Patch standard AMS - Guida per l'utente avanzato di AMS
Sistemi operativi supportatiPatch supportateApplicazione di patch e progettazione dell'infrastrutturaErrori di applicazione delle patch standard AMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Patch standard AMS

AMS supporta i clienti esistenti utilizzando il modello di patching standard AMS, ma questo modello non è disponibile per i nuovi clienti e verrà ritirato a favore di AMS Patch Orchestrator.

I contenuti tipici delle patch per l'applicazione delle patch standard di AMS includono gli aggiornamenti dei fornitori per i sistemi operativi supportati e il software preinstallato con i sistemi operativi supportati (ad esempio, IIS e Apache Server).

Durante l'onboarding di AMS, si specificano i requisiti di applicazione delle patch, le policy, la frequenza e le finestre di patch preferite. Queste configurazioni consentono di evitare di mettere tutte le applicazioni offline contemporaneamente per applicare le patch all'infrastruttura, in modo da poter controllare a quale infrastruttura viene applicata la patch e quando.

Nota

Il processo di applicazione delle patch descritto in questo argomento si applica solo agli stack. L'infrastruttura AMS viene patchata durante un processo separato. La AWS Managed Services Maintenance Window (o Maintenance Window) esegue attività di manutenzione per AWS Managed Services (AMS) e si svolge il secondo giovedì di ogni mese dalle 15:00 alle 16:00 (ora del Pacifico). AMS può modificare la finestra di manutenzione con un preavviso di 48 ore. È possibile configurare la finestra delle patch AMS al momento dell'onboarding oppure approvare o rifiutare la notifica mensile del servizio di patch.

AMS analizza regolarmente EC2 le istanze Amazon gestite alla ricerca di aggiornamenti disponibili tramite la funzionalità di aggiornamento del sistema operativo. Forniamo inoltre aggiornamenti regolari alla base AMS Amazon Machine Images (AMIs) supportata nel nostro ambiente.

Dopo la convalida, le versioni AMS AMI vengono condivise con tutti gli account AMS. Puoi visualizzare le versioni AWS AMI disponibili utilizzando la chiamata EC2 API DescribeImagesAmazon o la EC2 console Amazon. Per trovare gli AMS disponibili AMIs, consultaTrova AMI IDs, AMS.

AMS esegue pianificazioni di patch ad hoc solo quando richiesto dall'utente. In precedenza AMS inviava una notifica; attualmente non viene inviata alcuna notifica.

Nota

Per impostazione predefinita, AMS utilizza Systems Manager per applicare le patch facendo in modo che il gestore pacchetti (Linux) o il servizio System Update (Windows) interroghino il proprio repository predefinito per vedere quali nuovi pacchetti sono disponibili. Se, nel corso delle day-to-day operazioni, avete installato un pacchetto su un host Linux utilizzando il gestore di pacchetti predefinito, tale gestore di pacchetti preleva anche i nuovi pacchetti per quel software quando sono disponibili. In tal caso, potresti voler eseguire un'azione di patch (descritta in questa sezione) per disattivare tale istanza.

Sistemi operativi supportati

Sistemi operativi supportati (x86-64)

  • Amazon Linux 2023

  • Amazon Linux 2 (data di fine del supporto AMS prevista per il 30 giugno 2026)

  • Oracle Linux 9.x, 8.x

  • Red Hat Enterprise Linux (RHEL) 9.x, 8.x

  • SUSE Linux Enterprise Server 15 SP6

  • SUSE Linux Enterprise Server per SAP 15 e versioni successive SP3

  • Microsoft Windows Server 2022, 2019, 2016

  • Ubuntu 20.04, 22.04, 24.04

Sistemi operativi supportati () ARM64

  • Amazon Linux 2023

  • Amazon Linux 2 (data di fine del supporto AMS prevista per il 30 giugno 2026)

Patch supportate

AWS Managed Services supporta l'applicazione di patch principalmente a livello di sistema operativo. Le patch installate possono differire in base al sistema operativo.

Importante

Tutti gli aggiornamenti vengono scaricati dagli archivi remoti del servizio patch di base di Systems Manager configurati sull'istanza e descritti più avanti in questo argomento. L'istanza deve essere in grado di connettersi ai repository in modo da poter eseguire l'applicazione delle patch.

Per disattivare il servizio di base delle patch per i repository che forniscono pacchetti che desideri gestire autonomamente, esegui il seguente comando per disabilitare il repository:

yum-config-manager DASHDASHdisable REPOSITORY_NAME

Recupera l'elenco dei repository attualmente configurati con il seguente comando:

yum repolist

  • Repository preconfigurati Amazon Linux (in genere quattro):

    ID del repository Nome del repository

    amzn-main/latest

    amzn-base principale

    amzn-updates/più recenti

    amzn-updates-base

    epel/x86_64

    Pacchetti aggiuntivi per Enterprise Linux 6 - x86_64

    pbis

    Aggiornamenti dei pacchetti PBIS

  • Archivi preconfigurati Red Hat Enterprise Linux (cinque per Red Hat Enterprise Linux 7 e cinque per Red Hat Enterprise Linux 6):

