AMS 标准补丁 - AMS 高级用户指南
支持的操作系统支持的补丁修补和基础架构设计AMS 标准修补失败

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AMS 标准补丁

AMS 支持使用 AMS 标准修补模式的现有客户,但该模型不适用于新客户,现已停用,取而代之的是 AMS Patch Orchestrator。

AMS 标准补丁的典型补丁内容包括支持的操作系统的供应商更新以及预装在支持的操作系统(例如 IIS 和 Apache Server)中的软件。

在 AMS 入职期间,您可以指定修补要求、策略、频率和首选补丁窗口。这些配置意味着您可以避免为基础架构修补而同时使应用程序全部离线,因此您可以控制何时修补哪些基础架构。

注意

本主题中描述的修补过程仅适用于您的堆栈。AMS 基础设施将在单独的过程中进行修补。AWS Managed Services 维护窗口(或维护窗口)为 AWS Managed Services (AMS) 执行维护活动,并在太平洋时间每个月的第二个星期四下午 3 点至下午 4 点重复。AMS 可能会在 48 小时通知后更改维护时段。您可以在入门时配置 AMS 补丁窗口,或者批准或拒绝每月补丁服务通知。

AMS 会定期扫描托管的 Amazon EC2 实例,寻找可通过操作系统更新功能获得的更新。我们还会定期更新我们环境中支持的 AMS 基础 Amazon 机器映像 (AMIs)。

经过验证后,AMS AMI 版本将与所有 AMS 账户共享。您可以使用DescribeImages亚马逊 EC2 API 调用或使用亚马逊 EC2 控制台查看可用的 AWS AMI 版本。要查找可用的 AMS AMIs,请参阅查找 AMI IDs、AMS

AMS 只有在您提出请求时才会执行临时修补计划。以前,AMS 会发送通知;目前,不发送通知。

注意

默认情况下,AMS 使用 Systems Manager 来应用补丁,方法是让包管理器 (Linux) 或系统更新服务 (Windows) 查询其默认存储库以查看有哪些新软件包可用。如果您在 day-to-day操作过程中使用默认的软件包管理器在 Linux 主机上安装了软件包,则该软件包管理器还会在该软件可用时为其提取新软件包。在这种情况下,您可能需要采取修补操作(如本节所述)来选择退出该实例。

支持的操作系统

支持的操作系统 (x86-64)

  • Amazon Linux 2023

  • 亚马逊 Linux 2(预计 AMS 支持截止日期为 2026 年 6 月 30 日

  • 甲骨文 Linux 9.x、8.x

  • 红帽企业 Linux (RHEL) 9.x、8.x

  • SUSE Linux 企业服务器 15 SP6

  • 适用于 SAP 15 SP3 及更高版本的 SUSE Linux 企业服务器

  • 微软 Windows Server 2022、2019、2016

  • Ubuntu 20.04、22.04、24.04

支持的操作系统 (ARM64)

  • Amazon Linux 2023

  • 亚马逊 Linux 2(预计 AMS 支持截止日期为 2026 年 6 月 30 日

支持的补丁

AWS Managed Services 主要支持操作系统级别的修补。安装的补丁可能因操作系统而异。

重要

所有更新均从实例上配置的 Systems Manager 补丁基准服务远程存储库中下载,本主题后面将对此进行介绍。实例必须能够连接到存储库,才能执行修补。

要选择退出交付您想要自己维护的软件包的存储库的补丁基准服务,请运行以下命令来禁用存储库:

yum-config-manager DASHDASHdisable REPOSITORY_NAME

使用以下命令检索当前配置的存储库列表:

yum repolist

  • Amazon Linux 预配置存储库(通常是四个):

    存储库 ID 存储库名称

    amzn-main/latest

    amzn-Main-base

    amzn-updates/latest

    amzn-updates-base

    epel/x86_64

    适用于企业 Linux 6-x86_64 的额外软件包

    pbis

    PBIS 软件包更新

  • 红帽企业 Linux 预配置存储库(五个用于红帽企业 Linux 7,五个用于红帽企业 Linux 6):

