Usando o Patch Orchestrator - Guia do usuário avançado do AMS
Pré-requisitos do Patch OrchestratorTags reservadas do Patch Orchestrator

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando o Patch Orchestrator

Ative o AMS Patch Orchestrator para sua conta enviando uma solicitação de serviço que inclua os seguintes detalhes:

  • Categoria: Outros

  • Assunto: Integração ao Patch Orchestrator

  • E-mails CC: os endereços de e-mail CC recebem notificações quando o status dessa RFC de integração é alterado

  • Detalhes: cole as informações a seguir no e-mail e forneça seus valores. Observe que isso ThirdTagKey é opcional. Para recomendações e exemplos, consulte a tabela a seguir. 

    Default maintenance window Schedule:
Default Maintenance Window Schedule TimeZone:
Default Maintenance Window Duration:
Default Maintenance Window Cutoff:
Default Patch Backup Retention In Days:
Default Maintenance Window Notification Emails:
First Tag Key:
Second Tag Key:
Third Tag Key:

A tabela a seguir descreve o formato e as recomendações para os valores fornecidos.

Configurações de patches baseadas em tags do Patch Orchestrator
Nome do parâmetro Informações Recomendação ou exemplo

Programação da janela de manutenção padrão

O cronograma da janela de manutenção padrão na forma de uma expressão cron ou de taxa. Por exemplo:

  • cron(0 3 ? * 6L *): 03:00 da manhã na última sexta-feira de cada mês

  • rate(7 days): A cada sete dias

Para obter mais informações sobre a criação de expressões cron e links para recursos de expressão cron e de taxa, consulte Expressões cron e de taxa para janelas de manutenção.

Recomendamos que a janela funcione pelo menos uma vez por mês em um dia útil consistente.

Fuso horário de programação da janela de manutenção padrão

O fuso horário no qual a janela de manutenção padrão é executada se baseia, no formato Internet Assigned Numbers Authority (IANA).

Por exemplo:

  • America/Los_Angeles

  • Etc/UTC

Duração padrão da janela de manutenção

A duração da janela de manutenção padrão em horas.

Pelo menos 1 hora a cada 50 instâncias, mais 2 horas para o limite.

Limite padrão da janela de manutenção

O número de horas antes do final da janela de manutenção padrão em que nenhum novo comando de patch é iniciado. Esse intervalo existe para permitir que a correção seja concluída antes que a janela termine.

Pelo menos 2 horas.

Retenção de backup de patches padrão em dias (opcional)

O tempo padrão em dias para manter os pontos de restauração do EBS criados antes da aplicação de patches nas instâncias.

Recomendamos manter o padrão, que é 60.

E-mails de notificação da janela de manutenção padrão

De um a cinco endereços de e-mail ou listas de distribuição para receber notificações sobre o status de correção da janela de manutenção padrão.

Recomendamos usar listas de distribuição em grupo em vez de e-mails individuais.

Primeira chave de tag

A primeira chave de tag a ser usada para criar seus valores de tag do Patch Group.

Por exemplo, AppId. Especifique null se você já tiver definido seus próprios grupos de patches com uma tag de grupo de patches.

Segunda chave de tag

A segunda chave de tag a ser usada para criar seus valores de tag do Patch Group.

Por exemplo, Meio Ambiente. Especifique null se você já tiver definido seus próprios grupos de patches com uma tag de grupo de patches.

Terceira chave de tag (opcional)

A terceira chave de tag opcional a ser usada para criar seus valores de tag do Patch Group.

Por exemplo, Grupo.

Depois de se integrar ao novo modelo de serviço de patches do Patch Orchestrator, todas as instâncias com tags apropriadas em sua conta pertencem a um grupo de patches com uma tag de grupo de patches. O Patch Orchestrator usa sua tag de Grupo de Patch existente ou uma tag criada pelo AMS que consiste em dois ou três valores de tag concatenados que você especificou durante a integração do Patch Orchestrator. Por exemplo, {Tag Value 1} - {Tag Value 2} - {Tag Value 3}. O AMS atualiza essas tags de grupo de patches aplicadas pelo AMS a cada 12 horas. Se necessário, você pode atualizar os valores da tag do seu Grupo de Patch com os tipos de alteração Tag | Atualizar (Revisão obrigatória) ou Tag | Atualizar (Revisão obrigatória).

Por exemplo, se sua EC2 instância da Amazon tiver os seguintes pares de tag chave-valor:

  • AppId:MyApplication

  • Environment:Production

  • Group:1

Durante a integração, você especificou as seguintes chaves de tag:

  • First Tag Key = AppId

  • Second Tag Key = Environment

  • Third Tag Key = Group

O AMS cria a seguinte tag de grupo de patches e a aplica às suas instâncias:Patch Group:MyApplication-Production-1.

nota

Os alertas de falha de patch não são criados para instâncias que têm sistemas operacionais incompatíveis ou que são interrompidas durante a janela de manutenção.

