Differenze nelle operazioni di applicazione di patch tra Linux e Windows Server - AWS Systems Manager
Differenza 1: valutazione delle patchDifferenza 2: patch Not ApplicableDifferenza 3: supporto dei documenti SSMDifferenza 4: patch di applicazioneDifferenza 5: opzioni dell'elenco delle patch rifiutate nelle baseline delle patch personalizzate

Differenze nelle operazioni di applicazione di patch tra Linux e Windows Server

Questo argomento illustra importanti differenze tra l'applicazione di patch in Linux e Windows Server in Patch Manager, uno strumento di AWS Systems Manager.

Nota

Per applicare patch ai nodi gestiti Linux, i nodi devono essere in esecuzione la versione 2.0.834.0 SSM Agent o successive.

Una versione aggiornata di SSM Agent viene distribuita ogni volta che vengono aggiunti nuovi strumenti a Systems Manager o eseguiti aggiornamenti degli strumenti esistenti. Il mancato utilizzo della versione più recente dell'agente può impedire al nodo gestito di utilizzare vari strumenti e funzionalità di Systems Manager. Per questo motivo, ti consigliamo di automatizzare il processo di aggiornamento di SSM Agent sulle macchine. Per informazioni, consultare Automazione degli aggiornamenti di SSM Agent. Iscriviti alla pagina Note di rilascio di SSM Agent su GitHub per ricevere notifiche sugli aggiornamenti di SSM Agent.

Differenza 1: valutazione delle patch

Patch Manager utilizza diversi processi sui nodi gestiti Windows e Linux per valutare quali patch devono essere presenti.

Linux

Per l'applicazione di patch in Linux, Systems Manager valuta le regole della patch di base e l'elenco delle patch approvate e rifiutate in ciascun nodo gestito. Systems Manager deve valutare l'applicazione di patch in ogni nodo perché il servizio recupera l'elenco delle patch e aggiornamenti noti dai repository configurati nel nodo gestito.

Windows

Per l'applicazione di patch in Windows, Systems Manager valuta le regole della base di patch e l'elenco delle patch approvate e rifiutate direttamente nel servizio. Può eseguire questa operazione perché le patch di Windows vengono estratte da un unico repository (Windows Update).

Differenza 2: patch Not Applicable

A causa del numero elevato di pacchetti disponibili per i sistemi operativi Linux, Systems Manager non indica i dettagli delle patch con lo stato Not Applicable Una patch Not Applicable è, ad esempio, una patch per il software Apache quando nell'istanza non è installato Apache. Systems Manager segnala il numero di patch Not Applicable nel riepilogo, ma se si richiama l'API DescribeInstancePatches per un nodo gestito, i dati restituiti non includono patch con uno stato di Not Applicable. Questo comportamento è diverso da quello in Windows.

Differenza 3: supporto dei documenti SSM

Il documento Systems Manager AWS-ApplyPatchBaseline (documento SSM) non supporta i nodi gestiti di Linux. Per l'applicazione di basi di patch a entrambi i nodi gestiti a Linux, macOS, e Windows Server, il documento SSM consigliato è AWS-RunPatchBaseline. Per ulteriori informazioni, consultare Documenti sul comando SSM per l'applicazione di patch a nodi gestiti e Documento di comando SSM per l'applicazione di patch: AWS-RunPatchBaseline.

Differenza 4: patch di applicazione

L'obiettivo principale di Patch Manager è l'applicazione di patch ai sistemi operativi, Tuttavia può essere utilizzato Patch Manager anche per applicare patch ad alcune applicazioni nei propri nodi gestiti.

Linux

Nei sistemi operativi Linux Patch Manager usa il repository configurato per gli aggiornamenti e non fa differenze tra le patch dei sistemi operativi e quelle di applicazione. È possibile utilizzare Patch Manager per specificare da quali repository recuperare gli aggiornamenti. Per ulteriori informazioni, consulta Come specificare un repository alternativo di origine delle patch (Linux).

Windows

Nei nodi gestiti di Windows Server è possibile applicare le regole di approvazione e le eccezioni relative alle patch approvate e rifiutate per le applicazioni rilasciate da Microsoft, come Microsoft Word 2016 e Microsoft Exchange Server 2016. Per ulteriori informazioni, consulta Utilizzo delle basi di patch personalizzate.

Differenza 5: opzioni dell'elenco delle patch rifiutate nelle baseline delle patch personalizzate

Quando si crea una baseline delle patch personalizzata, è possibile specificare una o più patch per un elenco di Patch rifiutate. Per i nodi gestiti da Linux, è possibile anche scegliere di consentirne l'installazione nel caso siano dipendenze per un'altra patch consentita dalla baseline.

Windows Server, tuttavia, non supporta il concetto di dipendenze dalle patch. È possibile aggiungere una patch all'elenco delle Patch rifiutate in una baseline personalizzata per Windows Server, ma il risultato dipende da quanto segue: se la patch rifiutata è già installata o meno su un nodo gestito e dall'opzione scelta per l'Operazione patch rifiutate.

Fai riferimento alla tabella seguente per i dettagli sulle opzioni di patch rifiutate su Windows Server.

Stato di installazione Opzione: “Consenti come dipendenza” Opzione: “Blocco”
La patch è già installata Stato segnalato: INSTALLED_OTHER Stato segnalato: INSTALLED_REJECTED
La patch non è già installata Patch ignorata Patch ignorata

Ogni patch per Windows Server che viene rilasciata da Microsoft contiene in genere tutte le informazioni necessarie per il corretto completamento dell'installazione. A volte, tuttavia, è necessario un pacchetto prerequisito, da installare manualmente. Patch Manager non riporta informazioni su questi prerequisiti. Per informazioni correlate, consulta la sezione Risoluzione dei problemi di Windows Update sul sito web di Microsoft.