Principais diferenças entre a aplicação de patches em nós do Linux e em nós do Windows Server - AWS Systems Manager
Diferença 1: avaliação de patchesDiferença 2: patches Not ApplicableDiferença 3: suporte a documentos do SSMDiferença 4: patches de aplicativosDiferença 5: opções de lista de patches rejeitados em listas de referência de patches personalizados

Principais diferenças entre a aplicação de patches em nós do Linux e em nós do Windows Server

Este tópico descreve diferenças importantes entre a aplicação de patches do Windows Server e do Linux no Patch Manager, um recurso do AWS Systems Manager.

nota

Para aplicar patches a nós gerenciados do Linux, os nós devem estar em execução no SSM Agent versão 2.0.834.0 ou posterior.

Uma versão atualizada do SSM Agent é lançada sempre que novos recursos são adicionados ao Systems Manager ou sempre que atualizações forem feitas nos recursos existentes. Deixar de usar a versão mais recente do agente pode impedir que seu nó gerenciado use vários recursos do Systems Manager. Por isso, recomendamos automatizar o processo de manter o SSM Agent atualizado em suas máquinas. Para ter mais informações, consulte Automatizar atualizações do SSM Agent. Inscreva-se na página Notas de versão do SSM Agent no GitHub para receber notificações sobre atualizações do SSM Agent.

Diferença 1: avaliação de patches

O Patch Manager usa processos diferentes em nós gerenciados do Windows e do Linux para avaliar quais patches devem estar presentes.

Linux

Para patches do Linux, o Systems Manager avalia as regras da lista de referência de patches e a lista de patches aprovados e rejeitados em cada nó gerenciado. O Systems Manager deve avaliar o patch em cada nó porque o serviço recupera a lista de patches conhecidos e atualizações dos repositórios configurados em seu nó gerenciado.

Windows

Para aplicação de patch do Windows, o Systems Manager avalia as regras da lista de referência do patch e a lista de patches aprovados e rejeitados diretamente no serviço. Isso pode ser feito porque os patches do Windows são extraídos de um único repositório (Windows Update).

Diferença 2: patches Not Applicable

Devido à grande quantidade de pacotes disponíveis para sistemas operacionais Linux, o Systems Manager não relata detalhes sobre patches no estado Not Applicable (Não aplicável). Um patch Not Applicable é, por exemplo, um patch para o software Apache quando a instância não tiver o Apache instalado. O Systems Manager relata o número de patches Not Applicable no resumo, mas, se você chamar a API DescribeInstancePatches para um nó gerenciado, os dados retornados não incluirão patches com um estado Not Applicable. Esse comportamento é diferente do Windows.

Diferença 3: suporte a documentos do SSM

O documento do Systems Manager (documento SSM) AWS-ApplyPatchBaseline não oferece suporte a nós gerenciados do Linux. Para aplicar listas de referência de patches a nós gerenciados do Linux, do macOS e do Windows Server, o documento SSM recomendado é o AWS-RunPatchBaseline. Para ter mais informações, consulte Documentos do comando do SSM para aplicação de patches em nós gerenciados e Documento de comando do SSM para a aplicação de patches: AWS-RunPatchBaseline.

Diferença 4: patches de aplicativos

O foco principal do Patch Manager é aplicar patches a sistemas operacionais. No entanto, você também pode usar o Patch Manager para aplicar patches em algumas aplicações dos nós gerenciados.

Linux

Em sistemas operacionais Linux, o Patch Manager usa os repositórios configurados para atualizações e não diferencia entre patches de sistemas operacionais e de aplicações. Você pode usar o Patch Manager para definir de quais repositórios deseja buscar atualizações. Para ter mais informações, consulte Como especificar um repositório de origem de patches alternativo (Linux).

Windows

Em nós gerenciados do Windows Server, você pode aplicar regras de aprovação, bem como exceções de patches Aprovados e Rejeitados, para aplicações lançadas pela Microsoft, como o Microsoft Word 2016 e o Microsoft Exchange Server 2016. Para ter mais informações, consulte Trabalhando com linhas de base de patch personalizadas.

Diferença 5: opções de lista de patches rejeitados em listas de referência de patches personalizados

Ao criar uma lista de referência de patches personalizados, é possível especificar um ou mais patches para uma lista de Patches rejeitados. Para nós gerenciados do Linux, você também pode optar por permitir que eles sejam instalados se forem dependências de outro patch permitido pela lista de referência.

O Windows Server, no entanto, não é compatível com o conceito de dependências de patches. Você pode adicionar um patch à lista de Patches rejeitados em uma lista de referência personalizada para o Windows Server, mas o resultado depende de (1) se o patch rejeitado já está ou não instalado em um nó gerenciado e (2) de qual opção você escolhe para a ação de Patches rejeitados.

Consulte a tabela a seguir para obter detalhes sobre as opções de patch rejeitadas no Windows Server.

Status da instalação Opção: "Permitir como dependência" Opção: "Bloquear"
O patch já está instalado Status relatado: INSTALLED_OTHER Status relatado: INSTALLED_REJECTED
O patch ainda não está instalado Patch ignorado Patch ignorado

Cada patch para Windows Server que a Microsoft lança normalmente contém todas as informações necessárias para que a instalação seja bem-sucedida. Ocasionalmente, no entanto, pode ser necessário um pacote de pré-requisitos, que você deve instalar manualmente. O Patch Manager não relata informações sobre esses pré-requisitos. Para obter informações relacionadas, consulte a solução de problemas do Windows Update no site da Microsoft.