关于补丁组 - AWS Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

关于补丁组

您可以使用修补组将实例与 Patch Manager 中的特定补丁基准关联,该功能是 AWS Systems Manager 的功能。补丁组根据关联的补丁基准规则,帮助确保您将合适的补丁部署到正确的实例集。另外还可以帮助您避免过早地部署补丁(在对补丁进行充分测试之前)。例如,您可以为不同的环境(例如,开发环境、测试环境和生产环境)创建补丁组,并将每个补丁组注册到合适的补丁基准。

注意

每个操作系统类型只能使用一个补丁基准注册补丁组。

当您运行AWS-RunPatchBaseline,您可以使用其实例 ID 或标签定位托管实例。SSM Agent 和补丁管理器然后基于您添加到实例的补丁组值评估要使用哪个补丁基准。

您可以使用 Amazon Elastic Compute Cloud (Amazon EC2) 标签创建补丁组。与 Systems Manager 中的其他标记方案不同,修补程序组必须使用标签键定义:修补组。请注意,此键区分大小写。您可以指定任何值,例如“Web 服务器”,但键必须为补丁组

注意

一个实例只能在一个补丁组中。

创建补丁组和标记实例后,可以将补丁组注册到补丁基准。将补丁组注册到补丁基准可确保补丁组内的实例使用在关联的补丁基准中定义的规则。有关如何创建补丁组以及将补丁组与补丁基准关联的更多信息,请参阅创建补丁组将补丁组添加到补丁基准

要查看使用 AWS Command Line Interface (AWS CLI) 创建补丁基准和补丁组的示例,请参阅演练:修补服务器环境 (AWS CLI)。有关 Amazon EC2 标签的更多信息,请参阅为您的 Amazon EC2 资源添加标记中的Amazon EC2 用户指南

工作原理

当系统运行将补丁基准应用于实例的任务时,SSM 代理将验证是否为该实例定义了补丁组值。如果该实例已分配给一个补丁组,Patch Manager 将验证哪个补丁基准注册到了该组。如果找到了该组的补丁基准,Patch Manager 将通知 SSM Agent 使用关联的补丁基准。如果没有为补丁组配置实例,Patch Manager 将自动通知 SSM Agent 使用当前配置的默认补丁基准。

下图显示了 Systems Manager 在将 Run Commage 任务发送到您的服务器队列以使用 Patch Manager 执行修补程序的流程的一般示例。当配置维护时段来发送命令以使用 Patch Manager 进行修补时,使用类似的流程。

在本示例中,我们有三组 EC2 实例,用于 Windows Server 并应用了以下标签:

EC2 实例组 Tags

组 1

key=OS,value=Windows

key=Patch Group,value=DEV

组 2

key=OS,value=Windows

组 3

key=OS,value=Windows

key=Patch Group,value=QA

在这个例子中,我们还有这两个 Windows Server 修补基准:

补丁基准 ID 默认值 关联的补丁组

pb-0123456789abcdef0

Default

pb-9876543210abcdef0

DEV

图 1:修补操作进程流的一般示例


                        示意图显示执行修补操作时如何确定补丁基准。

使用 Run Command(AWS System Manager 的功能)和 Patch Manager 扫描或安装补丁的一般流程如下所示:

  1. 发送命令修补:使用 Systems Manager 控制台、开发工具包、AWS Command Line Interface (AWS CLI) 或适用于 Windows PowerShell 的 AWS 工具使用文档发送 “运行命令” 任务AWS-RunPatchBaseline。该图显示了将标签 key=OS,value=Windows 指定为目标以执行的托管实例“运行命令”修补任务。

  2. 补丁基准确定:SSM Agent 验证应用到 EC2 实例的补丁组标签,并查询 Patch Manager 查找相应的补丁基准。

    • 与补丁基准关联的匹配的补丁组值:

      1. SSM Agent(安装在组 1 中的 EC2 实例上)收到步骤 1 中发出的命令后开始修补操作。SSM 代理验证 EC2 实例是否具有修补程序组标记值DEV并查询修补程序管理器以获取关联的修补程序基准。

      2. 补丁管理器验证补丁基准pb-9876543210abcdef0具有补丁组DEV关联并通知 SSM 代理。

      3. SSM Agent 根据在中配置的批准规则和例外从补丁管理器检索补丁基准快照。pb-9876543210abcdef0并继续执行下一步。

    • 未将补丁组标签添加到实例:

      1. SSM Agent(安装在组 2 中的 EC2 实例上)收到步骤 1 中发出的命令后开始修补操作。SSM 代理验证 EC2 实例是否没有Patch Group标记,因此 SSM 代理会查询修补程序管理器的默认 Windows 修补程序基准。

      2. Patch Manager 验证默认的 Windows Server 补丁基准pb-0123456789abcdef0并通知 SSM 代理。

      3. SSM Agent 根据在默认的补丁基准中配置的批准规则和例外从 Patch Manager 检索补丁基准快照pb-0123456789abcdef0并继续执行下一步。

    • 没有与补丁基准关联的匹配的补丁组值:

      1. SSM Agent(安装在组 3 中的 EC2 实例上)收到步骤 1 中发出的命令后开始修补操作。SSM 代理验证 EC2 实例是否具有修补程序组标记值QA并查询修补程序管理器以获取关联的修补程序基准。

      2. Patch Manager 不会查找关联了补丁组 QA 的补丁基准。

      3. 补丁管理器通知 SSM 代理使用默认的 Windows 补丁基准pb-0123456789abcdef0

      4. SSM Agent 根据在默认的补丁基准中配置的批准规则和例外从 Patch Manager 检索补丁基准快照pb-0123456789abcdef0并继续执行下一步。

  3. 修补程序扫描或安装:确定要使用的合适的补丁基准后,SSM Agent 将根据步骤 1 中指定的操作值开始扫描或安装补丁。扫描或安装的补丁由在 Patch Manager 提供的补丁基准快照中定义的批准规则和补丁例外确定。