O blog da AWS

Orquestrando várias etapas, processos de patch personalizados usando AWS Systems Manager Patch Manager

Por Ryan Stebich, Arquiteto Sênior de Soluções AWS

 

O gerenciamento contínuo do sistema operacional e do patching em nível de aplicativo é fundamental para garantir que o software da sua organização esteja atualizado e atenda às políticas de conformidade. O processo de patching nem sempre é um processo simples. Muitas vezes, você precisa orquestrar procedimentos personalizados, fluxos de trabalho e scripts para garantir que os aplicativos possam ser interrompidos, iniciados e verificados com segurança durante o processo de patching.

AWS Systems Manager Patch Manager tem ajudado os clientes da AWS a gerenciar e automatizar o processo de patching suas instâncias gerenciadas pelo Linux e Windows. Mas processos complexos e em várias etapas continuam a apresentar desafios quando os clientes tentam orquestrar o fluxo de trabalho de patch de ponta a ponta.

Estamos animados para destacar o lançamento de um recurso de Patch Manager disponível desde Fev 2021: “Patch lifestyle hooks”, que torna a orquestração desses processos de várias etapas mais simples. Os Patch lifestyle hooks estendem a funcionalidade existente do Patch Manager, para incluir novos pre-patching e post-patching hooks que permitem que as etapas personalizadas especificadas pelo cliente sejam executadas em diferentes fases do fluxo de trabalho de patches.

Por exemplo, considere um cliente com um aplicativo personalizado que requer um procedimento para iniciar e interromper o aplicativo. O cliente pode usar Patch lifestyle hooks para executar um script personalizado de pré-patching para desligar o aplicativo com segurança antes de executar o processo de patches. Depois que o patch estiver completo e o servidor tiver sido reiniciado, um script personalizado post-patching pode ser executado para iniciar o aplicativo e realizar testes de validação, para garantir que ele esteja operando como esperado antes de sinalizar o sucesso do processo geral de patches.

 

Orquestrando processos personalizados de patch com patch lifecycle hooks

Com a liberação de patch lifecycle hooks, a AWS introduz um novo  AWS Systems Manager document  (SSM document),  AWS-RunPatchBaselineWithHooks. Este documento é um documento empacotado que usa o documento SSM AWS-RunPatchBaseline existente para compor cenários mais complexos de instalação de patches, permitindo que scripts personalizados sejam executados como pré-instalação, post-instalação e post-reinício hooks.

Com esses novos hooks você pode especificar a execução de documentos SSM em estágios pré e pós-instalação do fluxo de trabalho de patches. Os documentos SSM escolhidos como os hooks podem ser pré-definidos ou personalizados pela AWS. Para obter informações sobre a criação de documentos SSM personalizados, consulte creating Systems Manager documents no guia de usuário do AWS Systems Manager.

Você pode revisar o recém-lançado documento AWS-RunPatchBaselineWithHooks no console AWS Systems Manager. Do painel de navegação esquerdo, escolha Documentos e pesquise na guia Propriedade da Amazon.

 

Figura 1: Pesquisando o console AWS Systems Manager para documentos SSM

 

Para usar o patch lifecycle hooks, você pode executar patching sob demanda no console do AWS Systems Manager ou pode ajustar uma configuração existente do Patch Manager alterando a tarefa atual que está sendo executada pela janela de manutenção do AWS Systems Manager. Para obter mais informações, verifique o AWS Systems Manager Patch Manager no AWS Systems Manager User Guide ou a postagem do blog Patching your Windows EC2 using AWS Systems Manager Patch Manager sobre o assunto.

 

Pré-requisitos

Certifique-se de que o AWS Systems Manager esteja configurado e que o AWS Systems Manager agent tenha sido instalado e atualizado em todas as instâncias que deseja corrigir. Os Patch lifecycle hooks estão disponíveis para Systems Manager Agent (SSM Agent) a versão 3.0.502 e mais alta.

Para prosseguir com o seguinte passo a passo de ajustar uma configuração existente do Patch Manager, uma configuração de patch Manager patching criada anteriormente deve estar disponível com o agendamento sendo gerenciado por uma janela de manutenção do Gerenciador de Sistemas.