    ID del repository Nome del repository

    Regione RHUI- -7/x86_64 client-config-server

    Server di configurazione del client Red Hat Update Infrastructure 2.0

    Regione RHUI- /7Server/x86_64 rhel-server-releases

    Red Hat Enterprise Linux Server 7

    Regione RHUI- /7Server/x86_64 rhel-server-releases

    Red Hat Enterprise Linux Server 7 RH Common () RPMs

    epel/x86_64

    Pacchetti aggiuntivi per Enterprise Linux 7 - x86_64

    pbis

    Aggiornamenti dei pacchetti PBIS

    ID del repository Nome del repository

    Regione RHUI- -6 client-config-server

    Red Hat Update Infrastructure 2.0

    Regione RHUI- rhel-server-releases

    Red Hat Enterprise Linux Server 6 () RPMs

    Regione RHUI- rhel-server-rh-common

    Red Hat Enterprise Linux Server 6 RH Common () RPMs

    respingere

    Pacchetti aggiuntivi per Enterprise Linux 6 - x86_64

    pbis

    Aggiornamenti dei pacchetti PBIS

  • Archivi preconfigurati CentOS 7 (in genere cinque):

    ID del repository Nome del repository

    base/7/x86_64

    CentOS-7 - Base

    aggiornamenti/7/x86_64

    CentOS-7 - Aggiornamenti

    extras/7/x86_64

    CentOS-7 - Extra

    epel/x86_64

    Pacchetti aggiuntivi per Enterprise Linux 7 - x86_64

    pbis

    Aggiornamenti dei pacchetti PBIS

  • Per Microsoft Windows Server, tutti gli aggiornamenti vengono rilevati e installati utilizzando l'agente di Windows Update, configurato per utilizzare il catalogo di Windows Update (questo non include gli aggiornamenti di Microsoft Update).

    Nei sistemi operativi Microsoft Windows, Patch Manager utilizza il file cab wsusscn2.cab di Microsoft come fonte degli aggiornamenti di sicurezza del sistema operativo disponibili. Questo file contiene informazioni sugli aggiornamenti relativi alla sicurezza pubblicati da Microsoft. Patch Manager scarica regolarmente questo file da Microsoft e lo utilizza per aggiornare il set di patch disponibili per le istanze di Windows. Il file contiene solo gli aggiornamenti identificati da Microsoft come correlati alla sicurezza. Man mano che vengono elaborate le informazioni del file, Gestione patch rimuove anche gli aggiornamenti sostituiti da quelli successivi. Pertanto, viene visualizzato e può essere installato solo l'aggiornamento più recente. Ad esempio, se KB4 012214 sostituisce KB3135456, solo KB4 012214 viene reso disponibile come aggiornamento in Patch Manager.

    Per ulteriori informazioni sul file wsusscn2.cab, vedere l'articolo di Microsoft Using WUA to Scan for Updates Offline.

Applicazione di patch e progettazione dell'infrastruttura

AMS utilizza diversi metodi di applicazione delle patch a seconda della progettazione dell'infrastruttura: mutabili o immutabili (per le definizioni dettagliate, vedere). Termini chiave AMS

Con le infrastrutture mutabili, l'applicazione delle patch viene eseguita utilizzando una tradizionale metodologia locale di installazione degli aggiornamenti direttamente EC2 sulle istanze Amazon, individualmente, dai tecnici operativi AMS. Questo metodo di patching viene utilizzato per gli stack che non sono gruppi di Auto Scaling e contengono una singola istanza EC2 Amazon o poche istanze. In questo scenario, la sostituzione dell'AMI su cui si basava l'istanza o lo stack distruggerebbe tutte le modifiche apportate a quel sistema dalla prima implementazione, quindi ciò non avviene. Gli aggiornamenti vengono applicati al sistema in esecuzione e potrebbero verificarsi tempi di inattività del sistema (a seconda della configurazione dello stack) a causa del riavvio dell'applicazione o del sistema. Questo problema può essere mitigato con una strategia di aggiornamento. Blue/Green Per ulteriori informazioni, consulta AWS CodeDeploy Introduces Blue/Green Deployments.

Con infrastrutture immutabili, il metodo di patching sostituisce l'AMI. Le istanze immutabili vengono aggiornate in modo uniforme utilizzando un'AMI aggiornata che sostituisce l'AMI specificata nella configurazione del gruppo Auto Scaling. I rilasci di AMS aggiornati (ovvero con patch) AMIs ogni mese, di solito la settimana del Patch Tuesday. La sezione seguente descrive come funziona.

Errori di applicazione delle patch standard AMS

In caso di aggiornamenti non riusciti, AMS esegue un'analisi per comprendere la causa dell'errore e comunica all'utente l'esito dell'analisi. Se l'errore è attribuibile ad AMS, riproviamo a eseguire gli aggiornamenti se rientrano nella finestra di manutenzione. Altrimenti, AMS crea notifiche di servizio per l'aggiornamento non riuscito dell'istanza e attende le tue istruzioni.

In caso di guasti attribuibili al sistema, è possibile inviare una richiesta di assistenza con una nuova patch RFC per aggiornare le istanze.