Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Perbarui Windows ServerAMI
AWS-UpdateWindowsAmi
Runbook memungkinkan Anda untuk mengotomatiskan tugas pemeliharaan gambar di Amazon Windows Amazon Machine Image (AMI) Anda tanpa harus membuat runbook di JSON atau YAMG. Runbook ini didukung untuk Windows Server 2008 R2 atau yang lebih baru. Anda dapat menggunakan AWS-UpdateWindowsAmi
runbook untuk melakukan jenis tugas berikut.
-
Instal semua pembaruan Windows dan tingkatkan perangkat lunak Amazon (perilaku default).
-
Instal pembaruan Windows tertentu dan tingkatkan perangkat lunak Amazon.
-
Sesuaikan AMI menggunakan skrip Anda.
Sebelum Anda memulai
Sebelum Anda mulai bekerja dengan runbook, konfigurasikan peran untuk Otomatisasi guna menambahkan iam:PassRole
kebijakan yang mereferensikan ARN profil instans yang ingin Anda berikan akses. Secara opsional, konfigurasikan Amazon EventBridge untuk Otomasi, kemampuan. AWS Systems Manager Untuk informasi selengkapnya, lihat Menyiapkan Otomatisasi. Panduan ini juga mengharuskan Anda menentukan nama profil instance AWS Identity and Access Management (IAM). Untuk informasi selengkapnya tentang membuat profil instans IAM, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager.
catatan
Pembaruan AWS Systems Manager SSM Agent biasanya diluncurkan ke berbagai wilayah pada waktu yang berbeda. Saat Anda menyesuaikan atau memperbarui AMI, gunakan hanya AMI sumber yang diterbitkan untuk wilayah tempat Anda bekerja. Ini akan memastikan bahwa Anda bekerja dengan SSM Agent rilis terbaru untuk wilayah itu dan menghindari masalah kompatibilitas.
AWS-UpdateWindowsAmi
runbook menerima parameter masukan berikut.
Parameter | Jenis | Deskripsi |
---|---|---|
SourceAmiId |
String |
(Diperlukan) Sumber AMI ID. Anda dapat secara otomatis mereferensikan AMI ID Windows Server terbaru dengan menggunakan parameter Parameter Store publik Systems Manager. Untuk informasi selengkapnya, lihat Kueri untuk AMI ID Windows terbaru yang digunakan AWS Systems ManagerParameter Store |
SubnetId |
String |
(Opsional) Subnet yang ingin Anda luncurkan instance sementara. Anda harus menentukan nilai untuk parameter ini jika Anda telah menghapus VPC default Anda. |
IamInstanceProfileName |
String |
(Wajib) Nama peran profil instans IAM yang Anda buat di Konfigurasi izin instans yang diperlukan untuk Systems Manager. Peran profil instans memberikan izin otomatisasi untuk melakukan tindakan pada instans Anda, seperti menjalankan perintah atau memulai dan menghentikan layanan. Runbook hanya menggunakan nama peran profil instans. |
AutomationAssumePeran |
String |
(Wajib) Nama peran layanan IAM yang Anda buat di Menyiapkan Otomatisasi. Peran layanan (juga disebut peran asumsi) memberikan izin Otomatisasi untuk menganggap IAM role Anda dan melakukan tindakan atas nama Anda. Sebagai contoh, peran layanan mengizinkan Otomatisasi untuk membuat baru AMI ketika menjalankan |
TargetAmiNama |
String |
(Opsional) Nama baru AMI setelah dibuat. Nama default adalah string yang dihasilkan sistem yang mencakup sumber AMI ID, serta waktu pembuatan dan tanggal. |
InstanceType |
String |
(Opsional) Jenis instans yang akan diluncurkan sebagai host ruang kerja. Jenis instans bervariasi menurut wilayah. Jenis default adalah t2.medium. |
PreUpdateSkrip |
String |
(Opsional) Skrip yang dijalankan sebelum memperbarui AMI. Masukkan skrip dalam runbook atau pada saat waktu aktif sebagai parameter. |
