Aplicação de patches em nós gerenciados sob demanda
Usar a opção Patch agora no Patch Manager, um recurso do AWS Systems Manager, você pode executar operações de patch sob demanda no console do Systems Manager. Isso significa que você não precisa criar um agendamento para atualizar o status de conformidade dos os nós gerenciados ou instalar patches em nós não compatíveis. Você também não precisa alternar o console do Systems Manager entre o Patch Manager e a Maintenance Windows, um recurso do AWS Systems Manager para configurar ou modificar uma janela de patch programada.
A opção Patch now (Aplicar patch agora) é especialmente útil quando você tiver que aplicar atualizações de dia zero ou instalar outros patches críticos aos nós gerenciados o mais rápido possível.
nota
Há suporte para a aplicação de patches sob demanda para um único par Conta da AWS-Região da AWS por vez. Ela não pode ser usada com operações de aplicação de patches baseadas em políticas de patch. Recomendamos o uso de políticas de patch para manter todos os seus nós gerenciados em conformidade. Para mais informações sobre como trabalhar com políticas de patch, consulte Configurações de políticas de patches em Quick Setup.
Como funciona o comando 'Patch now' (Aplicar patches agora)
Para executar o Patch agora, você especifica apenas duas configurações necessárias:
-
Verificar somente se há patches ausentes ou verificar e instalar patches em nós gerenciados
-
Em quais nós gerenciados executar a operação
Quando a operação Patch now (Aplicar patch agora) é executada, ela determina qual lista de referência de patches usar, da mesma forma que uma é selecionada para outras operações de aplicação de patches. Se um nó gerenciado estiver associado a um grupo de patches, a lista de referência de patches especificada para esse grupo será usada. Se o nó gerenciado não estiver associado a um grupo de patches, a operação usará a lista de referência de patches atualmente definida como padrão para o tipo de sistema operacional do nó gerenciado. Esta pode ser uma linha de base predefinida ou a linha de base personalizada que você definiu como padrão. Para obter mais informações sobre a seleção da lista de referência de patches, consulte Grupos de patches.
As opções que você pode especificar para Patch now (Aplicar patches agora) incluem escolher quando, ou se, reinicializar nós gerenciados após a aplicação do patch, especificar um bucket do Amazon Simple Storage Service (Amazon S3) para armazenar dados de log para a operação de patch e executar documentos do Systems Manager (documentos do SSM) como hooks de ciclo de vida durante a aplicação de patches.
Limites de erro e simultaneidade para 'Patch now’ (Aplicar patch agora)
Para as operações Patch now (Aplicar patch agora), a simultaneidade e as opções de limite de erro são resolvidas pelo Patch Manager. Você não precisa especificar quantos nós gerenciados devem ser corrigidos de uma só vez, nem quantos erros são permitidos antes que a operação falhe. O Patch Manager aplica as configurações de limite de simultaneidade e erro descritas nas tabelas a seguir quando você aplica patches sob demanda.
Importante
Os seguintes limites se aplicam somente a operações Scan and install
. Para operações Scan
, o Patch Manager tenta verificar até 1.000 nós simultaneamente e continuar a varredura até que ele tenha encontrado até 1.000 erros.
Número total de nós gerenciados na operação Patch now (Aplicar patch agora) | Número de nós gerenciados verificados ou corrigidos de cada vez |
---|---|
Menos de 25 | 1 |
25-100 | 5% |
101 a 1.000 | 8% |
Mais de 1.000 | 10% |
Número total de nós gerenciados na operação Patch now (Aplicar patch agora) | Número de erros permitidos antes da falha da operação |
---|---|
Menos de 25 | 1 |
25-100 | 5 |
101 a 1.000 | 10 |
Mais de 1.000 | 10 |
Usando hooks de ciclo de vida "Patch agora"
Patch agora oferece a capacidade de executar documentos de Comando do SSM como hook s de ciclo de vida durante uma operação de aplicação de patches de Install
. É possível usar esses hooks para tarefas como desligar aplicações antes de aplicar patches ou executar verificações de integridade em aplicações após a aplicação de patches ou após uma reinicialização.
Para obter mais informações sobre hooks de ciclo de vida, consulte Documento de comando do SSM para a aplicação de patches: AWS-RunPatchBaselineWithHooks.
A tabela a seguir lista os hooks de ciclo de vida disponíveis para cada uma das três opções de reinicialização Patch agora, além de exemplos de usos para cada hook.
Opção de reinicializações | Hook: antes da instalação | Hook: após a instalação | Hook: na saída | Hook: após a reinicialização agendada |
---|---|---|---|---|
Reinicializar, se necessário |
Execute um documento do SSM antes do início do patch. Exemplo de uso: encerre aplicações com segurança antes do início do processo de aplicação de patches. |
Execute um documento SSM no final da operação de patch e antes da reinicialização do nó gerenciado. Exemplo de uso: execute operações como a instalação de aplicações de terceiros antes de uma possível reinicialização. |
Execute um documento do SSM após concluir a operação de aplicação de patches e reinicializar as instâncias. Exemplo de uso: verifique se as aplicações estão sendo executadas conforme esperado após a aplicação de patches. |
Não disponível |
Não reinicialize minhas instâncias | O mesmo que acima. |
Execute um documento do SSM no final da operação de patch. Exemplo de uso: verifique se as aplicações estão sendo executadas conforme esperado após a aplicação de patches. |
Não disponível |
Não disponível |
Agendar um tempo de reinicialização | O mesmo que acima. | Igual a de Não reinicialize minhas instâncias. | Não disponível |
Execute um documento do SSM imediatamente após uma reinicialização programada estar concluída. Exemplo de uso: verifique se as aplicações estão sendo executadas conforme esperado após a reinicialização. |
Executar 'Patch agora'
Use o procedimento a seguir para corrigir os nós gerenciados sob demanda.
