AWS Custom Windows AMI — что делать с обновлениями?

В данный момент я играю с AWS, намереваясь создать систему Windows с автоматическим масштабированием. У меня есть скрипт, который будет получать последний код из репозитория GIT, однако мне было интересно, как люди справляются с обновлениями Windows, потому что, безусловно, AMI нужно будет регулярно обновлять последними обновлениями Windows (правильно ли это? ?) Так что мне было любопытно, как люди обновляют Windows и создают новый AMI и как часто?

Спасибо


amazon-web-services amazon-ec2 autoscaling amazon-ami windows-server-2012-r2
person Brett Jenkins    schedule 03.09.2014    source источник

Ответы (2)


arrow_upward
1
arrow_downward

Как часто вы принимаете обновления Windows и сколько тестов после этого — это вопрос, который следует тщательно рассмотреть с точки зрения уязвимости и критичности вашего сервера. Ваша оценка риска выполнения обновления Windows также значительна.

Вам не нужно обязать предварительно запекать образы AMI с последними обновлениями программного обеспечения, включая системное программное обеспечение (ОС). Вот хорошо объясненный метод Использование модуля PowerShell для запуска Центра обновления Windows.

person John Langstaff    schedule 03.09.2014
comment
Привет, я думал о сценарии обновления, но если учесть, что он должен запускаться по запросу в период высокой нагрузки, и что Windows любит перезагружаться после нескольких обновлений, кажется, я не знаю, будет ли это быть идеальным или практичным. Это почти то же самое, что вы могли бы сделать с экземпляром, который обновляется раз в неделю, а затем каким-то образом автоматически обновляет AMI? - person Brett Jenkins; 03.09.2014
comment
Я использую предварительно подготовленные образы AMI в системах с автоматическим масштабированием. Я мог бы использовать базовый AMI для автоматического масштабирования по требованию, если он предназначен для очень ограниченных/ограниченных конкретных задач. - person John Langstaff; 04.09.2014
comment
Как часто вы выпекаете свои AMI? - person Brett Jenkins; 04.09.2014
comment
Нет установленного правила - когда это целесообразно. Например, серверы с очень ограниченными функциями, которые надежно защищены, не нуждаются в обновлении так часто, как серверы, открытые для публики через порт 80. Некоторые осуждают это, но делать все это во вторник исправлений нецелесообразно. - person John Langstaff; 04.09.2014

arrow_upward
0
arrow_downward

Используйте функцию RunCommand диспетчера систем с документом AWS-InstallWindowsUpdates. Этот цикл не завершится, пока все обновления Windows не будут загружены, установлены, перезагружены и проверены снова. Смотрите журнал ниже, чтобы узнать, какие действия он охватывает.

$InstanceId=?????
$runPSCommand=Send-SSMCommand -InstanceId @($instanceid) -DocumentName AWS-InstallWindowsUpdates -Comment 'Run Windows Updates whilst baking an AMI' -Parameter @{'Action'='Install'}

Write-Host "Waiting for Windows Updates to complete..."
do {
   Sleep -Seconds 10
   $CmdStatus = Get-SSMCommandInvocation -InstanceId $instanceid -CommandId $runPSCommand.CommandId
} Until ($CmdStatus.Status -eq "Success")
Write-Host "Windows Updates complete"

И это пример вывода, показывающий перезагрузку и повторную проверку наличия дополнительных обновлений для установки.

04/10/2017 06:24:51 UTC | Info | Start of Install-AwsUwiWindowsUpdates
04/10/2017 06:24:51 UTC | Info | Searching for Windows Updates.
04/10/2017 06:27:10 UTC | Info | Found 4 available Windows Updates.
04/10/2017 06:27:10 UTC | Info | Update for Windows Server 2012 R2 (KB3052480)
04/10/2017 06:27:10 UTC | Info | Windows Malicious Software Removal Tool for Windows 8, 8.1, 10 and Windows Server 2012, 2012 R2, 2016 x64 Edition - March 2017 (KB890830)
04/10/2017 06:27:10 UTC | Info | March, 2017 Security Monthly Quality Rollup for Windows Server 2012 R2 (KB4012216)
04/10/2017 06:27:10 UTC | Info | March, 2017 Preview of Monthly Quality Rollup for Windows Server 2012 R2 (KB4012219)
04/10/2017 06:27:10 UTC | Info | Downloading Windows Updates.
04/10/2017 06:27:35 UTC | Info | Successfully Downloaded: Update for Windows Server 2012 R2 (KB3052480)
04/10/2017 06:27:36 UTC | Info | Successfully Downloaded: Windows Malicious Software Removal Tool for Windows 8, 8.1, 10 and Windows Server 2012, 2012 R2, 2016 x64 Edition - March 2017 (KB890830)
04/10/2017 06:28:32 UTC | Info | Successfully Downloaded: March, 2017 Security Monthly Quality Rollup for Windows Server 2012 R2 (KB4012216)
04/10/2017 06:29:34 UTC | Info | Successfully Downloaded: March, 2017 Preview of Monthly Quality Rollup for Windows Server 2012 R2 (KB4012219)
04/10/2017 06:29:34 UTC | Info | 4 Windows Updates will be installed.
04/10/2017 06:29:34 UTC | Info | Installed: Update for Windows Server 2012 R2 (KB3052480)
04/10/2017 06:30:15 UTC | Info | Installed: Windows Malicious Software Removal Tool for Windows 8, 8.1, 10 and Windows Server 2012, 2012 R2, 2016 x64 Edition - March 2017 (KB890830)
04/10/2017 06:30:29 UTC | Info | Installed: March, 2017 Security Monthly Quality Rollup for Windows Server 2012 R2 (KB4012216)
04/10/2017 06:30:44 UTC | Info | Installed: March, 2017 Preview of Monthly Quality Rollup for Windows Server 2012 R2 (KB4012219)
04/10/2017 06:30:44 UTC | Info | Windows requires a reboot.  Sending reboot request to SSM Agent.
04/10/2017 06:33:44 UTC | Info | Start of Install-AwsUwiWindowsUpdates
04/10/2017 06:33:44 UTC | Info | Searching for Windows Updates.
04/10/2017 06:36:29 UTC | Info | Found 0 available Windows Updates.

Вы можете использовать это как часть скрипта для запекания AMI или повторного запекания AMI.

Вы также можете использовать -Target вместо -InstanceId и указать фильтр с тегом для обновления всех экземпляров, соответствующих фильтру.

person RobG    schedule 10.04.2017