 

Executar patching sob demanda usando patch lifecycle hooks

Patch lifecycle hooks podem ser usados ao executar patches sob demanda usando patch Manager no AWS Systems Manager console.

  1. Comece dentro do AWS Systems Manager console. Do painel de navegação esquerdo, escolha Patch Manager  e depois escolha Patch Now.

 

Figura 2: Patch now opções avançadas

 

  1. Em Opções Avançadas Use lifecycle hooks e em seguida, selecione os documentos SSM que serão executados em várias etapas durante todo o processo de patching.

Figura 3: Selecionando documentos SSM para usar como lifecycle hooks

  1. Siga os passos em Patching instances on demand para completar a configuração de patch agora.

Atualize uma configuração existente do Patch Manager para usar patch lifecycle hooks

 Para editar uma configuração de Patch Manager existente para usar patch lifecycle hooks comece editando a janela de manutenção.

  1. No AWS Systems Manager console, escolha o Maintenance Windows (Janela de Manutenção) e escolha o Window ID (ID da Janela) para o Maintenance Window que você gostaria de atualizar.

 

Figura 4: Console de Maintenance Windows

 

  1. Na página de detalhes para o Maintenance Window, escolha Tasks Selecione o radio button ao lado do Window task ID e escolha Edit.

 

Figura 5: ID de Maintenance window task

 

  1. Na seção Command document, procure o documento AWS-RunPatchBaselineWithHooks e selecione o radio button ao lado do documento.

 

Figura 6: Atualizando a maintenance window task com novo documento SSM

 

  1. Na seção Parameters, você verá novos “hook parameters” onde você pode especificar os documentos SSM a serem executados em diferentes estágios do processo de patching.

Três novos parâmetros foram adicionados:

Pre-Install Hook Doc Name: O documento SSM é executado antes da instalação de patches.

Post-Install Hook Doc Name: O documento SSM é executado após a patching, mas antes da reinicialização.

On-Exit Hook Doc Name: O SSM document é executado após a reinicialização ser concluída.

Os SSM documents podem ser de propriedade da Amazon ou de seus documentos personalizados.

 

Figura 7: Povoando parâmetros de documentos AWS-RunPatchBaselineWithHooks

 

  1. Depois de concluir a seção Parameters, escolha Edit Run command task.

No menu Tasks para a maintenance window atualizada, você verá a nova seleção AWS-RunPatchBaselineWithHooks em Task ARN.

 

Figura 8: Tarefa de janela de manutenção ARN, AWS-RunPatchBaselineWithHooks

 

Agora você configurou o recurso de patch lifecycle hooks. A próxima janela de manutenção executará patches usando o novo documento AWS-RunPatchBaselineWithHooks.

 

Conclusão

Patch lifecycle hooks são a maneira recomendada de executar processos de várias etapas diretamente em instâncias a serem corrigidas. Para que a orquestração de etapas personalizadas que não exijam que a execução na instância seja corrigida, como remover uma instância de um Elastic Loading Balancing de aplicativos de balanceamento ou atualizar uma tabela Amazon DynamoDB,  a solução recomendada é continuar usando a AWS Systems Manager Automation.

Com a introdução do novo recurso do Patch Manager, patch lifecycle hooks, agora você pode usar o AWS Systems Manager Patch Manager para automatizar seus fluxos de trabalho de patches mais complexos, reduzindo a intervenção manual necessária para executar essa tarefa crítica.

Para obter mais informações sobre os Patch Manager patch lifecycle hooks, consulte About the AWS-RunPatchBaselineWithHooks SSM document  no guia de usuário do AWS Systems Manager.

Este artigo foi traduzido do Blog da AWS em Inglês

 


Sobre o autor

Ryan Stebich é arquiteto sênior de soluções da Amazon Web Services (AWS) com sede na Carolina do Norte. Ele aproveita sua ampla gama de experiência em TI e conhecimento técnico para projetar soluções baseadas em Nuvem para ajudar os clientes a resolver seus desafios de negócios.

 

 

 

 

Revisores

Caio Ribeiro Cesar é Principal Solution Architect na AWS Brasil.

 

 

 

 

Diego Voltz Fagundes é Enterprise Solutions Architect na AWS Brasil.