Patchen des Lösungsdesigns für lokale Instanzen in einer Hybrid-Cloud-Umgebung - AWS Präskriptive Leitlinien
Automatisierter ProzessÜberlegungen und -beschränkungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Patchen des Lösungsdesigns für lokale Instanzen in einer Hybrid-Cloud-Umgebung

Sie können die in diesem Handbuch beschriebene Lösung auch erweitern, um lokale Serverinstanzen in einer Hybrid-Cloud-Umgebung zu patchen.

Der Standard-Patch-Prozess für lokale Instanzen besteht aus zwei Schritten:

  • Sie konfigurieren Ihre lokalen Server so, dass sie von Systems Manager verwaltet werden. Weitere Informationen zu diesem Prozess finden Sie unterEinrichten von Systems Manager für Hybrid-Umgebungenin der Systems Manager Manager-Dokumentation.

  • Sie konfigurieren das entsprechendePatch-Gruppeund-WartungsfensterTags für diese lokal verwalteten Instanzen unter Verwendung derAWS Command Line Interface(AWS CLI)Add-tags-to-resourceaus.

Dieser Ansatz erfordert jedoch, dass entweder das Anwendungsteam oder das Cloud-Team dieAWS CLI-Befehle, wann immer sie Änderungen an den Patch-Gruppen oder Wartungsfenstern vornehmen möchten.

Automatisierter Prozess

In der folgenden Abbildung wird ein alternativer Ansatz zum Patchen von lokalen Instanzen beschrieben, der die benutzerdefinierte Inventaroption des Systems Manager verwendet. Dieser Prozess ist eine Erweiterung der automatisierten Patching-Lösung, die wir zuvor für veränderbare EC2-Instanzen beschrieben haben.

Reference architecture and workflow for patching mutable EC2 instances that span multiple AWS accounts and AWS Regions

  1. Anstatt Tags zu verwenden, erfasst Systems Manager die Patch-Informationen (Patch-Gruppen und Wartungsfenster) von den lokal verwalteten Instanzen über eine benutzerdefinierte Inventarsammlung.

    Sample custom inventory JSON file
{
    "SchemaVersion": "1.0",
    "TypeName": "Custom:PatchInformation",
    "Content": {
        "Patch Group": "<APP-PROD>",
        "Maintenance Window": "XXX"
    }
}

  2. Die Lambdaautomate-patchwird jeden Tag ausgeführt, sammelt die Informationen zur Patch-Gruppe und des Wartungsfensters aus dem benutzerdefinierten Inventar des lokalen Servers und erstelltPatch-Gruppeund-Wartungsfenster-Tags auf den verwalteten Instanzen.

  3. Die Lambdaautomate-patcherstellt oder aktualisiert dann die entsprechenden Patch-Gruppen und Wartungsfenster, verknüpft die Patch-Gruppen den Patch-Baselines, konfiguriert die Patch-Scans und stellt die Patch-Task basierend auf dem erfassten benutzerdefinierten Inventar bereit. Optional ist derautomate-patcherstellt auch Ereignisse in CloudWatch Events, um Benutzer über bevorstehende Patches zu informieren.

  4. Basierend auf den Wartungsfenstern senden die Ereignisse Patch-Benachrichtigungen an die Anwendungsteams mit den Details des bevorstehenden Patch-Vorgangs.

  5. Patch Manager führt System-Patching basierend auf dem definierten Zeitplan und den Patch-Gruppen durch.

  6. Eine Synchronisierung von Ressourcendaten im Systems Manager Manager-Inventar sammelt die Patch-Details und veröffentlicht sie in einem S3-Bucket.

  7. Patch-Compliance-Berichte und Dashboards sind in Amazon QuickSight aus den S3-Bucket-Informationen integriert.

Überlegungen und -beschränkungen

Wie in den vorherigen Abschnitten beschrieben, gibt es zwei Ansätze zum Patchen lokaler Instanzen: durch benutzerdefiniertes Inventar oder mithilfe von Tags. Hier sind die Vor- und Nachteile jedes Ansatzes.

Option 1. Verwenden Sie benutzerdefinierte Inventar für Patch-Informationen

  • Anwendungsteams, die mit lokalen Servern arbeiten, konfigurieren die Patch-Informationen in der benutzerdefinierten Lagerbestandsdatei, und Systems Manager wählt diese Informationen aus.

  • Die benutzerdefinierten Inventar-Patch-Informationen werden dann verwendet, um die Patch-Aufgaben zu erstellen.

Vorteile:

  • Viel einfacher zu konfigurieren, da es nur ein Dateiupdate beinhaltet.

Nachteile:

  • Die Änderungen an der Patch-Konfiguration sind auf den Zeitplan für die Inventarerfassung beschränkt.

Option 2. Verwenden von Tags für lokal verwaltete Instances

  • Anwendungsteams, die mit lokalen Servern arbeiten, erstellenPatch-Gruppeund-WartungsfensterTags mitAWS CLImit den entsprechenden Patch-Informationen.

  • Die Tag-Informationen werden verwendet, um die Patch-Aufgaben zu erstellen.

Vorteile:

  • Konsistenter AnsatzAWSund vor Ort, um Patching-Standardisierung und Automatisierung voranzutreiben.

Nachteile:

  • Anwendungsteams, die mit lokalen Instanzen arbeiten, müssen lernen und verwendenAWS CLIum die Tags zu erstellen oder zu aktualisieren.