本文主要是介绍AWS-PatchAsgInstance自动化定时ASG组打补丁,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
问题
需要给AWS的EC2水平自动扩展组AutoScaling Group(ASG)中的EC2自动定期打补丁。
创建自动化运行IAM角色
找到创建角色入口页面,如下图:
开始创建Systems Manager自动化运行的IAM角色,如下图:
设置AmazonSSMAutomationRole权限,如下图:
设置AmazonSSMAutomationRole角色名和角色描述,点击创建角色,如下图:
创建AWS-PatchAsgInstance自定义策略
找到策略入口页面,开始创建策略如下图:
AWS-PatchAsgInstance自动化文档,需要的权限内容,如下:
{"Version": "2012-10-17","Statement": [{"Sid": "Statement1","Effect": "Allow","Action": ["ssm:StartAutomationExecution","ssm:GetAutomationExecution","ssm:GetCommandInvocation","ssm:GetParameter","ssm:SendCommand","cloudformation:CreateStack","cloudformation:DeleteStack","cloudformation:DescribeStacks","ec2:CreateTags","ec2:DescribeInstances","ec2:RunInstances","iam:AttachRolePolicy","iam:CreateRole","iam:DeleteRole","iam:DeleteRolePolicy","iam:DetachRolePolicy","iam:GetRole","iam:PassRole","iam:PutRolePolicy","lambda:CreateFunction","lambda:DeleteFunction","lambda:GetFunction","lambda:InvokeFunction"],"Resource": "*"}]
}
将AWS-PatchAsgInstance需要的权限设置到策略中,如下图:
设置AWS-PatchAsgInstance策略名和描述,直接创建策略即可,如下图:
然后,将创建好的AWS-PatchAsgInstance自定义策略绑定给AmazonSSMAutomationRole自动化角色,结果如下图:
自动化角色设置PassRole权限角色为自己
找到自动化角色AmazonSSMAutomationRole,如下图:
策略内容如下:
{"Version": "2012-10-17","Statement": [{"Sid": "VisualEditor0","Effect": "Allow","Action": "iam:PassRole","Resource": "arn:aws-cn:iam::xxxxxxxxx:role/AmazonSSMAutomationRole"}]
}
将上述策略权限内容,复制策略编辑器中,如下图:
设置AmazonSSMAutomationRolePolicy策略名称,如下图:
最后AmazonSSMAutomationRole角色权限策略,如下图:
创建维护窗口
找到维护窗口创建页面入口,如下图:
设置维护窗口,如下图:
这里去掉“允许已注销目标”的勾选,意思没有被AWS SSM托管到的EC2目标,不会执行这个维护任务。
后面是设置每周六凌晨1点定时执行维护任务,维护窗持续时间为1个小时。如果在这1个小时内没有执行完,就不执行了(停止启动任务为0小时)。这里的时区为东八区。
最后点击“创建维护时段”。
注册维护目标
找到维护窗口,入口页面如下图:
找到注册目标入口页面,如下图:
设置注册目标,如下图:
这里主要通过EC2实例选择标签Name进行识别dev相关EC2实例。
注册维护任务
找到注册维护任务入口页面,如下图:
设置使用AWS-PatchAsgInstance自动注册任务,并且,设置上一步已经注册的目标组,而且,设置变量InstanceId为{{ TARGET_ID }},并且,这个任务是一个一个执行,执行完一个没有错误就执行下一个。设置之前的IAM服务角色。最后,点击注册自动化任务。如下图:
查看历史记录
找到查询历史记录网页入口,如下图:
查看到成功结果,即可,如下图:
注意
加入了定时维护窗口的AutoScaling组,需要禁用自动缩容策略,不然,这个自动任务可能找不到EC2实例;还有就是AutoScaling组所需EC2实例数,需要大于AutoScaling组最小EC2实例数。只有这个两个AutoScaling组条件满足,才能使用自动维护窗口。
总结
使用自动化维护任务打补丁,还算简单,只是对AutoScaling有自动缩容限制。第一步合规性就是每天扫描一次所有EC2是否合规,定时自定化维护任务,就是每周六半天打补丁。
参考:
- 方法 2:使用 IAM 为自动化配置角色
- 创建维护时段(控制台)
- 为维护时段分配任务(控制台)
- 注册维护时段任务时使用伪参数
- AutoScalingで1台ずつ自動的にパッチを当てるSSM Automationやってみた
这篇关于AWS-PatchAsgInstance自动化定时ASG组打补丁的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
