本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用补丁编排器
提交包含以下详细信息的服务请求,为您的账户启用 AMS Patch Orchestrator:
类别:其他
主题:入门 Patch Orchestrator
抄送电子邮件:当此入职 RFC 的状态发生变化时,抄送电子邮件地址会收到通知
详情:将以下信息粘贴到电子邮件中并提供您的价值观。请注意, ThirdTagKey 是可选的。有关建议和示例,请参阅下表。
Default maintenance window Schedule: Default Maintenance Window Schedule TimeZone: Default Maintenance Window Duration: Default Maintenance Window Cutoff: Default Patch Backup Retention In Days: Default Maintenance Window Notification Emails: First Tag Key: Second Tag Key: Third Tag Key:
下表描述了您提供的值的格式和建议。
| 参数的名称 | 信息 | 推荐或示例 |
|---|---|---|
默认维护时段计划 |
默认维护时段的计划,以 cron 或速率表达式的形式出现。例如:
有关创建 cron 表达式以及指向 cron 和速率表达式资源的链接的更多信息,请参阅维护时段的 Cron 和费率表达式。 |
我们建议在稳定的工作日每月至少运行一次窗口。 |
默认维护时段计划时区 |
默认维护时段所基于的时区采用互联网号码分配机构 (IANA) 格式。 |
例如:
|
默认维护时段持续时间 |
默认维护时段的持续时间(以小时为单位)。 |
每 50 个实例至少 1 小时,外加 2 小时的截止时间。 |
默认维护时段截止时间 |
默认维护时段结束前没有启动任何新的修补命令的小时数。存在此间隔是为了留出足够的时间在窗口结束之前完成修补。 |
至少 2 小时。 |
默认 Patch Backup 保留天数(可选) |
在修补实例之前保留创建的 EBS 还原点的默认时间(以天为单位)。 |
我们建议保留默认值,即 60。 |
默认维护时段通知电子邮件 |
一到五个电子邮件地址或通讯组列表,用于接收有关默认维护时段修补状态的通知。 |
我们建议使用群组通讯组列表代替个人电子邮件。 |
第一个标签密钥 |
用于创建 Patch Group 标签值的第一个标签密钥。 |
例如 AppId。如果您已经使用修补程序组标签定义了自己的修补程序组,请指定 null。 |
第二个标签密钥 |
用于创建 Patch Group 标签值的第二个标签密钥。 |
例如,环境。如果您已经使用修补程序组标签定义了自己的修补程序组,请指定 null。 |
第三个标签密钥(可选) |
用于创建 Patch Group 标签值的可选第三个标签键。 |
例如,群组。 |
在您加入新的 Patch Orchestrator 修补服务模型后,您账户中所有经过适当标记的实例都属于带有补丁组标签的补丁组。Patch Orchestrator 使用你现有的补丁组标签,或者使用 AMS 创建的标签,该标签由你在 Patch Orchestrator 入职期间指定的两个或三个串联的标签值组成。例如,{Tag Value
1}-{Tag Value 2}-{Tag
Value 3}。AMS 每 12 小时更新这些 AMS 应用的补丁组标签。如果需要,您可以使用标记 | 更新(需要审阅)或标记 | 更新(需要审阅)更改类型来更新补丁组标签值。
例如,如果您的 Amazon EC2 实例具有以下标签键:值对:
AppId:MyApplicationEnvironment:ProductionGroup:1
在入职期间,您指定了以下标签键:
First Tag Key = AppIdSecond Tag Key = EnvironmentThird Tag Key = Group
AMS 创建以下补丁组标签并将其应用于您的实例:Patch Group:MyApplication-Production-1.
注意
不会为操作系统不支持的实例创建补丁失败警报,也不会为在维护时段内停止的实例创建补丁失败警报。
补丁编排器先决条件
Patch Orchestrator 工作流程针对的是由最新版本的系统管理器自动化文档修补的亚马逊 EC2 实例:. AWSManagedServices-PatchInstanceFromMaintenanceWindow
作为文档工作流程的一部分,运行命令文档 “AWS-RunPatchBaseline” 是针对补丁组成员中的每个 Amazon EC2 实例运行的。要了解更多信息,请参阅关于 SSM 文档 AWS-RunPatchBaseline。
要求:
从 AMS 提供的亚马逊系统映像 (AMI) 部署的亚马逊 EC2 实例,或者通过 “迁移合作伙伴迁移的实例堆栈” CT (ct-257p9zjk14ija) 在 AMI 上部署。
已启用出口互联网连接。对于 firewall/proxy 解决方案,要求允许 Windows 更新终端节点 and/or Linux 存储库镜像终端节点、AWS 系统管理器代理设置和元数据代理配置。有关更多信息,请参阅将 SSM 代理配置为使用代理和使用 HTTP 代理
IAM 角色与 IAM 角色的 SSM 服务的最低许可访问权限相匹配。
customer-mc-ec2-instance-profile我们建议 10 GB 的可用根分区空间。对于 Linux 操作系统,该
/var分区中至少有 2 GB 的可用空间。适用于更新下载的有效证书颁发机构。
Windows 服务器更新服务 (WSUS)-注册表包括但不限于: DisableWindowsUpdateAccess, NoWindowsUpdate;自动更新不得损害 Windows 更新过程的运行。
验证:
对于使用 yum 包管理器的 Linux 操作系统实例,你可以通过运行来验证更新的可用性
#yum check-update对于 Linux OS RedHat 5.7 及更高版本、6.1 及更高版本以及 7.0 及更高版本;亚马逊 EC2 实例通过 “迁移伙伴迁移的实例堆栈” CT(ct-257p9zjk14ija)迁移到您的 AMS 账户,您需要验证订阅管理器状态以获得更新性能。
在 Windows 操作系统上,启用 Windows 服务器更新服务 (WSUS)。任何本地策略都不应阻止 WSUS 扫描或安装更新的功能。以管理员身份登录后,您可以通过从 Windows 更新服务控制台扫描可用更新来对其进行验证。包括 2012R2、2016 和 2019 年在内的 Windows 服务器操作系统版本都有默认 Windows 更新设置可供下载和安装。您可以在扫描之前配置所需的设置。在更高版本的操作系统中,此操作可能会触发安装;请事先配置所需的行为。
通过提交服务请求,请求 AMS 运营团队进行验证:“用于评估补丁准备情况的 Amazon EC2 实例的AWSManagedServices-CheckPatchingPrerequisites 自动化文档。”
注意
不会为操作系统不支持的实例创建补丁失败警报,也不会为在维护时段内停止的实例创建补丁失败警报。
补丁 Orchestrator 保留标签
Patch Orchestrator 还会生成以下无法修改的标签:
-
AMSPatch组-此标签用于生成补丁组标签值。您不应修改群 AMSPatch组。如果要使用自定义 “修补程序组” 值,则可以修改 “修补程序组” 标签。Patch Orchestrator 会继续根据入职期间提供的标签键为 AMSPatch群组生成值,但如果您已将 “补丁组” 标签值设置为自定义值,则不会对其进行修改。要停止使用自定义 “修补程序组” 值,可以将 “修补程序组” 的值设置为与 AMSPatch组标签值相匹配。
AMSDefaultPatchGroup— 此标签指示实例是否属于默认维护时段,其值为 True 或 False。如果未将实例的补丁组分配给维护时段,则此值将设置为 True。
