Gruppi di patch
Importante
I gruppi di patch non vengono utilizzati nelle operazioni di applicazione di patch basate su policy di patch. Per informazioni sull'utilizzo delle policy di patch, consulta Configurazioni delle policy di patch in Quick Setup.
È possibile utilizzare un gruppo di patch per associare i nodi gestiti a una patch di base specifica, Patch Manager, una funzionalità di AWS Systems Manager. I gruppi di patch garantiscono che vengano distribuite le patch appropriate, in base alle regole delle basi di patch associate, al set di nodi corretto. Inoltre aiutano a non distribuire le patch non adeguatamente verificate. Ad esempio, è possibile creare gruppi di patch per ambienti diversi (di sviluppo, di test e di produzione) e registrare ciascun gruppo con una base di patch appropriata.
Quando si esegue AWS-RunPatchBaseline, è possibile specificare come target i nodi gestiti utilizzando il relativo ID nodo o i tag. SSM Agent e Patch Manager quindi valutano quale patch di base utilizzare in base al valore del gruppo di patch aggiunto al nodo gestito.
È possibile creare un gruppo di patch utilizzando i tag Amazon Elastic Compute Cloud (Amazon EC2). A differenza di altri scenari di tagging di Systems Manager, un gruppo di patch deve essere definito con la chiave del tag Patch Group o PatchGroup. La chiave prevede la distinzione fra lettere maiuscole e minuscole. È possibile specificare un qualsiasi valore per identificare e indirizzare le risorse in quel gruppo, ad esempio "server web" o "US-EAST-PROD", ma la chiave deve essere Patch Group o PatchGroup.
Dopo avere creato un gruppo di patch e i nodi gestiti dei tag, è possibile registrare il gruppo di patch in una patch di base. La registrazione del gruppo di patch con una patch di base garantisce che i nodi all'interno del gruppo di patch utilizzino le regole definite nella base di patch associata.
Per ulteriori informazioni su come creare un gruppo di patch e associarlo a una base di patch, consulta Creazione e gestione di gruppi di patch e Aggiungere un gruppo di patch a una base di patch.
Per visualizzare un esempio di creazione di una base di patch e di gruppi di patch con AWS Command Line Interface (AWS CLI), consulta Tutorial: applicazione di patch in un ambiente server con AWS CLI. Per ulteriori informazioni sui tag Amazon EC2, consulta la sezione relativa al Tagging delle risorse Amazon EC2 nella Guida per l'utente di Amazon EC2.
Come funziona
Quando il sistema esegue l'attività di applicazione di una patch di base a un nodo gestito, SSM Agent verifica che per il nodo sia definito un valore del gruppo di patch. Se il nodo è assegnato a un gruppo di patch, Patch Manager verifica quale patch di base è stata registrata per il gruppo. Se per il gruppo viene rilevata una base di patch, Patch Manager comunica a SSM Agent di utilizzare la base di patch associata. Se un nodo non è configurato per un gruppo di patch, Patch Manager comunica automaticamente a SSM Agent di utilizzare la patch di base di default attualmente configurata.
Importante
Un nodo gestito può trovarsi solo in un singolo gruppo di patch.
Un gruppo di patch può essere registrato con una sola base di patch per ciascun tipo di sistema operativo.
Per applicare il tag Patch Group (con uno spazio) a un'istanza di Amazon EC2, l’opzione Consenti i tag nei metadati dell'istanza non deve essere abilitata sull'istanza. Consenti i tag nei metadati di istanza impedisce ai nomi delle chiavi dei tag di contenere spazi. Se hai tag consentiti nei metadati dell'istanza EC2, è necessario utilizzare la chiave di tag PatchGroup (senza spazio).
Diagramma 1: esempio generale del flusso di elaborazione delle operazioni di applicazione di patch
L'immagine seguente mostra un esempio generale dei processi eseguiti da Systems Manager quando invia un'attività Run Command al parco di server per applicare le patch utilizzando Patch Manager. Questi processi determinano quali patch di base utilizzare nelle operazioni di patch. (Un processo analogo viene utilizzato quando una finestra di manutenzione viene configurata per l'invio di un comando di applicazione patch utilizzando Patch Manager.)
