Tutorial: creación de un periodo de mantenimiento para la aplicación de revisiones mediante la consola
importante
Puede seguir utilizando este tema heredado para crear un período de mantenimiento para la aplicación de revisiones. Sin embargo, le recomendamos que utilice una política de revisiones. Para obtener más información, consulte Configuraciones de políticas de revisiones en Quick Setup y Configurar las revisiones para las instancias de una organización mediante Quick Setup.
Para minimizar el impacto en la disponibilidad de los servidores, le recomendamos que configure un período de mantenimiento para ejecutar la aplicación de revisiones durante las horas en que no se interrumpan las operaciones de negocio.
Debe configurar los roles y los permisos para Maintenance Windows, una capacidad de AWS Systems Manager, antes de comenzar este procedimiento. Para obtener más información, consulte Configuración de Maintenance Windows.
Para crear un período de mantenimiento para la aplicación de revisiones
Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/
. En el panel de navegación, elija Maintenance Windows.
-
Elija Create maintenance window (Crear periodo de mantenimiento).
-
En Name (Nombre) escriba un nombre que designe este período de mantenimiento para aplicar revisiones de actualizaciones críticas e importantes.
-
(Opcional) En Description (Descripción), introduzca una descripción.
-
Elija Allow unregistered targets (Permitir destinos no registrados) si desea permitir que se ejecute una tarea del periodo de mantenimiento en los nodos administrados, incluso si no ha registrado esos nodos como destinos.
Si elige esta opción, podrá elegir los nodos no registrados (por ID de nodo) al registrar una tarea con el periodo de mantenimiento.
Si no elige esta opción, tendrá elegir los destinos registrados anteriormente cuando registre una tarea con el periodo de mantenimiento.
-
En la parte superior de la sección Schedule (Programación) especifique un programa para el período de mantenimiento mediante una de las tres opciones de programación.
Para obtener información acerca de cómo crear expresiones Cron y Rate, consulte Referencia: expresiones cron y rate para Systems Manager.
-
En Duration (Duración), escriba el número de horas que se ejecutará el periodo de mantenimiento. El valor que especifique determina la hora de finalización específica del periodo de mantenimiento en función de la hora de inicio. No se permite que las tareas del período de mantenimiento comiencen después de la hora de enlace resultante menos el número de horas que especifique para Stop initiating tasks (Dejar de iniciar tareas) en el siguiente paso.
Por ejemplo, si el período de mantenimiento comienza a las 15:00 h, la duración es de tres horas y el valor de Stop initiating tasks (Dejar de iniciar tareas) es de una hora, no se pueden iniciar tareas del período de mantenimiento después de las 17:00 h.
-
En el campo Stop initiating tasks (Dejar de iniciar tareas), escriba el número de horas que el sistema debe considerar antes de que finalice el período de mantenimiento para dejar de programar nuevas tareas por ejecutar.
-
(Opcional) En Window start date (Fecha de inicio del periodo), especifique una fecha y un horario en formato extendido ISO-8601 para cuando desee que se active el periodo de mantenimiento. Esto le permite retrasar la activación del periodo de mantenimiento hasta la fecha futura especificada.
-
(Opcional) En Window end date (Fecha de finalización del periodo), especifique una fecha y un horario en formato extendido ISO-8601 para cuando desee que se desactive el periodo de mantenimiento. Esto le permite establecer una fecha y hora en el futuro después de la cual el periodo de mantenimiento dejará de ejecutarse.
-
(Opcional) En Zona horaria de la programación, especifique la zona horaria en la que se basan las programaciones de las ejecuciones de periodos de mantenimiento, en formato Internet Assigned Numbers Authority (IANA). Por ejemplo: "America/Los_Angeles", "etc/UTC" o "Asia/Seoul".
Para obtener más información sobre los formatos válidos, consulte Time Zone Database
en el sitio web de IANA. -
(Opcional) En el área Manage tags (Administrar etiquetas), aplique uno o varios pares de claves nombre/valor al periodo de mantenimiento.
Las etiquetas son metadatos opcionales que usted asigna a un recurso. Las etiquetas permiten clasificar los recursos de diversas maneras, por ejemplo, según la finalidad, el propietario o el entorno. Por ejemplo, es posible que desee etiquetar este periodo de mantenimiento para identificar el tipo de tareas que ejecuta. En este caso, puede especificar el siguiente par de clave nombre-valor:
-
Key=TaskType,Value=Patching
-
-
Elija Create maintenance window (Crear periodo de mantenimiento).
-
En la lista de períodos de mantenimiento, elija el que acaba de crear y, a continuación, elija Actions (Acciones), Register targets (Registrar destinos).
-
(Opcional) En la sección Maintenance window target details, proporcione un nombre, una descripción y la información del propietario (su nombre o alias) para este destino.
-
En Selección de destino, elija Especificar etiquetas de instancia.
-
En Especificar etiquetas de instancia, ingrese una clave de etiqueta y un valor de etiqueta para identificar los nodos que se va a registrar en el periodo de mantenimiento y, a continuación, seleccione Agregar.
-
Elija Register target (Registrar destino). El sistema crea un destino del período de mantenimiento.
-
En la página de detalles del período de mantenimiento que ha creado, elija Actions (Acciones), Register run command task (Registrar tarea de Run Command).
