針對混合雲環境中的本地實例進行修補解決方案設計 - AWS 規範指南
自動化架構考量與限制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

針對混合雲環境中的本地實例進行修補解決方案設計

您還可以擴展本指南中描述的解決方案,以修補混合雲環境中的本地服務器實例。

本地實例的標準修補過程包括兩個步驟:

  • 您可以將本地服務器配置為由 Systems Manager 管理。如需此程序的詳細資訊,請參設置混合環境的 Systems Manager在 Systems Manager 文檔中。

  • 配置適當的修補程式組Maintenance Window (維護時段)標籤,方法是使用AWS Command Line Interface(AWS CLI)向資源添加標籤

但是,此方法要求應用程序團隊或雲團隊手動運行AWS CLI命令,只要他們希望對修補程序組或維護時段執行更改。

自動化

下圖描述了一種替代方法來修補使用 Systems Manager 自定義清單選項的本地實例。此過程是我們之前針對可變 EC2 實例介紹的自動修補解決方案的擴展。

Reference architecture and workflow for patching mutable EC2 instances that span multiple AWS accounts and AWS Regions

  1. Systems Manager 不使用標籤,而是通過自定義清單集合從本地託管實例中捕獲修補程序信息(修補程序組和維護窗口)。

    Sample custom inventory JSON file
{
    "SchemaVersion": "1.0",
    "TypeName": "Custom:PatchInformation",
    "Content": {
        "Patch Group": "<APP-PROD>",
        "Maintenance Window": "XXX"
    }
}

  2. Lambdaautomate-patch函數每天運行,從本地服務器自定義清單中收集修補程序組和維護窗口信息,並創建修補程式組Maintenance Window (維護時段)標籤。

  3. Lambdaautomate-patch函數然後創建或更新適當的修補程序組和維護窗口,將補丁程序組與修補程序基準相關聯,配置補丁程序掃描,並根據收集的自定義清單部署打補丁任務。(可選)automate-patch函數還會在 CloudWatch 事件中創建事件,以通知用户即將到來的修補程序。

  4. 根據維護時段,事件將修補程序通知發送給應用程序團隊,其中包含即將進行的修補操作的詳細信息。

  5. 補丁程序管理器根據定義的計劃和修補程序組執行系統修補。

  6. Systems Manager 清單中的資源數據同步會收集修補詳細信息並將其發佈到 S3 存儲桶。

  7. 修補程序合規性報告和儀錶板是在 Amazon QuickSight 中根據 S3 存儲桶信息構建的。

架構考量與限制

正如前面各節所述,有兩種方法可以修補本地實例:通過自定義清單或使用標籤。以下是每種方法的優點和缺點。

選項 1。使用自定義清單獲取補丁信息

  • 使用本地服務器的應用程序團隊配置自定義清單文件中的修補程序信息,Systems Manager 會選擇該信息。

  • 然後使用自定義清單修補程序信息創建修補程序任務。

優點:

  • 配置更簡單,因為它只涉及文件更新。

缺點:

  • 修補程序配置的更改僅限於庫存收集計劃。

選項 2。使用現場部署受管執行個體

  • 使用現場部署服務器的應用程式團隊建立修補程式組Maintenance Window (維護時段)使用AWS CLI以及相應的修補程序信息。

  • 標記信息用於創建修補程序任務。

優點:

  • 跨部門的一致方法AWS和內部部署,以推動修補程序標準化和自動化。

缺點:

  • 處理本地實例的應用程序團隊必須學習和使用AWS CLI創建或更新標籤。