View a markdown version of this page

Progettazione di soluzioni di patch per più AWS account e regioni - AWS Guida prescrittiva
Processo automatizzatoConsiderazioni e limitazioni architettoniche

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Progettazione di soluzioni di patch per più AWS account e regioni

Puoi estendere la soluzione di patching automatizzata per supportare server che si estendono su più account e più regioni. AWS AWS La soluzione estesa prevede la configurazione della soluzione di automazione delle patch in ogni AWS account tramite AWS CloudFormation StackSets un account di servizi condivisi e la configurazione di una sincronizzazione dei dati delle risorse tra gli account con l'account di servizi condivisi.

Processo automatizzato

Il diagramma seguente illustra l'architettura di questo scenario. Questa architettura include un CloudFormation StackSets account di servizio AWS condiviso.

Reference architecture and workflow for patching mutable EC2 instances that span multiple AWS accounts and AWS Regions

Il flusso di lavoro è simile al processo descritto nella sezione precedente, ma prevede i seguenti passaggi aggiuntivi, in cui i numeri dei passaggi corrispondono ai callout nel diagramma:

  1. Nell'account dei servizi condivisi, viene utilizzato un set di CloudFormation stack per configurare il bucket S3 per la sincronizzazione dei dati delle risorse tramite Systems Manager Inventory.

  2. Il set di CloudFormation stack crea lo stack con la funzione automate-patch Lambda, imposta le linee di base delle patch e imposta la sincronizzazione dei dati delle risorse di Systems Manager Inventory sugli account delle applicazioni, per sincronizzare le risorse nell'account dei servizi condivisi.

  3. Le informazioni sulle risorse negli account dell'applicazione sono sincronizzate con le informazioni sulle risorse nell'account dei servizi condivisi.

  4. Quick genera report di conformità delle patch, utilizzando il set di dati Amazon Athena per le informazioni sincronizzate sulle risorse.

Considerazioni e limitazioni architettoniche

Quote relative alla finestra di manutenzione per account

L'architettura illustrata e descritta nella sezione precedente crea una finestra di manutenzione per ogni gruppo di patch. Tuttavia, la quota per il numero di finestre di manutenzione per AWS account è 50 (supponendo che non sia stato richiesto un aumento della quota di servizio). Se prevedi che il numero di gruppi di patch superi i 50 gruppi in un singolo AWS account, questa architettura non sarà scalabile per soddisfare i tuoi requisiti.

Se un aumento della quota di servizio non è sufficiente per le vostre esigenze, ci sono due opzioni per gestire questa sfida: utilizzare finestre di manutenzione predefinite e utilizzare CloudWatch gli eventi. Ecco i vantaggi e gli svantaggi di ogni approccio.

Opzione 1 Usa finestre di manutenzione predefinite

  • Definisci un elenco di finestre di manutenzione con diverse finestre temporali (ad esempio, da 15 a 20 finestre di manutenzione per account).

  • I team applicativi scelgono le finestre di manutenzione più adatte a loro dall'elenco predefinito e contrassegnano le istanze di conseguenza.

  • Aggiorna la soluzione di patching automatizzata per mappare i gruppi di patch alle finestre di manutenzione selezionate anziché creare nuove finestre di manutenzione.

Pro:

  • Gestione semplificata.

Contro:

  • Meno flessibilità nella definizione di finestre di manutenzione personalizzate.

  • Quando più gruppi di patch condividono le finestre di manutenzione e le attività relative alle patch, l'annullamento di un'attività di patch specifica per un gruppo di patch specifico richiede un ulteriore intervento manuale.

Opzione 2. Utilizza CloudWatch gli eventi per attivare le attività di patch anziché utilizzare le finestre di manutenzione

  • Invece di creare finestre di manutenzione, utilizzate CloudWatch Events per attivare le attività di patch in base alla pianificazione e ai gruppi di patch.

  • In questo scenario, ogni gruppo di patch è associato a un evento CloudWatch Events anziché a una finestra di manutenzione.

  • Aggiorna la soluzione di patching automatizzata per creare eventi anziché finestre di manutenzione.

Pro:

  • Design scalabile.

  • Fornisce flessibilità per definire finestre di manutenzione personalizzate.

Contro:

  • Le finestre di manutenzione forniscono funzionalità aggiuntive (come la durata e gli orari limite) che non sono disponibili con CloudWatch Events.

Altre considerazioni

  • La soluzione di patching automatizzata descritta in questa sezione non supporta le istanze EC2 che vengono chiuse.

  • Questo processo supporta le istanze EC2 nelle sottoreti pubbliche. Per applicare patch alle istanze nelle sottoreti private, devi distribuire un archivio di patch locale come Windows Server Update Services (WSUS).

  • È necessario regolare la frequenza di esecuzione della funzione Lambda in modo che i gruppi di patch e le finestre di manutenzione vengano aggiornati in base alla pianificazione richiesta.