On-Demand-Patchen von verwalteten Knoten
Verwenden Sie die Option Patch now (jetzt patchen) in Patch Manager, einer Funktion von AWS Systems Manager, um Patching-Vorgänge auf Abruf über die Systems Manager-Konsole auszuführen. Dies bedeutet, dass Sie keinen Zeitplan erstellen müssen, um den Compliance-Status Ihrer verwalteten Knoten zu aktualisieren oder Patches auf nicht kompatiblen Knoten zu installieren. Die Systems Manager-Konsole muss auch nicht zwischen Patch Manager und Maintenance Windows, einer Funktion von AWS Systems Manager, wechseln, um ein geplantes Patching-Fenster einzurichten oder zu ändern.
Patch now (Jetzt patchen) ist besonders nützlich, wenn Sie so schnell wie möglich Zero-Day-Updates anwenden oder andere kritische Patches auf Ihren verwalteten Knoten installieren müssen.
Anmerkung
Patching On-demand wird für ein einzelnes AWS-Konto-AWS-Region-Paar gleichzeitig unterstützt. Es kann nicht mit Patching-Vorgängen verwendet werden, die auf Patch-Richtlinien basieren. Wir empfehlen die Verwendung von Patch-Richtlinien, um sicherzustellen, dass alle Ihre verwalteten Knoten die Compliance einhalten. Weitere Informationen zur Arbeit mit Patch-Richtlinien finden Sie unter Patch-Richtlinienkonfigurationen in Quick Setup.
So funktioniert „Patch now“ (Jetzt patchen)
Um Patch now (Jetzt patchen) auszuführen, müssen Sie nur zwei erforderliche Einstellungen angeben:
-
Ob nur nach fehlenden Patches gescannt werden soll oder ob Patches auf Ihren verwalteten Knoten gescannt und installiert werden sollen
-
Auf welchen verwalteten Knoten die Operation ausgeführt werden soll
Wenn die Operation Patch now (Jetzt patchen) läuft, bestimmt sie, welche Patch-Baseline auf die gleiche Weise verwendet werden soll, wie eine für andere Patching-Operationen ausgewählt wird. Wenn ein verwalteter Knoten einer Patch-Gruppe zugeordnet ist, wird die für diese Gruppe angegebene Patch-Baseline verwendet. Wenn der verwaltete Knoten nicht einer Patch-Gruppe zugeordnet ist, verwendet die Operation die Patch-Baseline, die derzeit als Standard für den Betriebssystemtyp des verwalteten Knotens festgelegt ist. Dabei kann es sich um eine vordefinierte Baseline oder um die benutzerdefinierte Baseline handeln, die Sie als Standard festgelegt haben. Weitere Informationen zur Patch-Baseline-Auswahl finden Sie unter Patch-Gruppen.
Zu den Optionen, die Sie für Patch now (Jetzt patchen) angeben können, gehört, ob verwaltete Knoten nach dem Patchen neu gestartet werden sollen, indem Sie einen Amazon Simple Storage Service (Amazon S3)-Bucket zum Speichern von Protokolldaten für den Patchvorgang angeben und Systems-Manager-Dokumente (SSM-Dokumente) als Lebenszyklus-Hooks während des Patchings ausführen.
Parallelitäts- und Fehlerschwellenwerte für „Patch now“ (Jetzt patchen)
Für Patch now-Operationen (Jetzt patchen) werden Optionen für Parallelitäts- und Fehlerschwellen von Patch Manager gehandhabt. Sie müssen weder angeben, wie viele verwaltete Knoten gleichzeitig gepatcht werden sollen, noch wie viele Fehler zulässig sind, bevor die Operation fehlschlägt. Patch Manager wendet die Einstellungen für Parallelitäts- und Fehlerschwellenwert an, die in den folgenden Tabellen beschrieben werden, wenn Sie On-Demand-Patches anwenden.
