DEV Community

Cover image for Como parchear servidores en AWS
Fernando Paz 馃嚜馃嚚 for AWS Community Builders

Posted on • Originally published at cloudioenabler.com

 

Como parchear servidores en AWS

Una de las principales dudas de los equipos TI en relaci贸n con el aprovisionamiento de infraestructura en la Nube AWS o cualquier Nube en realidad, es como parchear servidores en AWS y m谩s espec铆ficamente las instancias EC2.

La respuesta corta a esta pregunta es a trav茅s de su servicio AWS Systems Manager (con la abreviatura SSM) y en concreto con la funcionalidad Patch Manager.

Sin embargo, hay que mencionar que la soluci贸n AWS Systems Manager no solamente nos ayuda con la aplicaci贸n de parches a nivel del Sistema Operativo y a nivel del Software instalado, tambi茅n nos ofrece una administraci贸n y monitorizaci贸n completa de los recursos desplegados en AWS e incluso de los recursos On-premises que deseemos adicionar a su gesti贸n.

AWS Systems Manager

Es realmente impresionante el nivel de gesti贸n que se puede alcanzar con esta herramienta para toda tu infraestructura, te animo mirar todas las posibilidades en la p谩gina Caracter铆sticas de AWS Systems Manager. Por supuesto, si deseas tener una versi贸n resumida de esta herramienta, me dejas saber en los comentarios 馃檪.

Aplicando parches en instancias EC2 en AWS

Vale resaltar que no es lo mismo parchear 2 o 3 instancias EC2 que parchear decenas, cientos o miles de instancias distribuidas en varias regiones a lo largo de AWS.

Ejemplo esquema operacional de aplicaci贸n de parches en AWS (Blog Aplicaci贸n de parches a sus instancias de Windows EC2 con AWS Systems Manager Patch Manager de Stefan Minhas)

A continuaci贸n vamos a describir un conjunto de pasos para poder aplicar los parches en instancias EC2 en AWS:

El primer paso, y parte de las buenas pr谩cticas de aprovisionamiento de recursos en AWS, es marcar los mismos a trav茅s de AWS Tags, que son etiquetas asociadas a los recursos aprovisionados en AWS que nos permitir谩n identificarlos y clasificarlos de acuerdo a nuestra estrategia de Gobierno TI.

Ya ingresando al servicio AWS Systems Manager o SSM, el segundo paso es usar una L铆nea Base (Baseline) predefinida en la opci贸n Patch Manager de este servicio; esta es una definici贸n de Sistema Operativo y criticidad de actualizaciones preestablecida, y que es aplicable a nuestras instancias EC2.

Claro que t煤 puedes crear tu propia L铆nea Base, si tienes alg煤n requerimiento especial que no encuentres en las m煤ltiples opciones que encontrar谩s predefinidas all铆.

Luego, como tercer paso, y que mi criterio es muy recomendado, especialmente si tienes desde decenas de servidores o un nivel de continuidad de negocio que lo exige, es crear Grupos para Parches (Patch groups) en tu definici贸n de L铆nea Base. La idea es identificar con una etiqueta a un grupo de instancias a parchear que contengan esa definici贸n en sus AWS Tags.

隆Ten cuidado!, y por esto es importante tener definidos Grupos para Parches, ya que AWS no prueba los parches antes de ponerlos a disposici贸n en Patch Manager, porque pertenecen en su mayor铆a a los fabricantes del Software.

AWS no prueba los parches antes de ponerlos a disposici贸n en Patch Manager.

La definici贸n de una ventana de cambios (Maintenance Windows) viene a ser el cuarto paso, y se la define a trav茅s del servicio AWS Systems Manager. Aqu铆 vamos a especificar el horario, la duraci贸n y la recurrencia en la cual se va a ejecutar las acciones asociadas a la misma.

El quinto paso, y el m谩s largo, es asociar la ventana de mantenimiento con la L铆nea Base y el Grupo para Parches, aunque tambi茅n podr铆as asociarla con instancias espec铆ficas EC2 lo cual no ser铆a recomendado y pr谩ctico.

El comando objetivo para correr la L铆nea Base definida es 鈥淎WS-RunPatchBaseline鈥 y lo observar谩s en las opciones correspondientes en Patch Manager.

Patch Manager no admite actualizaciones de versiones principales (major versions) de Sistemas Operativos como ir de Windows Server 2019 a 2022 o RHEL 7 a RHEL 8.

隆Listo!, una vez realizado estos pasos, est谩 automatizado el proceso de aplicaci贸n de parches en tus instancias EC2 en AWS y lo podr谩s monitorizar desde la opci贸n Managed Instances en el servicio AWS Systems Manager.

Te recomiendo ver una versi贸n m谩s detallada de este proceso en el Blog Aplicaci贸n de parches a sus instancias de Windows EC2 con AWS Systems Manager Patch Manager de Stefan Minhas 馃槈.

Conclusiones

Es completamente posible automatizar la aplicaci贸n de parches en los recursos en AWS incluso en instancias On-premises que han sido asociadas al servicio AWS Systems Manager.

AWS Systems Manager es un servicio para la gesti贸n y monitorizaci贸n de los recursos en AWS que nos permite mantener una administraci贸n adecuada de la Nube.

Patch Manager nos provee de L铆neas Base predefinidas para mantener actualizados a nuestros servidores de forma autom谩tica, pero es importante comprender que AWS no prueba est谩s actualizaciones previamente ya que en su mayor铆a son de terceros, por lo que debemos considerarlo en nuestra estrategia de gesti贸n.

Patch Manager maneja solamente actualizaciones menores (minor versions), no est谩 pensado para hacer migraciones de versiones principales.

Hay muchas otras opciones de Patch Manager que no se han visto en esta gu铆a de como parchear los servidores en AWS, como notificaciones, reportes y evaluaci贸n de cumplimiento; sin embargo, son muy 煤tiles ya en un escenario empresarial y deber铆an considerarse.

Top comments (0)