L'intero processo è spiegato sotto l'illustrazione.
In questo esempio abbiamo tre gruppi di istanze EC2 di Windows Server con i seguenti tag applicati:
| Gruppo di istanze EC2 | Tag |
|---|---|
|
Gruppo 1 |
|
|
Gruppo 2 |
|
|
Gruppo 3 |
|
Per questo esempio abbiamo anche le due basi di patch Windows Server seguenti:
| ID della base di confronto delle patch | Predefinita | Gruppo di patch associate |
|---|---|---|
|
|
Sì |
|
|
|
No |
|
Il processo generale per la scansione o l'installazione di patch con Run Command, una funzionalità di AWS Systems Manager, e Patch Manager è il seguente:
-
Inviare un comando per l'applicazione di patch: utilizzare la console Systems Manager, SKD, AWS Command Line Interface, (AWS CLI) o AWS Tools for Windows PowerShell per inviare un'attività Run Command utilizzando il documento
AWS-RunPatchBaseline. Il diagramma mostra un'attività Run Command per l'applicazione di patch alle istanze gestite specificando come target il tagkey=OS,value=Windows. -
Determinazione della base di patch: SSM Agent verifica i tag del gruppo di patch applicati all'istanza di EC2 e interroga Patch Manager per la base di patch corrispondente.
-
Valore del gruppo di patch corrispondente associato alla base di patch:
-
SSM Agent, installato nelle istanze EC2 nel gruppo 1, riceve il comando eseguito nella Fase 1 di avviare un'operazione di applicazione di patch. SSM Agent verifica che alle istanze EC2 sia applicato il valore di tag del gruppo di patch
DEVe interroga Patch Manager per ottenere una base di patch associata. -
Patch Manager verifica che alla base di patch
pb-9876543210abcdef0sia associato il gruppo di patchDEVe invia una notifica a SSM Agent. -
SSM Agent recupera uno snapshot della base di patch da Patch Manager in base alle regole di approvazione e alle eccezioni configurate in
pb-9876543210abcdef0e procede con la fase successiva.
-
-
Nessun tag del gruppo di patch aggiunto all'istanza:
-
SSM Agent, installato nelle istanze EC2 nel gruppo 2, riceve il comando eseguito nella Fase 1 di avviare un'operazione di applicazione di patch. SSM Agent verifica che alle istanze EC2 non sia applicato il tag
Patch GroupePatchGroup, di conseguenza, SSM Agent interroga Patch Manager per ottenere la patch di base Windows predefinita. -
Patch Manager verifica che la base di patch predefinita Windows Server sia
pb-0123456789abcdef0e notifica SSM Agent. -
SSM Agent recupera uno snapshot della base di patch da Patch Manager in base alle regole di approvazione e alle eccezioni configurate nella base di patch predefinita
pb-0123456789abcdef0e procede con la fase successiva.
-
-
Nessun valore del gruppo di patch corrispondente associato a una base di patch:
-
SSM Agent, installato nelle istanze EC2 nel gruppo 3, riceve il comando eseguito nella Fase 1 di avviare un'operazione di applicazione di patch. SSM Agent verifica che alle istanze EC2 sia applicato il valore di tag
QAdel gruppo di patch e interroga Patch Manager per ottenere una base di patch associata. -
Patch Manager non trova una base di patch a cui sia associato il gruppo di patch
QA. -
Patch Manager comunica a SSM Agent di utilizzare la base di patch predefinita di Windows
pb-0123456789abcdef0. -
SSM Agent recupera uno snapshot della base di patch da Patch Manager in base alle regole di approvazione e alle eccezioni configurate nella base di patch predefinita
pb-0123456789abcdef0e procede con la fase successiva.
-
-
-
Scansione o installazione di patch: dopo aver stabilito la base di patch appropriata da utilizzare, SSM Agent inizia a eseguire la scansione o l'installazione delle patch in base al valore dell'operazione specificato nella Fase 1. Per stabilire quali patch devono essere sottoposte a scansione o installate, vengono seguite le regole di approvazione e le eccezioni delle patch definite nella snapshot della base di patch fornita da Patch Manager.
- Ulteriori informazioni
