Aplicação de patches em nós gerenciados sob demanda
Usar oPatch agoraopção emPatch Manager, um recurso doAWS Systems Manager, você pode executar operações de patch sob demanda no console do Systems Manager. Isso significa que você não precisa criar um agendamento para atualizar o status de conformidade dos os nós gerenciados ou instalar patches em nós não compatíveis. Você também não precisa alternar o console do Systems Manager entrePatch ManagereMaintenance Windows, um recurso doAWS Systems ManagerPara configurar ou modificar uma janela de patch programada.
A opção Patch now (Aplicar patch agora) é especialmente útil quando você tiver que aplicar atualizações de dia zero ou instalar outros patches críticos aos nós gerenciados o mais rápido possível.
nota
Há suporte para a aplicação de patches sob demanda para um único par Conta da AWS-Região da AWS por vez. Ela não pode ser usada com operações de aplicação de patches baseadas em políticas de patch. Recomendamos o uso de políticas de patch para manter todos os seus nós gerenciados em conformidade. Para mais informações sobre como trabalhar com políticas de patch, consulte Usar políticas de patch da Quick Setup.
Como funciona o comando 'Patch now' (Aplicar patches agora)
Para executar oPatch agora, você especifica apenas duas configurações necessárias:
-
Verificar somente se há patches ausentes ou verificar e instalar patches em nós gerenciados
-
Em quais nós gerenciados executar a operação
Quando a operação Patch now (Aplicar patch agora) é executada, ela determina qual lista de referência de patches usar, da mesma forma que uma é selecionada para outras operações de aplicação de patches. Se um nó gerenciado estiver associado a um grupo de patches, a lista de referência de patches especificada para esse grupo será usada. Se o nó gerenciado não estiver associado a um grupo de patches, a operação usará a lista de referência de patches atualmente definida como padrão para o tipo de sistema operacional do nó gerenciado. Esta pode ser uma linha de base predefinida ou a linha de base personalizada que você definiu como padrão. Para obter mais informações sobre a seleção da lista de referência de patches, consulte Sobre grupos de patches.
As opções que você pode especificar para Patch now (Aplicar patches agora) incluem escolher quando, ou se, reinicializar nós gerenciados após a aplicação do patch, especificar um bucket do Amazon Simple Storage Service (Amazon S3) para armazenar dados de log para a operação de patch e executar documentos do Systems Manager (documentos do SSM) como hooks de ciclo de vida durante a aplicação de patches.
Limites de erro e simultaneidade para 'Patch now’ (Aplicar patch agora)
Para as operações Patch now (Aplicar patch agora), a simultaneidade e as opções de limite de erro são resolvidas pelo Patch Manager. Você não precisa especificar quantos nós gerenciados devem ser corrigidos de uma só vez, nem quantos erros são permitidos antes que a operação falhe. O Patch Manager aplica as configurações de limite de simultaneidade e erro descritas nas tabelas a seguir quando você aplica patches sob demanda.
Importante
Os seguintes limites se aplicam somente a operações Scan and install. Para operações Scan, o Patch Manager tenta verificar até 1.000 nós simultaneamente e continuar a varredura até que ele tenha encontrado até 1.000 erros.
Simultaneidade: operações de instalação | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Número total de nós gerenciados na operação Patch now (Aplicar patch agora) | Número de nós gerenciados verificados ou corrigidos de cada vez | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Menos de 25 | 1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 25-100 | 5% | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 101 a 1.000 | 8% | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Mais de 1.000 | 10% | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Limite de erro: operações de instalação | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Número total de nós gerenciados na operação Patch now (Aplicar patch agora) | Número de erros permitidos antes da falha da operação | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Menos de 25 | 1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 25-100 | 5 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 101 a 1.000 | 10 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Mais de 1.000 | 10 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Usando hooks de ciclo de vida "Patch agora"
Patch agora oferece a capacidade de executar documentos de Comando do SSM como hook s de ciclo de vida durante uma operação de aplicação de patches de Install. É possível usar esses hooks para tarefas como desligar aplicações antes de aplicar patches ou executar verificações de integridade em aplicações após a aplicação de patches ou após uma reinicialização.
Para obter mais informações sobre hooks de ciclo de vida, consulte Sobre o documento do SSM do AWS-RunPatchBaselineWithHooks.
A tabela a seguir lista os hooks de ciclo de vida disponíveis para cada um dos trêsPatch agoraopções de reinicialização, além de exemplos de usos para cada hook.
Hooks de ciclo de vida e usos de amostra | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Opção de reinicializações | Hook: antes da instalação | Hook: após a instalação | Hook: na saída | Hook: após a reinicialização agendada | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Reinicializar, se necessário |
Execute um documento do SSM antes do início do patch. Exemplo de uso: encerre aplicações com segurança antes do início do processo de aplicação de patches. |
Execute um documento SSM no final da operação de patch e antes da reinicialização do nó gerenciado. Exemplo de uso: execute operações como a instalação de aplicações de terceiros antes de uma possível reinicialização. |
Execute um documento do SSM após concluir a operação de aplicação de patches e reinicializar as instâncias. Exemplo de uso: verifique se as aplicações estão sendo executadas conforme esperado após a aplicação de patches. |
Não disponível | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Não reinicialize minhas instâncias | O mesmo que acima. |
Execute um documento do SSM no final da operação de patch. Exemplo de uso: verifique se as aplicações estão sendo executadas conforme esperado após a aplicação de patches. |
Não disponível |
Não disponível |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Agendar um tempo de reinicialização | O mesmo que acima. | Igual a deNão reinicialize minhas instâncias. | Não disponível |
Execute um documento do SSM imediatamente após uma reinicialização programada estar concluída. Exemplo de uso: verifique se as aplicações estão sendo executadas conforme esperado após a reinicialização. |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Executar 'Patch agora'
Use o procedimento a seguir para corrigir os nós gerenciados sob demanda.
