某公司的 AWS 管理員在日常例行運維工作過程中,收到幾十條安全合規警告信息,該信息提示正在管理的數十臺Amazon EC2 Linux 實例的安全補丁需要更新,該管理員希望批量對所有的 EC2 實例應用最新的補丁和安全更新。
對于管理大量EC2實例的場景,手動更新可能效率低下且容易出錯。使用 Amazon Systems Manager 補丁管理器補丁策略在目標 EC2 Linux 實例上,批量自動進行 Linux 實例的補丁和更新安裝作業。AWS Systems Manager 補丁管理器補丁策略功能會自動掃描和安裝 EC2 實例的補丁。默認情況下,Patch Manager 使用預定義補丁策略來更新 EC2 實例中的軟件包。要進行更精細的控制,可以使用自定義補丁基準。
本次采用AWS Console界面完成作業。
注意:根據項目的具體情況,可以采用不同的實施方法。比如使用命令行(CLI)部署、代碼部署 (CloudFomation、Terraform等)、以及其它開發語言(SDK)完成作業。
步驟一:為目標EC2 Linux 實例做好必要的準備
1. 確保已安裝正確的SSM Agent
SSM Agent 版本 2.0.834.0 或更高版本在要用 Patch Manager 管理的托管式 EC2 Linux 節點上運行。
2. 將 EC2 Linux 實例與補丁源的連接
在 Linux 節點上,通常是從節點上配置的遠程存儲庫下載補丁更新。因此,節點必須能夠連接到遠程存儲庫,才能執行修補。
步驟二:設定自動應用補丁和更新的配置
1. 配置Patch Manager
在AWS管理控制臺中,導航到Systems Manager,然后選擇Patch Manager。
創建或配置補丁基線,指定要應用的補丁和更新策略。
2. 為目標實例分配補丁基線
選擇要應用補丁的EC2實例或實例組,將之前配置的補丁基線分配給這些實例。
3. 自動應用補丁
Patch Manager將根據您設置的策略自動檢查、下載并應用補丁。可以在控制臺中監控補丁應用的進度和結果。
1. 查看是否存在可用的補丁
打開 Amazon Systems Manager 控制臺,選擇 Patch Manager,選擇補丁選項卡,操作系統,選擇 Amazon Linux
2. 確認沒有新的補丁和更細