使用修補程式協調器 - AMS 進階使用者指南
Patch Orchestrator 先決條件Patch Orchestrator 預留標籤

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用修補程式協調器

透過提交包含下列詳細資訊的服務請求,為您的帳戶啟用 AMS Patch Orchestrator:

  • 類別:其他

  • 主旨:加入修補程式協調器

  • CC 電子郵件:此加入 RFC 狀態變更時,CC 電子郵件地址會收到通知

  • 詳細資訊:將以下資訊貼到電子郵件中並提供您的值。請注意, ThirdTagKey 是選用的。如需建議和範例,請參閱下表。

    Default maintenance window Schedule:
Default Maintenance Window Schedule TimeZone:
Default Maintenance Window Duration:
Default Maintenance Window Cutoff:
Default Patch Backup Retention In Days:
Default Maintenance Window Notification Emails:
First Tag Key:
Second Tag Key:
Third Tag Key:

下表說明所提供值的格式和建議。

修補程式協調器標籤型修補組態
參數的名稱 資訊 建議或範例

預設維護時段排程

預設維護時段的排程,以 Cron 或 Rate 表達式的形式顯示。例如:

  • cron(0 3 ? * 6L *):每個月最後一個星期五上午 03:00

  • rate(7 days):每七天

如需建立 Cron 表達式以及 Cron 和 Rate 表達式資源連結的詳細資訊,請參閱維護時段的 Cron 和 Rate 表達式。

建議每個月至少在一致的工作日執行一次時段。

預設維護時段排程時區

預設維護時段執行的時區是以網際網路指派號碼授權機構 (IANA) 格式為基礎。

例如:

  • America/Los_Angeles

  • 等/UTC

預設維護時段持續時間

預設維護時段的持續時間,以小時為單位。

每 50 個執行個體至少 1 小時,加上截止 2 小時。

預設維護時段截止

預設維護時段結束前未啟動新修補命令的時數。此間隔存在,以便有足夠的時間在視窗結束之前完成修補。

至少 2 小時。

預設修補程式備份保留天數 (選用)

在修補執行個體之前,保留建立 EBS 還原點的預設時間,以天為單位。

我們建議保留預設值,即 60。

預設維護時段通知電子郵件

一到五個電子郵件地址或分發清單,用於接收預設維護時段修補狀態的通知。

建議使用群組分發清單,而非個別電子郵件。

第一個標籤索引鍵

用來建立修補程式群組標籤值的第一個標籤索引鍵。

例如 AppId。如果您已使用修補程式群組標籤定義自己的修補程式群組,請指定 null

第二個標籤索引鍵

用來建立修補程式群組標籤值的第二個標籤鍵。

例如,環境。如果您已使用修補程式群組標籤定義自己的修補程式群組,請指定 null

第三個標籤金鑰 (選用)

用於建立修補程式群組標籤值的選用第三個標籤索引鍵。

例如, 群組。

在您加入新的 Patch Orchestrator 修補服務模型之後,帳戶中所有適當標記的執行個體都屬於具有修補程式群組標籤的修補程式群組。Patch Orchestrator 會使用您現有的修補程式群組標籤,或由您在 Patch Orchestrator 加入期間指定的兩個或三個串連標籤值組成的 AMS 建立標籤。例如,{Tag Value 1}-{Tag Value 2}-{Tag Value 3}。AMS 每 12 小時更新這些 AMS 套用的修補程式群組標籤。如有需要,您可以使用標籤 | 更新 (需要檢閱)標籤 | 更新 (需要檢閱) 變更類型來更新修補程式群組標籤值。

例如,如果您的 Amazon EC2 執行個體具有下列標籤索引鍵:值對:

  • AppId:MyApplication

  • Environment:Production

  • Group:1

在加入期間,您指定了下列標籤索引鍵:

  • First Tag Key = AppId

  • Second Tag Key = Environment

  • Third Tag Key = Group

AMS 會建立下列修補程式群組標籤,並將其套用至您的執行個體:Patch Group:MyApplication-Production-1

注意

如果執行個體的作業系統不受支援,或在維護時段內停止,則不會建立修補程式失敗提醒。

Patch Orchestrator 先決條件

Patch Orchestrator 工作流程以最新版 System Manager Automation Document:AWSManagedServices-PatchInstanceFromMaintenanceWindow 修補的 Amazon EC2 執行個體為目標。

在文件工作流程中,執行命令文件「AWS-RunPatchBaseline」會針對修補程式群組成員中的每個 Amazon EC2 執行個體執行。若要進一步了解,請參閱關於 SSM 文件 AWS-RunPatchBaseline

使用要求:

  • 從 AMS 提供的 Amazon Machine Image (AMI) 或是透過「遷移合作夥伴遷移執行個體的堆疊」CT (ct-257p9zjk14ija) 在 AMI 上部署的 Amazon EC2 執行個體。

  • 輸出網際網路連線已啟用。對於防火牆/代理解決方案,要求允許 Windows 更新端點和/或 Linux 儲存庫鏡像端點、AWS 系統管理員代理設定和中繼資料代理組態。如需詳細資訊,請參閱設定 SSM 代理程式以使用代理使用 HTTP 代理

  • IAM 角色符合 IAM 角色 SSM customer-mc-ec2-instance-profile 服務的最低允許存取。

  • 我們建議使用 10 GB 的可用根分割區空間。對於 Linux 作業系統,/var分割區中至少有 2 GB 可用。

  • 用於更新下載的有效憑證授權單位。

  • Windows Server Update Services (WSUS) - 登錄檔,包括但不限於:DisableWindowsUpdateAccess、NoWindowsUpdate;自動更新不得影響 Windows Update 程序的操作。

驗證

  • 對於使用 yum package Manager 的 Linux 作業系統執行個體,您可以透過執行 來驗證更新的可用性 #yum check-update

  • 對於 Linux OS RedHat 5.7 和更新版本、6.1 和更新版本,以及 7.0 和更新版本;Amazon EC2 執行個體透過「從遷移合作夥伴遷移執行個體的堆疊」CT (ct-257p9zjk14ija) 遷移到您的 AMS 帳戶,您需要驗證訂閱管理員狀態以獲得更新效能。

  • 在 Windows 作業系統上,啟用 Windows Server Update Services (WSUS)。本機政策不應封鎖 WSUS 掃描或安裝更新的能力。以管理員身分登入後,您就可以從 Windows Update Service 主控台執行可用更新的掃描來驗證它。Windows Server 作業系統版本,包括 2012R2、2016 和 2019,都有預設的 Windows Update 設定可供下載和安裝。您可以在掃描之前設定所需的設定。在後續版本的作業系統上,此操作可以觸發安裝;事先設定所需的行為。

  • 透過提交服務請求,向 AMS 操作團隊請求驗證:「AWSManagedServices-CheckPatchingPrerequisites 自動化文件,針對 Amazon EC2 執行個體執行,以評估修補程式準備程度。」

注意

如果執行個體的作業系統不受支援,或在維護時段內停止,則不會建立修補程式失敗提醒。

Patch Orchestrator 預留標籤

Patch Orchestrator 也會產生下列無法修改的標籤:

  • AMSPatchGroup – 此標籤用於產生修補程式群組標籤值。您不應修改 AMSPatchGroup。如果您想要使用自訂的「修補程式群組」值,您可以修改「修補程式群組」標籤。Patch Orchestrator 會根據加入期間提供的標籤索引鍵繼續產生 AMSPatchGroup 的值,但如果標籤值已設定為自訂值,則不會修改 "Patch Group" 標籤值。若要停止使用自訂的「修補程式群組」值,您可以設定「修補程式群組」的值以符合 AMSPatchGroup 標籤值。

  • AMSDefaultPatchGroup – 此標籤指出執行個體是預設維護時段的一部分,其值為 True 或 False。如果執行個體的修補程式群組未指派給維護時段,則此值會設為 True。