Tutorial: creare una finestra di manutenzione per l'applicazione delle patch utilizzando la console - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tutorial: creare una finestra di manutenzione per l'applicazione delle patch utilizzando la console

Importante

Puoi continuare a usare questo argomento legacy per creare una finestra di manutenzione per l'applicazione di patch. Consigliamo, tuttavia, di utilizzare una policy di patch. Per ulteriori informazioni, consulta Configurazioni delle policy di patch in Quick Setup e Configurare l'applicazione di patch per le istanze in un'organizzazione utilizzando Quick Setup.

Per ridurre al minimo l'impatto sulla disponibilità dei server, ti consigliamo di configurare una finestra di manutenzione per eseguire l'applicazione di patch in orari che non interrompano le attività aziendali.

È necessario configurare ruoli e autorizzazioni per Maintenance Windows, una capacità di AWS Systems Manager, prima di iniziare questa procedura. Per ulteriori informazioni, consulta Configurazione di Maintenance Windows.

Per creare una finestra di manutenzione per l'applicazione di patch
  1. Aprire la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Maintenance Windows.

  3. Scegliere Create maintenance window (Crea finestra di manutenzione).

  4. Nel campo Name (Nome) immettere un nome che lo indichi come una finestra di manutenzione per l'applicazione di aggiornamenti critici e importanti.

  5. (Facoltativo) In Description (Descrizione), immettere una descrizione.

  6. Scegli Allow unregistered targets (Consenti destinazioni non registrate) per consentire a un'attività di una finestra di manutenzione di essere eseguita su nodi gestiti, anche se tali nodi non sono stati registrati come destinazioni.

    Se si sceglie questa opzione, è possibile scegliere i nodi non registrati (per ID nodo) quando si registra un'attività sulla finestra di manutenzione.

    Se non si sceglie questa opzione, è necessario scegliere destinazioni precedentemente registrate quando si registra un'attività sulla finestra di manutenzione.

  7. Nella parte superiore della sezione Schedule (Pianificazione), specificare una pianificazione per la finestra di manutenzione utilizzando una delle tre opzioni di pianificazione.

    Per ulteriori informazioni sulla definizione di espressioni cron/rate, consulta Riferimento: espressioni Cron e Rate per Systems Manager.

  8. Per Duration (Durata), inserire il numero di ore di esecuzione della finestra di manutenzione. Il valore specificato determina l'ora di fine specifica per la finestra di manutenzione in base all'ora di inizio. Nessuna attività della finestra di manutenzione può essere avviata dopo l'ora di fine risultante meno il numero di ore specificato per Arresta l'inizializzazione di attività nella fase successiva.

    Ad esempio, se la finestra di manutenzione inizia alle 15:00, la durata è di tre ore e il valore Stop initiating tasks (Arresta l'inizializzazione di attività) è un'ora, nessuna attività della finestra di manutenzione può iniziare dopo le 17:00.

  9. In Stop initiating tasks (Interrompi l'avvio delle attività), inserire il numero di ore prima del termine della finestra di manutenzione a partire dalle quali il sistema deve interrompere la pianificazione dell'esecuzione di nuove attività.

  10. (Facoltativo) Per la data di inizio della finestra, specificate una data e un'ora, nel formato ISO -8601 Extended, per quando desiderate che la finestra di manutenzione diventi attiva. In questo modo è possibile ritardare l'attivazione della finestra di manutenzione fino alla data futura indicata.

  11. (Facoltativo) Per la data di fine della finestra, specificate una data e un'ora, nel formato ISO -8601 Extended, per quando desiderate che la finestra di manutenzione diventi inattiva. In questo modo è possibile impostare una data e un'ora nel futuro in cui la finestra di manutenzione non sarà più in esecuzione.

  12. (Facoltativo) Per Schedule timezone, specificate il fuso orario su cui basare le esecuzioni delle finestre di manutenzione programmata, nel formato Internet Assigned Numbers Authority (). IANA Ad esempio: «America/Los_Angeles», «UTCetc/» o «Asia/Seoul».

    Per ulteriori informazioni sui formati validi, consulta il Database dei fusi orari sul sito Web. IANA

  13. (Facoltativo) Nell'area Manage tags (Gestisci tag), applicare una o più coppie nome chiave tag-valore alla finestra di manutenzione.

    I tag sono metadati facoltativi assegnati a una risorsa. Consentono di categorizzare una risorsa in diversi modi, ad esempio in base allo scopo, al proprietario o all'ambiente. Ad esempio, potresti voler etichettare questa finestra di manutenzione per identificare il tipo di attività che esegue. In questo caso, è possibile specificare la seguente coppia nome/valore chiave:

    • Key=TaskType,Value=Patching

  14. Scegliere Create maintenance window (Crea finestra di manutenzione).

  15. Nell'elenco delle finestre di manutenzione, scegliere la finestra di manutenzione appena creata, quindi scegliere Actions (Operazioni), Register targets (Registra destinazioni).

  16. (Facoltativo) Nella sezione Maintenance window target details (Dettagli della finestra di manutenzione di destinazione), specificare il nome, la descrizione e le informazioni sul proprietario (il proprio nome o alias) per la destinazione.

  17. Per la selezione di Target, scegliete Specificare i tag dell'istanza.

  18. Per Specificare i tag di istanza, inserisci una chiave di tag e un valore di tag per identificare i nodi da registrare nella finestra di manutenzione, quindi scegli Aggiungi.

  19. Scegliere Register target (Registra destinazione). Il sistema crea una finestra di manutenzione di destinazione.

  20. Nella pagina dei dettagli della finestra di manutenzione creata, scegliere Actions (Operazioni), Register Run command task (Registra attività di esecuzione comandi).

