本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
修補程序組
重要
修補程式群組不會用於基於修補程式政策的修補操作。如需有關使用修補程式政策的資訊,請參閱 修補程式原則組態 Quick Setup。
您可以使用修補程式群組Patch Manager,將受管理的節點與中的特定修補程式基準建立關聯 (一項功能) AWS Systems Manager。修補程式群組會協助您根據相關的修補基準規則,確保您部署適當的修補程式至正確的節點。修補程式群組也能協助您避免在充分測試之前即部署修補程式。例如,您可以為不同的環境建立修補程式群組 (例如,開發、測試和生產) 並將每個修補程式群組註冊到適當的修補基準。
在您執行 AWS-RunPatchBaseline 時,可以使用其執行個體 ID 或標籤來定位受管節點。然後,SSM Agent 和 Patch Manager 會根據您新增到受管節點的修補程式群組值來評估要使用的修補基準。
您可以使用 Amazon 彈性運算雲端 (AmazonEC2) 標籤建立修補程式群組。不同於 Systems Manager 上的其他標記案例,修補程式群組必須以標籤索引鍵 Patch Group 或 PatchGroup 定義。該金鑰區分大小寫。您可以指定任何值來協助您識別並鎖定該群組中的資源,例如「Web 伺服器」或 PROD「US EAST-」,但金鑰必須是Patch Group或PatchGroup。
在您建立修補程式群組並標記受管節點之後,您可以使用修補基準註冊修補程式群組。使用修補基準註冊修補程式群組,可確保修補程式群組中的節點使用相關修補基準中定義的規則。
有關如何建立修補程式群組,以及將修補程式群組與修補基準建立關聯的詳細資訊,請參閱 建立和管理修補程式群組 和 Add a patch group to a patch baseline(新增修補程式群組至修補基準)。
若要檢視使用 AWS Command Line Interface (AWS CLI) 建立修補基準與修補程式群組的範例,請參閱 教學課程:使用修正伺服器環境 AWS CLI。有關 Amazon 標EC2籤的更多信息,請參閱 Amazon 用EC2戶指南中的標記您的 Amazon EC2 資源。
運作方式
當系統執行將修補基準套用於受管節點的任務時,SSM Agent 會驗證是否為該節點定義了修補程式群組值。如果節點已指派給修補程式群組,則 Patch Manager 會驗證該群組註冊了哪一個修補基準。如果找到了該群組的修補基準,則 Patch Manager 會通知 SSM Agent 使用關聯的修補基準。如果節點未針對修補程式群組進行設定,則 Patch Manager 會自動通知 SSM Agent 已使用目前設定的預設修補基準。
重要
受管節點只能存在於一個修補程式群組中。
一個修補程式群組只能為每個作業系統類型註冊一個修補基準。
如果在執行個體上啟用了允許Patch Group標籤在EC2執行個體中繼資料中繼資料選項,則無法將標籤 (含空格) 套用至 Amazon 執行個體。允許執行個體中繼資料中的標籤可防止標籤鍵名稱含空格。如果您在EC2執行個體中繼資料中允許標籤,則必須使用標籤鍵 PatchGroup (不含空格)。
下圖顯示 Systems Manager 將 Run Command 任務傳送到您的伺服器叢集,以使用 Patch Manager 進行修補時執行過程的一般範例。當維護時段設為使用 Patch Manager 向修補程式發送命令時,將使用類似的過程。
在此範例中,我們有三個EC2執行個體群組,並套用了下列標籤:Windows Server
| EC2例項群組 | 標籤 |
|---|---|
|
Group 1 |
|
|
Group 2 |
|
|
Group 3 |
|
在這個範例中,我們也有這兩個 Windows Server 修補基準:
| 修補基準 ID | 預設 | 關聯的修補程式群組 |
|---|---|---|
|
|
是 |
|
|
|
否 |
|
圖 1:修補操作處理流程一般範例
下圖顯示 Patch Manager 如何判斷修補操作中要使用的修補基準。
使用 Run Command ( AWS Systems Manager的一項功能) 和 Patch Manager 掃描或安裝修補程式的一般處理,如下所示:
-
傳送指令以進行修補:使用 Systems Manager 主控台SDK、、 AWS Command Line Interface (AWS CLI) 或 AWS Tools for Windows PowerShell 使用文件傳送Run Command工作
AWS-RunPatchBaseline。該圖顯示了透過定位標籤key=OS,value=Windows來修補受管執行個體的 Run Command 任務。 -
修補程式基準判定:SSM Agent驗證套用至EC2執行個體的修補程式群組標記,並查詢Patch Manager對應的修補程式基準。
-
符合與修補基準關聯的修補程式群組值:
-
SSM Agent安裝在群組 1 中的EC2執行個體上,會接收步驟 1 中發出的指令以開始修正作業。 SSM Agent驗證EC2執行個體是否已
DEV套用修補程式群組標籤值,並查詢關聯的修補程式基Patch Manager準。 -
Patch Manager 會確認修補基準
pb-9876543210abcdef0已關聯修補程式群組DEV,並通知 SSM Agent。 -
SSM Agent 會根據在
pb-9876543210abcdef0中設定的核准規則和例外狀況從 Patch Manager 擷取修補基準快照,然後繼續執行下一步驟。
-
-
無新增至執行個體的修補程式群組標籤:
-
SSM Agent安裝在群組 2 中的EC2執行個體上,會接收步驟 1 中發出的指令以開始修正作業。 SSM Agent驗證EC2執行個體沒有套用
Patch Group或PatchGroup標籤,因此會SSM Agent查詢Patch Manager預設 Windows 修補程式基準。 -
Patch Manager 會確認預設的 Windows Server 修補基準是
pb-0123456789abcdef0並通知 SSM Agent。 -
SSM Agent 會根據在預設修補程式基線
pb-0123456789abcdef0中設定的核准規則和例外狀況,從 Patch Manager 擷取修補程式基線快照,然後繼續執行下一步驟。
-
-
沒有符合與修補基準關聯的修補程式群組值:
-
SSM Agent安裝在群組 3 中的EC2執行個體上,會接收步驟 1 中發出的指令以開始修正作業。 SSM Agent驗證EC2執行個體是否已
QA套用修補程式群組標籤值,並查詢關聯的修補程式基Patch Manager準。 -
Patch Manager 未找到與修補程式群組
QA相關聯的修補基準。 -
Patch Manager 會通知 SSM Agent 以使用預設的 Windows 修補基準
pb-0123456789abcdef0。 -
SSM Agent 會根據在預設修補基準
pb-0123456789abcdef0中設定的核准規則和例外狀況,從 Patch Manager 擷取修補基準快照,然後繼續執行下一步驟。
-
-
-
修補程式掃描或安裝:在決定欲使用的適當修補基準後,SSM Agent 會根據步驟 1 中指定的作業值開始掃描或安裝修補程式。掃描或安裝的修補程式,是由 Patch Manager 提供的修補基準快照中所定義的核准規則和修補程式的例外狀況所判斷。
- 詳細資訊
