Aktualisieren eines Linux AMI - AWS Systems Manager

Aktualisieren eines Linux AMI

Diese Vorgehensweise für Systems Manager Automation zeigt Ihnen, wie Sie die Konsole oder das AWS CLI- und das AWS-UpdateLinuxAmi-Runbook verwenden, um ein Linux-AMI mit den neuesten Patches der von Ihnen angegebenen Pakete zu aktualisieren. Automation ist ein Tool in AWS Systems Manager. Das AWS-UpdateLinuxAmi-Runbook automatisiert auch die Installation zusätzlicher websitespezifischer Pakete und Konfigurationen. Sie können mit dieser Anleitung eine Vielzahl von Linux-Distributionen aktualisieren, einschließlich Ubuntu Server, Red Hat Enterprise Linux (RHEL) oder Amazon Linux AMIs. Eine vollständige Liste der unterstützten Linux-Versionen finden Sie unter Patch Manager-Voraussetzungen.

Mit dem AWS-UpdateLinuxAmi-Runbook können Sie Aufgaben zur Imagewartung automatisieren, ohne das Runbook in JSON oder YAML erstellen zu müssen. Sie können das Runbook AWS-UpdateLinuxAmi verwenden, um die folgenden Arten von Aufgaben auszuführen.

  • Aktualisieren Sie alle Distributionspakete und jegliche Amazon-Software in einem Amazon Machine Image (AMI) mit Amazon Linux, Red Hat Enterprise Linux oder Ubuntu Server. Dies ist das Runbook-Standardverhalten.

  • Installieren Sie AWS Systems Manager SSM Agent auf einem vorhandenen Image, um Systems-Manager-Tools zu aktivieren, z. B. die Ausführung von Remote-Befehlen mit AWS Systems Manager Run Command oder die Erfassung des Softwarebestands mit Inventory.

  • Installieren Sie zusätzliche Softwarepakete.

Bevor Sie beginnen

Bevor Sie beginnen, mit Runbooks zu arbeiten, konfigurieren Sie Rollen und optional EventBridge für Automation. Weitere Informationen finden Sie unter Einrichten der Automatisierung. Dieser Walkthrough erfordert auch, dass Sie den Namen eines AWS Identity and Access Management (IAM)-Instance-Profils angeben. Weitere Informationen zum Erstellen eines IAM-Instance-Profils finden Sie unter Konfigurieren von erforderlichen Instance-Berechtigungen für Systems Manager.

Das Runbook AWS-UpdateLinuxAmi akzeptiert die folgenden Eingabeparameter.

Parameter Typ Beschreibung

SourceAmiId

String

(Erforderlich) Die Quell-AMI-ID.

IamInstanceProfileName

String

(Erforderlich) Der Name der IAM-Instance-Profilrolle, die Sie unter Erforderliche Instance-Berechtigungen für Systems Manager konfigurieren erstellt haben. Die Instance-Profilrolle erteilt der Automation die Berechtigung, auf Ihren Instances Aktionen durchzuführen, wie etwa das Ausführen von Befehlen oder das Starten und Beenden von Services. Das Runbook verwendet nur den Namen der Instance-Profilrolle. Wenn Sie den Amazon-Ressourcennamen (ARN) angeben, schlägt die Automatisierung fehl.

AutomationAssumeRole

String

(Erforderlich) Der Name der IAM-Servicerolle, die Sie in Einrichten der Automatisierung erstellt haben. Mit der Servicerolle (auch als assume-Rolle bezeichnet) gestatten Sie der Automatisierung, Ihre IAM-Rolle zu übernehmen und in Ihrem Auftrag Aktionen auszuführen. Mit der Servicerolle gestatten Sie der Automation beispielsweise beim Ausführen der Aktion aws:createImage in einem Runbook, ein neues AMI zu erstellen. Für diesen Parameter muss der vollständige ARN angegeben werden.

TargetAmiName

String

(Optional) Der Name des neuen AMI nach seiner Erstellung. Der Standardname ist eine systemgenerierte Zeichenfolge, die die Quell-AMI-ID sowie Uhrzeit und Datum der Erstellung enthält.

InstanceType

String

(Optional) Der Typ der zu startenden Instance als Arbeitsbereich hosten. Die Instance-Typen sind je nach Region unterschiedlich. Der Standardtyp ist t2.micro.

PreUpdateScript

String

(Optional) Die URL eines Skripts, das ausgeführt werden muss, bevor Updates übernommen werden. Standard („none“) ist die Ausführung keines Skripts.

PostUpdateScript

String

(Optional) Die URL eines Skripts, das ausgeführt werden muss, nachdem Paketupdates angewendet werden. Standard („none“) ist die Ausführung keines Skripts.

IncludePackages

String

(Optional) Aktualisieren Sie nur diese benannten Pakete. Standardmäßig werden alle (\"all\") verfügbaren Updates übernommen.

ExcludePackages

String

(Optional) Namen der Pakete, die bei Updates unter allen Umständen zurückgehalten werden müssen. Standardmäßig wird kein (\"none\") Paket ausgeschlossen.
Automation-Schritte

Das AWS-UpdateLinuxAmi-Runbook umfasst standardmäßig die folgenden Automatisierungsaktionen.

