Menambal node terkelola sesuai permintaan - AWS Systems Manager
Cara kerja 'Patch sekarang'Menjalankan 'Patch sekarang'

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menambal node terkelola sesuai permintaan

Menggunakan opsi Patch now di Patch Manager, kemampuan AWS Systems Manager, Anda dapat menjalankan operasi patching sesuai permintaan dari konsol Systems Manager. Ini berarti Anda tidak perlu membuat jadwal untuk memperbarui status kepatuhan node terkelola Anda atau untuk menginstal tambalan pada node yang tidak sesuai. Anda juga tidak perlu mengganti konsol Systems Manager Patch Manager and Maintenance Windows, kemampuan AWS Systems Manager, untuk mengatur atau memodifikasi jendela patching terjadwal.

Patch sekarang sangat berguna ketika Anda harus menerapkan pembaruan zero-day atau menginstal patch penting lainnya pada node terkelola Anda sesegera mungkin.

catatan

Penambalan sesuai permintaan didukung untuk satu Akun AWSWilayah AWS pasangan sekaligus. Itu tidak dapat digunakan dengan operasi penambalan yang didasarkan pada kebijakan tambalan. Sebaiknya gunakan kebijakan tambalan untuk menjaga agar semua node terkelola tetap sesuai. Untuk informasi selengkapnya tentang bekerja dengan kebijakan tambalan, lihatKonfigurasi kebijakan tambalan di Quick Setup.

Cara kerja 'Patch sekarang'

Untuk menjalankan Patch sekarang, Anda hanya menentukan dua pengaturan yang diperlukan:

  • Apakah akan memindai patch yang hilang saja, atau untuk memindai dan menginstal tambalan pada node terkelola Anda

  • Node yang mengelola untuk menjalankan operasi

Ketika operasi Patch sekarang berjalan, ini menentukan baseline patch mana yang akan digunakan dengan cara yang sama yang dipilih untuk operasi patching lainnya. Jika node terkelola dikaitkan dengan grup tambalan, baseline patch yang ditentukan untuk grup tersebut akan digunakan. Jika node terkelola tidak terkait dengan grup patch, operasi menggunakan baseline patch yang saat ini ditetapkan sebagai default untuk jenis sistem operasi dari node terkelola. Ini bisa berupa baseline yang telah ditentukan sebelumnya, atau baseline kustom yang telah Anda tetapkan sebagai default. Untuk informasi lebih lanjut tentang pemilihan dasar tambalan, lihat. Grup tambalan

Opsi yang dapat Anda tentukan untuk Patch sekarang termasuk memilih kapan, atau apakah, untuk me-reboot node terkelola setelah menambal, menentukan bucket Amazon Simple Storage Service (Amazon S3) untuk menyimpan data log untuk operasi penambalan, dan menjalankan dokumen Systems Manager SSM (dokumen) sebagai kait siklus hidup selama penambalan.

Ambang batas konkurensi dan kesalahan untuk 'Patch sekarang'

Untuk operasi Patch now, opsi konkurensi dan ambang kesalahan ditangani oleh Patch Manager. Anda tidak perlu menentukan berapa banyak node terkelola untuk ditambal sekaligus, atau berapa banyak kesalahan yang diizinkan sebelum operasi gagal. Patch Manager menerapkan pengaturan ambang konkurensi dan kesalahan yang dijelaskan dalam tabel berikut saat Anda menambal sesuai permintaan.

penting

Ambang batas berikut hanya berlaku untuk Scan and install operasi. Untuk Scan operasi, Patch Manager mencoba memindai hingga 1.000 node secara bersamaan, dan melanjutkan pemindaian hingga mengalami hingga 1.000 kesalahan.

Konkurensi: Instal operasi
Jumlah total node terkelola dalam operasi Patch sekarang Jumlah node terkelola yang dipindai atau ditambal pada suatu waktu
Kurang dari 25 1
25-100 5%
101 hingga 1.000 8%
Lebih dari 1.000 10%
Ambang kesalahan: Instal operasi
Jumlah total node terkelola dalam operasi Patch sekarang Jumlah kesalahan yang diizinkan sebelum operasi gagal
Kurang dari 25 1
25-100 5
101 hingga 1.000 10
Lebih dari 1.000 10

Menggunakan kait siklus hidup 'Patch sekarang'

Patch sekarang memberi Anda kemampuan untuk menjalankan dokumen SSM Command sebagai kait siklus hidup selama operasi Install penambalan. Anda dapat menggunakan kait ini untuk tugas-tugas seperti mematikan aplikasi sebelum menambal atau menjalankan pemeriksaan kesehatan pada aplikasi Anda setelah menambal atau setelah reboot.

Untuk informasi selengkapnya tentang penggunaan kait siklus hidup, lihat. SSMDokumen perintah untuk menambal: AWS-RunPatchBaselineWithHooks

Tabel berikut mencantumkan kait siklus hidup yang tersedia untuk masing-masing dari tiga opsi Patch now reboot, selain penggunaan sampel untuk setiap hook.

Kait siklus hidup dan penggunaan sampel
Opsi reboot Hook: Sebelum instalasi Hook: Setelah instalasi Hook: Saat keluar Hook: Setelah dijadwalkan reboot
Reboot jika diperlukan

Jalankan SSM dokumen sebelum penambalan dimulai.

Contoh penggunaan: Matikan aplikasi dengan aman sebelum proses patching dimulai.

Jalankan SSM dokumen di akhir operasi patching dan sebelum reboot node terkelola.

