Grupos de revisiones
importante
Los grupos de revisiones no se usan en operaciones de aplicación de revisiones basadas en políticas de revisiones. Para obtener información sobre el uso de las políticas de revisiones, consulte Configuraciones de políticas de revisiones en Quick Setup.
Puede utilizar un grupo de revisiones para asociar nodos administrados a una base de referencia de revisiones específica en Patch Manager, una capacidad de AWS Systems Manager. Los grupos de revisiones ayudan a garantizar que implementará las revisiones adecuadas al conjunto correcto de nodos en función de las reglas de base de referencia de revisiones asociadas. Los grupos de revisiones también pueden ayudarle a evitar la implementación de revisiones antes de que estos se hayan probado suficientemente. Por ejemplo, puede crear grupos de revisiones para diferentes entornos (como desarrollo, prueba y producción) y registrar cada grupo de revisiones en una línea de base de revisiones adecuada.
Cuando ejecuta AWS-RunPatchBaseline
, puede tomar como objetivo nodos administrados mediante sus ID o etiquetas. Luego, SSM Agent y Patch Manager evalúan qué base de referencia de revisiones se utilizará en función del valor del grupo de revisiones que ha agregado al nodo administrado.
Puede crear un grupo de revisiones mediante etiquetas de Amazon Elastic Compute Cloud (Amazon EC2). A diferencia de otras situaciones de etiquetado en Systems Manager, un grupo de revisiones debe definirse con la clave de etiqueta Patch Group
o PatchGroup
. La clave distingue entre mayúsculas y minúsculas. Puede especificar cualquier valor que le ayude a identificar y destinar los recursos de ese grupo, por ejemplo, “servidores web” o “US-EAST-PROD”, pero la clave debe ser Patch Group
o PatchGroup
.
Después de crear un grupo de revisiones y etiquetar nodos administrados, puede registrar el grupo de revisiones con una base de referencia de revisiones. Registrar el grupo de revisiones en una base de referencia de revisiones garantiza que los nodos del grupo de revisiones utilicen las reglas definidas en la base de referencia de revisiones asociada.
Para obtener más información acerca de cómo crear un grupo de revisiones y asociarlo a una línea de base de revisiones, consulte Creación y administración de grupos de revisiones y Agregar un grupo de revisiones a una línea de base de revisiones.
Para ver un ejemplo de cómo crear una línea de base de revisiones y grupos de revisiones mediante la AWS Command Line Interface (AWS CLI), consulte Tutorial: implementación de revisiones en un entorno de servidores mediante la AWS CLI. Para obtener más información sobre las etiquetas de Amazon EC2, consulte Etiquetado de los recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.
Funcionamiento
Cuando el sistema ejecuta la tarea para aplicar una base de referencia de revisiones a un nodo administrado, SSM Agent verifica si se ha definido un valor de grupo de revisiones para el nodo. Si se asigna el nodo a un grupo de revisiones, Patch Manager comprueba qué base de referencia de revisiones está registrada en ese grupo. Si se encuentra una línea de base de revisiones para ese grupo, Patch Manager indica a SSM Agent que utilice la línea de base de revisiones asociada. Si un nodo no está configurado para un grupo de revisiones, Patch Manager indica automáticamente a SSM Agent que debe utilizar la base de referencia de revisiones predeterminada que se encuentra configurada en la actualidad.
importante
Un nodo administrado solo puede estar en un grupo de revisiones.
Un grupo de revisiones puede registrarse con solo una línea de base de revisiones para cada tipo de sistema operativo.
Puede aplicar la etiqueta Patch Group
(con un espacio) a una instancia de Amazon EC2 si la opción Allow tags in instance metadata (Permitir etiquetas en los metadatos de la instancia) no puede estar habilitada en la instancia. Al permitir etiquetas en los metadatos de la instancia, se impide que los nombres de las claves de las etiquetas contengan espacios. Si tiene etiquetas permitidas en metadatos de instancias de EC2, debe usar la clave de etiqueta PatchGroup
(sin espacio).
Diagrama 1: ejemplo general de flujo de proceso de operaciones de aplicación de revisiones
En el siguiente diagrama, se muestra un ejemplo general de los procesos que Systems Manager lleva a cabo al enviar una tarea de Run Command a la flota de servidores a la que se aplicarán revisiones mediante Patch Manager. Estos procesos determinan qué líneas de base de revisiones que se deben usar en las operaciones de aplicación de revisiones. (Se emplea un proceso similar cuando se ha configurado un periodo de mantenimiento para enviar un comando que aplique revisiones mediante Patch Manager.