    存储库 ID 存储库名称

    rhi-Region-7/x86_64 client-config-server

    红帽更新基础架构 2.0 客户端配置服务器

    rhi-region-/7server/x86_64 rhel-server-releases

    红帽企业 Linux 服务器 7

    rhi-region-/7server/x86_64 rhel-server-releases

    红帽企业 Linux 服务器 7 RH Common (RPMs)

    epel/x86_64

    适用于企业 Linux 7的额外软件包-x86_64

    pbis

    PBIS 软件包更新

    存储库 ID 存储库名称

    rhi-Region--6 client-config-server

    红帽更新基础架构 2.0

    RHUI 地区-rhel-server-releases

    红帽企业 Linux 服务器 (6RPMs)

    RHUI 地区-rhel-server-rh-common

    红帽企业 Linux 服务器 6 RH Common (RPMs)

    epel

    适用于企业 Linux 6-x86_64 的额外软件包

    pbis

    PBIS 软件包更新

  • CentOS 7 个预先配置的存储库(通常是五个):

    存储库 ID 存储库名称

    base/7/x86_64

    centos-7-Base

    updates/7/x86_64

    Centos-7-最新消息

    extras/7/x86_64

    Centos-7-额外内容

    epel/x86_64

    适用于企业 Linux 7的额外软件包-x86_64

    pbis

    PBIS 软件包更新

  • 对于微软 Windows Server,所有更新都是使用 Windows 更新代理来检测和安装的,该代理配置为使用 Windows 更新目录(这不包括来自微软更新的更新)。

    在微软 Windows 操作系统上,补丁管理器使用微软的 cab 文件 wsusscn2.cab 作为可用操作系统安全更新的来源。此文件包含有关 Microsoft 发布的与安全相关的更新的信息。补丁管理器定期从 Microsoft 下载此文件,并使用它来更新可用于 Windows 实例的补丁集。此文件仅包含 Microsoft 确定与安全有关的更新。在处理文件中的信息时,Patch Manager 还会删除已被后续更新取代的更新。因此,Patch Manager 只显示最新更新,以供您安装。例如,如果 KB4 012214 替换 KB3135456,则补丁管理器中只有 KB4 012214 作为更新可用。

    要了解有关 wsusscn2.cab 文件的更多信息,请参阅微软文章使用 WUA 离线扫描更新

修补和基础架构设计

AMS 根据您的基础设施设计采用不同的修补方法:可变或不可变(有关详细定义,请参阅)。AMS 关键术语

对于可变基础架构,修补是使用传统的就地方法完成的,即由 AMS 运营工程师单独将更新直接安装到 Amazon EC2 实例。此修补方法用于不是 Auto Scaling 组且包含单个 Amazon EC2 实例或几个实例的堆栈。在这种情况下,替换实例或堆栈所基于的 AMI 会破坏自首次部署该系统以来对该系统所做的所有更改,因此事实并非如此。更新会应用于正在运行的系统,并且由于应用程序或系统重新启动,您可能会遇到系统停机(取决于堆栈配置)。这可以通过 Blue/Green 更新策略来缓解。有关更多信息,请参阅 Blue/Green 部署AWS CodeDeploy 简介

对于不可变的基础架构,修补方法是替换 AMI。不可变实例使用更新的AMI统一更新,该AMI取代了Auto Scaling组配置中指定的 AMI。AMS 版本 AMIs 每月更新(即已修补),通常是在补丁周二的那一周。下一节描述了其工作原理。

AMS 标准修补失败

如果更新失败,AMS 会进行分析以了解失败的原因,并将分析结果传达给您。如果故障归因于 AMS,则如果更新在维护时段内,我们会重试更新。否则,AMS 会为失败的实例更新创建服务通知并等待您的指示。

对于归因于您的系统的故障,您可以提交带有新补丁 RFC 的服务请求来更新实例。