Blog de Amazon Web Services (AWS)

Orquestando servicios de parcheo personalizados con AWS Systems Manager Patch Manager

Por Ryan Stebich, Sênior Arquitecto de Soluciones AWS

 

La administración continua del sistema operativo y la aplicación de parches en el nivel de las aplicaciones es fundamental para garantizar que el software de su organización esté actualizado y cumpla con las políticas de cumplimiento. El proceso de parches no siempre es un proceso simple. A menudo es necesario organizar procedimientos, flujos de trabajo y secuencias de comandos personalizados para garantizar que las aplicaciones puedan detenerse, iniciarse y verificarse de forma segura durante el proceso de aplicación de parches.

AWS Systems Manager Patch Manager ha venido ayudando a los clientes de AWS a gestionar y automatizar el proceso de revisión para sus instancias administradas Linux y Windows. Sin embargo, los procesos complejos y de varios pasos siguen presentando desafíos cuando los clientes intentan orquestar el flujo de trabajo de parches de extremo a extremo.

Nos complace destacar el lanzamiento de una función de Patch Manager disponible desde febrero de 2021: Los ganchos de estilo de vida de parche, lo que simplifica la orquestación de estos procesos de varios pasos. Los ganchos de estilo de vida de parches amplían la funcionalidad existente del Administrador de parches para incluir nuevos ganchos previos y posteriores a los parches que permiten realizar los pasos personalizados especificados por el cliente en diferentes etapas de los parches.

Por ejemplo, considere un cliente con una aplicación personalizada que requiera un procedimiento para iniciar y detener la aplicación. El cliente puede utilizar los ganchos de estilo de vida de parches para ejecutar un script personalizado previo a la aplicación para apagar la aplicación de forma segura antes de ejecutar el proceso de revisión. Una vez finalizada la revisión y que el servidor se haya reiniciado, se puede ejecutar una secuencia de comandos posterior a la aplicación personalizada para iniciar la aplicación y realizar pruebas de validación para asegurarse de que está funcionando como se esperaba antes de marcar el éxito del proceso general de revisión.

 

Orquestación de procesos de parches personalizados con ganchos de ciclo de vida de parches

Con el lanzamiento de ganchos del ciclo de vida de parches, AWS presenta un nuevo documento de AWS Systems Manager (documento SSM), AWS-RunPatchBaselineWithHooks. Este documento es un documento empaquetado que utiliza el documento AWS-RunPatchBaseline existente para componer escenarios de instalación de parches más complejos, lo que permite que los scripts personalizados se ejecuten como ganchos de preinstalación, posterior a la instalación y posterior al reinicio.

Con estos nuevos ganchos puede especificar la ejecución de documentos SSM en las etapas previas y posteriores a la instalación del flujo de trabajo de parches.  AWS puede predefinir o personalizar los documentos SSM elegidos como ganchos.  Para obtener información sobre cómo crear documentos SSM personalizados, consulte Creación de documentos de Systems Manager en la guía del usuario de AWS Systems Manager.

Puede revisar el documento AWS-RunPatchBaselineWithHooks recientemente publicado en la consola de AWS Systems Manager. En el panel de navegación izquierdo, selecciona Documentos y busca en la pestaña Propiedad de Amazon.

 

Figura 1: Búsqueda de documentos SSM en la consola de AWS Systems Manager

 

Para utilizar los ganchos del ciclo de vida de parches, puede aplicar parches a petición desde la consola de AWS Systems Manager, o bien puede ajustar una configuración de Patch Manager existente cambiando la tarea actual que se está realizando a través de la ventana de mantenimiento de AWS Systems Manager. Para obtener más información, consulte la AWS Systems Manager Patch Manager Guía del usuario de AWS Systems Manager o la entrada de blog de Parches de su Windows EC2 utilizando AWS Systems Manager Patch Manager sobre el asunto.

 

Requisitos previos

Asegúrese de que AWS Systems Manager está configurado y que el agente de AWS Systems Manager se ha instalado y actualizado en todas las instancias que desee corregir. Los ganchos del ciclo de vida de parches están disponibles para el agente de System Manager (SSM Agent) versión 3.0.502 y superior.

Para continuar con el siguiente ajuste paso a paso de una configuración existente del Administrador de parches, debe estar disponible una configuración de parches de administrador de parches creada previamente y que la programación se gestione a través de una ventana de mantenimiento de System Manager.

