패치 그룹
중요
패치 그룹은 패치 정책을 기반으로 하는 패치 적용 작업에 사용되지 않습니다. 패치 정책 작업에 대한 자세한 내용은 Quick Setup의 패치 정책 구성 섹션을 참조하세요.
패치 그룹을 사용하여 AWS Systems Manager의 기능인 Patch Manager에서 관리형 노드를 특정 패치 기준과 연결할 수 있습니다. 패치 그룹을 사용하면 연결된 패치 기준 규칙을 기반으로 적절한 패치를 정확하게 해당 노드 집합에 배포할 수 있습니다. 패치 그룹은 거치기 전에 패치를 배포하는 것을 방지하는 데도 도움이 됩니다. 예를 들어 다양한 환경(예: 개발, 테스트 및 프로덕션)에 필요한 패치 그룹을 만들고 적절한 패치 기준에 각 패치 그룹을 등록할 수 있습니다.
AWS-RunPatchBaseline을 실행하면 ID 또는 태그를 사용하여 관리형 노드를 대상으로 지정할 수 있습니다. SSM Agent와 Patch Manager는 관리형 노드에 추가한 패치 그룹 값에 따라 사용할 패치 기준을 판단합니다.
Amazon Elastic Compute Cloud(Amazon EC2) 태그를 사용하여 패치 그룹을 생성합니다. Systems Manager를 통한 다른 태깅 시나리오와 달리 패치 그룹은 반드시 태그 키 Patch Group 또는 PatchGroup으로 정의되어야 합니다. 키는 대/소문자를 구분합니다. '웹 서버' 또는 'US-EAST-PROD'와 같이 해당 그룹의 리소스를 식별하고 대상으로 지정하는 데 도움이 되는 값을 지정할 수 있지만 키는 Patch Group 또는 PatchGroup이어야 합니다.
패치 그룹 및 태그 관리형 노드를 생성한 이후 패치 그룹을 패치 기준선에 등록할 수 있습니다. 패치 기준으로 패치 그룹을 등록하면 패치 그룹 내부의 노드가 연결된 패치 기준에 정의된 규칙을 사용합니다.
패치 그룹을 생성하고 패치 기준에 연결하는 방법에 대한 자세한 내용은 패치 그룹 생성 및 관리 및 패치 기준에 패치 그룹 추가를 참조하세요.
AWS Command Line Interface(AWS CLI)를 사용하여 패치 기준 및 패치 그룹을 생성하는 방법을 보려면 자습서: AWS CLI를 사용한 서버 환경에 패치 적용 섹션을 참조하세요. Amazon EC2 태그에 대한 자세한 내용은 Amazon EC2 사용 설명서의 Amazon EC2 리소스에 태그 지정을 참조하세요.
작동 방식
시스템이 패치 기준을 관리형 노드에 적용하기 위해 태스크를 실행하면 SSM Agent는 패치 그룹 값이 해당 노드에 대해 정의되었는지 확인합니다. 노드가 패치 그룹에 할당되는 경우 Patch Manager는 이제 그 그룹에 등록되는 패치 기준을 확인합니다. 해당 그룹에 대한 패치 기준이 검색되면 Patch Manager는 SSM Agent에 해당 패치 기준 사용을 알립니다. 노드가 패치 그룹에 대해 구성되지 않은 경우 Patch Manager는 SSM Agent에 현재 구성된 기본 패치 기준을 자동으로 사용함을 알립니다.
중요
관리형 노드는 하나의 패치 그룹에만 있을 수 있습니다.
패치 그룹은 각 운영 체제 유형에 대해 하나의 패치 기준에만 등록할 수 있습니다.
Allow tags in instance metadata(인스턴스 메타데이터의 태그 허용) 옵션이 인스턴스에서 활성화된 경우 Patch Group 태그(공백 포함)를 Amazon EC2 인스턴스에 적용할 수 없습니다. 인스턴스 메타데이터에서 태그를 허용하면 태그 키 이름에 공백이 포함되지 않습니다. EC2 인스턴스 메타데이터에 태그를 허용한 경우 태그 키 PatchGroup(공백 없음)을 사용해야 합니다.
다이어그램 1: 패치 작업 프로세스 흐름의 일반적인 예
다음 그림은 Patch Manager를 사용하여 패치하기 위해 Run Command 태스크를 서버 플릿으로 보낼 때 Systems Manager가 수행하는 프로세스의 일반적인 예를 보여줍니다. 이러한 프로세스는 패치 작업에서 사용할 패치 기준을 결정합니다. (유지 관리 기간이 Patch Manager를 사용하여 패치할 명령을 보내도록 구성된 경우에도 유사한 프로세스가 사용됩니다.)
