Correção padrão do AMS - Guia do usuário avançado do AMS
Sistemas operacionais compatíveisPatches compatíveisPatching e design de infraestruturaFalhas de patches padrão do AMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Correção padrão do AMS

O AMS oferece suporte a clientes existentes usando o modelo de patch padrão do AMS, mas esse modelo não está disponível para novos clientes e está sendo retirado em favor do AMS Patch Orchestrator.

O conteúdo típico do patch padrão do AMS inclui atualizações do fornecedor para sistemas operacionais suportados e software pré-instalado com sistemas operacionais compatíveis (por exemplo, IIS e Apache Server).

Durante a integração do AMS, você especifica os requisitos, a política, a frequência e as janelas de patch preferenciais. Essas configurações significam que você pode evitar colocar os aplicativos off-line de uma só vez para aplicar patches na infraestrutura, para que você possa controlar qual infraestrutura será corrigida e quando.

nota

O processo de correção descrito neste tópico se aplica somente às suas pilhas. A infraestrutura do AMS é corrigida durante um processo separado. A janela de manutenção do AWS Managed Services (ou janela de manutenção) realiza atividades de manutenção para o AWS Managed Services (AMS) e ocorre na segunda quinta-feira de cada mês, das 15h às 16h, horário do Pacífico. O AMS pode alterar a janela de manutenção com 48 horas de antecedência. Você configura a janela de patch do AMS na integração ou aprova ou rejeita a notificação mensal do serviço de patch.

O AMS examina regularmente as EC2 instâncias gerenciadas da Amazon em busca de atualizações disponíveis por meio da funcionalidade de atualização do sistema operacional. Também fornecemos atualizações regulares para a base do AMS Amazon Machine Images (AMIs) suportada em nosso ambiente.

Depois de validadas, as versões do AMS AMI são compartilhadas com todas as contas do AMS. Você pode visualizar as versões disponíveis da AWS AMI usando a chamada de EC2 API da DescribeImagesAmazon ou usando o EC2 console da Amazon. Para encontrar o AMS disponível AMIs, consulteEncontre AMI IDs, AMS.

O AMS executa cronogramas de patches ad hoc somente quando solicitado por você. Anteriormente, o AMS enviava uma notificação; atualmente, uma notificação não é enviada.

nota

Por padrão, o AMS usa o Systems Manager para aplicar patches fazendo com que o gerenciador de pacotes (Linux) ou o serviço System Update (Windows) consulte seu repositório padrão para ver quais novos pacotes estão disponíveis. Se, durante o curso de suas day-to-day operações, você instalou um pacote em um host Linux usando o gerenciador de pacotes padrão, esse gerenciador de pacotes também selecionará novos pacotes para esse software quando estiverem disponíveis. Nesse caso, talvez você queira realizar uma ação de correção (descrita nesta seção) para optar por não participar dessa instância.

Sistemas operacionais compatíveis

Sistemas operacionais compatíveis (x86-64)

  • Amazon Linux 2023

  • Amazon Linux 2 (data prevista de término do suporte ao AMS em 30 de junho de 2026)

  • Oracle Linux 9.x, 8.x

  • Red Hat Enterprise Linux (RHEL) 9.x, 8.x

  • Servidor SUSE Linux Enterprise 15 SP6

  • SUSE Linux Enterprise Server para SAP 15 SP3 e versões posteriores

  • Microsoft Windows Server 2022, 2019, 2016

  • Ubuntu 20.04, 22.04, 24.04

Sistemas operacionais compatíveis (ARM64)

  • Amazon Linux 2023

  • Amazon Linux 2 (data prevista de término do suporte ao AMS em 30 de junho de 2026)

Patches compatíveis

O AWS Managed Services oferece suporte à aplicação de patches principalmente no nível do sistema operacional. Os patches instalados podem diferir de acordo com o sistema operacional.

Importante

Todas as atualizações são baixadas dos repositórios remotos do serviço de linha de base de patches do Systems Manager configurados na instância e descritos posteriormente neste tópico. A instância deve ser capaz de se conectar aos repositórios para que a correção possa ser executada.

Para desativar o serviço de linha de base de patches para repositórios que entregam pacotes que você mesmo deseja manter, execute o comando a seguir para desativar o repositório:

yum-config-manager DASHDASHdisable REPOSITORY_NAME

Recupere a lista dos repositórios atualmente configurados com o seguinte comando:

yum repolist

  • Repositórios pré-configurados do Amazon Linux (geralmente quatro):

    ID do repositório Nome do repositório

    amzn-main/mais recente

    Base principal da AMZN

    atualizações do amzn/últimas

    Base de atualizações da AMZN

    pele/x86_64

    Pacotes extras para Enterprise Linux 6 - x86_64

    pbis

    Atualizações dos pacotes PBIS

  • Repositórios pré-configurados do Red Hat Enterprise Linux (cinco para o Red Hat Enterprise Linux 7 e cinco para o Red Hat Enterprise Linux 6):

