패치 오케스트레이터 사용 - AMS 고급 사용 설명서
패치 오케스트레이터 사전 조건패치 오케스트레이터 예약 태그

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

패치 오케스트레이터 사용

다음 세부 정보가 포함된 서비스 요청을 제출하여 계정에 대해 AMS Patch Orchestrator를 활성화합니다.

  • 범주: 기타

  • 제목: 패치 오케스트레이터에 온보딩

  • CC 이메일: CC 이메일 주소는이 온보딩 RFC의 상태가 변경될 때 알림을 받습니다.

  • 세부 정보: 다음 정보를 이메일에 붙여넣고 값을 입력합니다. ThirdTagKey는 선택 사항입니다. 권장 사항 및 예제는 다음 표를 참조하세요.

    Default maintenance window Schedule:
Default Maintenance Window Schedule TimeZone:
Default Maintenance Window Duration:
Default Maintenance Window Cutoff:
Default Patch Backup Retention In Days:
Default Maintenance Window Notification Emails:
First Tag Key:
Second Tag Key:
Third Tag Key:

다음 표에서는 제공된 값의 형식과 권장 사항을 설명합니다.

패치 오케스트레이터 태그 기반 패치 구성
파라미터 이름 정보 권장 사항 또는 예제

기본 유지 관리 기간 일정

cron 또는 rate 표현식 형태의 기본 유지 관리 기간의 일정입니다. 예:

  • cron(0 3 ? * 6L *): 매월 마지막 금요일 오전 3시

  • rate(7 days): 7일마다

cron 표현식 생성 및 cron 및 rate 표현식 리소스에 대한 링크에 대한 자세한 내용은 유지 관리 기간의 Cron 및 rate 표현식을 참조하세요.

일관된 평일에 한 달에 한 번 이상 기간을 실행하는 것이 좋습니다.

기본 유지 관리 기간 일정 시간대

기본 유지 관리 기간이 실행되는 시간대는 IANA(Internet Assigned Numbers Authority) 형식을 기반으로 합니다.

예:

  • America/Los_Angeles

  • etc/UTC

기본 유지 관리 기간

기본 유지 관리 기간의 지속 시간입니다.

인스턴스 50개당 최소 1시간, 컷오프의 경우 2시간.

기본 유지 관리 기간 컷오프

새 패치 적용 명령이 시작되지 않는 기본 유지 관리 기간이 끝나기 전의 시간입니다. 이 간격은 기간이 끝나기 전에 패치 적용이 완료될 때까지 충분한 시간을 허용하기 위해 존재합니다.

최소 2시간.

기본 패치 백업 보존 일수(선택 사항)

인스턴스를 패치하기 전에 생성된 EBS 복원 지점을 유지하기 위한 일 단위의 기본 시간입니다.

기본값인 60을 유지하는 것이 좋습니다.

기본 유지 관리 기간 알림 이메일

기본 유지 관리 기간 패치 상태에 대한 알림을 수신할 이메일 주소 또는 배포 목록 1~5개.

개별 이메일 대신 그룹 배포 목록을 사용하는 것이 좋습니다.

첫 번째 태그 키

패치 그룹 태그 값을 생성하는 데 사용할 첫 번째 태그 키입니다.

AppId. 패치 그룹 태그로 자체 패치 그룹을 이미 정의한 경우 null을 지정합니다.

두 번째 태그 키

패치 그룹 태그 값을 생성하는 데 사용할 두 번째 태그 키입니다.

예: 환경. 패치 그룹 태그로 자체 패치 그룹을 이미 정의한 경우 null을 지정합니다.

세 번째 태그 키(선택 사항)

패치 그룹 태그 값을 생성하는 데 사용할 선택적 세 번째 태그 키입니다.

예: 그룹.

새 패치 오케스트레이터 패치 서비스 모델에 온보딩된 후 계정에서 적절하게 태그가 지정된 모든 인스턴스는 패치 그룹 태그가 있는 패치 그룹에 속합니다. 패치 오케스트레이터는 기존 패치 그룹 태그 또는 패치 오케스트레이터 온보딩 중에 지정한 두 개 또는 세 개의 연결된 태그 값으로 구성된 AMS 생성 태그를 사용합니다. 예: {Tag Value 1}-{Tag Value 2}-{Tag Value 3}. AMS는 이러한 AMS 적용 패치 그룹 태그를 12시간마다 업데이트합니다. 필요한 경우 태그 | 업데이트(검토 필요) 또는 태그 | 업데이트(검토 필요) 변경 유형을 사용하여 패치 그룹 태그 값을 업데이트할 수 있습니다.

예를 들어 Amazon EC2 인스턴스에 다음과 같은 태그 키:값 페어가 있는 경우:

  • AppId:MyApplication

  • Environment:Production

  • Group:1

온보딩 중에 다음 태그 키를 지정했습니다.

  • First Tag Key = AppId

  • Second Tag Key = Environment

  • Third Tag Key = Group

AMS는 패치 그룹 태그를 생성하여 인스턴스에 적용합니다Patch Group:MyApplication-Production-1.

