Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Progettazione di soluzioni di patch per istanze on-premise in un ambiente cloud ibrido
È inoltre possibile estendere la soluzione descritta in questa guida per applicare patch alle istanze server locali in un ambiente cloud ibrido.
Il processo di patch standard per le istanze locali consiste in due fasi:
-
È possibile configurare i server locali per essere gestiti da Systems Manager. Per informazioni dettagliate su questo processo, consultaConfigurazione di Systems Manager per ambienti ibridinella documentazione di Systems Manager.
-
È possibile configurare l'appropriatoGruppo di patcheFinestra di manutenzionetag per queste istanze gestite locali utilizzando ilAWS Command Line Interface(AWS CLI)comando add-tags-to-resource.
Tuttavia, questo approccio richiede che il team applicativo o il team cloud eseguano manualmente ilAWS CLIcomandi ogni volta che vogliono apportare modifiche ai gruppi di patch o alle finestre di manutenzione.
Processo automatizzato
Nella figura seguente viene descritto un approccio alternativo alla patch delle istanze locali che utilizza l'opzione di inventario personalizzato di Systems Manager. Questo processo è un'estensione della soluzione di patch automatizzata descritta in precedenza per le istanze EC2 mutabili.
-
Invece di utilizzare i tag, Systems Manager acquisisce le informazioni sulle patch (gruppi di patch e finestre di manutenzione) dalle istanze gestite locali tramite una raccolta di inventario personalizzata.
Sample custom inventory JSON file { "SchemaVersion": "1.0", "TypeName": "Custom:PatchInformation", "Content": { "Patch Group": "<APP-PROD>", "Maintenance Window": "XXX" } }
-
La Lambda
automate-patch
funzione viene eseguita ogni giorno, raccoglie il gruppo di patch e le informazioni della finestra di manutenzione dall'inventario personalizzato del server locale e crea ilGruppo di patcheFinestra di manutenzionetag sulle istanze gestite. -
La Lambda
automate-patch
quindi crea o aggiorna i gruppi di patch e le finestre di manutenzione appropriati, associa i gruppi di patch alle baseline delle patch, configura le scansioni delle patch e distribuisce l'attività di patch, in base all'inventario personalizzato raccolto. Facoltativamente, ilautomate-patch
funzione crea anche eventi in CloudWatch Events per notificare agli utenti le patch imminenti. -
In base alle finestre di manutenzione, gli eventi inviano notifiche di patch ai team dell'applicazione con i dettagli dell'imminente operazione di patch.
-
Patch Manager esegue patch di sistema in base alla pianificazione definita e ai gruppi di patch.
-
Una sincronizzazione dei dati delle risorse in Systems Manager Inventory raccoglie i dettagli delle patch e li pubblica in un bucket S3.
-
I dashboard e i report sulla conformità delle patch sono integrati in Amazon QuickSight dalle informazioni sul bucket S3.
Considerazioni e limitazioni relative all'architettura
Come discusso nelle sezioni precedenti, esistono due approcci per applicare patch alle istanze locali: attraverso l'inventario personalizzato o utilizzando i tag. Ecco i vantaggi e gli svantaggi di ciascun approccio.
Opzione 1. Usa l'inventario personalizzato per le informazioni sulle patch
-
I team di applicazioni che lavorano con i server locali configurano le informazioni sulle patch nel modello di caricamento dati personalizzato e Systems Manager sceglie tali informazioni.
-
Le informazioni personalizzate sulla patch dell'inventario vengono quindi utilizzate per creare le attività di patch.
pro:
-
Molto più semplice da configurare perché comporta solo un aggiornamento dei file.
Contro:
-
Le modifiche alla configurazione delle patch sono limitate al programma di raccolta dell'inventario.
Opzione 2. Utilizzo dei tag per istanze locali
-
Creano team di applicazioni che lavorano con i server localiGruppo di patcheFinestra di manutenzionetag utilizzandoAWS CLIcon le informazioni sulla patch appropriate.
-
Le informazioni sui tag vengono utilizzate per creare le attività di patch.
pro:
-
Approccio coerenteAWSe on premise per favorire la standardizzazione e l'automazione delle patch.
Contro:
-
I team applicativi che lavorano con istanze locali devono apprendere e utilizzareAWS CLIper creare o aggiornare i tag.