Tutorial: creazione di una finestra di manutenzione per l'applicazione di patch tramite console

Per creare una finestra di manutenzione per l'applicazione di patch

1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

2. Nel pannello di navigazione, scegliere Maintenance Windows.

3. Scegliere Create maintenance window (Crea finestra di manutenzione).

4. Nel campo Name (Nome) immettere un nome che lo indichi come una finestra di manutenzione per l'applicazione di aggiornamenti critici e importanti.

5. (Facoltativo) In Description (Descrizione), immettere una descrizione.

6. Scegli Allow unregistered targets (Consenti destinazioni non registrate) per consentire a un'attività di una finestra di manutenzione di essere eseguita su nodi gestiti, anche se tali nodi non sono stati registrati come destinazioni.

   Se si sceglie questa opzione, è possibile scegliere i nodi non registrati (per ID nodo) quando si registra un'attività sulla finestra di manutenzione.

   Se non si sceglie questa opzione, è necessario scegliere destinazioni precedentemente registrate quando si registra un'attività sulla finestra di manutenzione.

7. Nella parte superiore della sezione Schedule (Pianificazione), specificare una pianificazione per la finestra di manutenzione utilizzando una delle tre opzioni di pianificazione.

   Per informazioni sulla creazione di cron/rate espressioni, vedereRiferimento: espressioni Cron e Rate per Systems Manager.

8. Per Duration (Durata), inserire il numero di ore di esecuzione della finestra di manutenzione. Il valore specificato determina l'ora di fine specifica per la finestra di manutenzione in base all'ora di inizio. Nessuna attività della finestra di manutenzione può essere avviata dopo l'ora di fine risultante meno il numero di ore specificato per Arresta l'inizializzazione di attività nella fase successiva.

   Ad esempio, se la finestra di manutenzione inizia alle 15:00, la durata è di tre ore e il valore Stop initiating tasks (Arresta l'inizializzazione di attività) è un'ora, nessuna attività della finestra di manutenzione può iniziare dopo le 17:00.

9. In Stop initiating tasks (Interrompi l'avvio delle attività), inserire il numero di ore prima del termine della finestra di manutenzione a partire dalle quali il sistema deve interrompere la pianificazione dell'esecuzione di nuove attività.

10. (Facoltativo) In Window start date (Data di inizio finestra), specificare una data e un'ora nel formato ISO-8601 Extended che indichi il momento dell'attivazione della finestra di manutenzione. In questo modo è possibile ritardare l'attivazione della finestra di manutenzione fino alla data futura indicata.

11. (Facoltativo) In Window end date (Data di fine finestra), specificare una data e un'ora nel formato ISO-8601 Extended che indichi il momento della disattivazione della finestra di manutenzione. In questo modo è possibile impostare una data e un'ora nel futuro in cui la finestra di manutenzione non sarà più in esecuzione.

12. (Facoltativo) In Schedule timezone (Pianificazione fuso orario), specificare il fuso orario su cui deve essere basata la pianificazione delle esecuzioni della finestra di manutenzione, nel formato IANA (Internet Assigned Numbers Authority). Ad esempio: "America/Los_Angeles", "etc/UTC", or "Asia/Seoul».

    Per ulteriori informazioni sui formati validi, consulta il Database dei fusi orari sul sito web IANA.

13. (Facoltativo) Nell'area Gestisci tag, applica una o più name/value coppie di chiavi di tag alla finestra di manutenzione.

    I tag sono metadati facoltativi assegnati a una risorsa. Consentono di categorizzare una risorsa in diversi modi, ad esempio in base allo scopo, al proprietario o all'ambiente. Ad esempio, è possibile applicare un tag a questa finestra di manutenzione per identificare il tipo di attività eseguito. In questo caso, puoi specificare la seguente name/value coppia di chiavi:

    • Key=TaskType,Value=Patching

14. Scegliere Create maintenance window (Crea finestra di manutenzione).

15. Nell'elenco delle finestre di manutenzione, scegliere la finestra di manutenzione appena creata, quindi scegliere Actions (Operazioni), Register targets (Registra destinazioni).

16. (Facoltativo) Nella sezione Maintenance window target details (Dettagli della finestra di manutenzione di destinazione), specificare il nome, la descrizione e le informazioni sul proprietario (il proprio nome o alias) per la destinazione.

17. In Target selection (Destinazioni) scegliere Specify instance tags (Specifica di tag delle istanze).

18. In Specify instance tags (Specifica tag delle istanze), immetti una chiave e un valore di tag per identificare i nodi da registrare nella finestra di manutenzione, quindi scegli Add (Aggiungi).

19. Scegliere Register target (Registra destinazione). Il sistema crea una finestra di manutenzione di destinazione.

20. Nella pagina dei dettagli della finestra di manutenzione creata, scegliere Actions (Operazioni), Register Run command task (Registra attività di esecuzione comandi).

