Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Patching dei nodi gestiti on demand
Tramite l'utilizzo di Applica patch ora in Patch Manager, una funzionalità di AWS Systems Manager, è possibile eseguire operazioni di patch su richiesta dalla console di Systems Manager. Ciò significa che non è necessario creare una pianificazione per aggiornare lo stato di conformità dei tuoi nodi gestiti o per installare patch su nodi non conformi. Inoltre, non è necessario cambiare la console di Systems Manager tra Patch Manager e Maintenance Windows, una funzionalità di AWS Systems Manager, al fine di poter impostare o modificare una finestra di patch pianificata.
Applica patch ora è particolarmente utile quando è necessario applicare aggiornamenti zero-day o installare altre patch fondamentali nei nodi gestiti il prima possibile.
Nota
L'applicazione di patch su richiesta è supportata per una singola Account AWSRegione AWS coppia alla volta. Non può essere utilizzata per l'applicazione di patch basate su policy di patch. Ti consigliamo di mantenere la conformità tra tutti i nodi gestiti tramite le policy di patch. Per ulteriori informazioni sull'utilizzo delle policy di patch, consulta Utilizzo delle policy di patch di Quick Setup.
Come funziona “Applica patch ora”
Per eseguire Applica patch ora, si specificano solo due impostazioni richieste:
-
Se eseguire la scansione solo per le patch mancanti o per eseguire la scansione di e, installare patch sui nodi gestiti
-
Su quali nodi gestiti eseguire l'operazione
Quando viene eseguita l'operazione Patch now, determina quale base patch utilizzare nello stesso modo in cui viene selezionata per altre operazioni di patch. Se un nodo gestito è associato a un gruppo di patch, viene utilizzata la patch di base specificata per quel gruppo. Se il nodo gestito non è associato a un gruppo di patch, l'operazione utilizza la patch di base attualmente impostata come di default per il tipo di sistema operativo del nodo gestito. Può trattarsi di una base predefinita o di una base personalizzata impostata come predefinita. Per ulteriori informazioni sulla selezione della patch di base, consulta Informazioni sui gruppi di patch.
Le opzioni che puoi specificare per Patch now includono la scelta di quando o se riavviare i nodi gestiti dopo l'applicazione delle patch, la specificazione di un bucket Amazon Simple Storage Service (Amazon S3) per memorizzare i dati di log per l'operazione e l'esecuzione di documenti di Systems Manager (documenti SSM) come hook del ciclo di vita durante l'applicazione delle patch.
Soglie di concorrenza e di errore per “Applica patch ora”
Per Applica patch ora, le opzioni di concorrenza e soglia di errore sono gestite da Patch Manager. Non è necessario specificare su quanti nodi gestiti applicare la patch contemporaneamente, né quanti errori sono consentiti prima che l'operazione abbia esito negativo. Patch Manager applica le impostazioni di soglia di concorrenza e di errore descritte nelle tabelle seguenti quando si esegue la patch su richiesta.
Importante
Le seguenti soglie si applicano solo a operazioni Scan and install. Per le operazioni Scan,Patch Manager tenta di scansionare contemporaneamente fino a 1.000 nodi e continuare la scansione fino a quando non ha riscontrato fino a 1.000 errori.
Concurrency: operazioni di installazione | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Numero totale di nodi gestiti nell'operazione Patch now | Numero di nodi gestiti sottoposti a scansione o a cui vengono applicate patch contemporaneamente | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Meno di 25 | 1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 25-100 | 5% | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| da 101 a 1.000 | 8% | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Oltre 1.000 | 10% | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Soglia di errore: operazioni di installazione | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Numero totale di nodi gestiti nell'operazione Patch now | Numero di errori consentiti prima che l'operazione non vada a buon fine | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Meno di 25 | 1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 25-100 | 5 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Da 101 a 1.000 | 10 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Oltre 1.000 | 10 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Utilizzo degli hook del ciclo di vita “Applica patch ora”
Applica patch ora offre la possibilità di eseguire documenti di comando SSM come hook del ciclo di vita durante un'operazione di applicazione di patch Install. È possibile utilizzare questi hook per attività quali l'arresto delle applicazioni prima dell'applicazione di patch o l'esecuzione dei controlli di integrità delle applicazioni dopo l'applicazione di patch o dopo un riavvio.
Per ulteriori informazioni sull'utilizzo di Hook del ciclo di vita, consulta Informazioni sul documento SSM AWS-RunPatchBaselineWithHooks.
Nella tabella seguente sono elencati hook del ciclo di vita disponibili per ognuna delle tre opzioni di riavvio di Applica patch ora, oltre agli usi di esempio per ciascun hook.
Hook del ciclo di vita e usi di esempio | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Opzione di riavvio | Hook: prima dell'installazione | Hook: dopo l'installazione | Hook: in uscita | Hook: dopo il riavvio pianificato | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Riavvia se necessario |
Eseguire un documento di SSM prima di iniziare l'applicazione delle patch. Esempio di utilizzo: arrestare le applicazioni in modo sicuro prima dell'inizio del processo di applicazione delle patch. |
Eseguire un documento SSM al termine dell'operazione di applicazione delle patch e prima del riavvio nodo gestito. Esempio di utilizzo: eseguire operazioni come l'installazione di applicazioni di terze parti prima di un potenziale riavvio. |
Esegui un documento SSM dopo il completamento dell'operazione di applicazione di patch e il riavvio delle istanze. Esempio di utilizzo: assicurarsi che le applicazioni siano in esecuzione come previsto dopo l'applicazione delle patch. |
Non disponibile | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Non riavviare le istanze | Come sopra. |
Eseguire un documento SSM al termine dell'operazione di applicazione delle patch. Esempio di utilizzo: assicurarsi che le applicazioni siano in esecuzione come previsto dopo l'applicazione delle patch. |
Non disponibile |
Non disponibile |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Pianificare un tempo di riavvio | Come sopra. | Stessa cosa per Non riavviare le istanze. | Non disponibile |
Esegui un documento SSM immediatamente dopo il completamento di un riavvio pianificato. Esempio di utilizzo: assicurarsi che le applicazioni siano in esecuzione come previsto dopo il riavvio. |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Esecuzione di “Applica patch ora”
Utilizza la procedura seguente per applicare patch ai tuoi nodi gestiti on demand.
