翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ハイブリッドクラウド環境におけるオンプレミスインスタンスのパッチソリューション設計
<a name="design-on-premises"></a>

このガイドで説明されているソリューションを拡張して、ハイブリッドクラウド環境のオンプレミスサーバーインスタンスにパッチを適用することもできます。

オンプレミス・インスタンスの標準的なパッチ適用プロセスは、次の 2 つのステップで構成されます。
+ オンプレミスサーバーを Systems Manager によって管理されるように設定します。このプロセスの詳細については、Systems Manager ドキュメントの[「ハイブリッド環境用の Systems Manager のセットアップ」](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-managedinstances.html)を参照してください。
+  AWS Command Line Interface (AWS CLI) の [「add-tags-to-resourceコマンド」](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html) を使用して、これらのオンプレミスの管理対象インスタンスに適切な **[パッチグループ]** と **[メンテナンスウィンドウ]** タグを設定します。

ただし、このアプローチでは、パッチグループまたはメンテナンスウィンドウに変更を実行するたびに、アプリケーションチームまたはクラウドチームが AWS CLI コマンドを手動で実行する必要があります。

## 自動化プロセス
<a name="on-premises-auto-process"></a>

次の図は、Systems Manager カスタムインベントリオプションを使用するオンプレミスインスタンスにパッチを適用する代替方法を示しています。このプロセスは、先ほど説明した変更可能な EC2 インスタンス用の自動パッチ適用ソリューションを拡張したものです。

 ![\[Reference architecture and workflow for patching mutable EC2 instances that span multiple AWS accounts and AWS Regions\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patch-management-hybrid-cloud/images/patching-process-on-premises.png) 

1. Systems Manager は、タグを使用する代わりに、カスタムインベントリコレクションを通じてオンプレミスの管理対象インスタンスからパッチ情報 (パッチグループとメンテナンスウィンドウ) を取得します。

   ```
   Sample custom inventory JSON file
   {
       "SchemaVersion": "1.0",
       "TypeName": "Custom:PatchInformation",
       "Content": {
           "Patch Group": "<APP-PROD>",
           "Maintenance Window": "XXX"
       }
   }
   ```

1. ラムダ `automate-patch` 機能は毎日実行され、オンプレミスのサーバーカスタムインベントリからパッチグループとメンテナンスウィンドウの情報を収集し、管理対象のインスタンスに**[パッチグループ] **と**[メンテナンスウィンドウ] **のタグを作成します。

1. 次にLambda `automate-patch` 関数は、収集したカスタムインベントリに基づいて、適切なパッチグループとメンテナンスウィンドウを作成または更新し、パッチグループをパッチベースラインに関連付け、パッチスキャンを設定し、パッチタスクを展開します。オプションで、`automate-patch` 機能は CloudWatch Events にイベントを作成し、差し迫ったパッチをユーザーに通知します。

1. メンテナンスウィンドウに基づき、イベントはアプリケーションチームに、間近に迫ったパッチ処理の詳細を示すパッチ通知を送信します。

1. パッチマネージャーは、定義されたスケジュールとパッチグループに基づいてシステムパッチを実行します。

1. Systems Manager Inventory のリソースデータ同期が、パッチの詳細を収集し、S3 バケットにパブリッシュします。

1. パッチコンプライアンスレポートとダッシュボードは、S3 バケット情報から Quick に組み込まれています。

## アーキテクチャ上の考慮と制約事項
<a name="on-premises-considerations"></a>

前のセクションで説明したように、オンプレミスインスタンスにパッチを適用するには、カスタムインベントリを使用する方法とタグを使用する方法の 2 つがあります。それぞれのアプローチの長所と短所は以下の通りです。

**オプション 1. カスタムインベントリをパッチ情報に使用する**
+ オンプレミスサーバーを操作するアプリケーションチームがカスタムインベントリファイルにパッチ情報を設定し、Systems Manager がその情報を選択します。
+ 次に、カスタムインベントリパッチ情報を使用してパッチタスクが作成されます。

メリット：
+ ファイルの更新のみが必要なため、設定がはるかに簡単になります。

デメリット：
+ パッチ設定の変更は、インベントリ収集スケジュールに限定されます。

**オプション 2. オンプレミスのマネージドインスタンスにタグを使用する**
+ オンプレミスサーバーを使用するアプリケーションチームは、適切な**パッチ情報とともに を使用してパッチグループ**タグと**メンテナンスウィンドウ**タグを作成します。 AWS CLI 
+ タグ情報はパッチタスクの作成に使用されます。

メリット：
+ パッチ適用の標準化 AWS と自動化を推進するための、オンプレミスと 全体の一貫したアプローチ。

デメリット:
+ オンプレミスインスタンスを操作するアプリケーションチームは、タグを作成または更新 AWS CLI するために を学習して使用する必要があります。