Para executar 'Patch agora'
Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/
. -
No painel de navegação, escolha Patch Manager.
-
Em qualquer um dosAWS Systems Manager Patch Managerou aLinhas de base de patch, dependendo de qual abrir, escolhaPatch agora.
-
Para a Patching operation (Operação de aplicação de patches), escolha uma das seguintes opções:
-
Scan (Verificar): o Patch Manager localiza quais patches estão faltando em seus nós gerenciados, mas não os instala. Você pode visualizar os resultados no painel Compliance (Conformidade) ou em outras ferramentas que você usar para exibir a conformidade dos patches.
-
Scan e install (Verificar e instalar): o Patch Manager localiza quais patches estão faltando em seus nós gerenciados e os instala.
-
-
Use esta etapa se escolherScan e instalaçãoNa etapa anterior. Em Reboot Option (Opção de reinicialização), escolha uma das seguintes opções:
-
Reboot if needed (Reinicializar se necessário): após a instalação, o Patch Manager reinicializa os nós gerenciados somente se necessário para concluir uma instalação de patch.
-
Não reinicialize minhas instâncias: após a instalação, Patch Manager não reinicializará os nós. Você pode reinicializar nós manualmente ao escolher ou gerenciar reinicializações fora do Patch Manager.
-
Schedule a reboot time (Agendar um tempo de reinicialização): especifique a data, a hora e o fuso horário UTC para o Patch Manager para reiniciar os nós gerenciados. Depois de executar a operação Patch now (Aplicar o patch agora), a reinicialização agendada será listada como uma associação no State Manager com o nome
AWS-PatchRebootAssociation.
-
-
Em Instances to patch (Instâncias que receberão os patches) escolha uma das seguintes opções:
-
Patch all instances (Aplicar patch a todas as instâncias): o Patch Manager executa a operação especificada em todos os nós gerenciados na sua Conta da AWS, na Região da AWS atual.
-
Patch only the target instances I specify (Aplicar patch somente aos nós gerenciados de destino que eu especificar): você especifica com quais nós gerenciados você deve trabalhar, na próxima etapa.
-
-
Use esta etapa se escolherPatch apenas as instâncias de destino que eu especificarNa etapa anterior. Na seção Target selection (Seleção de destino), identifique os nós onde você deseja executar essa operação especificando etiquetas, selecionando nós manualmente ou especificando um grupo de recursos.
nota
Se um nó gerenciado que você espera ver não estiver listado, consulte Solução de problemas de disponibilidade do nó gerenciado para obter dicas de solução de problemas.
Se você optar por segmentar um grupo de recursos, observe que os grupos de recursos que são baseados em umAWS CloudFormationainda deve ser marcada com o padrão
aws:cloudformation:tag. Se ele tiver sido removido, o Patch Manager poderá não conseguir determinar quais nós gerenciados pertencem ao grupo de recursos.stack-id -
(Opcional) Em Patching log storage (Aplicação de patches ao armazenamento de logs), se você quiser criar e salvar logs dessa operação de patch, selecione o bucket S3 para armazenar os logs.
nota
As permissões do S3 que concedem a possibilidade de gravar os dados em um bucket do S3 são as do perfil de instância (para instâncias do EC2) ou perfil de serviço do IAM (máquinas ativadas para ambientes híbridos) atribuído à instância, e não as do usuário do IAM que realiza essa tarefa. Para obter mais informações, consulte Configurar permissões de instância obrigatórias para o Systems Manager ou Criar o perfil de serviço do IAM obrigatório para o Systems Manager em ambientes híbridos e multinuvem. Além disso, se o bucket do S3 especificado estiver em uma conta da Conta da AWS diferente, verifique se o perfil da instância ou a função de serviço do IAM associado ao nó gerenciado tenha as permissões necessárias para gravar nesse bucket.
-
(Opcional) Se você deseja executar documentos do SSM como hooks de ciclo de vida durante pontos específicos da operação de patch, faça o seguinte:
-
Selecione Usar hooks de ciclo de vida.
-
Para cada hook disponível, selecione o documento do SSM a ser executado no ponto especificado da operação:
-
Antes da instalação
-
Após a instalação
-
Na saída
-
Após a reinicialização agendada
nota
O documento padrão,
AWS-Noop, não executa operações. -
-
-
Selecione Patch now (Patch agora).
A página Association execution targets (Destinos de execução da associação) é aberta. (O Patch agora usa associações no State Manager, um recurso do AWS Systems Manager, para suas operações). Na área Operation summary (Resumo da operação), você pode monitorar o status da verificação ou a aplicação de patches em seus nós gerenciados.
