Grup tambalan - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Grup tambalan

catatan

Grup patch tidak digunakan dalam operasi patching yang didasarkan pada kebijakan patch. Untuk informasi tentang bekerja dengan kebijakan tambalan, lihatKonfigurasi kebijakan tambalan di Quick Setup.

Fungsionalitas grup tambalan tidak didukung di konsol untuk pasangan wilayah Akun yang belum menggunakan grup tambalan sebelum dukungan kebijakan tambalan dirilis pada 22 Desember 2022. Fungsionalitas grup patch masih tersedia di pasangan Account-region yang mulai menggunakan grup patch sebelum tanggal ini.

Anda dapat menggunakan grup tambalan untuk mengaitkan node terkelola dengan baseline patch tertentu di Patch Manager, alat di AWS Systems Manager. Grup tambalan membantu memastikan bahwa Anda menerapkan tambalan yang sesuai, berdasarkan aturan dasar tambalan terkait, ke kumpulan node yang benar. Grup patch juga dapat membantu Anda menghindari men-deploy patch sebelum diuji secara memadai. Sebagai contoh, Anda dapat membuat grup patch untuk lingkungan yang berbeda (seperti pengembangan, pengujian, dan produksi) dan mendaftarkan setiap grup patch ke dasar patch yang sesuai.

Saat menjalankanAWS-RunPatchBaseline, Anda dapat menargetkan node terkelola menggunakan ID atau tag mereka. SSM Agent and Patch Manager kemudian evaluasi baseline patch mana yang akan digunakan berdasarkan nilai grup patch yang Anda tambahkan ke node terkelola.

Anda membuat grup tambalan menggunakan tag Amazon Elastic Compute Cloud (Amazon EC2). Tidak seperti skenario penandaan lainnya di Systems Manager, grup patch harus didefinisikan dengan kunci tag Patch Group atauPatchGroup. Kunci ini peka terhadap huruf besar-kecil. Anda dapat menentukan nilai apa pun untuk membantu Anda mengidentifikasi dan menargetkan sumber daya dalam grup itu, misalnya “server web” atau “US-EAST-PROD”, tetapi kuncinya harus atau. Patch Group PatchGroup

Setelah Anda membuat grup patch dan menandai node terkelola, Anda dapat mendaftarkan grup patch dengan baseline patch. Mendaftarkan grup patch dengan baseline patch memastikan bahwa node dalam grup patch menggunakan aturan yang ditentukan dalam baseline patch terkait.

Untuk informasi selengkapnya tentang cara membuat grup patch dan mengaitkan grup patch ke dasar patch, lihat Membuat dan mengelola grup tambalan dan Menambahkan grup patch ke dasar patch.

Untuk melihat contoh membuat dasar patch dan grup patch dengan menggunakan AWS Command Line Interface (AWS CLI), lihat Tutorial: Menambal lingkungan server menggunakan AWS CLI. Untuk informasi selengkapnya tentang EC2 tag Amazon, lihat Menandai EC2 sumber daya Amazon Anda di Panduan EC2 Pengguna Amazon.

Cara kerjanya

Ketika sistem menjalankan tugas untuk menerapkan baseline patch ke node terkelola, SSM Agent memverifikasi bahwa nilai grup patch didefinisikan untuk node. Jika node ditugaskan ke grup patch, Patch Manager kemudian memverifikasi baseline patch mana yang terdaftar ke grup itu. Jika garis dasar tambalan ditemukan untuk grup itu, Patch Manager mengabari SSM Agent untuk menggunakan baseline patch terkait. Jika node tidak dikonfigurasi untuk grup patch, Patch Manager secara otomatis memberi tahu SSM Agent untuk menggunakan baseline patch default yang saat ini dikonfigurasi.

penting

Node terkelola hanya dapat berada dalam satu grup patch.

Suatu grup patch hanya dapat didaftarkan dengan satu dasar patch untuk setiap jenis sistem operasi.

Anda tidak dapat menerapkan Patch Group tag (dengan spasi) ke EC2 instance Amazon jika opsi metadata Izinkan tag dalam instance diaktifkan pada instance. Mengizinkan tag dalam metadata instance mencegah nama kunci tag berisi spasi. Jika Anda telah mengizinkan tag dalam metadata EC2 instance, Anda harus menggunakan kunci tag PatchGroup (tanpa spasi).

Diagram 1: Contoh umum aliran proses operasi penambalan

Ilustrasi berikut menunjukkan contoh umum dari proses yang dilakukan Systems Manager saat mengirim Run Command tugas ke armada server Anda untuk menambal menggunakan Patch Manager. Proses ini menentukan garis dasar tambalan mana yang akan digunakan dalam operasi penambalan. (Proses serupa digunakan ketika jendela pemeliharaan dikonfigurasi untuk mengirim perintah untuk menambal menggunakan Patch Manager.)

