Choisir entre State Manager et Maintenance Windows - AWS Systems Manager

Choisir entre State Manager et Maintenance Windows

Les fonctionnalités State Manager et Maintenance Windows d'AWS Systems Manager peuvent procéder à des mises à jour de types similaires sur vos nœuds gérés. Votre choix dépend de la nécessité d'automatiser la conformité du système ou d'effectuer des tâches hautement prioritaires et sensibles au temps pendant les périodes que vous spécifiez.

State Manager et Maintenance Windows : cas d'utilisation clés

La fonctionnalité State Manager de AWS Systems Manager définit et gère la configuration d'état ciblée pour les nœuds gérés et les ressources AWS de votre Compte AWS. Vous pouvez définir des combinaisons de configurations et de cibles en tant qu'objets d'association. State Manager est la fonctionnalité recommandée pour maintenir tous les nœuds gérés de votre compte dans un état cohérent, utiliser Amazon EC2 Auto Scaling pour générer de nouveaux nœuds ou avoir des exigences strictes en matière de rapports de conformité pour les nœuds gérés de votre compte.

Les principaux cas d'utilisation pour State Manager sont les suivants :

  • Scénarios Auto Scaling : State Manager peut contrôler tous les nouveaux nœuds lancés dans un compte, soit manuellement, soit via des groupes Auto Scaling. Si le compte comporte des associations qui ciblent ce nouveau nœud (par le biais de balises ou de tous les nœuds), cette association particulière est automatiquement appliquée au nouveau nœud.

  • Rapports de conformité : State Manager peut générer des rapports de conformité des états souhaités des ressources de votre compte.

  • Prise en charge de tous les nœuds : State Manager peut cibler tous les nœuds d'un compte donné.

Une fenêtre de maintenance effectue une ou plusieurs actions sur des ressources AWS à l'intérieur d'une fenêtre de temps donnée. Vous pouvez définir une seule fenêtre de maintenance avec les heures de début et de fin. Vous pouvez spécifier plusieurs tâches à exécuter à l'intérieur de cette fenêtre de maintenance. Utilisez la fonctionnalité Maintenance Windows d'AWS Systems Manager si vos opérations hautement prioritaires incluent l'application de correctifs sur vos nœuds gérés, l'exécution de plusieurs types de tâches sur vos nœuds durant une période de mise à jour, ou le contrôle du moment où les opérations de mise à jour peuvent être exécutées sur vos nœuds.

Les principaux cas d'utilisation pour Maintenance Windows sont les suivants :

  • Exécution de plusieurs documents : les fenêtres de maintenance peuvent exécuter plusieurs tâches. Chaque tâche peut utiliser un type de document différent. Par conséquent, vous pouvez créer des flux de travail complexes à l'aide de différentes tâches à l'intérieur d'une seule fenêtre de maintenance.

  • Application de correctifs : une fenêtre de maintenance peut prévoir la prise en charge de l'application de correctifs pour tous les nœuds gérés d'une seule région balisés avec une balise ou un groupe de ressources spécifique. Comme le processus d'application de correctifs implique généralement la mise hors service des nœuds (par exemple, le retrait des nœuds d'un équilibreur de charge), l'application des correctifs et le post-traitement (remise en production des nœuds), il peut prendre la forme d'une série de tâches réalisées dans une fenêtre de temps donnée.

    Note

    Lorsque vous utilisez une fenêtre de maintenance, votre opération d'application de correctifs est limitée à une seule région dans un seul compte. À l'aide d'une politique de correctifs créée dans Quick Setup, une fonctionnalité de Systems Manager, vous pouvez configurer l'application de correctifs pour certains ou tous les comptes et régions d'une organisation créée dans AWS Organizations. Pour en savoir plus, consultez Configurations de la politique de correctifs dans Quick Setup.

  • Actions de la fenêtre : les fenêtres de maintenance peuvent faire en sorte qu'un ou plusieurs ensembles d'actions démarrent à l'intérieur d'une fenêtre de temps spécifique. Les fenêtres de maintenance ne permettront pas le démarrage en dehors de cette fenêtre. Les actions déjà commencées se poursuivent jusqu'à leur terme, même si elles se terminent en dehors de la fenêtre de temps.

Le tableau suivant compare les principales fonctions de State Manager et des Maintenance Windows.

Fonctionnalité State Manager Maintenance Windows

Intégration AWS CloudFormation

Les modèles AWS CloudFormation prennent en charge les associations State Manager.

Les modèles AWS CloudFormation prennent en charge les fenêtres de maintenance, les cibles de fenêtre et les tâches de fenêtre.

Conformité

Chaque association State Manager signale la conformité par rapport au statut souhaité de la ressource ciblée. Vous pouvez utiliser le tableau de bord de conformité pour agréger et afficher la conformité signalée.

Ne s'applique pas.

