Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Grup tambalan
catatan
Grup patch tidak digunakan dalam operasi patching yang didasarkan pada kebijakan patch. Untuk informasi tentang bekerja dengan kebijakan tambalan, lihatKonfigurasi kebijakan tambalan di Quick Setup.
Fungsionalitas grup tambalan tidak didukung di konsol untuk pasangan wilayah Akun yang belum menggunakan grup tambalan sebelum dukungan kebijakan tambalan dirilis pada 22 Desember 2022. Fungsionalitas grup patch masih tersedia di pasangan Account-region yang mulai menggunakan grup patch sebelum tanggal ini.
Anda dapat menggunakan grup tambalan untuk mengaitkan node terkelola dengan baseline patch tertentu di Patch Manager, alat di AWS Systems Manager. Grup tambalan membantu memastikan bahwa Anda menerapkan tambalan yang sesuai, berdasarkan aturan dasar tambalan terkait, ke kumpulan node yang benar. Grup patch juga dapat membantu Anda menghindari men-deploy patch sebelum diuji secara memadai. Sebagai contoh, Anda dapat membuat grup patch untuk lingkungan yang berbeda (seperti pengembangan, pengujian, dan produksi) dan mendaftarkan setiap grup patch ke dasar patch yang sesuai.
Saat menjalankanAWS-RunPatchBaseline, Anda dapat menargetkan node terkelola menggunakan ID atau tag mereka. SSM Agent and Patch Manager kemudian evaluasi baseline patch mana yang akan digunakan berdasarkan nilai grup patch yang Anda tambahkan ke node terkelola.
Anda membuat grup tambalan menggunakan tag Amazon Elastic Compute Cloud (Amazon EC2). Tidak seperti skenario penandaan lainnya di Systems Manager, grup patch harus didefinisikan dengan kunci tag Patch Group atauPatchGroup. Kunci ini peka terhadap huruf besar-kecil. Anda dapat menentukan nilai apa pun untuk membantu Anda mengidentifikasi dan menargetkan sumber daya dalam grup itu, misalnya “server web” atau “US-EAST-PROD”, tetapi kuncinya harus atau. Patch Group PatchGroup
Setelah Anda membuat grup patch dan menandai node terkelola, Anda dapat mendaftarkan grup patch dengan baseline patch. Mendaftarkan grup patch dengan baseline patch memastikan bahwa node dalam grup patch menggunakan aturan yang ditentukan dalam baseline patch terkait.
Untuk informasi selengkapnya tentang cara membuat grup patch dan mengaitkan grup patch ke dasar patch, lihat Membuat dan mengelola grup tambalan dan Menambahkan grup patch ke dasar patch.
Untuk melihat contoh membuat dasar patch dan grup patch dengan menggunakan AWS Command Line Interface (AWS CLI), lihat Tutorial: Menambal lingkungan server menggunakan AWS CLI. Untuk informasi selengkapnya tentang EC2 tag Amazon, lihat Menandai EC2 sumber daya Amazon Anda di Panduan EC2 Pengguna Amazon.
Cara kerjanya
Ketika sistem menjalankan tugas untuk menerapkan baseline patch ke node terkelola, SSM Agent memverifikasi bahwa nilai grup patch didefinisikan untuk node. Jika node ditugaskan ke grup patch, Patch Manager kemudian memverifikasi baseline patch mana yang terdaftar ke grup itu. Jika garis dasar tambalan ditemukan untuk grup itu, Patch Manager mengabari SSM Agent untuk menggunakan baseline patch terkait. Jika node tidak dikonfigurasi untuk grup patch, Patch Manager secara otomatis memberi tahu SSM Agent untuk menggunakan baseline patch default yang saat ini dikonfigurasi.
penting
Node terkelola hanya dapat berada dalam satu grup patch.
Suatu grup patch hanya dapat didaftarkan dengan satu dasar patch untuk setiap jenis sistem operasi.
Anda tidak dapat menerapkan Patch Group tag (dengan spasi) ke EC2 instance Amazon jika opsi metadata Izinkan tag dalam instance diaktifkan pada instance. Mengizinkan tag dalam metadata instance mencegah nama kunci tag berisi spasi. Jika Anda telah mengizinkan tag dalam metadata EC2 instance, Anda harus menggunakan kunci tag PatchGroup (tanpa spasi).
Diagram 1: Contoh umum aliran proses operasi penambalan
Ilustrasi berikut menunjukkan contoh umum dari proses yang dilakukan Systems Manager saat mengirim Run Command tugas ke armada server Anda untuk menambal menggunakan Patch Manager. Proses ini menentukan garis dasar tambalan mana yang akan digunakan dalam operasi penambalan. (Proses serupa digunakan ketika jendela pemeliharaan dikonfigurasi untuk mengirim perintah untuk menambal menggunakan Patch Manager.)
