我正在使用 AWS EC2 windows 实例,我的目标是将它们与维护窗口或补丁基准(我不确定是哪一个)相关联,以安排自动化,当实例的更新可用时,它会自动更新自身。我已经为实例创建了一个维护窗口,但我认为我的问题是弄清楚如何连接系统以检查更新并在它们可用时运行它们。
1 回答
您正在寻找的是 EC2 Systems Manager 服务的 Patch Manager 功能:http: //docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html。
这里还有一个方便的入门博客文章:https ://aws.amazon.com/blogs/mt/getting-started-with-patch-manager-and-amazon-ec2-systems-manager/
创建维护时段是正确的第一步,这将使您能够控制何时要对实例进行修补、要修补哪些实例以及如何修补它们。
要定义要修补的实例,最简单的方法是标记您的实例(例如,使用键“Type”和值“Patching”创建标签),但如果您的实例数量相当少并且不启动您还可以定期添加新实例,将实例 ID 作为目标添加到维护窗口。如果您定期启动新实例(手动或作为 Auto Scaling 组的一部分),则标记很方便,因为这些实例将被自动拾取以进行修补。
将实例作为目标添加到维护时段后,下一步就是将任务添加到维护时段。具体来说,您要添加运行命令任务“AWS-RunPatchBaseline”并为您在上面创建的目标运行该任务(确保将操作设置为“安装”)。
这样就完成了在维护时段运行时修补所有实例所需的最少步骤。每次维护时段运行时,AWS-RunPatchBaseline 命令都会发送到您的实例,所有已批准的补丁都将安装并报告补丁合规性。
如果您想更准确地控制哪些补丁被批准,您还可以创建自定义补丁基线并定义特定规则来控制何时批准哪些补丁。如果您选择这样做(如果没有,则使用默认补丁基准),您还需要在您的实例上设置“补丁组”标签,以定义哪个补丁基准用于哪个实例。这在文档中有更详细的描述。
希望这会有所帮助,否则请随时联系我。
/垫子