Wichtig
Die folgenden Schwellenwerte gelten für nur für Scan and install-Operationen. Für Scan-Operationen versucht Patch Manager bis zu 1 000 Knoten gleichzeitig zu scannen und weiter zu scannen, bis bis zu 1 000 Fehler aufgetreten sind.
| Die Gesamtanzahl von verwalteten Knoten in der Operation Patch now (Jetzt patchen) | Anzahl der gleichzeitig gescannten oder gepatchten verwalteten Knoten |
|---|---|
| Weniger als 25 | 1 |
| 25–100 | 5 % |
| 101 bis 1.000 | 8 % |
| Mehr als 1.000 | 10 % |
| Die Gesamtanzahl von verwalteten Knoten in der Operation Patch now (Jetzt patchen) | Anzahl der zulässigen Fehler, bevor der Vorgang fehlschlägt |
|---|---|
| Weniger als 25 | 1 |
| 25–100 | 5 |
| 101 bis 1.000 | 10 |
| Mehr als 1.000 | 10 |
Verwenden von „Patch now“ (Jetzt patchen)-Lebenszyklus-Hooks
Patch now (Jetzt patchen) bietet Ihnen die Möglichkeit, SSM Command-Dokumente als Lebenszyklus-Hooks während eines Install-Patch-Vorgang auszuführen. Sie können diese Hooks für Aufgaben wie das Herunterfahren von Anwendungen vor dem Patchen oder Ausführen von Zustandsprüfungen für Ihre Anwendungen nach dem Patchen oder nach einem Neustart verwenden.
Weitere Informationen über das Verwenden von Lebenszyklus-Hooks finden Sie unter SSM-Befehlsdokument zum Patchen: AWS-RunPatchBaselineWithHooks.
In der folgenden Tabelle werden die Lebenszyklus-Hooks aufgeführt, die für jede der drei Patch now-Neustartoptionen (Jetzt patchen) aufgelistet sowie Beispielanwendungen für jeden Hook.
| Neustartoption | Hook: Vor Installation | Hook: Nach Installation | Hook: Beim Verlassen | Hook: Nach geplantem Neustart |
|---|---|---|---|---|
| Bei Bedarf neu starten |
Führen Sie ein SSM-Dokument aus, bevor das Patchen beginnt. Anwendungsbeispiel: Fahren Sie Anwendungen sicher herunter, bevor der Patchvorgang beginnt. |
Führen Sie ein SSM-Dokument am Ende der Patching-Operation und vor dem Neustart des verwalteten Knoten aus. Anwendungsbeispiel: Führen Sie Vorgänge wie die Installation von Drittanbieter-Anwendungen vor einem potenziellen Neustart aus. |
Führen Sie ein SSM-Dokument aus, nachdem die Patching-Operation abgeschlossen und die Instances neu gestartet wurden. Anwendungsbeispiel: Stellen Sie sicher, dass Anwendungen nach dem Patchen wie erwartet ausgeführt werden. |
Nicht verfügbar |
| Meine Instances nicht neu starten | Wie oben. |
Führen Sie ein SSM-Dokument am Ende des Patching-Vorgangs aus. Anwendungsbeispiel: Stellen Sie sicher, dass Anwendungen nach dem Patchen wie erwartet ausgeführt werden. |
Nicht verfügbar |
Nicht verfügbar |
| Neustartzeit planen | Wie oben. | Dasselbe wie für Meine Instances nicht neu starten. | Nicht verfügbar |
Führen Sie sofort nach Abschluss eines geplanten Neustarts ein SSM-Dokument aus. Anwendungsbeispiel: Stellen Sie sicher, dass Anwendungen nach dem Neustart wie erwartet ausgeführt werden. |
Ausführen von „Patch now“ (Jetzt patchen)
Mit dem folgenden Verfahren können Sie On-Demand-Patches auf Ihre verwalteten Knoten anwenden.
So führen Sie „Patch now“ (Jetzt patchen) aus
Öffnen Sie die AWS Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/
. -
Wählen Sie im Navigationsbereich Patch Manager aus.
-
Wählen Sie Patch now (Jetzt patchen) aus.
-
Für Patch-Operation wählen Sie eine der folgenden Optionen aus:
-
Scan (Scannen): Patch Manager findet die Patches, die in Ihren verwalteten Knoten fehlen, installiert sie aber nicht. Sie können die Ergebnisse im Compliance-Dashboard oder in anderen Tools, die Sie zum Anzeigen der Patch-Compliance verwenden, anzeigen.
-
Scan and install (Scannen und installieren): Patch Manager findet die Patches, die in Ihren verwalteten Knoten fehlen, und installiert sie.
-
-
Führen Sie diesen Schritt nur aus, wenn Sie im vorherigen Schritt Scan und Installation ausgewählt haben. Wählen Sie bei Neustartoption eine der folgenden Optionen aus:
-
Reboot if needed (Bei Bedarf neu starten): Nach der Installation startet Patch Manager verwaltete Knoten nur dann neu, wenn dies zum Abschluss einer Patch-Installation erforderlich ist.
