本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
系統維護 AWS OpsWorks for Chef Automate
重要
AWS OpsWorks 廚師自動化已於 2024 年 5 月 5 日終止使用壽命,並已針對新客戶和現有客戶停用。我們建議現有客戶遷移到 Chef SaaS 或替代解決方案。如果您有任何疑問,可以通過 AWS Re: post
強制性系統維護可確保 Chef Server 和 Chef 自動化服務器的最新次要版本(包括安全更新)始終在 AWS OpsWorks for Chef Automate 服務器上運行。每週至少需要進行一次系統維護。如果需要 AWS CLI,您可以使用設定每日自動維護。除了排定的 AWS CLI 系統維護之外,您也可以使用視需要執行系統維護。
當有新的 Chef 軟體次要版本可用時,系統維護的設計會在其通過 AWS 測試之後,自動更新伺服器上 Chef Automate 和 Chef Server 的次要版本。AWS 會執行廣泛的測試,以驗證 Chef 升級是否已準備就緒,不會中斷現有的客戶環境,因此 Chef 軟體版本與 Chef Automatic 伺服器的現有應用程式可用性之間可能會 OpsWorks 出現延遲。若要隨需更新 Chef 軟體的次要版本,請參閱本主題中的隨需啟動系統維護。
系統維護會從作為維護程序一部分執行的備份啟動新執行個體,這有助於降級或受損的 Amazon EC2 執行個體因定期維護而造成的風險降低。
重要
系統維護會刪除您新增至 AWS OpsWorks for Chef Automate 伺服器的任何檔案或自訂組態。如需如何修復組態或檔案遺失的詳細資訊,請參閱本主題中的在維護之後還原自訂組態和檔案。
確保節點信任 AWS OpsWorks 憑證授權單位
注意
如果您在 AWS OpsWorks for Chef Automate 伺服器上使用自訂網域和憑證,則不需要本節中的步驟。
您使用 AWS OpsWorks for Chef Automate 伺服器管理的節點必須使用憑證向伺服器進行驗證。在系統維護期間, AWS OpsWorks 取代伺服器執行個體,並透過憑 AWS OpsWorks 證授權單位 (CA) 重新產生新憑證。若要在維護完成後自動還原與受管節點的通訊,節點應該信任隨入門套件隨附的 AWS OpsWorks CA,並託管於支援的區域 AWS OpsWorks for Chef Automate。當您使用 AWS OpsWorks CA 建立節點與伺服器之間的信任時,節點會在維護之後重新連線至新的伺服器執行個體。如果您使用中所述的 EC2 userdata
指令碼新增 EC2 節點自動加入節點 AWS OpsWorks for Chef Automate,則節點已設定為信任 AWS OpsWorks CA。
-
針對 Linux 式的節點,CA 的 S3 儲存貯體位置為
https://opsworks-cm-
。受 AWS OpsWorks 信任的 CA 必須儲存在路徑中${REGION}
-prod-default-assets.s3.amazonaws.com/misc/opsworks-cm-ca-2020-root.pem/etc/chef/opsworks-cm-ca-2020-root.pem
。 -
針對 Windows 式的節點,CA 的 S3 儲存貯體位置為
https://opsworks-cm-
。 AWS OpsWorks CA 必須儲存在根 Chef 資料夾中;例如,$env:AWS_REGION
-prod-default-assets.s3.amazonaws.com/misc/opsworks-cm-ca-2020-root.pemC:\chef\opsworks-cm-ca-2020-root.pem
在這兩種路徑中,區域變數會解析為下列其中一項。
-
us-east-2
-
us-east-1
-
us-west-1
-
us-west-2
-
ap-northeast-1
-
ap-southeast-1
-
ap-southeast-2
-
eu-central-1
-
eu-west-1
設定系統維護
當您建立新 AWS OpsWorks for Chef Automate 伺服器時,您可以設定工作日和時間 (國際標準時間UNDER_MAINTENANCE
。
您也可以變更現有 AWS OpsWorks for Chef Automate 伺服器上的系統維護設定,方法是變更伺服器「設定」頁面的「系統維護」區域中的設定,如下列螢幕擷取畫面所示。
在 System maintenance (系統維護) 區段中,將日和小時設為您希望開始系統維護的時間。
使用設定系統維護 AWS CLI
您也可以使用 AWS CLI設定系統維護的自動開始時間。 AWS CLI 可讓您視需要設定每日自動維護,方法是省略三個字元的工作日前置詞。
在 create-server
命令中,在指定建立伺服器執行個體的必要項目 (例如執行個體類型、執行個體描述檔 ARN 和伺服器角色 ARN) 之後,將 --preferred-maintenance-window
參數新增到您的命令。在下列 create-server
範例中,--preferred-maintenance-window
設為 Mon:08:00
,表示您已將維護設定在每週一 UTC 上午 8:00 開始 data at rest。
aws opsworks-cm create-server --engine "Chef" --engine-model "Single" --engine-version "12" --server-name "automate-06" --instance-profile-arn "arn:aws:iam::1019881987024:instance-profile/aws-opsworks-cm-ec2-role" --instance-type "t2.medium" --key-pair "amazon-test" --service-role-arn "arn:aws:iam::044726508045:role/aws-opsworks-cm-service-role" --preferred-maintenance-window "Mon:08:00"
在 update-server
命令中,您可以單獨更新 --preferred-maintenance-window
的值 (若需要的話)。在下列範例中,維護時段已設為週五 UTC 下午 6:15。data at rest。
aws opsworks-cm update-server --server-name "shiny-kitchen" --preferred-maintenance-window "Fri:18:15"
若要將維護時段的開始時間變更為每天 UTC 下午 6:15,請省略三個字元的工作日字首,如以下範例所示。
aws opsworks-cm update-server --server-name "shiny-kitchen" --preferred-maintenance-window "18:15"
如需有關使用設定慣用系統維護時段的詳細資訊 AWS CLI,請參閱建立伺服器和更新伺服器。
隨需啟動系統維護
若要視需求啟動系統維護,請在設定的每週或每日自動維護之外執行下列 AWS CLI 命令。您無法在 AWS Management Console中啟動隨需維護。
aws opsworks-cm start-maintenance --server-name
server_name
如需此命令的詳細資訊,請參閱 start-maintenance。
在維護之後還原自訂組態和檔案
系統維護可以刪除或變更已新增至 AWS OpsWorks for Chef Automate 伺服器的自訂檔案或組態。
如果在執行維護之後,Chef 伺服器遺失您使用或 SSH 新增的檔案RunCommand
或設定,您可以使用 Amazon 機器映像 (AMI) 啟動新的 Amazon EC2 執行個體。可用的 AMI 是由伺服器的維護前組態建置而成的。
新的執行個體狀態會和維護前的 Chef 伺服器相同,因此會包含您遺失的檔案和設定。
重要
您無法使用新的執行個體還原您的伺服器。執行個體無法做為 Chef 伺服器執行。您只能使用執行個體復原您的檔案和組態設定。
若要從 AMI 啟動 EC2 執行個體,請在 Amazon EC2 主控台中開啟啟動精靈,選擇我的 AM I,然後選擇具有您伺服器名稱的 AMI。如同執行任何其他執行個體啟動一樣,遵循 Amazon EC2 精靈的步驟。