PostUpdateSkrip |
String |
(Opsional) Skrip yang akan dijalankan setelah memperbarui AMI. Masukkan skrip dalam runbook atau pada saat waktu aktif sebagai parameter. |
IncludeKbs |
String |
(Opsional) Tentukan satu ID artikel Pangkalan Pengetahuan Microsoft (KB) atau lebih untuk disertakan. Anda dapat menginstal beberapa ID menggunakan nilai dipisahkan koma. Format yang valid: KB9876543 atau 9876543. |
ExcludeKbs |
String |
(Opsional) Tentukan satu ID artikel Pangkalan Pengetahuan Microsoft (KB) atau lebih untuk dikecualikan. Anda dapat mengecualikan beberapa ID menggunakan nilai yang dipisahkan koma. Format yang valid: KB9876543 atau 9876543. |
Kategori |
String |
(Opsional)Tentukan satu kategori pembaruan atau lebih. Anda dapat memfilter kategori menggunakan nilai yang dipisahkan koma. Opsi: Pembaruan Kritis, Pembaruan Keamanan, Pembaruan Definisi, Batal Pembaruan, Paket Layanan, Alat, Pembaruan, atau Driver. Format yang valid mencakup satu entri, misalnya: Pembaruan Kritis. Atau, Anda dapat menentukan daftar yang dipisahkan koma: Pembaruan Kritis,Pembaruan Keamanan,Pembaruan Definisi. |
SeverityLevels |
String |
(Opsional) Tentukan satu tingkat keparahan MSRC atau lebih yang terkait dengan pembaruan. Anda dapat memfilter tingkat keparahan menggunakan nilai yang dipisahkan koma. Pilihan: Kritis, Penting, Rendah, Sedang atau Tidak Ditentukan. Format yang valid mencakup satu entri, misalnya: Kritis. Atau, Anda dapat menentukan daftar yang dipisahkan koma: Kritis,Penting,Rendah. |
Langkah Otomatisasi
AWS-UpdateWindowsAmi
runbook mencakup beberapa langkah berikut, secara default.
- Langkah 1: launchInstance (
aws:runInstances
tindakan) -
Langkah ini meluncurkan sebuah instans dengan peran profil instans IAM dari yang ditentukan
SourceAmiID
. - Langkah 2: runPreUpdate Script (
aws:runCommand
tindakan) -
Langkah ini memungkinkan Anda untuk menentukan skrip sebagai string yang berjalan sebelum pembaruan diinstal.
- Langkah 3: UpdateEC2Config (
aws:runCommand
tindakan) -
Langkah ini menggunakan
AWS-InstallPowerShellModule
runbook untuk mengunduh PowerShell modul AWS publik. Systems Manager memverifikasi integritas modul dengan menggunakan hash SHA-256. Systems Manager kemudian memeriksa sistem operasi untuk menentukan apakah akan memperbarui EC2Config atau EC2Launch. EC2Config berjalan di Windows Server 2008 R2 melalui Windows Server 2012 R2. EC2Launch berjalan pada Windows Server 2016. - Langkah 4: updateSSMAgent (
aws:runCommand
tindakan) -
Langkah ini diperbarui SSM Agent dengan menggunakan
AWS-UpdateSSMAgent
runbook. - Langkah 5: perbarui AWSPVDriver (
aws:runCommand
tindakan) -
Langkah ini memperbarui driver AWS PV dengan menggunakan
AWS-ConfigureAWSPackage
runbook. - Langkah 6: updateAwsEna NetworkDriver (
aws:runCommand
tindakan) -
Langkah ini memperbarui driver AWS ENA Network dengan menggunakan
AWS-ConfigureAWSPackage
runbook. - Langkah 7: installWindowsUpdates (
aws:runCommand
tindakan) -
Langkah ini menginstal pembaruan Windows dengan menggunakan
AWS-InstallWindowsUpdates
runbook. Secara default, Systems Manager mencari dan menginstal semua pembaruan yang hilang. Anda dapat mengubah perilaku default dengan menentukan salah satu parameter berikut:IncludeKbs
,ExcludeKbs
,Categories
, atauSeverityLevels
. - Langkah 8: runPostUpdate Script (
aws:runCommand
tindakan) -
Langkah ini memungkinkan Anda untuk menentukan skrip sebagai string yang berjalan setelah pembaruan diinstal.
