관리형 노드 온디맨드 패치 - AWS Systems Manager

관리형 노드 온디맨드 패치

AWS Systems Manager의 기능인 Patch Manager의 [지금 패치(Patch now)] 옵션을 사용하여 Systems Manager 콘솔에서 온디맨드 패치 작업을 실행할 수 있습니다. 즉, 관리형 노드의 규정 준수 상태를 업데이트하거나 비준수 노드에 패치를 설치하기 위해 일정을 생성할 필요가 없습니다. 또한 예약된 패치 기간을 설정하거나 수정하기 위해 AWS Systems Manager의 기능인 Patch Manager와 Maintenance Windows 사이에서 Systems Manager 콘솔을 전환할 필요가 없습니다.

지금 패치(Patch now)는 가능한 한 빨리 관리형 노드에 제로데이 업데이트를 적용하거나 다른 중요한 패치를 설치해야 할 때 특히 유용합니다.

참고

온디맨드 패치는 한 번에 하나의 AWS 리전-AWS 계정 쌍에 대해서만 지원됩니다. 패치 정책을 기반으로 한 패치 작업에는 사용할 수 없습니다. 모든 관리형 노드를 규정 준수 상태로 유지하려면 패치 정책을 사용하는 것이 좋습니다. 패치 정책 작업에 대한 자세한 내용은 Quick Setup의 패치 정책 구성 섹션을 참조하세요.

'지금 패치(Patch now)' 작동 방식

지금 패치(Patch now)를 실행하려면 2가지 필수 설정만 지정하면 됩니다.

  • 누락된 패치만 스캔할지 아니면 관리형 노드에서 패치를 스캔 설치할지 여부

  • 작업을 실행할 관리형 노드

지금 패치(Patch now) 작업이 실행되면 다른 패치 작업에 대해 선택한 것과 동일한 방식으로 사용할 패치 기준선을 결정합니다. 관리형 노드가 패치 그룹과 연결된 경우 해당 그룹에 대해 지정된 패치 기준선이 사용됩니다. 관리형 노드가 패치 그룹에 연결되어 있지 않은 경우 작업은 관리형 노드의 운영 체제 유형에 대한 기본값으로 현재 설정된 패치 기준을 사용합니다. 미리 정의된 기준 또는 기본값으로 설정한 사용자 정의 기준일 수 있습니다. 패치 기준 선택에 대한 자세한 내용은 패치 그룹 섹션을 참조하세요.

지금 패치(Patch now)에 대해 지정할 수 있는 옵션으로는 패치 후 관리형 노드 재부팅 시기 또는 재부팅 여부 선택, 패치 작업을 위해 로그 데이터를 저장할 Amazon Simple Storage Service(Amazon S3) 버킷 지정, 패치 중 수명 주기 후크로 Systems Manager 문서(SSM 문서) 실행 등이 있습니다.

'지금 패치'에 대한 동시성 및 오류 임계값

패치 지금(Patch now) 작업의 경우 동시성 및 오류 임계값 옵션은 Patch Manager에서 처리합니다. 한 번에 패치할 관리형 노드 수 또는 작업이 실패하기 전에 허용되는 오류 수를 지정할 필요가 없습니다. Patch Manager는 온디맨드로 패치할 때 다음 표에 설명된 동시성 및 오류 임계값 설정을 적용합니다.

중요

다음 임계값은 Scan and install 작업에만 적용됩니다. Scan 작업의 경우 Patch Manager는 최대 1,000개의 노드를 동시에 스캔하고 최대 1,000개의 오류가 발생할 때까지 계속 스캔합니다.

