混合云环境中本地实例的修补解决方案设计

您也可以扩展本指南中描述的解决方案，以修补混合云环境中的本地服务器实例。

本地实例的标准修补过程包括两个步骤：

您将需要将本地服务器配置为由 Systems Manager 管理。有关此过程的详细信息，请参阅 Systems Manager 文档中的为混合环境设置 Systems Manager。
您可以使用 AWS Command Line Interface (AWS CLI) add-tags-to-resource 命令为这些本地托管实例配置相应的补丁组和维护窗口标签。

但是，这种方法要求应用程序团队或云团队在想要更改补丁组或维护窗口时手动运行AWS CLI命令。

自动化流程

下图描述了另一种使用 Systems Manager 自定义清单选项修补本地实例的方法。此过程是我们前面描述的针对可变 EC2 实例的自动修补解决方案的扩展。

Reference architecture and workflow for patching mutable EC2 instances that span multiple AWS accounts and AWS Regions

Systems Manager 不使用标签，而是通过自定义清单集合从本地托管实例中捕获补丁信息（补丁组和维护窗口）。


Sample custom inventory JSON file
{
    "SchemaVersion": "1.0",
    "TypeName": "Custom:PatchInformation",
    "Content": {
        "Patch Group": "<APP-PROD>",
        "Maintenance Window": "XXX"
    }
}

Lambda automate-patch 函数每天运行，从本地服务器自定义清单中收集补丁组和维护窗口信息，并在托管实例上创建补丁组和维护窗口标签。
然后，Lambda automate-patch 函数根据收集的自定义清单创建或更新相应的补丁组和维护窗口，将补丁组与补丁基准关联起来，配置补丁扫描，并部署修补任务。或者，该automate-patch函数还会在 CloudWatch Events 中创建事件，以通知用户即将发布的补丁。
根据维护窗口，这些事件会向应用程序团队发送补丁通知，其中包含即将进行的修补操作的详细信息。
Patch Manager 根据定义的时间表和补丁组执行系统修补。
Systems Manager Inventory 中的资源数据同步会收集修补详细信息并将其发布到 S3 存储桶。
补丁合规性报告和控制面板是在 Amazon QuickSight 中根据 S3 存储桶信息构建的。

架构注意事项和限制

如前几节所述，有两种方法可以修补本地实例：通过自定义清单或使用标签。以下是每种方法的优势和劣势。

选项 1。使用自定义清单获取补丁信息

使用本地服务器的应用程序团队在自定义清单文件中配置补丁信息，然后 Systems Manager 会选择这些信息。
接着，使用自定义清单补丁信息来创建补丁任务。

优点：

配置起来要简单得多，因为它只涉及文件更新。

缺点：

对补丁配置的更改仅限于清单收集计划。

选项 2。为本地托管实例使用标签

使用本地服务器的应用程序团队通过使用AWS CLI相应的补丁信息来创建补丁组和维护窗口标签。
标签信息用于创建补丁任务。

优点：

在跨AWS和本地采用一致的方法来推动修补标准化和自动化。

缺点：

使用本地实例的应用程序团队必须学习和使用AWS CLI来创建或更新标签。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

为多个AWS账户和地区进行设计

主要利益相关者、角色和责任