21. (Facoltativo) In Maintenance window task details (Dettagli attività finestra di manutenzione) fornire il nome e la descrizione dell'attività.

22. Per Command document (Documento comando), scegliere AWS-RunPatchBaseline.

23. Per Priorità attività, scegliere una priorità. Zero (0) indica la priorità più elevata.

24. In Targets (Destinazioni), sotto Target by (Destinazione di), scegliere la finestra di manutenzione di destinazione creata precedentemente in questa procedura.

25. In Rate control (Controllo velocità):

    • In Concurrency (Simultaneità), specificare un numero o una percentuale di nodi gestiti su cui eseguire contemporaneamente il comando.

      Nota

      Se hai selezionato le destinazioni specificando i tag applicati ai nodi gestiti o specificando i gruppi di AWS risorse e non sei sicuro del numero di nodi gestiti come target, limita il numero di destinazioni che possono eseguire il documento contemporaneamente specificando una percentuale.

    • Per Error threshold (Soglia di errore) specificare quando interrompere l'esecuzione del comando sulle altri nodi gestiti dopo un errore su un numero o una percentuale di nodi. Se ad esempio si specificano 3 errori, Systems Manager interrompe l'invio del comando quando riceve il quarto errore. Anche i nodi gestiti che stanno ancora elaborando il comando potrebbero inviare errori.

26. (Facoltativo) In IAM service role (Ruolo di servizio IAM), scegli un ruolo affinché Systems Manager possa assumerlo durante l'esecuzione di attività della finestra di manutenzione.

    Se non specifichi un ARN del ruolo di servizio, Systems Manager utilizza un ruolo collegato al servizio nell’account. Se nell'account non esiste un ruolo collegato al servizio appropriato per Systems Manager, questo viene creato quando l'attività viene registrata correttamente.

    Nota

    Per migliorare il livello di sicurezza, consigliamo vivamente di creare una policy personalizzata e un ruolo di servizio personalizzato per l'esecuzione delle attività della finestra di manutenzione. C'è la possibilità di creare la policy per fornire solo le autorizzazioni necessarie per le specifiche attività della finestra di manutenzione. Per ulteriori informazioni, consulta Configurazione di Maintenance Windows.

27. (Opzionale) In Output optione (Opzioni di output), per salvare l'output del comando in un file, selezionare la casella Enable writing output to S3 (Abilita scrittura in S3). Digitare i nomi del bucket e del prefisso (cartella) nelle caselle.

    Nota

    Le autorizzazioni S3 che assegnano la possibilità di scrivere dati in un S3 Bucket sono quelle del profilo del nodo e non quelle dell'utente IAM che esegue questo processo. Per ulteriori informazioni, consulta le pagine Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager oppure Creazione di un ruolo di servizio IAM per un ambiente ibrido. Inoltre, se il bucket S3 specificato si trova in un Account AWS diverso, assicurarsi che il profilo dell'istanza o il ruolo di servizio IAM associato all'istanza disponga delle autorizzazioni necessarie per scrivere su quel bucket.

    Per trasmettere l'output a un gruppo di log di Amazon CloudWatch Logs, seleziona la casella CloudWatch di output. Inserisci il nome del gruppo di log nella casella.

28. Nella sezione SNS notifications (Notifiche SNS), se si desidera che vengano inviate notifiche sullo stato di esecuzione del comando, selezionare la casella di controllo Enable SNS notifications (Abilita notifiche SNS).

    Per ulteriori informazioni sulla configurazione delle notifiche Amazon SNS per Run Command, consulta Monitoraggio delle modifiche di stato di Systems Manager utilizzando le notifiche Amazon SNS.

29. In Parametri:

    • Nell'elenco Operation (Operazione) scegliere Scan (Scansione) per cercare le patch mancanti oppure Install (Installa) per cercare e installare le patch mancanti.

    • Non è necessario specificare nulla nel campo Snapshot Id (ID snapshot). Questo sistema genera e fornisce automaticamente questo parametro.

    • Non è necessario specificare nulla nel campo Install Override List (Installa elenco sostituzioni) a meno che non si desideri che Patch Manager utilizzi un set di patch diverso da quello specificato per la baseline della patch. Per informazioni, consulta Nome parametro: InstallOverrideList.

    • Per RebootOption, specifica se desideri che i nodi si riavviino se le patch vengono installate durante l'Installoperazione o se Patch Manager rileva altre patch installate dopo l'ultimo riavvio del nodo. Per informazioni, consulta Nome parametro: RebootOption.

    • (Facoltativo) In Comment (Commento) immettere una nota di tracciamento o un promemoria su questo comando.

    • Nella casella Timeout (seconds) (Timeout (secondi)) immettere il numero di secondi che devono trascorrere per il completamento dell'operazione prima che il sistema la consideri come non andata a buon fine.

30. Scegliere Register Run command task (Registra attività di esecuzione comandi).