运维管理

AWS Systems Manager 舰队管理 - 补丁应用、清单收集与 Run Command 自动化

通过 Patch Manager 自动化补丁应用,通过 Run Command 高效执行远程操作。同时介绍 Session Manager 实现的免 SSH Shell 访问。

約 1 分で読めます

Systems Manager 的主要功能

Systems Manager 是一项统一管理 EC2 实例和本地服务器运维的服务。安装了 SSM Agent 的实例作为托管节点进行管理,提供补丁应用、命令执行、会话连接、清单收集和参数管理等功能。SSM Agent 已预装在 Amazon Linux 2、Amazon Linux 2023、Ubuntu 和 Windows Server 的 AMI 中。Systems Manager 本身免费使用,仅产生 EC2 实例的费用。

通过 Patch Manager 进行补丁管理

Patch Manager 自动化 OS 和应用程序的补丁应用。通过补丁基线定义要应用的补丁分类(安全、错误修复、功能增强)和严重程度(Critical、Important、Medium、Low),并设置批准规则(如发布后 7 天自动批准等)。通过维护窗口定义补丁应用的计划(如每周日凌晨 2:00 等),在业务时间外自动执行。补丁合规性仪表板可一览整个舰队的补丁应用状况,快速定位未应用补丁的实例。还可设置在补丁应用前自动获取快照,以便在补丁应用后出现问题时进行回滚。

Run Command 与 Session Manager

Run Command 是将 SSM 文档(预定义的命令集)远程执行到托管节点的功能。通过 AWS-RunShellScript 执行 Shell 命令,通过 AWS-RunPowerShellScript 执行 PowerShell 命令。目标可通过标签、资源组或手动选择指定,可同时向数千台实例发送命令。Session Manager 提供基于浏览器的 Shell 访问,无需管理 SSH 密钥或在安全组中开放 SSH 端口。会话日志自动记录到 S3 或 CloudWatch Logs,可审计谁在何时执行了什么命令。 关于 Systems Manager 的详细解析,也可参考Amazon 的相关书籍

Systems Manager 的定价

Systems Manager 的主要功能(Patch Manager、Run Command、Session Manager、Inventory)免费使用。SSM Agent 的安装和运行也不产生额外费用。产生费用的仅限于高级功能,如 Advanced 参数(Parameter Store 中超过 8 KB 的参数,每月约 0.05 美元/参数)、OpsCenter 的 OpsItem(每 1,000 条约 2.97 美元)、Change Manager 的变更请求(每 1,000 条约 0.326 美元)等。对于所有运行 EC2 的环境,没有理由不启用免费的基本功能。

总结

Systems Manager 是统一和自动化 EC2 舰队运维管理的服务。通过 Patch Manager 自动化补丁应用,通过 Run Command 高效执行远程操作,通过 Session Manager 提供安全的 Shell 访问。免费使用,推荐在所有运行 EC2 的环境中部署。

相关服务

AWS Systems Manager统一管理 AWS 资源和本地服务器的运维管理服务Amazon EC2在云端提供虚拟服务器的计算服务Amazon CloudWatch提供 AWS 资源和应用程序的监控、日志管理和告警的服务

相关文章

AWS Secrets Manager 的密钥管理 - 自动轮换与应用集成通过 Lambda 函数自动轮换 RDS/Aurora 密码,使用 SDK 缓存库从应用无缝获取。还介绍与 Parameter Store 的选择。使用 AWS AppConfig 实现功能开关 - 安全的配置部署与回滚通过 Linear 和 Exponential 策略对独立于代码部署的配置变更进行渐进式发布。利用 CloudWatch 告警联动的自动回滚确保安全性。EC2 Instance Connect 免除 SSH 密钥管理 - 通过浏览器和 CLI 安全连接解析 EC2 Instance Connect 的无密钥 SSH 连接、基于 IAM 的访问控制以及 Endpoint 的使用方法。

本主题的更多内容

AWS 内部时间同步机制 - Amazon Time Sync Service 与闰秒平滑处理的设计解析 AWS 自主运营的 Amazon Time Sync Service 的工作原理、基于 GPS 和原子钟的高精度时间源、通过平滑处理吸收闰秒的设计决策,以及分布式系统中时间同步的重要性。使用 AWS AppFabric 集中 SaaS 审计日志 - OCSF 标准化与 Security Lake 集成详解 AppFabric 收集 SaaS 应用审计日志、转换为 OCSF 格式标准化,以及构建分析管道的方法。使用 AWS AppConfig 实现功能开关 - 安全的配置部署与回滚通过 Linear 和 Exponential 策略对独立于代码部署的配置变更进行渐进式发布。利用 CloudWatch 告警联动的自动回滚确保安全性。架构评审 - 使用 AWS Well-Architected Tool 系统化评估工作负载详解使用 AWS Well-Architected Tool 进行工作负载架构评审。介绍基于 6 大支柱的评估、改进计划的制定以及自定义透镜的应用。审计日志的设计与运维 - 使用 CloudTrail 完整记录 API 活动详解使用 AWS CloudTrail 设计审计日志的方法,介绍 API 活动记录、S3 长期保存以及与 Config 联动实现合规应对。从 AWS 故障报告 (COE) 中学习分布式系统的教训 - 历次大规模故障如何改变了设计原则从 AWS 公开的 Correction of Errors (COE) 和故障报告中,解析 S3 故障、us-east-1 DNS 故障、Kinesis 故障等历次大规模事件的根本原因,以及它们如何改变了 AWS 的设计原则。标签设计决定运维 - AWS 资源标签策略的冷知识与实践命名规则解析 AWS 资源标签不仅是简单标记,更是成本分配、访问控制、自动化基础的原因,以及标签键命名规则、50 个上限的使用方法、标签策略的治理。AWS 服务配额为何存在 - 保护共享基础设施的多租户设计解析 AWS 服务配额(原服务限制)不仅是简单的约束,而是在多租户环境中保护其他客户的设计,从嘈杂邻居问题、软限制与硬限制的区别、配额提升申请的内部机制进行说明。

相似的文章与服务

系统运维管理效率化 - 使用 Systems Manager 构建统一运维平台解析利用 AWS Systems Manager 的系统运维管理设计方法,介绍通过补丁管理、Parameter Store 和 Run Command 实现运维自动化的方法。AWS Systems Manager 的运维自动化 - 从补丁管理到会话管理的统一运维基础以 AWS Systems Manager 的补丁管理、清单、Run Command、Session Manager 为中心,与 Azure Automation 比较解析其作为运维自动化统一基础的优势。AWS Systems Manager集中管理 EC2 实例和本地服务器运维的服务,无需 SSH 即可安全执行补丁应用、命令执行、参数管理和会话连接EC2 Instance Connect 免除 SSH 密钥管理 - 通过浏览器和 CLI 安全连接解析 EC2 Instance Connect 的无密钥 SSH 连接、基于 IAM 的访问控制以及 Endpoint 的使用方法。