Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
On-Demand-Patchen von verwalteten Knoten
Verwenden Sie die Option Jetzt patchen in Patch Manager, ein Tool in AWS Systems Manager, Sie können On-Demand-Patching-Operationen von der Systems Manager Manager-Konsole aus ausführen. Dies bedeutet, dass Sie keinen Zeitplan erstellen müssen, um den Compliance-Status Ihrer verwalteten Knoten zu aktualisieren oder Patches auf nicht kompatiblen Knoten zu installieren. Sie müssen die Systems Manager Manager-Konsole auch nicht zwischen Patch Manager and Maintenance Windows, ein Tool in AWS Systems Manager, um ein geplantes Patch-Fenster einzurichten oder zu ändern.
Patch now (Jetzt patchen) ist besonders nützlich, wenn Sie so schnell wie möglich Zero-Day-Updates anwenden oder andere kritische Patches auf Ihren verwalteten Knoten installieren müssen.
Anmerkung
Patching on Demand wird für jeweils ein AWS-Konto einzelnes AWS-Region Paar unterstützt. Es kann nicht mit Patching-Vorgängen verwendet werden, die auf Patch-Richtlinien basieren. Wir empfehlen die Verwendung von Patch-Richtlinien, um sicherzustellen, dass alle Ihre verwalteten Knoten die Compliance einhalten. Weitere Informationen zur Arbeit mit Patch-Richtlinien finden Sie unter Patch-Richtlinienkonfigurationen in Quick Setup.
So funktioniert „Patch now“ (Jetzt patchen)
Um Patch now (Jetzt patchen) auszuführen, müssen Sie nur zwei erforderliche Einstellungen angeben:
-
Ob nur nach fehlenden Patches gescannt werden soll oder ob Patches auf Ihren verwalteten Knoten gescannt und installiert werden sollen
-
Auf welchen verwalteten Knoten die Operation ausgeführt werden soll
Wenn die Operation Patch now (Jetzt patchen) läuft, bestimmt sie, welche Patch-Baseline auf die gleiche Weise verwendet werden soll, wie eine für andere Patching-Operationen ausgewählt wird. Wenn ein verwalteter Knoten einer Patch-Gruppe zugeordnet ist, wird die für diese Gruppe angegebene Patch-Baseline verwendet. Wenn der verwaltete Knoten nicht einer Patch-Gruppe zugeordnet ist, verwendet die Operation die Patch-Baseline, die derzeit als Standard für den Betriebssystemtyp des verwalteten Knotens festgelegt ist. Dabei kann es sich um eine vordefinierte Baseline oder um die benutzerdefinierte Baseline handeln, die Sie als Standard festgelegt haben. Weitere Informationen zur Patch-Baseline-Auswahl finden Sie unter Patch-Gruppen.
Zu den Optionen, die Sie für Patch now (Jetzt patchen) angeben können, gehört, ob verwaltete Knoten nach dem Patchen neu gestartet werden sollen, indem Sie einen Amazon Simple Storage Service (Amazon S3)-Bucket zum Speichern von Protokolldaten für den Patchvorgang angeben und Systems-Manager-Dokumente (SSM-Dokumente) als Lebenszyklus-Hooks während des Patchings ausführen.
Parallelitäts- und Fehlerschwellenwerte für „Patch now“ (Jetzt patchen)
Bei Patch-Now-Vorgängen, Parallelität und Fehlerschwellenwerten werden die Optionen behandelt von Patch Manager. Sie müssen weder angeben, wie viele verwaltete Knoten gleichzeitig gepatcht werden sollen, noch wie viele Fehler zulässig sind, bevor der Vorgang fehlschlägt. Patch Manager wendet die in den folgenden Tabellen beschriebenen Einstellungen für Parallelität und Fehlerschwellenwerte an, wenn Sie bei Bedarf patchen.
Wichtig
Die folgenden Schwellenwerte gelten für nur für Scan and install
-Operationen. Für Scan
Operationen Patch Manager versucht, bis zu 1.000 Knoten gleichzeitig zu scannen und den Scanvorgang fortzusetzen, bis bis zu 1.000 Fehler aufgetreten sind.
