Design de solução de patches para várias AWS contas e regiões - AWS Orientação prescritiva
Processo automatizadoConsiderações e limitações arquitetônicas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Design de solução de patches para várias AWS contas e regiões

Você pode estender a solução automatizada de patches para oferecer suporte a servidores que abrangem várias AWS contas e várias AWS regiões. A solução estendida envolve a configuração da solução de automação de patches em cada AWS conta por meio AWS CloudFormation StackSets de uma conta de serviços compartilhados e a configuração de uma sincronização de dados de recursos entre as contas com a conta de serviços compartilhados.

Processo automatizado

O diagrama a seguir ilustra a arquitetura desse caso de uso. Essa arquitetura inclui AWS CloudFormation StackSets uma conta de serviço AWS compartilhada.

Reference architecture and workflow for patching mutable EC2 instances that span multiple AWS accounts and AWS Regions

O fluxo de trabalho é semelhante ao processo descrito na seção anterior, mas envolve as seguintes etapas adicionais, em que os números das etapas correspondem aos textos explicativos no diagrama:

  1. Na conta de serviços compartilhados, um conjunto de AWS CloudFormation pilhas é usado para configurar o bucket S3 para sincronização de dados de recursos por meio do Systems Manager Inventory.

  2. O conjunto de CloudFormation pilhas cria a pilha com a função automate-patch Lambda, configura as linhas de base do patch e configura a sincronização de dados de recursos do Systems Manager Inventory nas contas do aplicativo, para sincronizar recursos na conta de serviços compartilhados.

  3. As informações dos recursos nas contas do aplicativo são sincronizadas com as informações dos recursos na conta de serviços compartilhados.

  4. QuickSight gera relatórios de conformidade de patches, usando o conjunto de dados do Amazon Athena para as informações sincronizadas dos recursos.

Considerações e limitações arquitetônicas

Cotas de janelas de manutenção por conta

A arquitetura ilustrada e descrita na seção anterior cria uma janela de manutenção para cada grupo de patches. No entanto, a cota para o número de janelas de manutenção por conta AWS é 50 (supondo que você não tenha solicitado um aumento de service quota). Se você espera que o número de grupos de patches exceda 50 grupos em uma única AWS conta, essa arquitetura não será dimensionada para atender às suas necessidades.

Se o aumento da cota de serviço não for suficiente para suas necessidades, há duas opções para gerenciar esse desafio: usar janelas de manutenção predefinidas e usar CloudWatch Eventos. Vantagens e desvantagens de cada abordagem

Opção 1. Use janelas de manutenção predefinidas

  • Defina uma lista de janelas de manutenção com várias janelas de tempo (por exemplo, 15 a 20 janelas de manutenção por conta).

  • As equipes de aplicativos escolhem as janelas de manutenção adequadas a elas na lista predefinida e marcam as instâncias adequadamente.

  • Atualize a solução automatizada de patches para mapear os grupos de patches para as janelas de manutenção selecionadas em vez de criar novas janelas de manutenção.

Prós:

  • Gerenciamento simplificado.

Contras:

  • Menos flexibilidade para definir janelas de manutenção personalizadas.

  • Quando vários grupos de patches compartilham janelas de manutenção e tarefas de patch, o cancelamento de uma tarefa de patch específica para um grupo de patch específico exige esforço manual adicional.

Opção 2. Use CloudWatch Eventos para acionar tarefas de patch em vez de usar janelas de manutenção

  • Em vez de criar janelas de manutenção, use CloudWatch Eventos para acionar tarefas de patch com base no cronograma e nos grupos de patches.

  • Nesse cenário, cada grupo de patches é associado a um evento de CloudWatch Eventos em vez de uma janela de manutenção.

  • Atualize a solução automatizada de patches para criar eventos em vez de janelas de manutenção.

Prós:

  • Design escalável.

  • Fornece flexibilidade para definir janelas de manutenção personalizadas.

Contras:

  • As janelas de manutenção fornecem funcionalidades adicionais (como duração e horários limite) que não estão disponíveis nos Eventos. CloudWatch

Outras considerações

  • A solução automatizada de patches descrita nesta seção não oferece suporte a EC2 instâncias que estão encerradas.

  • Esse processo oferece suporte a EC2 instâncias em sub-redes públicas. Para corrigir instâncias em sub-redes privadas, você deve implantar um repositório de patches local, como o Windows Server Update Services (WSUS).

  • Você deve ajustar a frequência de execução da função do Lambda para que os grupos de patches e as janelas de manutenção sejam atualizados de acordo com o cronograma exigido.