Pré-requisitos do Patch Orchestrator

O fluxo de trabalho do Patch Orchestrator tem como alvo EC2 as instâncias da Amazon que são corrigidas pela versão mais recente do documento de automação do System Manager:. AWSManagedServices-PatchInstanceFromMaintenanceWindow

Como parte do fluxo de trabalho do documento, o documento de comando run “AWS-RunPatchBaseline” é executado em cada uma das EC2 instâncias da Amazon a partir dos membros do grupo de patches. Para saber mais, consulte Sobre o documento SSM AWS-. RunPatchBaseline

Requisitos:

  • EC2 Instância da Amazon implantada a partir da Amazon Machine Image (AMI) fornecida pela AMS ou em uma AMI por meio da instância migrada do parceiro de migração “Stack from migration partner” CT (ct-257p9zjk14ija).

  • Conexão de saída à Internet ativada. Para firewall/proxy soluções, o requisito é permitir que o Windows atualize o repositório and/or Linux, endpoints espelhados, endpoints, configurações de proxy do AWS System Manager e configuração de proxy de metadados. Para obter mais informações, consulte Configurar o agente SSM para usar um proxy e Usar um proxy HTTP

  • Função do IAM que corresponde ao acesso mínimo permissivo para o serviço SSM da função do customer-mc-ec2-instance-profile IAM.

  • Recomendamos 10 GB de espaço disponível na partição raiz. Para o sistema operacional Linux, pelo menos 2 GB disponíveis na /var partição.

  • Autoridade de certificação válida e ativa para downloads de atualizações.

  • Windows Server Update Services (WSUS) - Registro incluindo, mas não limitado a: DisableWindowsUpdateAccess, NoWindowsUpdate; As atualizações automáticas não devem prejudicar a operação do processo do Windows Update.

Validação:

  • Para instâncias do sistema operacional Linux usando o gerenciador de pacotes yum, você pode validar a disponibilidade de atualizações executando #yum check-update

  • Para Linux OS RedHat 5.7 e mais recente, 6.1 e mais recente e 7.0 e mais recente; EC2 instâncias da Amazon migraram para sua conta AMS por meio da CT “Stack from migration partner migrated instance” (ct-257p9zjk14ija), você precisa validar o status do gerenciador de assinaturas para verificar o desempenho da atualização.

  • No sistema operacional Windows, habilite o Windows Server Update Services (WSUS). Nenhuma política local deve bloquear a capacidade do WSUS de verificar ou instalar atualizações. Depois de fazer login como administrador, você pode validá-lo executando uma verificação das atualizações disponíveis no console do Windows Update Service. As versões do sistema operacional Windows Server, incluindo 2012R2, 2016 e 2019, têm configurações padrão do Windows Update para baixar e instalar. Você pode definir as configurações desejadas antes da digitalização. Em versões posteriores do sistema operacional, essa operação pode acionar a instalação; configure o comportamento desejado com antecedência.

  • Solicite a validação da equipe de operações do AMS enviando uma solicitação de serviço: “Documento de AWSManagedServices-CheckPatchingPrerequisites automação a ser executado na EC2 instância da Amazon para avaliação da prontidão do patch”.

nota

Os alertas de falha de patch não são criados para instâncias que têm sistemas operacionais incompatíveis ou que são interrompidas durante a janela de manutenção.

Tags reservadas do Patch Orchestrator

O Patch Orchestrator também gera as seguintes tags que não podem ser modificadas:

  • AMSPatchGrupo — Essa tag é usada para a geração do valor da tag Patch Group. Você não deve modificar o AMSPatch Grupo. Você pode modificar a tag “Grupo de patches” se quiser usar um valor personalizado de “Grupo de patches”. O Patch Orchestrator continua gerando um valor para o AMSPatch Grupo com base nas chaves de tag fornecidas durante a integração, mas não modificará o valor da tag “Grupo de Patches” se ele tiver sido definido como um valor personalizado por você. Para parar de usar um valor personalizado de “Grupo de patches”, você pode definir o valor de “Grupo de patches” para corresponder ao valor da tag do AMSPatch grupo.

  • AMSDefaultPatchGroup— Essa tag indica se uma instância faz parte da janela de manutenção padrão, com um valor verdadeiro ou falso. Se o Patch Group de uma instância não estiver atribuído a uma janela de manutenção, esse valor será definido como True.