참고

지원되지 않는 운영 체제가 있거나 유지 관리 기간 동안 중지된 인스턴스에 대해서는 패치 실패 알림이 생성되지 않습니다.

패치 오케스트레이터 사전 조건

패치 오케스트레이터 워크플로는 최신 버전의 System Manager Automation Document: AWSManagedServices-PatchInstanceFromMaintenanceWindow로 패치된 Amazon EC2 인스턴스를 대상으로 합니다.

문서 워크플로의 일부로 실행 명령 문서 "AWS-RunPatchBaseline"은 패치 그룹 멤버 중 각 Amazon EC2 인스턴스에 대해 실행됩니다. 자세한 내용은 SSM 문서 AWS-RunPatchBaseline 정보를 참조하세요.

요구 사항:

  • AMS 제공 Amazon Machine Image(AMI) 또는 "마이그레이션 파트너의 스택 마이그레이션 인스턴스" CT(ct-257p9zjk14ija)를 통해 AMI에 배포된 Amazon EC2 인스턴스입니다.

  • 송신 인터넷 연결이 활성화되었습니다. 방화벽/프록시 솔루션의 경우 Windows 업데이트 엔드포인트 및/또는 Linux 리포지토리 미러 엔드포인트, AWS 시스템 관리자 프록시 설정 및 메타데이터 프록시 구성을 허용해야 합니다. 자세한 내용은 프록시를 사용하도록 SSM 에이전트 구성HTTP 프록시 사용을 참조하세요.

  • IAM 역할의 SSM 서비스에 대한 최소 허용 액세스와 일치하는 customer-mc-ec2-instance-profile IAM 역할입니다.

  • 사용 가능한 루트 파티션 공간은 10GB가 좋습니다. Linux OS의 경우 /var 파티션에서 최소 2GB를 사용할 수 있습니다.

  • 업데이트 다운로드를 위한 유효한 인증 기관입니다.

  • Windows Server Update Services(WSUS) - DisableWindowsUpdateAccess, NoWindowsUpdate를 포함하되 이에 국한되지 않는 레지스트리입니다. 자동 업데이트는 Windows 업데이트 프로세스의 작동을 손상시키지 않아야 합니다.

검증:

  • yum 패키지 관리자를 사용하는 Linux OS 인스턴스의 경우를 실행하여 업데이트 가용성을 검증할 수 있습니다. #yum check-update

  • Linux OS RedHat 5.7 이상, 6.1 이상, 7.0 이상, Amazon EC2 인스턴스가 "마이그레이션 파트너 마이그레이션 인스턴스의 스택" CT(ct-257p9zjk14ija)를 통해 AMS 계정으로 마이그레이션된 경우 업데이트 성능을 위해 구독 관리자 상태를 검증해야 합니다.

  • Windows OS에서 Windows Server Update Services(WSUS)를 활성화합니다. 로컬 정책은 업데이트를 스캔하거나 설치하는 WSUS 기능을 차단해서는 안 됩니다. 관리자로 로깅되면 Windows Update Service 콘솔에서 사용 가능한 업데이트를 스캔하여 검증할 수 있습니다. 2012R2, 2016 및 2019를 포함한 Windows Server OS 릴리스에는 다운로드 및 설치에 대한 기본 Windows 업데이트 설정이 있습니다. 스캔 전에 원하는 설정을 구성할 수 있습니다. 이후 OS 릴리스에서이 작업은 설치를 트리거하고 원하는 동작을 미리 구성할 수 있습니다.

  • ‘패치 준비 상태 평가를 위해 Amazon EC2 인스턴스에 대해 실행하기 위한 AWSManagedServices-CheckPatchingPrerequisites Automation 문서’ 서비스 요청을 제출하여 AMS 운영 팀의 검증을 요청합니다.

참고

지원되지 않는 운영 체제가 있거나 유지 관리 기간 동안 중지된 인스턴스에 대해서는 패치 실패 알림이 생성되지 않습니다.

패치 오케스트레이터 예약 태그

패치 오케스트레이터는 수정할 수 없는 다음 태그도 생성합니다.

  • AMSPatchGroup -이 태그는 패치 그룹 태그 값 생성에 사용됩니다. AMSPatchGroup을 수정해서는 안 됩니다. 사용자 지정 "패치 그룹" 값을 사용하려면 "패치 그룹" 태그를 수정할 수 있습니다. 패치 오케스트레이터는 온보딩 중에 제공된 태그 키를 기반으로 AMSPatchGroup 값을 계속 생성하지만 사용자가 사용자 지정 값으로 설정한 경우 "패치 그룹" 태그 값을 수정하지 않습니다. 사용자 지정 "패치 그룹" 값 사용을 중지하려면 AMSPatchGroup 태그 값과 일치하도록 "패치 그룹" 값을 설정할 수 있습니다.

  • AMSDefaultPatchGroup -이 태그는 인스턴스가 기본 유지 관리 기간의 일부이고 값이 True 또는 False인지 여부를 나타냅니다. 인스턴스의 패치 그룹이 유지 관리 기간에 할당되지 않은 경우이 값은 True로 설정됩니다.