- Langkah 9: runSysprepGeneralize (
aws:runCommand
tindakan) -
Langkah ini menggunakan
AWS-InstallPowerShellModule
runbook untuk mengunduh PowerShell modul AWS publik. Systems Manager memverifikasi integritas modul dengan menggunakan hash SHA-256. Systems Manager kemudian menjalankan sysprep menggunakan metode yang AWS didukung untuk EC2launch (Windows Server 2016) atau EC2config (Windows Server 2008 R2 hingga 2012 R2). - Langkah 10: stopInstance (
aws:changeInstanceState
tindakan) -
Langkah ini menghentikan instans yang diperbarui.
- Langkah 11: CreateImage (
aws:createImage
tindakan) -
Langkah ini menciptakan AMI baru dengan nama deskriptif yang menghubungkannya ke ID sumber dan waktu pembuatan. Misalnya: “AMI Dihasilkan oleh EC2 Automation on {{global:Date_time}} from {{Id}}” di mana DATE_TIME dan SourceAmi SourceID mewakili variabel Otomasi.
- Langkah 12: TerminateInstance (
aws:changeInstanceState
tindakan) -
Langkah ini membersihkan otomatisasi dengan mengakhiri instans berjalan.
- Output
-
Bagian ini memungkinkan Anda untuk menunjuk output dari berbagai langkah atau nilai parameter apa pun sebagai output Otomasi. Secara default, output adalah ID dari Windows yang diperbarui AMI yang diciptakan oleh otomatisasi.
catatan
Secara default, ketika Otomatisasi menjalankan AWS-UpdateWindowsAmi
runbook dan membuat instans sementara, sistem menggunakan VPC default (172.30.0.0/16). Jika Anda menghapus VPC default, Anda akan menerima kesalahan berikut:
VPC tidak didefinisikan 400
Untuk mengatasi masalah ini, Anda harus membuat salinan AWS-UpdateWindowsAmi
runbook dan menentukan ID subnet. Untuk informasi selengkapnya, lihat VPC tidak didefinisikan 400.
Untuk membuat Windows yang di-patch AMI dengan menggunakan Otomatisasi
Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.
Untuk selengkapnya, lihat Menginstal atau memperbarui versi terbaru AWS CLI.
-
Jalankan perintah berikut untuk menjalankan
AWS-UpdateWindowsAmi
runbook. Ganti setiapplaceholder sumber daya contoh
dengan informasi Anda sendiri. Perintah contoh di bawah ini menggunakan Amazon EC2 terbaru AMI untuk meminimalkan jumlah tambalan yang perlu diterapkan. Jika Anda menjalankan perintah ini lebih dari sekali, Anda harus menentukan nilai unik untuktargetAMIname
. AMI nama harus unik.aws ssm start-automation-execution \ --document-name="AWS-UpdateWindowsAmi" \ --parameters SourceAmiId='
AMI ID
',IamInstanceProfileName='IAM instance profile
',AutomationAssumeRole='arn:aws:iam::{{global:ACCOUNT_ID}}:role/AutomationServiceRole
'Perintah mengembalikan ID eksekusi. Salin ID ini ke clipboard. Anda akan menggunakan ID ini untuk melihat status otomatisasi.
{ "AutomationExecutionId": "
automation execution ID
" } -
Untuk melihat otomatisasi menggunakan AWS CLI, jalankan perintah berikut:
aws ssm describe-automation-executions
-
Untuk melihat detail tentang kemajuan otomatisasi, jalankan perintah berikut.
aws ssm get-automation-execution --automation-execution-id
automation execution ID
catatan
Tergantung pada jumlah patch yang diterapkan, untuk menyelesaikan proses patch Windows berjalan dalam otomatisasi sampel ini membutuhkan waktu 30 menit atau lebih.