전체 프로세스는 그림 아래에 설명되어 있습니다.
이 예제에서는 다음 태그가 적용된 세 개의 Windows Server용 EC2 인스턴스 그룹이 있습니다.
| EC2 인스턴스 그룹 | Tags |
|---|---|
|
그룹 1 |
|
|
그룹 2 |
|
|
그룹 3 |
|
이 예에서는 2개의 Windows Server 패치 기준도 있습니다.
| 패치 기준 ID | 기본값 | 연결된 패치 그룹 |
|---|---|---|
|
|
예 |
|
|
|
아니요 |
|
AWS Systems Manager의 기능인 Run Command와 Patch Manager를 사용하여 패치를 검색하거나 설치하는 일반적인 프로세스는 다음과 같습니다.
-
패치 명령 보내기: Systems Manager 콘솔, SDK, AWS Command Line Interface(AWS CLI) 또는 AWS Tools for Windows PowerShell을 통해 문서
AWS-RunPatchBaseline을 사용하여 Run Command 태스크를 보냅니다. 이 다이어그램은 태그key=OS,value=Windows를 대상으로 관리된 인스턴스를 패치하기 위한 Run Command 태스크를 보여줍니다. -
패치 기준 결정: SSM Agent는 EC2 인스턴스에 적용된 패치 그룹 태그를 확인하고 Patch Manager에게 해당 패치 기준을 쿼리합니다.
-
패치 기준과 연결된 일치하는 패치 그룹 값:
-
그룹 1의 EC2 인스턴스에 설치된 SSM Agent는 1단계에서 지시된 명령을 수신하여 패치 작업을 시작합니다. SSM Agent는 EC2 인스턴스에 패치 그룹 태그 값
DEV가 적용되었는지 확인하고 Patch Manager에게 연결된 패치 기준을 쿼리합니다. -
Patch Manager는 패치 기준
pb-9876543210abcdef0에 패치 그룹DEV가 연결되어 있는지 확인하고 SSM Agent에 알립니다. -
SSM Agent는
pb-9876543210abcdef0에 구성된 승인 규칙 및 예외를 기반으로 Patch Manager에서 패치 기준 스냅샷을 검색하고 다음 단계로 진행합니다.
-
-
패치 그룹 태그가 인스턴스에 추가되지 않은 경우:
-
그룹 2의 EC2 인스턴스에 설치된 SSM Agent는 1단계에서 지시된 명령을 수신하여 패치 작업을 시작합니다. SSM Agent는 EC2 인스턴스에
Patch Group또는PatchGroup태그가 적용되지 않았음을 확인하고 그에 따라 SSM Agent는 Patch Manager에 기본 Windows 패치 기준선을 쿼리합니다. -
Patch Manager는 기본 Windows Server 패치 기준이
pb-0123456789abcdef0인지 확인하고 SSM Agent에 알립니다. -
SSM Agent는 기본 패치 기준
pb-0123456789abcdef0에 구성된 승인 규칙 및 예외를 기반으로 Patch Manager에서 패치 기준 스냅샷을 검색하고 다음 단계로 진행합니다.
-
-
패치 기준과 연결된 일치하는 패치 그룹 값이 없는 경우:
-
그룹 3의 EC2 인스턴스에 설치된 SSM Agent는 1단계에서 지시된 명령을 수신하여 패치 작업을 시작합니다. SSM Agent는 EC2 인스턴스에 패치 그룹 태그 값
QA가 적용되었는지 확인하고 Patch Manager에게 연결된 패치 기준을 쿼리합니다. -
Patch Manager는 패치 그룹
QA가 연결되어 있는 패치 기준을 찾지 못합니다. -
Patch Manager는 SSM Agent에게 기본 Windows 패치 기준
pb-0123456789abcdef0을 사용할 것을 알립니다. -
SSM Agent는 기본 패치 기준
pb-0123456789abcdef0에 구성된 승인 규칙 및 예외를 기반으로 Patch Manager에서 패치 기준 스냅샷을 검색하고 다음 단계로 진행합니다.
-
-
-
패치 스캔 또는 설치: 사용할 적절한 패치 기준을 결정한 후 SSM Agent는 1단계에서 지정한 작업 값을 기준으로 패치를 스캔하거나 설치합니다. 검사 또는 설치되는 패치는 Patch Manager가 제공하는 패치 기준 스냅샷에 정의된 승인 규칙 및 패치 예외에 의해 결정됩니다.
- 추가 정보
