Desain solusi patching untuk beberapa AWS akun dan Wilayah - AWS Bimbingan Preskriptif
Proses otomatisPertimbangan dan keterbatasan arsitektur

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Desain solusi patching untuk beberapa AWS akun dan Wilayah

Anda dapat memperluas solusi patching otomatis untuk mendukung server yang menjangkau beberapa AWS akun dan beberapa AWS Wilayah. Solusi yang diperluas melibatkan pengaturan solusi otomatisasi patch di setiap AWS akun melalui AWS CloudFormation StackSets akun layanan bersama, dan mengonfigurasi sinkronisasi data sumber daya di seluruh akun dengan akun layanan bersama.

Proses otomatis

Diagram berikut menggambarkan arsitektur untuk skenario ini. Arsitektur ini mencakup AWS CloudFormation StackSets dan akun layanan AWS bersama.

Reference architecture and workflow for patching mutable EC2 instances that span multiple AWS accounts and AWS Regions

Alur kerja mirip dengan proses yang dijelaskan di bagian sebelumnya, tetapi melibatkan langkah-langkah tambahan berikut, di mana nomor langkah cocok dengan callout dalam diagram:

  1. Di akun layanan bersama, kumpulan AWS CloudFormation tumpukan digunakan untuk mengonfigurasi bucket S3 untuk sinkronisasi data sumber daya melalui Systems Manager Inventory.

  2. Kumpulan CloudFormation tumpukan membuat tumpukan dengan fungsi automate-patch Lambda, menyiapkan baseline patch, dan menyiapkan sinkronisasi data sumber daya Systems Manager Inventory pada akun aplikasi, untuk menyinkronkan sumber daya di akun layanan bersama.

  3. Informasi sumber daya dalam akun aplikasi disinkronkan dengan informasi sumber daya di akun layanan bersama.

  4. QuickSight menghasilkan laporan kepatuhan tambalan, menggunakan kumpulan data Amazon Athena untuk informasi sumber daya yang disinkronkan.

Pertimbangan dan keterbatasan arsitektur

Kuota jendela pemeliharaan per akun

Arsitektur yang diilustrasikan dan dijelaskan di bagian sebelumnya menciptakan jendela pemeliharaan untuk setiap grup patch. Namun, kuota untuk jumlah jendela pemeliharaan per AWS akun adalah 50 (dengan asumsi bahwa Anda belum meminta peningkatan kuota layanan). Jika Anda mengharapkan jumlah grup tambalan melebihi 50 grup dalam satu AWS akun, arsitektur ini tidak akan menskalakan untuk memenuhi persyaratan Anda.

Jika peningkatan kuota layanan tidak mencukupi untuk kebutuhan Anda, ada dua opsi untuk mengelola tantangan ini: menggunakan jendela pemeliharaan yang telah ditentukan dan menggunakan CloudWatch Acara. Berikut adalah kelebihan dan kekurangan dari setiap pendekatan.

Opsi 1. Gunakan jendela pemeliharaan yang telah ditentukan

  • Tentukan daftar jendela pemeliharaan dengan berbagai jendela waktu (misalnya, 15 hingga 20 jendela pemeliharaan per akun).

  • Tim aplikasi memilih jendela pemeliharaan yang sesuai dengan mereka dari daftar yang telah ditentukan dan menandai instance yang sesuai.

  • Perbarui solusi penambalan otomatis untuk memetakan grup tambalan ke jendela pemeliharaan yang dipilih alih-alih membuat jendela pemeliharaan baru.

Kelebihan:

  • Manajemen yang disederhanakan.

Kontra:

  • Kurang fleksibilitas untuk mendefinisikan jendela pemeliharaan khusus.

  • Ketika beberapa grup tambalan berbagi jendela pemeliharaan dan tugas tambalan, membatalkan tugas tambalan tertentu untuk grup tambalan tertentu memerlukan upaya manual tambahan.

Opsi 2. Gunakan CloudWatch Acara untuk memicu tugas tambalan alih-alih menggunakan jendela pemeliharaan

  • Alih-alih membuat jendela pemeliharaan, gunakan CloudWatch Acara untuk memicu tugas tambalan berdasarkan jadwal dan grup tambalan.

  • Dalam skenario ini, setiap grup tambalan dikaitkan dengan CloudWatch peristiwa Acara, bukan jendela pemeliharaan.

  • Perbarui solusi penambalan otomatis untuk membuat acara alih-alih jendela pemeliharaan.

Kelebihan:

  • Desain yang dapat diskalakan.

  • Memberikan fleksibilitas untuk mendefinisikan jendela pemeliharaan khusus.

Kontra:

  • Jendela pemeliharaan menyediakan fungsionalitas tambahan (seperti durasi dan waktu batas) yang tidak tersedia dengan CloudWatch Acara.

Pertimbangan lainnya

  • Solusi penambalan otomatis yang dijelaskan di bagian ini tidak mendukung EC2 instance yang dimatikan.

  • Proses ini mendukung EC2 instance di subnet publik. Untuk menambal instance di subnet pribadi, Anda harus menerapkan repositori patch lokal seperti Windows Server Update Services (WSUS).

  • Anda harus menyesuaikan frekuensi untuk menjalankan fungsi Lambda sehingga grup patch dan jendela pemeliharaan diperbarui sesuai dengan jadwal yang Anda butuhkan.