本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
隨需修補受管節點
在 中使用立即修補選項 Patch Manager是 的功能 AWS Systems Manager,您可以從 Systems Manager 主控台執行隨需修補操作。這表示您不需要建立排程,即可更新受管節點的合規狀態或在不合規節點上安裝修補程式。您也不需要在 之間切換 Systems Manager 主控台 Patch Manager 以及 Maintenance Windows,此功能為 AWS Systems Manager,以便設定或修改排程修補時段。
Patch now (立即修補) 在您必須儘快在受管節點上套用零時差更新或安裝其他重要修補程式時,特別實用。
注意
一次單一 AWS 帳戶AWS 區域 對支援隨需修補。其無法用於以修補程式政策為基礎的修補操作。建議您使用修補程式政策來維持所有受管節點的合規性。如需有關使用修補程式政策的詳細資訊,請參閱 在 中修補政策組態 Quick Setup。
「立即修補」的運作方式
若要執行 Patch now (立即修補),您只需指定兩個必要設定:
-
是否只掃描缺少的修補程式,或掃描和安裝受管節點上的修補程式
-
要在哪些受管節點上執行操作
當 Patch now (立即修補) 操作執行時,它會決定要使用哪個修補基準,以與為其他修補操作所選取的相同方式使用。如果受管節點與修補程式群組相關聯,則會使用為該群組指定的修補基準。如果受管節點未與修補程式群組關聯,則操作會使用目前設定為受管節點之操作系統類型預設值的修補基準。這可以是預先定義基準,也可以是您已設定為預設值的自訂基準。如需修補基準選取項目的詳細資訊,請參閱 修補程式群組。
您現在可以為修補程式指定的選項包括選擇在修補後何時或是否重新啟動受管節點、指定 Amazon Simple Storage Service (Amazon S3) 儲存貯體來存放修補操作的日誌資料,以及在修補期間執行 Systems Manager 文件 (SSM 文件) 作為生命週期掛鉤。
「立即修補」的並行和錯誤閾值
對於現在修補操作,並行和錯誤閾值選項由 處理 Patch Manager。 您不需要指定一次修補多少個受管節點,也不需要指定在操作失敗之前允許多少個錯誤。Patch Manager 當您隨需修補時, 會套用下表所述的並行和錯誤閾值設定。
重要
以下閾值僅適用於 Scan and install
操作。對於Scan
操作,Patch Manager 會嘗試同時掃描最多 1,000 個節點,並繼續掃描,直到遇到最多 1,000 個錯誤為止。
Patch now (立即修補) 操作中受管節點的總數 | 一次掃描或修補的受管節點數目 |
---|---|
低於 25 個 | 1 |
25-100 | 5% |
101 到 1,000 個 | 8% |
1,000 個以上 | 10% |
Patch now (立即修補) 操作中受管節點的總數 | 操作失敗前允許的錯誤數目 |
---|---|
低於 25 個 | 1 |
25-100 | 5 |
101 到 1,000 個 | 10 |
1,000 個以上 | 10 |
使用「立即修補」生命週期掛鉤
修補程式現在可讓您在Install
修補操作期間,以生命週期掛鉤的形式執行SSM命令文件。您可以將這些掛鉤用於任務,例如在修補之前關閉應用程式,或在修補後或重新開機後對應用程式執行運作狀態檢查。
如需有關生命週期關聯的詳細資訊,請參閱 SSM 修補的命令文件: AWS-RunPatchBaselineWithHooks。
除了每個掛鉤的使用範例,下表還為三個 Patch now (立即修補) 重新開機選項中的每個選項列出可用的生命週期掛鉤。
重新開機選項 | 掛鉤:安裝前 | 掛鉤:安裝後 | 掛鉤:結束時 | 掛鉤:排定的重新開機後 |
---|---|---|---|---|
Reboot if needed (必要時重新開機) |
在修補開始之前執行SSM文件。 使用範例:在修補程序開始之前,安全地關閉應用程式。 |
在修補操作結束時以及受管節點重新啟動之前執行SSM文件。 使用範例:執行操作,例如在潛在重新開機前安裝第三方應用程式。 |
在修補操作完成並重新啟動執行個體之後執行SSM文件。 使用範例:確定應用程式在修補後如預期般執行。 |
不適用 |
Do not reboot my instances (請勿重新開機執行個體) | 同上。 |
在修補操作結束時執行SSM文件。 使用範例:確定應用程式在修補後如預期般執行。 |
不適用 |
不適用 |
Schedule a reboot time (排程重新開機時間) | 同上。 | 與 Do not reboot my instances (請勿重新開機執行個體) 相同。 | 不適用 |
排程的重新啟動完成後,立即執行SSM文件。 使用範例:確定應用程式在重新開機後如預期般執行。 |
執行「立即修補」
使用下列處理程序,隨需修補受管節點。
執行「立即修補」
在 開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/
。 -
在導覽窗格中,選擇 Patch Manager.
