[SEO 副标题]
本指南帮助您为本地和云中的 VMware 虚拟机(VM)设置对补丁修补和合规性的集中式管理。使用 AWS Systems Manager,您可以为补丁修补和控制建立安全的维护和合规系统。将所有安全调查发现集中收集到一个位置,可以减轻您在补丁修补和合规性方面的管理工作,同时提高运行效率和可观测性。
请注意:[免责声明]
架构图
[架构图描述]
第 1 步
本指南要求对工作负载进行清点和数据收集。AWS Systems Manager 使用代理(SSM 代理)。将 SSM 代理安装到 VMware Cloud on AWS 或本地节点中进行管理。SSM 代理需要通过标准 HTTPS 端口与 AWS API 进行通信。由于 SSM 代理始终启动通信,因此不需要允许任何入站规则(出口 tcp 端口 443 和 80)。
第 2 步
Systems Manager 是 AWS 应用程序和资源的运营中心,分为四个核心特征组:运营管理、应用程序管理、变更管理和节点管理。
第 3 步
AWS Security Hub 可自动检查是否符合标准最佳实践,例如 AWS 基础安全防御最佳实践(FSBP)、互联网安全中心(CIS)、AWS 基础标准 v1.2.0 和 v1.4.0 以及支付卡行业数据安全标准(PCI DSS)。
注意:在本指南发布时,Security Hub 将所有托管节点的资源类型报告为“Amazon Elastic Compute Cloud(Amazon EC2)实例”。 这包括您已注册用于 Systems Manager 的本地服务器和虚拟机。
第 4 步
支持团队登录 Systems Manager 执行管理任务,例如混合激活和补丁策略创建。
第 1 步
本指南要求对工作负载进行清点和数据收集。AWS Systems Manager 使用代理(SSM 代理)。将 SSM 代理安装到 VMware Cloud on AWS 或本地节点中进行管理。SSM 代理需要通过标准 HTTPS 端口与 AWS API 进行通信。由于 SSM 代理始终启动通信,因此不需要允许任何入站规则(出口 tcp 端口 443 和 80)。
第 2 步
Systems Manager 是 AWS 应用程序和资源的运营中心,分为四个核心特征组:运营管理、应用程序管理、变更管理和节点管理。
第 3 步
AWS Security Hub 可自动检查是否符合标准最佳实践,例如 AWS 基础安全防御最佳实践(FSBP)、互联网安全中心(CIS)、AWS 基础标准 v1.2.0 和 v1.4.0 以及支付卡行业数据安全标准(PCI DSS)。
注意:在本指南发布时,Security Hub 将所有托管节点的资源类型报告为“Amazon Elastic Compute Cloud(Amazon EC2)实例”。 这包括您已注册用于 Systems Manager 的本地服务器和虚拟机。
第 4 步
支持团队登录 Systems Manager 执行管理任务,例如混合激活和补丁策略创建。
Well-Architected 支柱
当您在云中构建系统时,AWS Well-Architected Framework 可以帮助您了解所做决策的利弊。框架的六大支柱使您能够学习设计和操作可靠、安全、高效、经济高效且可持续的系统的架构最佳实践。使用 AWS 管理控制台中免费提供的 AWS Well-Architected Tool,您可以通过回答每个支柱的一组问题,根据这些最佳实践来检查您的工作负载。
上面的架构图是按照 Well-Architected 最佳实践创建的解决方案示例。要做到完全的良好架构,您应该遵循尽可能多的 Well-Architected 最佳实践。
-
卓越运营阅读《卓越运营》白皮书
补丁管理器(Systems Manager 的一项功能)可在本地或云实例中自动部署软件补丁。您可以设置补丁基准,用规则说明哪些补丁应自动安装;或者,使用补丁管理器报告所有缺失的补丁。
-
安全性阅读《安全性》白皮书
Security Hub 会集中呈现安全调查发现。成功设置后,其他服务将自动向 Security Hub 发送安全调查发现,从而便于您检查服务是否合规。Security Hub 对安全调查发现采取的行动包括:向您发出警报、在控制面板上显示调查发现或启动自动化功能来自动解决发现的问题。这有助于您在漏洞出现时立即发现漏洞,并在发现后及时修复。
-
可靠性阅读《可靠性》白皮书
VMware Cloud on AWS 是 AWS 为基于 vSphere 的所有工作负载提供的首选服务。VMware Cloud on AWS 包括 vSphere High Availability(HA),可以在 ESXi 主机出现故障时自动重启虚拟机。此外,还启用了分布式资源调度器(DRS),同时结合使用 vMotion,在进行维护前将运行中的虚拟机从主机上实时迁移出来。VMware Cloud on AWS 可避免或最大限度地减少 VMware 工作负载(在 AWS 上运行)的停机时间。
-
性能效率阅读《性能效率》白皮书
VMware Cloud on AWS 可使用弹性分布式资源调度器(eDRS)动态预置 ESXi 主机。eDRS 会根据 VMware Cloud on AWS 集群上运行的工作负载灵活地扩大或缩小这些集群。eDRS 通过响应 VMware Cloud on AWS 集群内的 CPU 和内存总负载来完成调整。
-
成本优化阅读《成本优化》白皮书
该指南不需要额外的服务器或操作系统许可,从而最大限度地降低了总体成本。除了正在接受补丁修补的服务器外,本指南完全不需要服务器,并使用托管服务。补丁修补是自动完成的,与手动补丁修补相比,可降低运营成本。
涉及的主要服务成本是:
-
可持续性阅读《可持续性》白皮书
使用 eDRS 的 VMware Cloud on AWS 可以关闭额外的容量,从而节省资源消耗(如电力和冷却用资源)。eDRS 可以设计为尽量小的占用空间,并动态扩展以满足您的工作负载需求。
此外,Security Hub 和 Systems Manager 由 AWS 管理和运营。因此,您无需部署额外的服务器和基础设施即可满足合规性和补丁修补的要求。
免责声明
示例代码;软件库;命令行工具;概念验证;模板;或其他相关技术(包括由我方人员提供的任何前述项)作为 AWS 内容按照《AWS 客户协议》或您与 AWS 之间的相关书面协议(以适用者为准)向您提供。您不应将这些 AWS 内容用在您的生产账户中,或用于生产或其他关键数据。您负责根据特定质量控制规程和标准测试、保护和优化 AWS 内容,例如示例代码,以使其适合生产级应用。部署 AWS 内容可能会因创建或使用 AWS 可收费资源(例如,运行 Amazon EC2 实例或使用 Amazon S3 存储)而产生 AWS 费用。
本指南中提及第三方服务或组织并不意味着 Amazon 或 AWS 与第三方之间存在认可、赞助或从属关系。AWS 的指导是一个技术起点,您可以在部署架构时自定义与第三方服务的集成。