Verwenden Sie das trendmicro:patch-exclude=true AWS-Tag, um zu verhindern, dass der Task Definition Patcher Task-Definitionen in
einem bestimmten ECS-Cluster ändert, ohne die Laufzeitsicherheit in der TrendAI Vision One™-Konsole zu deaktivieren.
Standardmäßig, wenn die Laufzeitsicherheit auf einem Amazon ECS-Cluster aktiviert
ist, modifiziert der Task Definition Patcher automatisch Fargate-Aufgabendefinitionen,
um Container Security-Container einzuschließen. Wenn Sie die Laufzeitsicherheit in
der Konsole für einen Cluster aktiviert lassen, aber verhindern möchten, dass der
Patcher Änderungen an den Aufgabendefinitionen dieses Clusters vornimmt, können Sie
das Tag
trendmicro:patch-exclude=true direkt auf die ECS-Cluster-Ressource in AWS anwenden. |
Wichtig
|
Patch-Verhalten mit dem Ausschluss-Tag
Die folgende Tabelle beschreibt, wie sich der Task Definition Patcher verhält, je
nachdem, ob das
trendmicro:patch-exclude=true-Tag im Cluster vorhanden ist.|
Auslösen
|
Tag fehlt
|
Tag vorhanden (
true) |
|
Laufzeitsicherheit auf dem Cluster aktiviert
|
Cluster ist gepatcht
|
Cluster ist in der Konsole als aktiviert markiert, aber es werden keine Patches angewendet
|
|
CloudFormation-Stack
erstellen oder aktualisieren stimmt den Cluster ab |
Cluster ist gepatcht oder aktualisiert
|
Cluster bleibt unberührt
|
|
ECS-Dienstbereitstellungsereignis wird für den Cluster ausgelöst
|
Dienst ist gepatcht
|
Übersprungen
|
|
Ereignis zur Zustandsänderung der eigenständigen Aufgabe wird für den Cluster ausgelöst
|
Aufgabe ist gepatcht
|
Übersprungen
|
|
Laufzeitsicherheit im Cluster deaktiviert
|
Cluster wird verteilt
|
Cluster wird verteilt
|
|
CloudFormation-Stack ist deinstalliert
|
Cluster wird verteilt
|
Cluster wird verteilt
|
|
Tags zu einem Cluster hinzugefügt (keine weitere Aktion durchgeführt)
|
N/A
|
Nichts geschieht automatisch – bestehende Patches bleiben bestehen
|
|
Tags aus einem Cluster entfernt
|
N/A
|
Nichts geschieht automatisch – der Patcher wird das Patchen beim nächsten Abgleich,
bei der Bereitstellung des Dienstes oder beim Task-Ereignis fortsetzen
|
Häufige Anwendungsfälle
- Steuern Sie, welche Cluster gepatcht werden
-
Wenden Sie das
trendmicro:patch-exclude=trueTag auf Cluster an, die Sie außerhalb des Bereichs des Patchers halten möchten. Neue Patches werden nicht auf diese Cluster angewendet; alle Aufgabendefinitionen, die bereits gepatcht wurden, bleiben unverändert. - Container Security vollständig aus einem ausgeschlossenen Cluster entfernen
-
Deaktivieren Sie die Laufzeitsicherheit im Cluster über die TrendAI Vision One™-Konsole. Das Entfernen von Patches wird immer ausgeführt, unabhängig davon, ob das Ausschluss-Tag vorhanden ist.
- Patchen für einen zuvor ausgeschlossenen Cluster wieder aktivieren
-
Entfernen Sie das
trendmicro:patch-exclude=true-Tag aus dem Cluster in AWS. Der Patcher wird beim nächsten Abgleich, der ECS-Service-Bereitstellung oder einem Task-Ereignis fortgesetzt. Im TrendAI Vision One™-Konsolenbereich sind keine weiteren Maßnahmen erforderlich.
Wenden Sie das Ausschluss-Tag in AWS an
-
Melden Sie sich bei der AWS Management Console an und navigieren Sie zu Amazon ECS.
-
Wählen Sie Clusters und klicken Sie auf den Namen des Clusters, den Sie ausschließen möchten.
-
Auf der Cluster-Detailseite klicken Sie auf die Tags-Registerkarte.
-
Klicken Sie auf Manage tags und dann auf Add tag.
-
Geben Sie die folgenden Werte ein und klicken Sie dann auf Speichern:
-
Schlüssel:
trendmicro:patch-exclude -
Wert:
wahr
-
|
WichtigGeben Sie den Tag-Wert als
true in Kleinbuchstaben ein. Jede andere Großschreibung wird vom Patcher ignoriert. |