  21. (Facoltativo) In Maintenance window task details (Dettagli attività finestra di manutenzione) fornire il nome e la descrizione dell'attività.

  22. Per Command document (Documento comando), scegliere AWS-RunPatchBaseline.

  23. Per Priorità attività, scegliere una priorità. Zero (0) indica la priorità più elevata.

  24. In Targets (Destinazioni), sotto Target by (Destinazione di), scegliere la finestra di manutenzione di destinazione creata precedentemente in questa procedura.

  25. In Rate control (Controllo velocità):

    • In Concurrency (Simultaneità), specificare un numero o una percentuale di nodi gestiti su cui eseguire contemporaneamente il comando.

      Nota

      Se sono state selezionate le destinazioni specificando i tag applicati ai nodi gestiti o specificando gruppi di risorse AWS , e non si conosce con certezza il numero di nodi gestiti di destinazione, limitare il numero di destinazioni che possono eseguire il documento contemporaneamente specificando una percentuale.

    • Per Error threshold (Soglia di errore) specificare quando interrompere l'esecuzione del comando sulle altri nodi gestiti dopo un errore su un numero o una percentuale di nodi. Se ad esempio si specificano 3 errori, Systems Manager interrompe l'invio del comando quando riceve il quarto errore. Anche i nodi gestiti che stanno ancora elaborando il comando potrebbero inviare errori.

  26. (Facoltativo) Per il ruolo di IAM servizio, scegliete un ruolo per fornire a Systems Manager le autorizzazioni da assumere durante l'esecuzione di un'attività relativa alla finestra di manutenzione.

    Se non si specifica un ruolo di servizioARN, Systems Manager utilizza un ruolo collegato al servizio nell'account. Se nell'account non esiste un ruolo collegato al servizio appropriato per Systems Manager, questo viene creato quando l'attività viene registrata correttamente.

    Nota

    Per migliorare il livello di sicurezza, consigliamo vivamente di creare una politica personalizzata e un ruolo di servizio personalizzato per l'esecuzione delle attività della finestra di manutenzione. La policy può essere creata per fornire solo le autorizzazioni necessarie per le specifiche attività della finestra di manutenzione. Per ulteriori informazioni, consulta Configurazione di Maintenance Windows.

  27. (Opzionale) In Output optione (Opzioni di output), per salvare l'output del comando in un file, selezionare la casella Enable writing output to S3 (Abilita scrittura in S3). Digitare i nomi del bucket e del prefisso (cartella) nelle caselle.

    Nota

    Le autorizzazioni S3 che garantiscono la possibilità di scrivere i dati in un bucket S3 sono quelle del profilo di istanza assegnato al nodo gestito, non quelle dell'IAMutente che esegue questa attività. Per ulteriori informazioni, vedere Configurare le autorizzazioni di istanza richieste per Systems Manager o Creare un ruolo IAM di servizio per un ambiente ibrido. Inoltre, se il bucket S3 specificato si trova in un altro bucket Account AWS, verifica che il profilo di istanza o il ruolo di IAM servizio associato al nodo gestito disponga delle autorizzazioni necessarie per scrivere su quel bucket.

    Per trasmettere l'output a un gruppo di log di Amazon CloudWatch Logs, seleziona la casella CloudWatch di output. Inserisci il nome del gruppo di log nella casella.

  28. Nella sezione SNSnotifiche, se desideri che vengano inviate notifiche sullo stato dell'esecuzione del comando, seleziona la casella di controllo Abilita SNS notifiche.

    Per ulteriori informazioni sulla configurazione delle SNS notifiche Amazon per Run Command, consulta Monitoraggio delle modifiche allo stato di Systems Manager tramite SNS le notifiche di Amazon.

  29. In Parametri:

    • Nell'elenco Operation (Operazione) scegliere Scan (Scansione) per cercare le patch mancanti oppure Install (Installa) per cercare e installare le patch mancanti.

    • Non è necessario specificare nulla nel campo Snapshot Id (ID snapshot). Questo sistema genera e fornisce automaticamente questo parametro.

    • Non devi inserire nulla nel campo Install Override List, a meno che tu non voglia Patch Manager per utilizzare un set di patch diverso da quello specificato per la patch di base. Per informazioni, consultare Nome parametro: InstallOverrideList.

    • Per RebootOption, specifica se desideri che i nodi si riavviino se le patch vengono installate durante l'Installoperazione o se Patch Manager rileva altre patch installate dopo il riavvio dell'ultimo nodo. Per informazioni, consultare Nome parametro: RebootOption.

    • (Facoltativo) In Comment (Commento) immettere una nota di tracciamento o un promemoria su questo comando.

    • Nella casella Timeout (seconds) (Timeout (secondi)) immettere il numero di secondi che devono trascorrere per il completamento dell'operazione prima che il sistema la consideri come non andata a buon fine.

  30. Scegliere Register Run command task (Registra attività di esecuzione comandi).

Una volta completata l'operazione relativa alla finestra di manutenzione, è possibile visualizzare i dettagli sulla conformità delle patch nella console Systems Manager nel Fleet Managercapacità.

È inoltre possibile visualizzare le informazioni sulla conformità nel Patch Managerfunzionalità, nella scheda Rapporti sulla conformità.

Puoi anche utilizzare DescribePatchGroupStatee DescribeInstancePatchStatesForPatchGroupAPIsper visualizzare i dettagli sulla conformità. Per informazioni sui dati di conformità delle patch, consulta Informazioni sulla conformità delle patch.