Proses lengkapnya dijelaskan di bawah ilustrasi.

Patch Manager alur kerja untuk menentukan baseline patch mana yang akan digunakan saat melakukan operasi patching.

Dalam contoh ini, kita memiliki tiga kelompok EC2 contoh untuk Windows Server dengan tag berikut diterapkan:

EC2 kelompok contoh Tanda

Grup 1

key=OS,value=Windows

key=PatchGroup,value=DEV

Grup 2

key=OS,value=Windows

Grup 3

key=OS,value=Windows

key=PatchGroup,value=QA

Untuk contoh ini, kami juga memiliki dua Windows Server garis dasar tambalan:

ID dasar patch Default Grup patch terkait

pb-0123456789abcdef0

Ya

Default

pb-9876543210abcdef0

Tidak

DEV

Proses umum untuk memindai atau menginstal patch menggunakan Run Command, alat di AWS Systems Manager, dan Patch Manager adalah sebagai berikut:

  1. Mengirim perintah untuk menambal: Gunakan konsol Systems Manager, SDK, AWS Command Line Interface (AWS CLI), atau AWS Tools for Windows PowerShell untuk mengirim Run Command tugas menggunakan dokumenAWS-RunPatchBaseline. Diagram menunjukkan Run Command tugas untuk menambal instance terkelola dengan menargetkan tag. key=OS,value=Windows

  2. Penentuan dasar tambalan: SSM Agent memverifikasi tag grup tambalan yang diterapkan pada EC2 instance dan kueri Patch Manager untuk baseline patch yang sesuai.

    • Mencocokkan nilai grup tambalan yang terkait dengan baseline patch:

      1. SSM Agent, yang diinstal pada EC2 instance di grup satu, menerima perintah yang dikeluarkan pada Langkah 1 untuk memulai operasi penambalan. SSM Agent memvalidasi bahwa EC2 instance memiliki nilai tag grup tambalan yang diterapkan dan kueri DEV Patch Manager untuk baseline patch terkait.

      2. Patch Manager memverifikasi bahwa garis dasar tambalan pb-9876543210abcdef0 memiliki grup DEV tambalan yang terkait dan memberi tahu SSM Agent.

      3. SSM Agent mengambil snapshot dasar patch dari Patch Manager berdasarkan aturan persetujuan dan pengecualian yang dikonfigurasi pb-9876543210abcdef0 dan dilanjutkan ke langkah berikutnya.

    • Tidak ada tag grup tambalan yang ditambahkan ke instance:

      1. SSM Agent, yang diinstal pada EC2 instance di grup dua, menerima perintah yang dikeluarkan pada Langkah 1 untuk memulai operasi penambalan. SSM Agent memvalidasi bahwa EC2 instance tidak memiliki PatchGroup tag Patch Group atau diterapkan dan sebagai hasilnya, SSM Agent pertanyaan Patch Manager untuk baseline patch Windows default.

      2. Patch Manager memverifikasi bahwa default Windows Server patch baseline adalah pb-0123456789abcdef0 dan memberi tahu SSM Agent.

      3. SSM Agent mengambil snapshot dasar patch dari Patch Manager berdasarkan aturan persetujuan dan pengecualian yang dikonfigurasi dalam baseline patch default pb-0123456789abcdef0 dan melanjutkan ke langkah berikutnya.

    • Tidak ada nilai grup patch yang cocok yang terkait dengan baseline patch:

      1. SSM Agent, yang diinstal pada EC2 instance di grup tiga, menerima perintah yang dikeluarkan pada Langkah 1 untuk memulai operasi penambalan. SSM Agent memvalidasi bahwa EC2 instance memiliki nilai tag grup tambalan yang diterapkan dan kueri QA Patch Manager untuk baseline patch terkait.

      2. Patch Manager tidak menemukan garis dasar tambalan yang terkait dengan grup QA tambalan.

      3. Patch Manager mengabari SSM Agent untuk menggunakan pb-0123456789abcdef0 baseline patch Windows default.

      4. SSM Agent mengambil snapshot dasar patch dari Patch Manager berdasarkan aturan persetujuan dan pengecualian yang dikonfigurasi dalam baseline patch default pb-0123456789abcdef0 dan melanjutkan ke langkah berikutnya.

  3. Patch scan atau install: Setelah menentukan baseline patch yang sesuai untuk digunakan, SSM Agent mulai memindai atau menginstal tambalan berdasarkan nilai operasi yang ditentukan dalam Langkah 1. Patch yang dipindai atau diinstal ditentukan oleh aturan persetujuan dan pengecualian tambalan yang ditentukan dalam snapshot dasar patch yang disediakan oleh Patch Manager.