    ID do repositório Nome do repositório

    Região RHUI- -7/x86_64 client-config-server

    Conjunto de configuração do cliente Red Hat Update Infrastructure 2.0

    Região RHUI- /7Server/x86_64 rhel-server-releases

    Servidor Red Hat Enterprise Linux 7

    Região RHUI- /7Server/x86_64 rhel-server-releases

    Servidor Red Hat Enterprise Linux 7 RH Comum () RPMs

    pele/x86_64

    Pacotes extras para Enterprise Linux 7 - x86_64

    pbis

    Atualizações dos pacotes PBIS

    ID do repositório Nome do repositório

    Região de Rhui- -6 client-config-server

    Red Hat Update Infrastructure 2.0

    Região de Rhui- rhel-server-releases

    Servidor Linux Empresarial Red Hat (6RPMs)

    Região de Rhui- rhel-server-rh-common

    Red Hat Enterprise Linux Server 6 RH Comum () RPMs

    repelir

    Pacotes extras para Enterprise Linux 6 - x86_64

    pbis

    Atualizações dos pacotes PBIS

  • Repositórios pré-configurados do CentOS 7 (geralmente cinco):

    ID do repositório Nome do repositório

    base/7/x86_64

    CentOS-7 - Base

    atualizações/7/x86_64

    CentOS-7 - Atualizações

    extras/7/x86_64

    CentOS-7 - Extras

    pele/x86_64

    Pacotes extras para Enterprise Linux 7 - x86_64

    pbis

    Atualizações dos pacotes PBIS

  • Para o Microsoft Windows Server, todas as atualizações são detectadas e instaladas usando o Windows Update Agent, que está configurado para usar o catálogo do Windows Update (isso não inclui atualizações do Microsoft Update).

    Nos sistemas operacionais Microsoft Windows, o Patch Manager usa o arquivo cab wsusscn2.cab da Microsoft como fonte das atualizações de segurança disponíveis do sistema operacional. Esse arquivo contém informações sobre as atualizações de segurança que o Microsoft publica. O Patch Manager baixa esse arquivo regularmente da Microsoft e o usa para atualizar o conjunto de patches disponíveis para instâncias do Windows. O arquivo contém apenas atualizações que a Microsoft identifica como relacionada à segurança. Quando as informações no arquivo são processadas, o Patch Manager remove também atualizações que foram substituídas por atualizações posteriores. Portanto, apenas a atualização mais recente é exibida e disponibilizada para instalação. Por exemplo, se KB4 012214 substituir KB3135456, somente KB4 012214 será disponibilizado como uma atualização no Patch Manager.

    Para ler mais sobre o arquivo wsusscn2.cab, consulte o artigo da Microsoft Usando o WUA para verificar atualizações off-line.

Patching e design de infraestrutura

O AMS emprega diferentes métodos de correção, dependendo do design da sua infraestrutura: mutável ou imutável (para obter definições detalhadas, consulte). Termos-chave do AMS

Com infraestruturas mutáveis, a correção é feita usando uma metodologia tradicional local de instalação de atualizações diretamente nas EC2 instâncias da Amazon, individualmente, pelos engenheiros de operações da AMS. Esse método de correção é usado para pilhas que não são grupos do Auto Scaling e contêm uma única instância da EC2 Amazon ou algumas instâncias. Nesse cenário, substituir a AMI na qual a instância ou a pilha se baseava destruiria todas as alterações feitas nesse sistema desde que ele foi implantado pela primeira vez, então isso não é feito. As atualizações são aplicadas ao sistema em execução e você pode enfrentar um tempo de inatividade do sistema (dependendo da configuração da pilha) devido à reinicialização do aplicativo ou do sistema. Isso pode ser mitigado com uma estratégia de Blue/Green atualização. Para obter mais informações, consulte AWS CodeDeploy Apresenta Blue/Green implantações.

Com infraestruturas imutáveis, o método de aplicação de patches é o substituto da AMI. As instâncias imutáveis são atualizadas uniformemente usando uma AMI atualizada que substitui a AMI especificada na configuração do grupo Auto Scaling. Os lançamentos do AMS são atualizados (ou seja, corrigidos) AMIs todos os meses, geralmente na semana do Patch Tuesday. A seção a seguir descreve como isso funciona.

Falhas de patches padrão do AMS

Em caso de falha nas atualizações, o AMS realiza uma análise para entender a causa da falha e comunica o resultado da análise a você. Se a falha for atribuível ao AMS, tentaremos novamente as atualizações se elas estiverem dentro da janela de manutenção. Caso contrário, o AMS cria notificações de serviço para a falha na atualização da instância e aguarda suas instruções.

Para falhas atribuíveis ao seu sistema, você pode enviar uma solicitação de serviço com um novo patch RFC para atualizar as instâncias.