Per eseguire “Applica patch ora”
Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/
. -
Nel riquadro di navigazione, scegli Patch Manager.
-
Nella AWS Systems Manager Patch Managerpagina o nella pagina delle linee di base delle patch, a seconda di quale si apre, scegli Patch now.
-
Per Operazione di applicazione di patch, scegli una delle opzioni seguenti:
-
Scan: Patch Manager trova quali patch mancano dai tuoi nodi gestiti ma non le installa. Puoi visualizzare i risultati nel pannello di controllo Conformità o in altri strumenti utilizzati per la visualizzazione della conformità delle patch.
-
Scansione e installazione: Patch Manager trova quali patch mancano ai tuoi nodi gestiti e le installa.
-
-
Utilizza questa fase solo se è stato sceltoScansione e installazione nella fase precedente. Per Regions (Regioni), scegli una delle seguenti opzioni:
-
Riavvia se necessario: Dopo l'installazione, Patch Manager riavvia i nodi gestiti solo se necessario per completare un'installazione di patch.
-
Non riavviare le mie istanze: Dopo l'installazione, Patch Manager non riavvia i nodi gestiti. È possibile riavviare manualmente i nodi gestiti quando si sceglie o si gestiscono i riavvii al di fuori di Patch Manager.
-
Pianificare un tempo di riavvio: specificare la data, l'ora e il fuso orario UTC per Patch Manager per riavviare i nodi gestiti. Dopo aver eseguito l'operazione Applica patch ora, il riavvio pianificato viene elencato come associazione in State Manager con il nome
AWS-PatchRebootAssociation.
-
-
Per Instances to patch (Istanze a cui applicare le patch), scegliere una delle seguenti opzioni:
-
Patch tutte le istanze: Patch Manager esegue l'operazione specificata su tutti i nodi gestiti della versione corrente Account AWS . Regione AWS
-
Applica patch solo alle istanze di destinazione specificate: È possibile specificare i nodi gestiti da assegnare nel passaggio successivo.
-
-
Utilizzare questa fase solo se è stato scelto Applica patch solo alle istanze di destinazione specificate nella fase precedente. Nella sezione Selezione target, identificare i nodi gestiti in cui si desidera eseguire questa operazione specificando i tag, selezionando i nodi gestiti manualmente o specificando un gruppo di risorse.
Nota
Se un nodo gestito che ti aspetti di vedere non è presente nell'elenco, consulta Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti per suggerimenti sulla risoluzione dei problemi.
Se scegli come target un gruppo di risorse, tieni presente che i gruppi di risorse basati su uno AWS CloudFormation stack devono comunque essere etichettati con il tag predefinito
aws:cloudformation:. Se è stato rimosso, Patch Manager potrebbe non essere in grado di determinare quali nodi gestiti appartengono al gruppo di risorse.stack-id -
(Facoltativo) Per Patching log storage (Archiviazione di log di applicazione di patch), se si desidera creare e salvare i registri da questa operazione di applicazione delle patch, selezionare il bucket S3 per la memorizzazione dei log.
Nota
Le autorizzazioni S3 che assegnano la possibilità di scrivere dati in un bucket S3 sono quelle del profilo dell'istanza (per istanze EC2) o ruoli di servizio IAM (in macchine attivate da sistemi ibridi) assegnate all'istanza, non quelle dell'utente IAM che esegue questo processo. Per ulteriori informazioni, consulta Configurare le autorizzazioni di istanza richieste per Systems Manager o Creare il ruolo di servizio IAM richiesto per Systems Manager in ambienti ibridi e multicloud. Inoltre, se il bucket S3 specificato si trova in un altro bucket Account AWS, assicurati che il profilo di istanza o il ruolo del servizio IAM associato al nodo gestito disponga delle autorizzazioni necessarie per scrivere su quel bucket.
-
(Facoltativo) Se si desidera eseguire documenti SSM come hook del ciclo di vita durante punti specifici dell'operazione di applicazione delle patch, eseguire le operazioni seguenti:
-
Scegliere Usa hook del ciclo di vita.
-
Per ogni hook disponibile, selezionare il documento SSM da eseguire nel punto specificato dell'operazione:
-
Prima dell'installazione
-
Dopo l'installazione
-
All'uscita
-
Dopo il riavvio pianificato
Nota
Il documento predefinito,
AWS-Noop, non esegue alcuna operazione. -
-
-
Scegli Applica patch ora.
Viene aperta la pagina Resoconto di esecuzione dell'associazione. (Patch ora utilizza le associazioni inState Manager, una funzionalità di AWS Systems Manager, per le sue operazioni.) Nell'area Riepilogo dell'operazione è possibile monitorare lo stato della scansione o dell'applicazione di patch nei nodi gestiti specificati.