Die Gesamtanzahl von verwalteten Knoten in der Operation Patch now (Jetzt patchen) | Anzahl der gleichzeitig gescannten oder gepatchten verwalteten Knoten |
---|---|
Weniger als 25 | 1 |
25–100 | 5 % |
101 bis 1.000 | 8% |
Mehr als 1.000 | 10 % |
Die Gesamtanzahl von verwalteten Knoten in der Operation Patch now (Jetzt patchen) | Anzahl der zulässigen Fehler, bevor der Vorgang fehlschlägt |
---|---|
Weniger als 25 | 1 |
25–100 | 5 |
101 bis 1.000 | 10 |
Mehr als 1.000 | 10 |
Verwenden von „Patch now“ (Jetzt patchen)-Lebenszyklus-Hooks
Patch now (Jetzt patchen) bietet Ihnen die Möglichkeit, SSM Command-Dokumente als Lebenszyklus-Hooks während eines Install
-Patch-Vorgang auszuführen. Sie können diese Hooks für Aufgaben wie das Herunterfahren von Anwendungen vor dem Patchen oder Ausführen von Zustandsprüfungen für Ihre Anwendungen nach dem Patchen oder nach einem Neustart verwenden.
Weitere Informationen über das Verwenden von Lebenszyklus-Hooks finden Sie unter SSM-Befehlsdokument zum Patchen: AWS-RunPatchBaselineWithHooks.
In der folgenden Tabelle werden die Lebenszyklus-Hooks aufgeführt, die für jede der drei Patch now-Neustartoptionen (Jetzt patchen) aufgelistet sowie Beispielanwendungen für jeden Hook.
Neustartoption | Hook: Vor Installation | Hook: Nach Installation | Hook: Beim Verlassen | Hook: Nach geplantem Neustart |
---|---|---|---|---|
Bei Bedarf neu starten |
Führen Sie ein SSM-Dokument aus, bevor das Patchen beginnt. Anwendungsbeispiel: Fahren Sie Anwendungen sicher herunter, bevor der Patchvorgang beginnt. |
Führen Sie ein SSM-Dokument am Ende der Patching-Operation und vor dem Neustart des verwalteten Knoten aus. Anwendungsbeispiel: Führen Sie Vorgänge wie die Installation von Drittanbieter-Anwendungen vor einem potenziellen Neustart aus. |
Führen Sie ein SSM-Dokument aus, nachdem die Patching-Operation abgeschlossen und die Instances neu gestartet wurden. Anwendungsbeispiel: Stellen Sie sicher, dass Anwendungen nach dem Patchen wie erwartet ausgeführt werden. |
Nicht verfügbar |
Meine Instances nicht neu starten | Wie oben. |
Führen Sie ein SSM-Dokument am Ende des Patching-Vorgangs aus. Anwendungsbeispiel: Stellen Sie sicher, dass Anwendungen nach dem Patchen wie erwartet ausgeführt werden. |
Nicht verfügbar |
Nicht verfügbar |
Neustartzeit planen | Wie oben. | Dasselbe wie für Meine Instances nicht neu starten. | Nicht verfügbar |
Führen Sie sofort nach Abschluss eines geplanten Neustarts ein SSM-Dokument aus. Anwendungsbeispiel: Stellen Sie sicher, dass Anwendungen nach dem Neustart wie erwartet ausgeführt werden. |
Ausführen von „Patch now“ (Jetzt patchen)
Mit dem folgenden Verfahren können Sie On-Demand-Patches auf Ihre verwalteten Knoten anwenden.
So führen Sie „Patch now“ (Jetzt patchen) aus
Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/
. -
Wählen Sie im Navigationsbereich Patch Manager.
-
Wählen Sie Patch now (Jetzt patchen) aus.
-
Für Patch-Operation wählen Sie eine der folgenden Optionen aus:
-
Scannen: Patch Manager findet heraus, welche Patches auf Ihren verwalteten Knoten fehlen, installiert sie aber nicht. Sie können die Ergebnisse im Compliance-Dashboard oder in anderen Tools, die Sie zum Anzeigen der Patch-Compliance verwenden, anzeigen.
-
Scannen und installieren: Patch Manager findet heraus, welche Patches auf Ihren verwalteten Knoten fehlen, und installiert sie.
-
-
Führen Sie diesen Schritt nur aus, wenn Sie im vorherigen Schritt Scan und Installation ausgewählt haben. Wählen Sie bei Neustartoption eine der folgenden Optionen aus:
-
Bei Bedarf neu starten: Nach der Installation Patch Manager startet verwaltete Knoten nur neu, wenn dies für den Abschluss einer Patch-Installation erforderlich ist.