El proceso completo se explica debajo de la ilustración.
En este ejemplo, tenemos tres grupos de instancias EC2 de Windows Server con las siguientes etiquetas aplicadas:
Grupo de instancias EC2 | Etiquetas |
---|---|
Grupo 1 |
|
Grupo 2 |
|
Grupo 3 |
|
En este ejemplo, también tenemos estas dos líneas de base de revisiones de Windows Server:
ID de línea de base de revisiones | Predeterminado | Grupo de revisiones asociado |
---|---|---|
|
Sí |
|
|
No |
|
El proceso general de análisis o instalación de revisiones mediante Run Command, una capacidad de AWS Systems Manager, y Patch Manager es como se indica a continuación:
-
Envío de un comando para aplicar revisiones: utilice la consola de Systems Manager, el SDK, la AWS Command Line Interface (AWS CLI) o AWS Tools for Windows PowerShell para enviar una tarea de Run Command mediante el documento
AWS-RunPatchBaseline
. En el diagrama se muestra una tarea de Run Command para aplicar revisiones a instancias administradas al tomar como objetivo la etiquetakey=OS,value=Windows
. -
Determinación de la línea de base de revisiones: SSM Agent verifica las etiquetas de grupos de revisiones que se aplican a la instancia de EC2 y consulta a Patch Manager la línea de base de revisiones correspondiente.
-
Coincidencia del valor de un grupo de revisiones asociado con una línea de base de revisiones:
-
SSM Agent, que está instalado en instancias EC2 en el grupo uno, recibe el comando ejecutado en el paso 1 para empezar una operación de aplicación de revisiones. SSM Agent valida que las instancias EC2 tengan el valor de etiqueta
DEV
del grupo de revisiones aplicado y consulta a Patch Manager una línea de base de revisiones asociada. -
Patch Manager verifica que la línea de base de revisiones
pb-9876543210abcdef0
tenga el grupo de revisionesDEV
asociado y se lo notifica a SSM Agent. -
SSM Agent recupera una instantánea de la línea de base de revisiones desde Patch Manager en función de las reglas de aprobación y las excepciones configuradas en
pb-9876543210abcdef0
y avanza al siguiente paso.
-
-
La instancia no tiene una etiqueta de grupo de revisiones añadida:
-
SSM Agent, que está instalado en instancias de EC2 en el grupo dos, recibe el comando ejecutado en el paso 1 para empezar una operación de aplicación de revisiones. SSM Agent valida que las instancias EC2 no tengan una etiqueta
Patch Group
oPatchGroup
aplicada y, en consecuencia, SSM Agent consulta a Patch Manager la línea de base de revisiones de Windows predeterminada. -
Patch Manager verifica que la línea de base de revisiones de Windows Server predeterminada sea
pb-0123456789abcdef0
y se lo notifica a SSM Agent. -
SSM Agent recupera una instantánea de la línea de base de revisiones desde Patch Manager en función de las reglas de aprobación y las excepciones configuradas en la línea de base de revisiones predeterminada
pb-0123456789abcdef0
y avanza al siguiente paso.
-
-
La línea de base de revisiones no tiene un valor de grupo de revisiones coincidente asociado:
-
SSM Agent, que está instalado en instancias EC2 en el grupo tres, recibe el comando ejecutado en el paso 1 para empezar una operación de aplicación de revisiones. SSM Agent valida que las instancias EC2 tengan el valor de etiqueta
QA
del grupo de revisiones aplicado y consulta a Patch Manager una línea de base de revisiones asociada. -
Patch Manager no encuentra una línea de base de revisiones que tenga el grupo de revisiones
QA
asociado. -
Patch Manager indica a SSM Agent que debe usar la línea de base de revisiones de Windows predeterminada
pb-0123456789abcdef0
. -
SSM Agent recupera una instantánea de la línea de base de revisiones desde Patch Manager en función de las reglas de aprobación y las excepciones configuradas en la línea de base de revisiones predeterminada
pb-0123456789abcdef0
y avanza al siguiente paso.
-
-
-
Análisis de detección de revisiones o instalación de revisiones: después de determinar la línea de base de revisiones adecuada que se va a utilizar, SSM Agent comienza el análisis de detección de revisiones o la instalación de revisiones en función del valor de operación especificado en el paso 1. las revisiones que se analizan o se instalan se determinan a partir de las reglas de aprobación y las excepciones de revisiones que están definidas en la instantánea de la línea de base de revisiones que Patch Manager proporciona.
- Más información