Contoh penggunaan: Jalankan operasi seperti menginstal aplikasi pihak ketiga sebelum reboot potensial.

Jalankan SSM dokumen setelah operasi patching selesai dan instance di-reboot.

Contoh penggunaan: Pastikan aplikasi berjalan seperti yang diharapkan setelah patch.

 Tidak tersedia
Jangan reboot instance saya Sama seperti di atas.

Jalankan SSM dokumen di akhir operasi penambalan.

Contoh penggunaan: Pastikan aplikasi berjalan seperti yang diharapkan setelah patch.

Tidak tersedia

Tidak tersedia

Jadwalkan waktu reboot Sama seperti di atas. Sama seperti untuk Jangan reboot instance saya. Tidak tersedia

Jalankan SSM dokumen segera setelah reboot terjadwal selesai.

Contoh penggunaan: Pastikan aplikasi berjalan seperti yang diharapkan setelah reboot.

Menjalankan 'Patch sekarang'

Gunakan prosedur berikut untuk menambal node terkelola Anda sesuai permintaan.

Untuk menjalankan 'Patch sekarang'

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Patch Manager.

  3. Pilih Patch sekarang.

  4. Untuk Operasi patching, pilih salah satu hal berikut:

    • Memindai: Patch Manager menemukan tambalan mana yang hilang dari node terkelola Anda tetapi tidak menginstalnya. Anda dapat melihat hasil di dasbor Kepatuhan atau alat lain yang Anda gunakan untuk melihat kepatuhan patch.

    • Pindai dan instal: Patch Manager menemukan patch mana yang hilang dari node terkelola Anda dan menginstalnya.

  5. Gunakan langkah ini hanya jika Anda memilih Pindai dan instal pada langkah sebelumnya. Untuk Opsi reboot, pilih salah satu hal berikut:

    • Reboot jika diperlukan: Setelah instalasi, Patch Manager reboot node terkelola hanya jika diperlukan untuk menyelesaikan instalasi patch.

    • Jangan reboot instance saya: Setelah instalasi, Patch Manager tidak me-reboot node yang dikelola. Anda dapat me-reboot node secara manual saat Anda memilih atau mengelola reboot di luar Patch Manager.

    • Jadwalkan waktu reboot: Tentukan tanggal, waktu, dan zona UTC waktu untuk Patch Manager untuk me-reboot node terkelola Anda. Setelah Anda menjalankan operasi Patch now, reboot terjadwal terdaftar sebagai asosiasi di State Manager dengan namaAWS-PatchRebootAssociation.

  6. Untuk Instans untuk di-patch, pilih salah satu hal berikut:

    • Patch semua instance: Patch Manager menjalankan operasi yang ditentukan pada semua node terkelola Akun AWS di Anda saat ini Wilayah AWS.

    • Hanya menambal instance target yang saya tentukan: Anda menentukan node terkelola mana yang akan ditargetkan pada langkah berikutnya.

  7. Gunakan langkah ini hanya jika Anda memilih Patch instans target yang saya tentukan saja di langkah sebelumnya. Di bagian Pemilihan target, identifikasi node tempat Anda ingin menjalankan operasi ini dengan menentukan tag, memilih node secara manual, atau menentukan grup sumber daya.

    catatan

    Jika node terkelola yang Anda harapkan tidak terdaftar, lihat Memecahkan masalah ketersediaan node terkelola untuk tips pemecahan masalah.

    Jika Anda memilih untuk menargetkan grup sumber daya, perhatikan bahwa grup sumber daya yang didasarkan pada AWS CloudFormation tumpukan harus tetap ditandai dengan aws:cloudformation:stack-id tag default. Jika sudah dihapus, Patch Manager mungkin tidak dapat menentukan node terkelola mana yang termasuk dalam grup sumber daya.

  8. (Opsional) Untuk Penyimpanan log patching, jika Anda ingin membuat dan menyimpan log dari operasi patching ini, pilih bucket S3 untuk menyimpan log.

    catatan

    Izin S3 yang memberikan kemampuan untuk menulis data ke bucket S3 adalah izin profil instance (untuk EC2 instance) atau peran IAM layanan (mesin yang diaktifkan hibrida) yang ditetapkan ke instance, bukan izin pengguna yang melakukan tugas ini. IAM Untuk informasi selengkapnya, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager atau Membuat peran IAM layanan yang diperlukan untuk Systems Manager di lingkungan hybrid dan multicloud. Selain itu, jika bucket S3 yang ditentukan berbeda Akun AWS, pastikan bahwa profil instance atau peran IAM layanan yang terkait dengan node terkelola memiliki izin yang diperlukan untuk menulis ke bucket tersebut.

  9. (Opsional) Jika Anda ingin menjalankan SSM dokumen sebagai kait siklus hidup selama titik tertentu dari operasi penambalan, lakukan hal berikut:

    • Pilih Gunakan kait siklus hidup.

    • Untuk setiap hook yang tersedia, pilih SSM dokumen yang akan dijalankan pada titik operasi yang ditentukan:

      • Sebelum instalasi

      • Setelah instalasi

      • Saat keluar

      • Setelah reboot terjadwal

      catatan

      Dokumen default, AWS-Noop, tidak menjalankan operasi apa pun.

  10. Pilih Patch sekarang.

    Halaman Ringkasan eksekusi asosiasi terbuka. (Patch sekarang menggunakan asosiasi di State Manager, kemampuan AWS Systems Manager, untuk operasinya.) Di area ringkasan Operasi, Anda dapat memantau status pemindaian atau penambalan pada node terkelola yang Anda tentukan.