Differenze nelle operazioni di patching tra Linux e Windows Server - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Differenze nelle operazioni di patching tra Linux e Windows Server

Questo argomento descrive le differenze importanti tra Linux e il Windows Server patching inPatch Manager, una funzionalità di. AWS Systems Manager

Nota

Per applicare patch ai nodi gestiti Linux, i nodi devono essere in esecuzione la versione 2.0.834.0 SSM Agent o successive.

Una versione aggiornata di SSM Agent viene distribuita ogni volta che vengono aggiunte nuove funzionalità a Systems Manager o eseguiti aggiornamenti delle funzionalità esistenti. Il mancato utilizzo della versione più recente dell'agente può impedire al nodo gestito di utilizzare varie funzionalità e caratteristiche di Systems Manager. Per questo motivo, ti consigliamo di automatizzare il processo di aggiornamento di SSM Agent sulle macchine. Per informazioni, consultare Automazione degli aggiornamenti di SSM Agent. Iscriviti alla pagina SSM AgentRelease Notes su GitHub per ricevere notifiche sugli SSM Agent aggiornamenti.

Differenza 1: valutazione delle patch

Patch Manager utilizza diversi processi sui nodi gestiti Windows e Linux per valutare quali patch devono essere presenti.

Linux

Per l'applicazione di patch in Linux, Systems Manager valuta le regole della patch di base e l'elenco delle patch approvate e rifiutate in ciascun nodo gestito. Systems Manager deve valutare l'applicazione di patch in ogni nodo perché il servizio recupera l'elenco delle patch e aggiornamenti noti dai repository configurati nel nodo gestito.

Windows

Per l'applicazione di patch in Windows, Systems Manager valuta le regole della base di patch e l'elenco delle patch approvate e rifiutate direttamente nel servizio. Può eseguire questa operazione perché le patch di Windows vengono estratte da un unico repository (Windows Update).

Differenza 2: Not Applicable patch

A causa del numero elevato di pacchetti disponibili per i sistemi operativi Linux, Systems Manager non indica i dettagli delle patch con lo stato Not Applicable Una patch Not Applicable è, ad esempio, una patch per il software Apache quando nell'istanza non è installato Apache. Systems Manager riporta il numero di Not Applicable patch nel riepilogo, ma se si chiama DescribeInstancePatchesAPIper un nodo gestito, i dati restituiti non includono le patch con uno stato di. Not Applicable Questo comportamento è diverso da quello in Windows.

Differenza 3: SSM supporto dei documenti

Il documento AWS-ApplyPatchBaseline Systems Manager (SSMdocumento) non supporta i nodi gestiti Linux. Per applicare le linee di base delle patch a Linux e ai nodi Windows Server gestiti, il SSM documento consigliato è. macOS AWS-RunPatchBaseline Per ulteriori informazioni, consulta SSMDocumenti di comando per applicare patch ai nodi gestiti e SSMDocumento di comando per l'applicazione di patch: AWS-RunPatchBaseline.

Differenza 4: patch di applicazione

L'obiettivo principale di Patch Manager è l'applicazione di patch ai sistemi operativi, Tuttavia può essere utilizzato Patch Manager anche per applicare patch ad alcune applicazioni nei propri nodi gestiti.

Linux

Nei sistemi operativi Linux Patch Manager usa il repository configurato per gli aggiornamenti e non fa differenze tra le patch dei sistemi operativi e quelle di applicazione. È possibile utilizzare Patch Manager per specificare da quali repository recuperare gli aggiornamenti. Per ulteriori informazioni, consulta Come specificare un repository alternativo di origine delle patch (Linux).

Windows

Nei nodi gestiti di Windows Server è possibile applicare le regole di approvazione e le eccezioni relative alle patch approvate e rifiutate per le applicazioni rilasciate da Microsoft, come Microsoft Word 2016 e Microsoft Exchange Server 2016. Per ulteriori informazioni, consulta Utilizzo delle basi di patch personalizzate.

Differenza 5: opzioni dell'elenco delle patch rifiutate nelle linee di base delle patch personalizzate

Quando si crea una baseline di patch personalizzata, è possibile specificare una o più patch per un elenco di patch rifiutate. Per i nodi gestiti Linux, puoi anche scegliere di consentirne l'installazione se sono dipendenze per un'altra patch consentita dalla linea di base.

Windows Server, tuttavia, non supporta il concetto di dipendenze dalle patch. È possibile aggiungere una patch all'elenco delle patch rifiutate in una linea di base personalizzata perWindows Server, ma il risultato dipende da (1) se la patch rifiutata è già installata o meno su un nodo gestito e (2) dall'opzione scelta per l'azione Rejected patches.

Fate riferimento alla tabella seguente per i dettagli sulle opzioni di patch rifiutate su. Windows Server

Stato dell'installazione Opzione: «Consenti come dipendenza» Opzione: «Blocca»
La patch è già installata Stato segnalato: INSTALLED_OTHER Stato segnalato: INSTALLED_REJECTED
La patch non è già installata Patch ignorata Patch ignorata

Ogni patch rilasciata da Windows Server Microsoft contiene in genere tutte le informazioni necessarie per il corretto completamento dell'installazione. A volte, tuttavia, potrebbe essere necessario un pacchetto prerequisito, che deve essere installato manualmente. Patch Managernon riporta informazioni su questi prerequisiti. Per informazioni correlate, vedi Risoluzione dei problemi di Windows Update sul sito Web di Microsoft.