ハイブリッドクラウド環境におけるオンプレミスインスタンスのパッチソリューション設計

このガイドで説明されているソリューションを拡張して、ハイブリッドクラウド環境のオンプレミスサーバーインスタンスにパッチを適用することもできます。

オンプレミス・インスタンスの標準的なパッチ適用プロセスは、次の 2 つのステップで構成されます。

オンプレミスサーバーを Systems Manager によって管理されるように設定します。このプロセスの詳細については、Systems Manager ドキュメントの「ハイブリッド環境用の Systems Manager のセットアップ」を参照してください。
AWS Command Line Interface （AWS CLI）の「add-tags-to-resourceコマンド」を使用して、これらのオンプレミスの管理対象インスタンスに適切な[パッチグループ] と[メンテナンスウィンドウ] タグを設定します。

しかし、この方法では、アプリケーションチームかクラウドチームのいずれかが、パッチグループやメンテナンスウィンドウに変更を加えたいときに、AWS CLIコマンドを手動で実行する必要があります。

自動化プロセス

次の図は、Systems Manager カスタムインベントリオプションを使用するオンプレミスインスタンスにパッチを適用する代替方法を示しています。このプロセスは、先ほど説明した変更可能な EC2 インスタンス用の自動パッチ適用ソリューションを拡張したものです。

Reference architecture and workflow for patching mutable EC2 instances that span multiple AWS accounts and AWS Regions

Systems Manager は、タグを使用する代わりに、カスタムインベントリコレクションを通じてオンプレミスの管理対象インスタンスからパッチ情報（パッチグループとメンテナンスウィンドウ）を取得します。
```
Sample custom inventory JSON file
{
    "SchemaVersion": "1.0",
    "TypeName": "Custom:PatchInformation",
    "Content": {
        "Patch Group": "<APP-PROD>",
        "Maintenance Window": "XXX"
    }
}
```
ラムダ automate-patch 機能は毎日実行され、オンプレミスのサーバーカスタムインベントリからパッチグループとメンテナンスウィンドウの情報を収集し、管理対象のインスタンスに[パッチグループ] と[メンテナンスウィンドウ] のタグを作成します。
次にLambda automate-patch 関数は、収集したカスタムインベントリに基づいて、適切なパッチグループとメンテナンスウィンドウを作成または更新し、パッチグループをパッチベースラインに関連付け、パッチスキャンを設定し、パッチタスクを展開します。オプションで、automate-patch 機能は CloudWatch Events にイベントを作成し、差し迫ったパッチをユーザーに通知します。
メンテナンスウィンドウに基づき、イベントはアプリケーションチームに、間近に迫ったパッチ処理の詳細を示すパッチ通知を送信します。
パッチマネージャーは、定義されたスケジュールとパッチグループに基づいてシステムパッチを実行します。
Systems Manager Inventory のリソースデータ同期が、パッチの詳細を収集し、S3 バケットにパブリッシュします。
パッチコンプライアンスレポートとダッシュボードは、S3 バケット情報から Amazon QuickSight に組み込まれています。

アーキテクチャ上の考慮と制約事項

前のセクションで説明したように、オンプレミスインスタンスにパッチを適用するには、カスタムインベントリを使用する方法とタグを使用する方法の 2 つがあります。それぞれのアプローチの長所と短所は以下の通りです。

オプション 1. カスタムインベントリをパッチ情報に使用する

オンプレミスサーバーを操作するアプリケーションチームがカスタムインベントリファイルにパッチ情報を設定し、Systems Manager がその情報を選択します。
次に、カスタムインベントリパッチ情報を使用してパッチタスクが作成されます。

メリット

ファイルの更新のみが必要なため、設定がはるかに簡単になります。

デメリット

パッチ設定の変更は、インベントリ収集スケジュールに限定されます。

オプション 2. オンプレミスのマネージドインスタンスにタグを使用する

オンプレミスサーバーを扱うアプリケーションチームは、適切なパッチ情報を持つ AWS CLI を使用して、[パッチグループ] と[メンテナンスウィンドウ] タグを作成します。
タグ情報はパッチタスクの作成に使用されます。

メリット

パッチの標準化と自動化を推進するため、AWS とオンプレミス全体およびオンプレミスでの一貫したアプローチです。

デメリット

オンプレミスのインスタンスで作業するアプリケーションチームは、タグを作成または更新するために AWS CLI を学び、使用する必要があります。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

複数の AWS アカウントとリージョンに対応したデザイン

主要な関係者、役割、責任