동시성: 설치 작업
지금 패치(Patch now) 작업의 총 관리형 노드 수 한 번에 스캔 또는 패치되는 관리형 노드 수
25개 미만 1
25~100개 5%
101~1,000개 8%
1,000개 이상 10%
오류 임계값: 설치 작업
지금 패치(Patch now) 작업의 총 관리형 노드 수 작업이 실패하기 전에 허용되는 오류 수
25개 미만 1
25~100개 5
101~1,000개 10
1,000개 이상 10

'지금 패치' 수명 주기 후크 사용

지금 패치(Patch now)에서는 패치 작업 Install 중에 SSM 명령 문서를 수명 주기 후크로 실행할 수 있는 기능을 제공합니다. 패치를 적용한 후 또는 재부팅 후 애플리케이션에 패치를 적용하거나 상태 확인을 실행하기 전에 애플리케이션을 종료하는 등의 작업에 이러한 후크를 사용할 수 있습니다.

수명 주기 후크 사용에 대한 자세한 내용은 패치를 위한 SSM 명령 문서: AWS-RunPatchBaselineWithHooks 섹션을 참조하세요.

다음 표에는 각 후크에 대한 샘플 사용 외에도 세 가지 지금 패치(Patch now) 재부팅 옵션 각각에 사용할 수 있는 수명 주기 후크가 나열됩니다.

수명 주기 후크 및 샘플 사용
재부팅 옵션 후크: 설치 전 후크: 설치 후 후크: 종료 시 후크: 예약된 재부팅 후
필요한 경우 재부팅

패치가 시작되기 전에 SSM 문서를 실행합니다.

사용 예: 패치 프로세스가 시작되기 전에 애플리케이션을 안전하게 종료합니다.

패치 작업 종료 시 및 관리형 노드 재부팅 전에 SSM 문서를 실행합니다.

사용 예: 잠재적 재부팅 전에 서드 파티 애플리케이션 설치와 같은 작업을 실행합니다.

패치 적용 작업이 완료되고 인스턴스가 재부팅되면 SSM 문서를 실행합니다.

사용 예: 패치 후 애플리케이션이 예상대로 실행되고 있는지 확인합니다.

사용할 수 없음
인스턴스 재부팅 안 함 위와 동일합니다.

패치 작업 종료 시 SSM 문서를 실행합니다.

사용 예시: 패치 후 애플리케이션이 예상대로 실행되고 있는지 확인합니다.

사용할 수 없음

사용할 수 없음

재부팅 시간 예약 위와 동일합니다. 인스턴스 재부팅 안 함과 동일합니다. 사용할 수 없음

예약된 재부팅이 완료된 후 바로 SSM 문서를 실행합니다.

사용 예: 재부팅 후 애플리케이션이 예상대로 실행되고 있는지 확인합니다.

'지금 패치(Patch now)' 실행

다음 절차에 따라 온디맨드로 관리형 노드를 패치합니다.

'지금 패치(Patch now)'를 실행하려면
  1. AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/)을 엽니다.

  2. 탐색 창에서 Patch Manager를 선택합니다.

  3. [지금 패치(Patch now)]를 선택합니다.

  4. [패치 작업(Patching operation)]에서 다음 중 하나를 선택합니다.

    • 스캔(Scan): Patch Manager가 관리형 노드에서 누락된 패치를 찾지만 설치하지는 않습니다. [Compliance] 대시보드 또는 패치 규정 준수를 보는 데 사용하는 다른 도구에서 결과를 볼 수 있습니다.

    • 스캔 및 설치(Scan and install): Patch Manager가 관리형 노드에서 누락된 패치를 찾아 설치합니다.

  5. 이전 단계에서 [검사 후 설치(Scan and install)]를 선택한 경우에만 이 단계를 사용합니다. [재부팅 옵션(Reboot option)]에서 다음 중 하나를 선택합니다.

    • 필요한 경우 재부팅(Reboot if needed): 설치 후 패치 설치를 완료하는 데 필요한 경우에만 Patch Manager가 관리형 노드를 재부팅합니다.