-
Meine Instanzen nicht neu starten: Nach der Installation Patch Manager startet verwaltete Knoten nicht neu. Sie können Knoten manuell neu starten, wenn Sie Neustarts außerhalb von auswählen oder verwalten Patch Manager.
-
Planen Sie eine Neustartzeit: Geben Sie das Datum, die Uhrzeit und die UTC-Zeitzone für an Patch Manager um Ihre verwalteten Knoten neu zu starten. Nachdem Sie den Vorgang Jetzt patchen ausgeführt haben, wird der geplante Neustart als Zuordnung in aufgeführt State Manager mit dem Namen
AWS-PatchRebootAssociation
.
-
-
Wählen Sie unter Instances to patch (Zu patchende Instances) eine der folgenden Optionen aus:
-
Alle Instanzen patchen: Patch Manager führt den angegebenen Vorgang auf allen verwalteten Knoten AWS-Konto in Ihrem aktuellen System aus AWS-Region.
-
Patch only the target instances I specify (Nur die von mir angegebenen Ziel-Instances patchen): Sie geben im nächsten Schritt an, welche verwalteten Knoten anvisiert werden sollen.
-
-
Führen Sie diesen Schritt nur aus, wenn Sie im vorherigen Schritt Nur die von mir angegebenen Ziel-Instances patchen ausgewählt haben. Identifizieren Sie für den Abschnitt Target selection (Zielauswahl) die Knoten, auf denen Sie diese Operation ausführen möchten, indem Sie Tags angeben, Knoten manuell auswählen oder eine Ressourcengruppe angeben.
Anmerkung
Wenn ein verwalteter Knoten, den Sie erwarten, nicht aufgeführt ist, finden Sie weitere Informationen unter Problembehandlung bei der Verfügbarkeit verwalteter Knoten Tipps zur Fehlerbehebung.
Wenn Sie sich für eine Ressourcengruppe entscheiden, beachten Sie, dass Ressourcengruppen, die auf einem AWS CloudFormation Stack basieren, trotzdem mit dem
aws:cloudformation:
Standard-Tag gekennzeichnet werden müssen. Wenn es entfernt wurde, Patch Manager kann möglicherweise nicht feststellen, welche verwalteten Knoten zur Ressourcengruppe gehören.stack-id
-
(Optional) Für Patch-Protokollspeicher wählen Sie, wenn Sie Protokolle aus diesem Patchvorgang erstellen und speichern möchten, den S3-Bucket zum Speichern der Protokolle aus.
Anmerkung
Die S3-Berechtigungen, die das Schreiben der Daten in einen S3-Bucket ermöglichen, sind diejenigen des Instanzprofils (für EC2 Instances) oder der IAM-Servicerolle (hybridaktivierte Maschinen), die der Instanz zugewiesen wurden, und nicht die des IAM-Benutzers, der diese Aufgabe ausführt. Weitere Informationen finden Sie unter Die für Systems Manager erforderlichen Instance-Berechtigungen konfigurieren oder Die für Systems Manager erforderliche IAM-Servicerolle in Hybrid- und Multi-Cloud-Umgebungen erstellen. Wenn sich der angegebene S3-Bucket in einem anderen befindet, stellen Sie außerdem sicher AWS-Konto, dass das dem verwalteten Knoten zugeordnete Instanzprofil oder die IAM-Dienstrolle über die erforderlichen Berechtigungen verfügt, um in diesen Bucket zu schreiben.
-
(Optional) Wenn Sie SSM-Dokumente als Lebenszyklus-Hooks an bestimmten Punkten des Patching-Vorgangs ausführen möchten, gehen Sie wie folgt vor:
-
Klicken Sie auf Verwenden von Lebenszyklus-Hooks.
-
Wählen Sie für jeden verfügbaren Hook das SSM-Dokument aus, das am angegebenen Punkt des Vorgangs ausgeführt werden soll:
-
Vor Installation
-
Nach Installation
-
Beim Verlassen
-
Nach geplantem Neustart
Anmerkung
Das Standarddokument,
AWS-Noop
, führt keine Vorgänge aus. -
-
-
Wählen Sie Patch now (Jetzt patchen) aus.
Die Seite Association execution summary (Zusammenfassung der Zuordnungsausführung) wird geöffnet. (Patch verwendet jetzt Assoziationen in State Manager, ein Tool in AWS Systems Manager, für seine Operationen.) Im Bereich Operation summary (Operationsübersicht) können Sie den Scan- oder Patch-Status auf den von Ihnen angegebenen verwalteten Knoten überwachen.