Intégration de la gestion de la configuration

State Manager prend en charge les solutions externes d’état ciblé telles que Microsoft PowerShell Desired State Configuration (DSC), les playbooks Ansible et les recettes Chef. Vous pouvez utiliser les associations State Manager pour tester le fonctionnement des solutions de gestion de la configuration et pour appliquer les changements de configuration à vos nœuds lorsque vous êtes prêt.

Ne s'applique pas.

Documents

Des configurations State Manager peuvent être définies en tant que documents de politique (pour la collecte d'informations d'inventaire), runbooks Automation, pour des ressources AWS telles que les compartiments Amazon Simple Storage Service (Amazon S3), ou documents de commande Systems Manager (documents SSM) pour les nœuds gérés.

Des configurations Maintenance Windows peuvent être définies en tant que documents d'automatisation (actions en plusieurs étapes avec des flux d'approbation facultatifs) ou documents SSM (état souhaité pour les nœuds gérés).

Surveillance

State Manager surveille les changements de configuration, d'association ou d'état d'un nœud (par exemple, la mise en ligne de nouveaux nœuds). Lorsque State Manager détecte ces changements, l'association donnée est réappliquée aux nœuds initialement ciblés par celle-ci.

Ne s'applique pas.

Priorités appliquées aux tâches

Ne s'applique pas.

Une priorité peut être affectée aux tâches à l'intérieur d'une fenêtre de maintenance. Toutes les tâches de même priorité sont exécutées en parallèle. Les tâches de priorité inférieure sont exécutées une fois que les tâches de priorité élevée ont atteint un état final. Il n'existe aucun moyen d'exécuter des tâches sous certaines conditions. Une fois qu'une tâche de priorité supérieure atteint son état final, la tâche de priorité suivante s'exécute, indépendamment de l'état de la tâche précédente.

Commandes de sécurité

State Manager prend en charge deux contrôles de sécurité lors du déploiement de configurations sur une flotte étendue. Vous pouvez utiliser la concomitance maximale pour définir le nombre de nœuds ou de ressources sur lesquels la configuration doit être simultanément appliquée. Vous pouvez définir un taux d'erreur maximal pour la suspension de l'association State Manager si un certain nombre ou pourcentage d'erreurs se produit au sein de la flotte.

Les fenêtres de maintenance prennent en charge deux contrôles de sécurité lors du déploiement de configurations sur une flotte étendue. Vous pouvez utiliser la concomitance maximale pour définir le nombre de nœuds ou de ressources sur lesquels la configuration doit être simultanément appliquée. Vous pouvez définir un taux d'erreur maximal pour la suspension des actions dans une fenêtre de maintenance si un certain nombre ou pourcentage d'erreurs se produit sur la flotte.

Planification

Vous pouvez exécuter des associations State Manager à la demande, à un intervalle cron particulier, à un débit donné, ou une fois leur création. Cela est utile pour maintenir l'état souhaité de vos ressources de manière cohérente et opportune.

Important

Les expressions cron pour les associations State Manager ne prennent pas en charge le champ des mois, tel que 03 ou MAR pour le mois de mars. Si vous avez besoin de mises à jour de configuration mensuelles ou trimestrielles, une fenêtre de maintenance peut répondre au mieux à vos besoins. Pour en savoir plus, consultez Référence : Expressions Cron et Rate pour Systems Manager.

Les fenêtres de maintenance prennent en charge plusieurs options de planification, notamment des expressions at (par exemple, "at(2021-07-07T13:15:30)"), des expressions cron et rate, des cron avec décalages, des heures de début et de fin définissant les périodes durant lesquelles les fenêtres de maintenance doivent s'exécuter, et des heures de coupure pour spécifier à quel moment arrêter la planification à l'intérieur d'une fenêtre de temps donnée.

Ciblage

Les associations State Manager peuvent cibler un ou plusieurs nœuds à l'aide d'un ID de nœud, d'une balise ou d'un groupe de ressources. State Manager peut cibler tous les nœuds gérés d'un compte donné.

Les fenêtres de maintenance peuvent cibler un ou plusieurs nœuds à l'aide d'ID de nœud, de balises ou de groupes de ressources.

Tâches à l'intérieur de fenêtres de maintenance

Ne s'applique pas.

Les fenêtres de maintenance peuvent prendre en charge une ou plusieurs tâches dans lesquelles chaque tâche cible une action spécifique du runbook Automation ou du document de commande. Toutes les tâches d'une fenêtre de maintenance s'exécutent en parallèle, sauf si des priorités différentes sont définies pour différentes tâches.

Dans l'ensemble, les fenêtres de maintenance prennent en charge quatre types de tâches :

  • Commandes de Run Command AWS Systems Manager

  • Flux de travail d'automatisation AWS Systems Manager

  • Fonctions AWS Lambda

  • Tâches AWS Step Functions