    • 인스턴스 재부팅 안 함(Don't reboot my instances): 설치 후 Patch Manager가 관리형 노드를 재부팅하지 않습니다. Patch Manager 밖에서 재부팅을 선택하거나 관리할 때 노드를 수동으로 재부팅할 수 있습니다.

    • 재부팅 시간 예약(Schedule a reboot time): Patch Manager가 관리형 노드를 재부팅할 날짜, 시간 및 UTC 시간대를 지정합니다. 지금 패치(Patch now) 작업을 실행한 후, 예약된 재부팅이 AWS-PatchRebootAssociation이라는 이름과 함께 State Manager에 연결로 나열됩니다.

  6. [패치를 적용할 인스턴스(Instances to patch)] 섹션에서 다음 중 하나를 선택합니다.

    • 모든 인스턴스 패치(Patch all instances): Patch Manager가 현재 AWS 리전의 AWS 계정에서 모든 관리형 노드에 대해 지정된 작업을 실행합니다.

    • 지정한 대상 인스턴스만 패치(Patch only the target instances I specify): 다음 단계에서 대상으로 지정할 관리형 노드를 지정합니다.

  7. 이전 단계에서 [지정한 대상 인스턴스만 패치(Patch only the target instances I specify)]를 선택한 경우에만 이 단계를 사용합니다. 대상 선택(Target selection) 섹션에서 태그를 지정하거나, 수동으로 노드를 선택하거나, 리소스 그룹을 지정하여 이 작업을 실행할 노드를 식별합니다.

    참고

    예상한 관리형 노드가 목록에 없으면 관리형 노드 가용성 문제 해결에서 문제 해결 팁을 참조하세요.

    리소스 그룹을 대상으로 선택하는 경우 AWS CloudFormation 스택을 기반으로 하는 리소스 그룹은 여전히 기본 aws:cloudformation:stack-id 태그로 태그를 지정해야 합니다. 제거된 경우 Patch Manager가 리소스 그룹에 속하는 관리형 노드를 확인하지 못할 수 있습니다.

  8. (옵션) 이 패치 작업에서 로그를 생성하고 저장하려면 [패치 로그 스토리지(Patching log storage)]에서 로그를 저장할 S3 버킷을 선택합니다.

    참고

    데이터를 S3 버킷에 쓰는 기능을 부여하는 S3 권한은 이 작업을 수행하는 IAM 사용자의 권한이 아니라 인스턴스에 할당된 인스턴스 프로파일(EC2 인스턴스용) 또는 IAM 서비스 역할(하이브리드 정품 인증 시스템)의 권한입니다. 자세한 내용은 Systems Manager에 필요한 인스턴스 권한 구성 또는 하이브리드 및 멀티클라우드 환경에서 Systems Manager에 필요한 IAM 서비스 역할 생성을 참조하세요. 또한 지정된 S3 버킷이 다른 AWS 계정에 있는 경우 관리형 노드와 연결된 인스턴스 프로파일 또는 IAM 서비스 역할은 해당 버킷에 쓸 수 있는 권한이 있어야 합니다.

  9. (옵션) 패치 작업의 특정 지점 동안 SSM 문서를 수명 주기 후크로 실행하려면 다음을 수행합니다.

    • [수명 주기 후크 사용(Use lifecycle hooks)]을 선택합니다.

    • 사용 가능한 각 후크에 대해 작업의 지정된 지점에서 실행할 SSM 문서를 선택합니다.

      • 설치 전

      • 설치 후

      • 종료 시

      • 예약된 재부팅 후

      참고

      기본 문서인 AWS-Noop은 작업을 실행하지 않습니다.

  10. [지금 패치(Patch now)]를 선택합니다.

    [연결 실행 요약(Association execution summary)] 페이지가 열립니다. (이제 패치 작업에 AWS Systems Manager의 기능인 State Manager의 연결이 사용됩니다.) 작업 요약(Operation summary) 영역에서 지정한 관리형 노드의 스캔 또는 패치 상태를 모니터링할 수 있습니다.