-
(Opcional) En Maintenance window task details (Detalles de la tarea de período de mantenimiento), proporcione un nombre y la descripción de esta tarea.
-
En Command document (Documento Command), elija
AWS-RunPatchBaseline
. -
En Task priority (Prioridad de tarea), elija una prioridad. Cero (
0
) es la prioridad más alta. -
En Targets (Destinos), en Target by (Destino por), elija el destino del período de mantenimiento que ha creado anteriormente en este procedimiento.
En Rate control (Control de velocidad):
-
En Concurrency (Simultaneidad), especifique un número o un porcentaje de los nodos administrados en los que desea ejecutar el comando al mismo tiempo.
nota
Si seleccionó los destinos mediante la especificación de etiquetas aplicadas a nodos administrados o de grupos de recursos de AWS y no está seguro de cuántos nodos administrados tienen destino, limite el número de destinos que puede ejecutar el documento al mismo tiempo. Para ello, especifique un porcentaje.
-
En Error threshold (Umbral de errores), especifique cuándo desea parar la ejecución del comando en los demás nodos administrados después de que haya fallado en un número o un porcentaje de los nodos. Por ejemplo, si especifica tres errores, Systems Manager dejará de enviar el comando cuando se reciba el cuarto error. Los nodos administrados que estén procesando el comando todavía pueden enviar errores.
-
-
(Opcional) En Rol de servicio de IAM, seleccione un rol que proporcione permisos para que los asuma Systems Manager al ejecutar una tarea del periodo de mantenimiento.
Si no especifica el ARN de un rol de servicio, Systems Manager usa un rol vinculado al servicio de su cuenta. Si en su cuenta no existe ningún rol vinculado al servicio adecuado para Systems Manager, se crea cuando la tarea se registra correctamente.
nota
Para mejorar la seguridad, le recomendamos encarecidamente que cree una política y un rol de servicio personalizados para ejecutar las tareas del periodo de mantenimiento. La política se puede diseñar para proporcionar solo los permisos necesarios para las tareas específicas del periodo de mantenimiento. Para obtener más información, consulte Configuración de Maintenance Windows.
(Opcional) En Output options (Opciones de salida), para guardar la salida del comando en un archivo, seleccione el cuadro Enable writing output to S3 (Permitir la escritura de salida en S3). Ingrese los nombres del bucket y del prefijo (carpeta) en los cuadros.
nota
Los permisos de S3 que conceden la capacidad de escribir datos en un bucket de S3 son los del perfil de instancias asignado al nodo administrado, no los del usuario de IAM que realiza esta tarea. Para obtener más información, consulte Configuración de permisos de instancia requeridos para Systems Manager o Creación de un rol de servicio de IAM para un entorno híbrido. Además, si el bucket de S3 especificado se encuentra en una Cuenta de AWS diferente, verifique que el perfil de instancias o el rol de servicio de IAM asociado al nodo administrado tenga los permisos necesarios para escribir en ese bucket.
Para transmitir la salida a un grupo de registro de Amazon CloudWatch Logs, seleccione la casilla CloudWatch output (Salida de CloudWatch). Ingrese el nombre del grupo de registro en la casilla.
En la sección SNS notifications (Notificaciones de SNS), seleccione la casilla de verificación Enable SNS notifications (Habilitar notificaciones de SNS) si desea recibir notificaciones sobre el estado de la ejecución de los comandos.
Para obtener más información acerca de la configuración de las notificaciones de Amazon SNS para Run Command, consulte Monitoreo de los cambios de estado de Systems Manager mediante las notificaciones de Amazon SNS.
-
En Parameters (Parámetros):
-
En Operation (Operación), elija Scan (Analizar) para buscar las revisiones que faltan o elija Install (Instalar) para buscar las revisiones que faltan e instalarlos.
-
No necesita especificar nada en el campo Snapshot Id (Id de instantánea). Este sistema genera y proporciona este parámetro automáticamente.
-
No es necesario ingresar nada en el campo Install Override List (Lista de anulación de instalación) a menos que desee que Patch Manager utilice un conjunto de revisiones diferente al especificado para la línea de base de revisiones. Para obtener más información, consulte Nombre del parámetro: InstallOverrideList.
-
En RebootOption, especifique si desea que los nodos se reinicien si se instalan revisiones durante la operación
Install
o si Patch Manager detecta otras revisiones instaladas a partir del último reinicio de nodo. Para obtener más información, consulte Nombre del parámetro: RebootOption. -
(Opcional) Para Comment (Comentario), introduzca una nota de seguimiento o un recordatorio sobre este comando.
-
Para Timeout (seconds) Tiempo de espera (segundos), escriba el número de segundos que el sistema tiene que esperar a que finalice la operación antes de que se considere incorrecta.
-
-
Elija Register Run command task (Registrar tarea de Run Command).
Una vez que se complete la tarea del periodo de mantenimiento, puede ver los detalles de la conformidad de revisiones en la consola de Systems Manager en la función de Fleet Manager.
También puede ver la información de conformidad en la función de Patch Manager, en la pestaña Informes de conformidad.
También puede usar las API DescribePatchGroupState y DescribeInstancePatchStatesForPatchGroup para ver los detalles de conformidad. Para obtener información sobre los datos de conformidad de revisiones, consulte Acerca de la conformidad de parches.