Proses lengkapnya dijelaskan di bawah ilustrasi.
Dalam contoh ini, kita memiliki tiga kelompok EC2 contoh untuk Windows Server dengan tag berikut diterapkan:
| EC2 kelompok contoh | Tanda |
|---|---|
|
Grup 1 |
|
|
Grup 2 |
|
|
Grup 3 |
|
Untuk contoh ini, kami juga memiliki dua Windows Server garis dasar tambalan:
| ID dasar patch | Default | Grup patch terkait |
|---|---|---|
|
|
Ya |
|
|
|
Tidak |
|
Proses umum untuk memindai atau menginstal patch menggunakan Run Command, alat di AWS Systems Manager, dan Patch Manager adalah sebagai berikut:
-
Mengirim perintah untuk menambal: Gunakan konsol Systems Manager, SDK, AWS Command Line Interface (AWS CLI), atau AWS Tools for Windows PowerShell untuk mengirim Run Command tugas menggunakan dokumen
AWS-RunPatchBaseline. Diagram menunjukkan Run Command tugas untuk menambal instance terkelola dengan menargetkan tag.key=OS,value=Windows -
Penentuan dasar tambalan: SSM Agent memverifikasi tag grup tambalan yang diterapkan pada EC2 instance dan kueri Patch Manager untuk baseline patch yang sesuai.
-
Mencocokkan nilai grup tambalan yang terkait dengan baseline patch:
-
SSM Agent, yang diinstal pada EC2 instance di grup satu, menerima perintah yang dikeluarkan pada Langkah 1 untuk memulai operasi penambalan. SSM Agent memvalidasi bahwa EC2 instance memiliki nilai tag grup tambalan yang diterapkan dan kueri
DEVPatch Manager untuk baseline patch terkait. -
Patch Manager memverifikasi bahwa garis dasar tambalan
pb-9876543210abcdef0memiliki grupDEVtambalan yang terkait dan memberi tahu SSM Agent. -
SSM Agent mengambil snapshot dasar patch dari Patch Manager berdasarkan aturan persetujuan dan pengecualian yang dikonfigurasi
pb-9876543210abcdef0dan dilanjutkan ke langkah berikutnya.
-
-
Tidak ada tag grup tambalan yang ditambahkan ke instance:
-
SSM Agent, yang diinstal pada EC2 instance di grup dua, menerima perintah yang dikeluarkan pada Langkah 1 untuk memulai operasi penambalan. SSM Agent memvalidasi bahwa EC2 instance tidak memiliki
PatchGrouptagPatch Groupatau diterapkan dan sebagai hasilnya, SSM Agent pertanyaan Patch Manager untuk baseline patch Windows default. -
Patch Manager memverifikasi bahwa default Windows Server patch baseline adalah
pb-0123456789abcdef0dan memberi tahu SSM Agent. -
SSM Agent mengambil snapshot dasar patch dari Patch Manager berdasarkan aturan persetujuan dan pengecualian yang dikonfigurasi dalam baseline patch default
pb-0123456789abcdef0dan melanjutkan ke langkah berikutnya.
-
-
Tidak ada nilai grup patch yang cocok yang terkait dengan baseline patch:
-
SSM Agent, yang diinstal pada EC2 instance di grup tiga, menerima perintah yang dikeluarkan pada Langkah 1 untuk memulai operasi penambalan. SSM Agent memvalidasi bahwa EC2 instance memiliki nilai tag grup tambalan yang diterapkan dan kueri
QAPatch Manager untuk baseline patch terkait. -
Patch Manager tidak menemukan garis dasar tambalan yang terkait dengan grup
QAtambalan. -
Patch Manager mengabari SSM Agent untuk menggunakan
pb-0123456789abcdef0baseline patch Windows default. -
SSM Agent mengambil snapshot dasar patch dari Patch Manager berdasarkan aturan persetujuan dan pengecualian yang dikonfigurasi dalam baseline patch default
pb-0123456789abcdef0dan melanjutkan ke langkah berikutnya.
-
-
-
Patch scan atau install: Setelah menentukan baseline patch yang sesuai untuk digunakan, SSM Agent mulai memindai atau menginstal tambalan berdasarkan nilai operasi yang ditentukan dalam Langkah 1. Patch yang dipindai atau diinstal ditentukan oleh aturan persetujuan dan pengecualian tambalan yang ditentukan dalam snapshot dasar patch yang disediakan oleh Patch Manager.
- Info lebih lanjut