Schritt 1: launchInstance (aws:runInstances-Aktion)

Dieser Schritt startet eine Instance mit Amazon Elastic Compute Cloud (Amazon EC2)-Benutzerdaten und eine IAM-Instance-Profilrolle. Userdata installiert je nach Betriebssystem den entsprechenden SSM Agent. Durch Installieren von SSM Agent können Sie Systems-Manager-Tools wie Run Command, State Manager und Inventory verwenden.

Schritt 2: updateOSSoftware (aws:runCommand-Aktion)

Dieser Schritt führt die folgenden Befehle auf der gestarteten Instance aus:

  • Lädt ein Update-Skript aus Amazon S3 herunter.

  • Führt ein optionales Pre-Update-Skript aus.

  • Aktualisiert Verteilungspakete und Amazon-Software.

  • Führt ein optionales Post-Update-Skript aus.

Das Ausführungsprotokoll wird im Ordner /tmp gespeichert, damit es der Benutzer zu einem späteren Zeitpunkt ansehen kann.

Falls Sie eine bestimmte Reihe von Paketen aktualisieren möchten, können Sie die Liste mithilfe des IncludePackages-Parameters bereitstellen. Bei der Bereitstellung versucht das System nur diese Pakete und deren abhängige Objekte zu aktualisieren. Es werden keine weiteren Updates vorgenommen. Wenn standardmäßig keine include-Pakete festgelegt sind, aktualisiert das Programm alle verfügbaren Pakete.

Falls Sie eine bestimmte Reihe von Paketen von der Aktualisierung ausschließen möchten, können Sie die Liste mithilfe des ExcludePackages-Parameters bereitstellen. Wenn diese Pakete bereitgestellt werden, bleiben sie in ihrer aktuellen Version, unabhängig von anderen festgelegten Optionen. Wenn keine exclude-Pakete festgelegt sind, werden standardmäßig keine Pakete ausgeschlossen.

Schritt 3: StopInstance (aws:changeInstanceState-Aktion)

Dieser Schritt stoppt die aktualisierte Instance.

Schritt 4: CreateImage (aws:createImage-Aktion)

Dieser Schritt erstellt ein neues AMI mit einem aussagekräftigen Namen, der es mit der Quell-ID und dem Zeitpunkt der Erstellung verknüpft. Beispiel: „AMI generiert durch EC2-Automation am {{global:DATE_TIME}} über {{SourceAmiId}}“, wobei DATE_TIME und SourceID Automation-Variablen darstellen.

Schritt 5: TerminateInstance (aws:changeInstanceState-Aktion)

Dieser Schritt bereinigt die Automatisierung durch Beenden der ausgeführten Instance.

Output

Die Automatisierung gibt die neue AMI-ID als Ausgabe zurück.

Anmerkung

Standardmäßig erstellt das System eine temporäre Instance in der Standard-VPC (172.30.0.0/16), wenn Automation das AWS-UpdateLinuxAmi-Runbook ausführt. Wenn Sie die Standard-VPC gelöscht haben, erhalten Sie den folgenden Fehler:

VPC not defined 400

Zur Behebung dieses Problems erstellen Sie eine Kopie des AWS-UpdateLinuxAmi-Runbooks und geben eine Subnetz-ID an. Weitere Informationen finden Sie unter VPC nicht definiert 400.

So erstellen Sie ein gepatchtes AMImit der Automation (AWS Systems Manager)

  1. Öffnen Sie die AWS Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Klicken Sie im Navigationsbereich auf Automation.

  3. Wählen Sie Automatisierung ausführen.

  4. Wählen Sie in der Liste Automation-Dokument AWS-UpdateLinuxAmi.

  5. Überprüfen Sie im Abschnitt Document details (Dokumentdetails), ob Document version (Dokumentversion) auf Default version at runtime (Standardversion bei Laufzeit) gesetzt ist.

  6. Wählen Sie Weiter aus.

  7. Wählen Sie im Abschnitt Execution mode (Ausführungsmodus) die Option Simple Execution (Einfache Ausführung) aus.

  8. Geben Sie im Abschnitt Input parameters (Eingabeparameter) die Informationen ein, die Sie im Abschnitt Before You Begin (Bevor Sie beginnen) erfasst haben.

  9. Wählen Sie Ausführen. Die Konsole zeigt den Status der Automation-Ausführung an.

Nach dem Abschluss der Automatisierung starten Sie eine Test-Instance über das aktualisierte AMI, um die Änderungen zu überprüfen.

Anmerkung

Falls ein Schritt in der Automatisierung fehlschlägt, werden die Informationen zu dem Fehler auf der Seite Automation Executions (Automation-Ausführungen) aufgelistet. Die Automatisierung ist so konzipiert, dass sie die temporäre Instance nach erfolgreichem Abschluss aller Aufgaben beendet. Wenn ein Schritt fehlschlägt, beendet das System die Instance möglicherweise nicht. Wenn also ein Schritt fehlschlägt, beenden Sie die temporäre Instance manuell.