eseguire su un' EC2 istanza Amazon per la valutazione della preparazione delle patch».

Nota

Gli avvisi di errore delle patch non vengono creati per le istanze con sistemi operativi non supportati o che vengono interrotte durante la finestra di manutenzione.

Tag riservati di Patch Orchestrator

Patch Orchestrator genera anche i seguenti tag che non possono essere modificati:

  • AMSPatchGruppo: questo tag viene utilizzato per la generazione del valore dei tag Patch Group. Non dovresti modificare il AMSPatch gruppo. È possibile modificare il tag «Patch Group» se si desidera utilizzare un valore «Patch Group» personalizzato. Patch Orchestrator continua a generare un valore per AMSPatch Group in base alle chiavi di tag fornite durante l'onboarding, ma non modificherà il valore del tag «Patch Group» se è stato impostato su un valore personalizzato dall'utente. Per smettere di usare un valore personalizzato «Patch Group», puoi impostare il valore di «Patch Group» in modo che corrisponda al valore del tag Group. AMSPatch

  • AMSDefaultPatchGroup— Questo tag indica se un'istanza fa parte della finestra di manutenzione predefinita, con un valore di True o False. Se il Patch Group di un'istanza non è assegnato a una finestra di manutenzione, questo valore è impostato su True.