 

Aplicación de parches bajo demanda mediante ganchos de ciclo de vida de parches

Los ganchos del ciclo de vida de parches se pueden utilizar cuando se realizan parches bajo demanda mediante Patch Manager en la consola de AWS Systems Manager.

  1. Comience con la consola de AWS Systems Manager. En el panel de navegación izquierdo, elija  Administrador de parches y, a continuación, seleccione Parchee ahora.

 

Figura 2: Parchee ahora opciones avanzadas

 

  1. En Opciones avanzadas clikee la opción Utilice ganchos de ciclo de vida y, a continuación, seleccione los documentos SSM que se ejecutarán en varios pasos a lo largo del proceso de aplicación de parches.

Figura 3: Selección de documentos SSM para utilizarlos como ganchos de ciclo de vida

  1. Siga los pasos descritos en Instancias de aplicación de parches bajo demanda para completar la configuración del parche ahora.

Actualizar una configuración de Patch Manager existente para utilizar los ganchos del ciclo de vida de parches

Para editar una configuración existente del Administrador de parches con el fin de utilizar los ganchos del ciclo de vida de parches, comience editando la ventana de mantenimiento.

  1. En la consola de AWS Systems Manager, elija Ventana de manteniemiento y elija el ID de ventana de la ventana de mantenimiento que desea actualizar.

 

Figura 4: Consola de mantenimiento de Windows

 

  1. En la página de detalles de Ventana de mantenimiento, elija Tareas Seleccione el botón de opción situado junto a ID de la tarea y elija Editar.

 

Figura 5: ID detarea de la ventana de mantenimiento

 

  1. En la sección Documento de comando, busque el documento AWS-RunPatchBaselineWithHooks y seleccione el botón de opción situado junto al documento.

 

Figura 6: Actualización de la tarea de la ventana de mantenimiento con un nuevo documento SSM

 

  1. En la sección Parámetros, verá nuevos «parámetros de gancho» donde puede especificar los documentos SSM para ejecutarse en diferentes etapas del proceso de parches.

Se han añadido tres parámetros nuevos:

Nombre de documento de Hook de preinstalación: El documento SSM se ejecuta antes de instalar losparches.

Nombre del documento Hook Post-Install: El documento SSM se ejecuta después de instalar losparches, pero antes del reinicio.

Nombre del documento del gancho en la salida: El documento SSM se ejecuta después de completado el reinicio.

Los documentos SSM pueden ser propiedad de Amazon o sus documentos personalizados.

 

Figura 7: Rellenar los parámetros de documento AWS-RunPatchBaselineWithHooks

 

  1. Después de completar la sección Parámetros, elija Editar tarea de comando Ejecutar.

En el menú Tareas de la ventana de mantenimiento actualizada, verá la nueva selecciónAWS-RunPatchBaselineWithHooks en  ARN de tarea.

 

Figura 8: Tarea de la ventana de mantenimiento ARN, AWS-RunPatchBaselineWithHooks

 

Ahora ha configurado la función de ganchos del ciclo de vida de parches. En la siguiente ventana de mantenimiento se realizarán parches utilizando el nuevo documento AWS-RunPatchBaselineWithHooks.

 

Conclusión

Los ganchos del ciclo de vida de parches son la forma recomendada de ejecutar procesos de varios pasos directamente en instancias para corregirlos. Para la organización de pasos personalizados que no requieren ejecutarse en la instancia que se va a aplicar parches, como quitar una instancia de Elastic Loading Balancing de las aplicaciones de equilibrio o actualizar una tabla de Amazon DynamoDB, la solución recomendada es continuar mediante AWS Systems Manager Automation.

Con la introducción de la nueva función de Patch Manager deganchos del ciclo de vida de parches, ahora puede utilizar AWS Systems Manager Patch Manager para automatizar los flujos de trabajo de parches más complejos, lo que reduce la intervención manual necesaria para realizar esta tarea crítica.

Para obtener más información acerca de los ganchos del ciclo de vida de parches del administrador de parches, consulte Acerca del documento AWS-RunPatchBaselineWithHooks SSM en la guía del usuario de AWS Systems Manager.

Este artículo fue traducido del Blog de AWS em Inglés.

 


Sobre el autor

Ryan Stebich es arquitecto senior de soluciones para Amazon Web Services (AWS) con sede en Carolina del Norte. Aprovecha su amplia gama de experiencia en TI y experiencia técnica para diseñar soluciones basadas en la nube que ayuden a los clientes a resolver sus desafíos empresariales.