SSM part 2 Flashcards
SSM Automation
Для чего этот сервис?
Что там конкретно можно делать?
- EC2 instance
- AMI
- EBS Snapshot
- RDS Snapshot
- EBS Volume
Для выполнения операций с EC2, EBS, RDS и других
- restart EC2 instance
- создать AMI
- создать EBS Snapshot
- создать RDS Snapshot
- detach EBS Volume
SSM Document для SSM Automation
Как называется? Каких типов бывает?
Как можно вызвать SSM Automation по расписанию?
Как связан с AWS Config? Как это называется? Конкретный пример
SSM Document для SSM Automation называется Automation Runbook
Бывает Pre-defined и Custom
По расписанию
- через EventBridge Cron event
- через Maintenance Window
SSM Automation может быть вызван сервисом AWS Config,
если ресурс оказался НЕ compliant с AWS Config Rule
(такой процесс называется “rule remediation”)
AWS Config распознал, что новый S3 bucket имеет НЕ активный versioning => вызвал SSM Automation (в качестве remediation) => SSM активировал S3 versioning
SSM Automation
Как можно использовать для экономии денег ночью?
Какие есть варианты?
Для каких серверов это можно сделать?
stop/resize instance на ночь по EventBridge расписанию
для EC2, RDS
SSM Automation
Как можно использовать для автоматизации Golden Image?
Что будет происходить с Golden Image?
EventBridge, Parameter Store
- Каждую неделю
EventBridgeвызываетSSM AutomationназываемуюCreateImage -
SSM Automationизготавливает новый Golden Image -
SSM Automationвызывает Лямбда функцию - Лямбда функция обновляет
ami-idвSSM Parameter Store
SSM Patch Manager
Что такое patching? Чего он касается?
Через что он реализован?
На каких ОС поддерживается? Поддерживается ли в On-Premise?
Patching - это обновления (ОС, приложения, Security, драйверов)
SSM Agent, установленный на сервере, будет запрашивать SSM API, чтобы получить обновления.
- EC2 instances, On-premise
- Linux, macOS, Windows
Maintenance Windows
Какую возможность даёт этот сервис?
Какие примеры?
Какие настройки включает в себя Maintenance Window?
Maintenance Windows - возможность указать расписание, когда выполнять операции с EC2 instance’ами (Patching, Automation)
Например, обновить ОС, обновить драйвера, установить программу.
- Расписание
- Длительность
- Список зарегистрированных instance’ов
- Список зарегистрированных задач
Maintenance Windows
- rate control
- concurrency
- error threshold
Что это за настройки?
-
concurrency- максимальное число instance’ов, на которых обновление происходит параллельно -
error threshold- процент/количество ошибок для остановки распространения обновления
Patch Compliance Report
Что это такое? Кто его создаёт? Где его хранят?
-
SSM Patch Managerсканирует instance -
SSM Patch ManagerгенерируетPatch Compliance Reportи отправляет его вS3 -
Patch Compliance Reportэто список всех недостающих обновлений
Patch Baseline
Что это такое? Что он включает? Что с ним можно делать?
Какое значение имеет по-умолчанию?
Patch Baseline - это сущность сервиса SSM Patch Manager, в которой мы определяем,
какие обновления (patches) должны (или НЕ должны) быть установлены на наши instance’ы.
Можно апрувать Patch Baselines, когда их релизят
По-умолчанию Patch Baselines включают в себя только КРИТИЧЕСКИЕ патчи и SECURITY патчи на instance’ы, которые управляются SSM Patch Manger’ом
Patch Group
Что это такое? Как это можно создать технически?
Как это нужно создавать по-смыслу? Какие есть органичения при создании?
Patch Group - это группа instance’ов, связанная с конкретным Patch Baseline’ом
Группировать instance’ы имеет смысл по окружениям (dev, test, prod)
Группы формируются с помощью тэга Patch Group
Если тэг Patch Group НЕ указан для instance’а,
то это приравнивается к тэгу Patch Group: Default
Ограничение
Instance может входить только в ОДНУ Patch Group’у