-
Don‘t reboot my instances (Meine Instances nicht neu starten): Nach der Installation startet Patch Manager verwaltete Knoten nicht neu. Sie können verwaltete Knoten manuell neu starten, wenn Sie Neustarts außerhalb von Patch Manager auswählen oder verwalten.
-
Schedule a reboot time (Neustartzeit planen): Geben Sie das Datum, die Uhrzeit und die UTC-Zeitzone an, wenn Patch Manager Ihre verwalteten Knoten neu starten sollen. Nachdem Sie den Patch now (Jetzt patchen)-Vorgang ausgeführt haben, wird der geplante Neustart als Zuordnung in State Manager mit dem Namen
AWS-PatchRebootAssociationgelistet.
-
-
Wählen Sie unter Instances to patch (Zu patchende Instances) eine der folgenden Optionen aus:
-
Patch all instances (Alle Instances patchen): Patch Manager führt die angegebene Operation auf allen verwalteten Knoten in Ihrem AWS-Konto in der aktuellen AWS-Region aus.
-
Patch only the target instances I specify (Nur die von mir angegebenen Ziel-Instances patchen): Sie geben im nächsten Schritt an, welche verwalteten Knoten anvisiert werden sollen.
-
-
Führen Sie diesen Schritt nur aus, wenn Sie im vorherigen Schritt Nur die von mir angegebenen Ziel-Instances patchen ausgewählt haben. Identifizieren Sie für den Abschnitt Target selection (Zielauswahl) die Knoten, auf denen Sie diese Operation ausführen möchten, indem Sie Tags angeben, Knoten manuell auswählen oder eine Ressourcengruppe angeben.
Anmerkung
Wenn ein verwalteter Knoten, den Sie erwarten, nicht aufgeführt ist, finden Sie weitere Informationen unter Problembehandlung bei der Verfügbarkeit verwalteter Knoten Tipps zur Fehlerbehebung.
Wenn Sie sich für eine Ressourcengruppe entscheiden, beachten Sie, dass Ressourcengruppen, die auf einem AWS CloudFormation-Stack basieren, weiterhin mit dem Standard-Tag
aws:cloudformation:markiert sein müssen. Wenn es entfernt wurde, kann Patch Manager möglicherweise nicht ermitteln, welche verwalteten Knoten zur Ressourcengruppe gehören.stack-id -
(Optional) Für Patch-Protokollspeicher wählen Sie, wenn Sie Protokolle aus diesem Patchvorgang erstellen und speichern möchten, den S3-Bucket zum Speichern der Protokolle aus.
Anmerkung
Die S3-Berechtigungen zum Schreiben von Daten in einen S3-Bucket sind diejenigen des Instance-Profils (für EC2-Instances) oder der IAM-Servicerolle (hybrid-aktivierte Maschinen), die der Instance zugewiesen sind, und nicht diejenigen des IAM-Benutzers, der diese Aufgabe ausführt. Weitere Informationen finden Sie unter Die für Systems Manager erforderlichen Instance-Berechtigungen konfigurieren oder Die für Systems Manager erforderliche IAM-Servicerolle in Hybrid- und Multi-Cloud-Umgebungen erstellen. Wenn sich der angegebene S3-Bucket in einem anderen AWS-Konto befindet, stellen Sie außerdem sicher, dass das Instance-Profil oder die IAM-Servicerolle, die dem verwalteten Knoten zugeordnet ist, über die erforderlichen Berechtigungen zum Schreiben in diesen Bucket verfügt.
-
(Optional) Wenn Sie SSM-Dokumente als Lebenszyklus-Hooks an bestimmten Punkten des Patching-Vorgangs ausführen möchten, gehen Sie wie folgt vor:
-
Klicken Sie auf Verwenden von Lebenszyklus-Hooks.
-
Wählen Sie für jeden verfügbaren Hook das SSM-Dokument aus, das am angegebenen Punkt des Vorgangs ausgeführt werden soll:
-
Vor Installation
-
Nach Installation
-
Beim Verlassen
-
Nach geplantem Neustart
Anmerkung
Das Standarddokument,
AWS-Noop, führt keine Vorgänge aus. -
-
-
Wählen Sie Patch now (Jetzt patchen) aus.
Die Seite Association execution summary (Zusammenfassung der Zuordnungsausführung) wird geöffnet. („Patch now“ (Jetzt patchen) verwendet jetzt Zuordnungen in State Manager, einer Funktion von AWS Systems Manager, für seine Operationen.) Im Bereich Operation summary (Operationsübersicht) können Sie den Scan- oder Patch-Status auf den von Ihnen angegebenen verwalteten Knoten überwachen.
