Progettazione di soluzioni di patch per istanze on-premise in un ambiente cloud ibrido - AWS Guida prescrittiva
Processo automatizzatoConsiderazioni e limitazioni relative all'architettura

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Progettazione di soluzioni di patch per istanze on-premise in un ambiente cloud ibrido

È inoltre possibile estendere la soluzione descritta in questa guida per applicare patch alle istanze server locali in un ambiente cloud ibrido.

Il processo di patch standard per le istanze locali consiste in due fasi:

  • È possibile configurare i server locali per essere gestiti da Systems Manager. Per informazioni dettagliate su questo processo, consultaConfigurazione di Systems Manager per ambienti ibridinella documentazione di Systems Manager.

  • È possibile configurare l'appropriatoGruppo di patcheFinestra di manutenzionetag per queste istanze gestite locali utilizzando ilAWS Command Line Interface(AWS CLI)comando add-tags-to-resource.

Tuttavia, questo approccio richiede che il team applicativo o il team cloud eseguano manualmente ilAWS CLIcomandi ogni volta che vogliono apportare modifiche ai gruppi di patch o alle finestre di manutenzione.

Processo automatizzato

Nella figura seguente viene descritto un approccio alternativo alla patch delle istanze locali che utilizza l'opzione di inventario personalizzato di Systems Manager. Questo processo è un'estensione della soluzione di patch automatizzata descritta in precedenza per le istanze EC2 mutabili.

Reference architecture and workflow for patching mutable EC2 instances that span multiple AWS accounts and AWS Regions

  1. Invece di utilizzare i tag, Systems Manager acquisisce le informazioni sulle patch (gruppi di patch e finestre di manutenzione) dalle istanze gestite locali tramite una raccolta di inventario personalizzata.

    Sample custom inventory JSON file
{
    "SchemaVersion": "1.0",
    "TypeName": "Custom:PatchInformation",
    "Content": {
        "Patch Group": "<APP-PROD>",
        "Maintenance Window": "XXX"
    }
}

  2. La Lambdaautomate-patchfunzione viene eseguita ogni giorno, raccoglie il gruppo di patch e le informazioni della finestra di manutenzione dall'inventario personalizzato del server locale e crea ilGruppo di patcheFinestra di manutenzionetag sulle istanze gestite.

  3. La Lambdaautomate-patchquindi crea o aggiorna i gruppi di patch e le finestre di manutenzione appropriati, associa i gruppi di patch alle baseline delle patch, configura le scansioni delle patch e distribuisce l'attività di patch, in base all'inventario personalizzato raccolto. Facoltativamente, ilautomate-patchfunzione crea anche eventi in CloudWatch Events per notificare agli utenti le patch imminenti.

  4. In base alle finestre di manutenzione, gli eventi inviano notifiche di patch ai team dell'applicazione con i dettagli dell'imminente operazione di patch.

  5. Patch Manager esegue patch di sistema in base alla pianificazione definita e ai gruppi di patch.

  6. Una sincronizzazione dei dati delle risorse in Systems Manager Inventory raccoglie i dettagli delle patch e li pubblica in un bucket S3.

  7. I dashboard e i report sulla conformità delle patch sono integrati in Amazon QuickSight dalle informazioni sul bucket S3.

Considerazioni e limitazioni relative all'architettura

Come discusso nelle sezioni precedenti, esistono due approcci per applicare patch alle istanze locali: attraverso l'inventario personalizzato o utilizzando i tag. Ecco i vantaggi e gli svantaggi di ciascun approccio.

Opzione 1. Usa l'inventario personalizzato per le informazioni sulle patch

  • I team di applicazioni che lavorano con i server locali configurano le informazioni sulle patch nel modello di caricamento dati personalizzato e Systems Manager sceglie tali informazioni.

  • Le informazioni personalizzate sulla patch dell'inventario vengono quindi utilizzate per creare le attività di patch.

pro:

  • Molto più semplice da configurare perché comporta solo un aggiornamento dei file.

Contro:

  • Le modifiche alla configurazione delle patch sono limitate al programma di raccolta dell'inventario.

Opzione 2. Utilizzo dei tag per istanze locali

  • Creano team di applicazioni che lavorano con i server localiGruppo di patcheFinestra di manutenzionetag utilizzandoAWS CLIcon le informazioni sulla patch appropriate.

  • Le informazioni sui tag vengono utilizzate per creare le attività di patch.

pro:

  • Approccio coerenteAWSe on premise per favorire la standardizzazione e l'automazione delle patch.

Contro:

  • I team applicativi che lavorano con istanze locali devono apprendere e utilizzareAWS CLIper creare o aggiornare i tag.