Linux 和 Windows 修补之间的主要差异 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Linux 和 Windows 修补之间的主要差异

本主题介绍 Patch Manager( Amazon Systems Manager 的一个功能)中 Linux 和 Windows 修补之间的重要差异。

注意

要修补 Linux 托管式节点,节点必须运行 SSM Agent 2.0.834.0 版或更高版本。

如果有新功能添加至 Systems Manager 或者对现有功能进行了更新,则将发布 SSM Agent 的更新版本。如果较早版本的代理正在托管式节点上运行,有些 SSM Agent 过程会失败。因此,我们建议您自动完成确保机器上的 SSM Agent 为最新的过程。有关信息,请参阅 自动更新到 SSM Agent。要获得有关 SSM Agent 更新的通知,请在 GitHub 上订阅 SSM Agent 发布说明页面。

区别 1:补丁评估

Linux

对于 Linux 修补,Systems Manager 会评估补丁基准规则以及 每个托管式节点上已批准和已被拒绝的补丁列表。Systems Manager 必须在每个节点上评估修补,因为该服务从托管式节点上配置的存储库中检索已知补丁和更新列表。

Windows

Patch Manager 在 Windows 托管式节点和 Linux 托管式节点上使用不同的进程,以评估应该存在的补丁。对于 Windows 修补,Systems Manager 直接在服务中评估补丁基准规则以及已批准和已拒绝的补丁列表。它可以执行此操作是因为 Windows 补丁从单个存储库 (Windows 更新) 拉取。

区别 2:Not Applicable 补丁

因为 Linux 操作系统有大量可用的软件包,所以 Systems Manager 不报告处于不适用状态的补丁的详细信息。例如,A Not Applicable 补丁是在实例未安装 Apache 时的 Apache 软件的补丁。Systems Manager 确实会在摘要中报告 Not Applicable 补丁的数量,但如果为某个托管式节点调用 DescribeInstancePatches API,则返回的数据中不包含状态为 Not Applicable 的补丁。这一行为不同于 Windows。

区别 3:SSM 文档支持

AWS-ApplyPatchBaseline Systems Manager 文档(SSM 文档)不支持 Linux 托管式节点。如需对 Linux、macOS 和 Windows Server 托管式节点应用补丁基准,则推荐的 SSM 文档是 AWS-RunPatchBaseline。有关更多信息,请参阅 关于适用于修补托管式节点的 SSM 文档关于 AWS-RunPatchBaseline SSM 文档

区别 4:应用程序补丁

Patch Manager 的主要目的是将补丁应用到操作系统。不过,您也可以使用 Patch Manager 将补丁应用到托管式节点上的某些应用程序。

Linux

在 Linux 操作系统上,Patch Manager 使用配置的存储库进行更新,不会区分操作系统补丁和应用程序补丁。您可以使用 Patch Manager 来定义从哪些存储库获取更新。有关更多信息,请参阅如何指定备用补丁源存储库 (Linux)

Windows

在 Windows Server 托管式节点上,您可以为 Microsoft 发布的应用程序(如 Microsoft Word 2016 和 Microsoft Exchange Server 2016)应用已批准规则,以及已批准已被拒绝补丁例外。有关更多信息,请参阅使用自定义补丁基准(控制台)