本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 混合雲端環境中內部部署執行個體的修補解決方案設計
<a name="design-on-premises"></a>

您也可以擴展本指南所述的解決方案，以在混合雲端環境中修補內部部署伺服器執行個體。

內部部署執行個體的標準修補程序包含兩個步驟：
+ 您可以將內部部署伺服器設定為由 Systems Manager 管理。如需此程序的詳細資訊，請參閱 [Systems Manager 文件中的為混合環境設定](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-managedinstances.html) Systems Manager。
+ 您可以使用 AWS Command Line Interface (AWS CLI) [add-tags-to-resource 命令](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)，為這些內部部署受管執行個體設定適當的**修補程式群組****和維護時段**標籤。

不過，這種方法需要應用程式團隊或雲端團隊在想要對修補程式群組或維護時段執行變更時手動執行 AWS CLI 命令。

## 自動化程序
<a name="on-premises-auto-process"></a>

下圖說明使用 Systems Manager 自訂庫存選項修補內部部署執行個體的替代方法。此程序是我們先前針對可變 EC2 執行個體所述自動化修補解決方案的延伸。

 ![\[Reference architecture and workflow for patching mutable EC2 instances that span multiple AWS accounts and AWS Regions\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patch-management-hybrid-cloud/images/patching-process-on-premises.png) 

1. Systems Manager 不會使用標籤，而是透過自訂庫存集合，從內部部署受管執行個體擷取修補程式資訊 （修補程式群組和維護時段）。

   ```
   Sample custom inventory JSON file
   {
       "SchemaVersion": "1.0",
       "TypeName": "Custom:PatchInformation",
       "Content": {
           "Patch Group": "<APP-PROD>",
           "Maintenance Window": "XXX"
       }
   }
   ```

1. Lambda `automate-patch`函數每天執行，從內部部署伺服器自訂庫存收集修補程式群組和維護時段資訊，並在受管執行個體上建立**修補程式群組****和維護時段**標籤。

1. 然後，Lambda `automate-patch`函數會建立或更新適當的修補程式群組和維護時段、將修補程式群組與修補程式基準建立關聯、設定修補程式掃描，並根據收集的自訂庫存部署修補任務。或者，該`automate-patch`函數也會在 CloudWatch Events 中建立事件，以通知使用者即將發生的修補程式。

1. 根據維護時段，事件會傳送修補程式通知給應用程式團隊，其中包含即將修補操作的詳細資訊。

1. 修補程式管理員會根據定義的排程和修補程式群組執行系統修補。

1. Systems Manager 庫存中的資源資料同步會收集修補詳細資訊，並將其發佈至 S3 儲存貯體。

1. 修補程式合規報告和儀表板內建於 S3 儲存貯體資訊的 Quick 中。

## 架構考量和限制
<a name="on-premises-considerations"></a>

如前幾節所述，修補內部部署執行個體的方法有兩種：透過自訂庫存或使用標籤。以下是每種方法的優點和缺點。

**選項 1。使用自訂庫存以取得修補程式資訊**
+ 使用內部部署伺服器的應用程式團隊會在自訂庫存檔案中設定修補程式資訊，Systems Manager 會挑選該資訊。
+ 接著會使用自訂庫存修補程式資訊來建立修補程式任務。

優點：
+ 設定更為簡單，因為它只涉及檔案更新。

缺點：
+ 修補程式組態的變更僅限於庫存收集排程。

**選項 2。使用現場部署受管執行個體的標籤**
+ 使用內部部署伺服器的應用程式團隊會使用 AWS CLI 搭配適當的修補程式資訊來建立**修補程式群組****和維護時段**標籤。
+ 標籤資訊用於建立修補程式任務。

優點：
+ 跨內部部署 AWS 和內部部署的一致方法，以推動修補標準化和自動化。

缺點：
+ 使用現場部署執行個體的應用程式團隊必須學習和使用 AWS CLI 來建立或更新標籤。