在 状态管理器 和 维护时段 之间选择 - AWS Systems Manager
状态管理器 和 维护时段:密钥使用案例
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 状态管理器 和 维护时段 之间选择

状态管理器 和 维护时段 可以对托管实例执行某些相似类型的更新。选择哪一个取决于您是要实现系统合规的自动化,还是要实现在指定的时间段内仅执行高优先级、时间敏感的任务。

状态管理器 和 维护时段:密钥使用案例

状态管理器 为您账户中的托管实例和 资源设置和维护所需的状态配置。AWS您可以将配置和目标的组合定义为关联对象。如果您希望在账户中将所有托管实例保持在一致状态,使用 状态管理器 (Amazon EC2 Auto Scaling) 生成新实例,或者具有账户中托管实例的严格合规性报告要求,则 Auto Scaling 是推荐的功能。

的主要使用案例如下所示:状态管理器

  • Auto Scaling 方案:状态管理器 可以手动或通过 Auto Scaling 组监控在账户中启动的所有新实例。如果账户中有任何关联针对新实例(通过标签或所有实例),则该特定关联将自动应用于新实例。

  • 合规性报告: 状态管理器 可以驱动您的账户中资源的所需状态的合规性报告。

  • 支持所有实例: 状态管理器 可以将给定账户中的所有实例设为目标。

维护时段 在给定时段内对 资源执行一个或多个操作。AWS您可以使用开始和结束时间定义单个维护时段。您可以指定多个要在此维护时段内运行的任务。如果您的高优先级操作包括修补托管实例、在更新期间在实例上运行多种类型的任务或控制何时可以在实例上运行更新操作,则 维护时段 是推荐的功能。

的主要使用案例如下所示:维护时段

  • 运行多个文档:维护时段可以运行多个任务。每个任务可以使用不同的文档类型。因此,您可以在单个维护时段内使用不同任务构建复杂的工作流程。

  • 修补:维护时段可以为账户中使用特定标签或资源组标记的所有托管实例提供修补支持。由于修补通常涉及删除实例(例如,从负载均衡器中删除实例)、修补和后处理(将实例推回生产环境),因此修补可以作为给定修补时间窗口内的一系列任务实现。

  • 窗口操作:维护时段可以使一组或多组操作在特定时间窗口内开始。维护时段将不会在该时段之外启动。已经开始的操作将持续到完成,即使它们在时间窗口之外完成也是如此。

下表比较了 状态管理器 和 维护时段 的主要功能。

功能 状态管理器 维护时段

AWS CloudFormation IT 环境

AWS CloudFormation 模板支持 状态管理器 关联。

AWS CloudFormation 模板支持维护时段、时段目标和时段任务。

合规性

每个 状态管理器 关联都会报告目标资源的所需状态的合规性。您可以使用合规性控制面板聚合和查看报告的合规性。

不适用。

配置管理集成

状态管理器 支持外部所需的状态解决方案,如 Microsoft PowerShell Desired State Configuration (DSC)、Ansible Playbook 和 Chef 配方。您可以使用 状态管理器 关联来测试配置管理解决方案是否正常工作,并在准备就绪时将其配置更改应用于您的实例。

不适用。

文档

状态管理器 配置可定义为策略文档(用于收集清单信息)、自动化文档(用于 AWS 存储桶等 Amazon Simple Storage Service 资源)或命令文档(用于托管实例)。

维护时段 配置可定义为自动化文档(具有可选审批工作流的多步骤操作)或命令文档(托管实例的预期状态)。
监控

状态管理器 监控实例的配置、关联或状态更改(例如,联机的新实例)。当 状态管理器 检测到这些更改时,给定的关联将重新应用于最初具有该关联的目标的实例。

不适用。

任务中的优先级

不适用。

可以为维护时段内的任务分配优先级。具有相同优先级的所有任务都是并行运行的。优先级较低的任务仅在优先级较高的任务进入最终状态后运行。无法有条件地运行任务。在较高优先级的任务达到最终状态后,下一个优先级任务将运行,而不管上一个任务的状态如何。

安全控制

状态管理器 在跨大型队组部署配置时支持两种安全控制。您可以使用最大并发数来定义应应用配置的并发实例或资源的数量。您可以定义一个最大错误率,该错误率可用于在队组中发生一定数量或百分比的错误时暂停 状态管理器 关联。

在跨大型队组部署配置时,维护时段支持两种安全控制。您可以使用最大并发数来定义应应用配置的并发实例或资源的数量。您可以定义一个最大错误率,该错误率可用于在队组中发生一定数量或百分比的错误时暂停维护时段中的操作。
计划

您可以按需、以特定 cron 间隔、以指定速率或一次(在创建时)运行 状态管理器 关联。如果您希望以一致且及时的方式保持资源的所需状态,这会非常有用。

维护时段支持许多计划选项,包括 at 表达式(例如,"at(2021-07-07T13:15:30)")、cron 和 rate 表达式、具有偏移的 cron、应运行维护时段的开始和结束时间以及指定何时停止计划在指定时间窗口的截断时间。

定向

状态管理器 关联可以使用实例 ID、标签或资源组将一个或多个实例设为目标。状态管理器 可以将给定账户中的所有托管实例设为目标。

维护时段可以使用实例 ID、标签或资源组将一个或多个实例设为目标。

维护时段内的任务

不适用。

维护时段可以支持一个或多个任务,每个任务针对特定的自动化或命令文档操作。维护时段中的所有任务都并行运行,除非为不同的任务设置了不同的优先级。

总体而言,维护时段支持四种任务类型:

  • Systems Manager Run Command 命令

  • Systems Manager Automation 工作流程

  • AWS Lambda 函数

  • AWS Step Functions 任务