本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AMS 标准补丁的工作原理
AMS 使用 Systems Manager Run Command 服务进行每月定期补丁和根据需要进行关键修补,根据您的基础设施部署策略(可变与不可变),有两种主要的补丁方法,即就地和 AMI 替换。本节介绍 AMS 修补服务、类型、方法和流程。
AMS 定义了两种补丁类型,它们的计划方式不同:
关键补丁:在接受通知后,将尽快应用更新。
标准补丁:操作系统供应商定期更新,每月应用一次。
通过就地修补或 AMI 替换(根据要求)来应用补丁。
更新扫描
AMS 使用 Amazon EC2 运行命令服务
每天使用 SSM 维护窗口和 AMS 默认 AWS RunPatchBaseline 文档执行扫描。使用适用于 Linux 和 Windows 的更新存储库对每个可访问的亚马逊 EC2 堆栈进行扫描。AMS 修补过程会检测所有可访问的 Amazon EC2 堆栈,然后以批处理方式执行扫描,这样即使在运行扫描时出现故障,堆栈也始终保持健康状态。然后保存每个 Amazon EC2 堆栈的扫描结果。
要查看堆栈或实例的扫描结果,请使用堆栈 ID 或实例 ID 提交服务请求。
默认 AMS 修补过程是安装所有可用的补丁,而不考虑补丁的分类或严重程度(例如,严重与标准)。唯一的例外是您已明确排除在堆栈中的补丁(不应排除 AMS 定义为必需的补丁)。
在建议的维护时段之前 14 天,您会收到一条修补服务通知。这使您有时间测试建议的补丁并接受或拒绝它们。如果您不回复修补服务通知,则您的实例不会被修补。当需要安装补丁时,AMS 会为每个堆栈创建一个更改请求 (RFC),并且该 RFC 会出现在您账户的 RFC 列表中。
AMS 配置的维护时段和通知
通过配置 AMS 的补丁,每个账户都有每月维护时段,该窗口由您在注册账户时定义。AWS Managed Services 维护窗口(或维护窗口)为 AWS Managed Services (AMS) 执行维护活动,并在太平洋时间每个月的第二个星期四下午 3 点至下午 4 点重复。AMS 可能会在 48 小时通知后更改维护时段。
修补窗口不同。修补出站服务请求(也称为服务通知)包括建议的补丁窗口。
注意
有关回复修补服务通知的信息,请参阅。您可以在 AMS 标准修补中采取的操作
修补服务通知通过电子邮件发送到您账户中存档的联系人电子邮件地址。通知中包含一个指向 AWS Support 控制台的链接,您可以在其中进行回复。您也可以使用 AMS 服务请求页面回复通知。服务通知包括:
适用于堆栈的更新 IDs (CSUs IUs、和 OUs)列表以及您请求的那些更新不在修补范围内(如果有)。
IDs 将受到影响的实例。
应用更新的建议修补窗口。您可以请求不同的修补窗口。
要求您接受建议的修补程序或要求提供更多信息。AMS 让您有时间测试更新的影响并批准或拒绝修补,或者要求排除特定的更新。如果您需要更多时间进行测试,并希望在测试后应用更新,请回复服务通知并描述您想要的内容,或者根据之前的 RFC 的详细信息提交新补丁 RFC 的服务请求。如果您根本不回复服务通知,则不会采取任何修补操作并取消 RFC。
如果您批准服务通知,AMS 将运行补丁 RFC,并根据服务承诺在商定的补丁窗口内应用更新。
修补完成后,AMS 会在服务请求中向您发送一封信件,其中包含修补活动结果(即成功或失败)的摘要。