Para executar 'Patch agora'
Abra o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/
. -
No painel de navegação, escolha Patch Manager.
-
Selecione Patch now (Patch agora).
-
Para a Patching operation (Operação de aplicação de patches), escolha uma das seguintes opções:
-
Scan (Verificar): o Patch Manager localiza quais patches estão faltando em seus nós gerenciados, mas não os instala. Você pode visualizar os resultados no painel Compliance (Conformidade) ou em outras ferramentas que você usar para exibir a conformidade dos patches.
-
Scan e install (Verificar e instalar): o Patch Manager localiza quais patches estão faltando em seus nós gerenciados e os instala.
-
-
Use esta etapa se escolher Scan e instalação na etapa anterior. Em Reboot Option (Opção de reinicialização), escolha uma das seguintes opções:
-
Reboot if needed (Reinicializar se necessário): após a instalação, o Patch Manager reinicializa os nós gerenciados somente se necessário para concluir uma instalação de patch.
-
Não reinicialize minhas instâncias: após a instalação, Patch Manager não reinicializará os nós. Você pode reinicializar nós manualmente ao escolher ou gerenciar reinicializações fora do Patch Manager.
-
Schedule a reboot time (Agendar um tempo de reinicialização): especifique a data, a hora e o fuso horário UTC para o Patch Manager para reiniciar os nós gerenciados. Depois de executar a operação Patch now (Aplicar o patch agora), a reinicialização agendada será listada como uma associação no State Manager com o nome
AWS-PatchRebootAssociation
.
-
-
Em Instances to patch (Instâncias que receberão os patches) escolha uma das seguintes opções:
-
Patch all instances (Aplicar patch a todas as instâncias): o Patch Manager executa a operação especificada em todos os nós gerenciados na sua Conta da AWS, na Região da AWS atual.
-
Patch only the target instances I specify (Aplicar patch somente aos nós gerenciados de destino que eu especificar): você especifica com quais nós gerenciados você deve trabalhar, na próxima etapa.
-
-
Use esta etapa se escolher Patch apenas as instâncias de destino que eu especificar na etapa anterior. Na seção Target selection (Seleção de destino), identifique os nós onde você deseja executar essa operação especificando etiquetas, selecionando nós manualmente ou especificando um grupo de recursos.
nota
Se um nó gerenciado que você espera ver não estiver listado, consulte Solução de problemas de disponibilidade do nó gerenciado para obter dicas de solução de problemas.
Se você optar por segmentar um grupo de recursos, observe que os grupos de recursos que são baseados em um AWS CloudFormation ainda devem ser marcados com a tag
aws:cloudformation:
padrão. Se ele tiver sido removido, o Patch Manager poderá não conseguir determinar quais nós gerenciados pertencem ao grupo de recursos.stack-id
-
(Opcional) Em Patching log storage (Aplicação de patches ao armazenamento de logs), se você quiser criar e salvar logs dessa operação de patch, selecione o bucket S3 para armazenar os logs.
nota
As permissões do S3 que concedem a possibilidade de gravar os dados em um bucket do S3 são as do perfil de instância (para instâncias do EC2) ou perfil de serviço do IAM (máquinas ativadas para ambientes híbridos) atribuído à instância, e não as do usuário do IAM que realiza essa tarefa. Para obter mais informações, consulte Configurar permissões de instância obrigatórias para o Systems Manager ou Criar o perfil de serviço do IAM obrigatório para o Systems Manager em ambientes híbridos e multinuvem. Além disso, se o bucket do S3 especificado estiver em uma conta da Conta da AWS diferente, verifique se o perfil da instância ou a função de serviço do IAM associado ao nó gerenciado tenha as permissões necessárias para gravar nesse bucket.
-
(Opcional) Se você deseja executar documentos do SSM como hooks de ciclo de vida durante pontos específicos da operação de patch, faça o seguinte:
-
Selecione Usar hooks de ciclo de vida.
-
Para cada hook disponível, selecione o documento do SSM a ser executado no ponto especificado da operação:
-
Antes da instalação
-
Após a instalação
-
Na saída
-
Após a reinicialização agendada
nota
O documento padrão,
AWS-Noop
, não executa operações. -
-
-
Selecione Patch now (Patch agora).
A página Association execution targets (Destinos de execução da associação) é aberta. (O Patch agora usa associações no State Manager, um recurso do AWS Systems Manager, para suas operações). Na área Operation summary (Resumo da operação), você pode monitorar o status da verificação ou a aplicação de patches em seus nós gerenciados.