-
選擇 Patch now (立即修補)。
-
對於 Patching operation (修補操作),選擇下列其中一項:
-
掃描 :Patch Manager 會找到受管節點中缺少哪些修補程式,但不會安裝這些修補程式。您可以在 Compliance (合規) 儀表板或其他用於檢視修補程式合規的工具中檢視結果。
-
掃描並安裝 :Patch Manager 尋找受管節點中缺少哪些修補程式,並安裝它們。
-
-
只有在上一個步驟中選擇 Scan and install (掃描和安裝) 時,才使用該步驟。針對 Regions option (區域選項),選擇以下其中一個選項:
-
視需要重新啟動 :安裝後,Patch Manager 只有在完成修補程式安裝需要時才重新啟動受管節點。
-
請勿重新啟動我的執行個體:安裝後,Patch Manager 不會重新啟動受管節點。當您選擇或管理 以外的重新啟動時,可以手動重新啟動節點 Patch Manager.
-
排程重新啟動時間:指定 的日期、時間和UTC時區 Patch Manager 重新啟動受管節點。現在執行修補程式操作之後,排程的重新啟動會在 中列為關聯 State Manager 名稱為
AWS-PatchRebootAssociation
。
-
-
在 Instances to patch (要修補的執行個體),選擇以下其中一項:
-
修補所有執行個體:Patch Manager 會在目前 中 中 AWS 帳戶 的所有受管節點上執行指定的操作 AWS 區域。
-
Patch only the target instances I specify (只修補我指定的目標執行個體):您可以在下一個步驟中指定要鎖定的受管節點。
-
-
僅當您在上一個步驟中選擇 Patch only the target instances I specify (只修補我指定的目標執行個體) 時,使用該步驟。在 Target selection (目標選擇範圍) 區段中,指定標籤、手動選取節點或指定資源群組,以識別您要執行這項操作的節點。
注意
如果您預期看到的受管節點未列出,請參閱 疑難排解受管節點的可用性 以取得疑難排解秘訣。
如果您選擇以資源群組為目標,請注意,以 AWS CloudFormation 堆疊為基礎的資源群組仍必須加上預設標籤
aws:cloudformation:
。如果已移除,Patch Manager 可能無法判斷哪些受管節點屬於資源群組。stack-id
-
(選用) 對於 Patching log storage (修補日誌儲存),如果您要從此修補操作建立並儲存日誌,請選取 S3 儲存貯體來存放日誌。
注意
授予將資料寫入 S3 儲存貯體的 S3 許可是指派給執行個體的執行個體描述檔 (適用於EC2執行個體) IAM或服務角色 (混合啟動機器),而不是執行此任務IAM的使用者。如需詳細資訊,請參閱設定 Systems Manager 所需的執行個體許可,或在混合雲端和多雲端環境中建立 Systems Manager 所需的IAM服務角色。此外,如果指定的 S3 儲存貯體位於不同的 中 AWS 帳戶,請確定與受管節點相關聯的執行個體設定檔IAM或服務角色具有寫入該儲存貯體的必要許可。
-
(選用) 如果您想要在修補操作的特定點期間將SSM文件作為生命週期掛鉤執行,請執行下列動作:
-
選擇 Use lifecycle hooks (使用生命週期掛鉤)。
-
針對每個可用的掛鉤,選取要在操作指定點執行SSM的文件:
-
安裝前
-
安裝後
-
結束時
-
排定的重新開機後
注意
預設文件
AWS-Noop
不會執行任何操作。 -
-
-
選擇 Patch now (立即修補)。
Association execution summary (關聯執行摘要) 頁面隨即開啟。(Patch 現在會在 中使用關聯 State Manager,這是 的功能 AWS Systems Manager,用於其操作。) 在 Operation summary (操作摘要) 區域中,您可以監控指定受管節點上的掃描或修補狀態。