關於修補程式

您可以使用 Patch 對多個 Compute Engine VM 執行個體套用作業系統修補程式。長時間執行的 VM 需要定期更新系統,以免出現瑕疵和安全漏洞。

修補功能有兩個主要元件:

  • 回報修補程式是否符合相關法規:報告中會深入分析 Windows 和 Linux 發行版中各個 VM 執行個體的修補程式狀態。除了上述的洞察資料外,您也能查看 VM 執行個體的相關建議。
  • 修補程式部署作業會自動執行作業系統和軟體修補程式的更新程序。修補程式部署作業會排定修補工作修補工作會跨 VM 執行個體執行並套用修補程式。

優點

您可以透過 Patch 服務,靈活完成下列程序:

  • 建立修補程式核准作業。更新特定作業系統時,您可以從完整的更新內容集合中,選擇要對系統套用的修補程式。
  • 設定彈性排程。您可以選擇修補程式更新作業的執行時間 (一次性和週期性排程)。
  • 套用進階修補程式設定。您可以在設定中自訂修補程式,例如修補前/後指令碼。
  • 在同一處集中管理這些修補工作或更新作業。您可以使用修補程式資訊主頁監控及回報修補程式工作和法規遵循狀態。

定價

如需定價資訊,請參閱 VM 管理員定價

Patch 的運作方式

如要使用 Patch 功能,您必須設定 OS Config API 並安裝 OS Config 代理程式。如需詳細操作說明,請參閱「設定 VM 管理員」。OS 設定服務可在環境中啟用修補程式管理功能,而 OS 設定代理程式會使用每個作業系統的更新機制套用修補程式。更新會從套件存放區 (又稱為發行版來源套件) 或作業系統的本機存放區提取。

下列更新工具可用於套用修補程式:

  • Red Hat Enterprise Linux (RHEL)、Rocky Linux 和 CentOS - yum upgrade
  • Debian 和 Ubuntu - apt upgrade
  • SUSE Linux Enterprise Server (SLES) - zypper update
  • Windows - Windows Update 代理程式

修補程式和套件來源

如要使用 VM 管理員中的修補功能,VM 必須能存取套件更新或修補程式。修補服務不會代管或維護套件更新或修補程式。在某些情況下,您的 VM 可能無法存取更新。舉例來說,如果您的 VM 未使用公開 IP,或您使用的是私人虛擬私有雲網路,在這些情況下,您必須完成額外步驟,才能取得更新或修補程式的存取權。請考慮採用下列選項:

  • Google 建議您自行代管本機存放區或 Windows Server 更新服務,以便完全控管修補基準。
  • 或者,您也可以使用 Cloud NAT 或其他 Proxy 服務,讓 VM 使用外部更新來源。

修補程式管理服務包含兩項服務:修補程式部署和修補程式遵循規定。我們將在下列各節中說明各項服務。

修補程式部署總覽

您可以呼叫 VM Manager API (又稱為 OS Config API) 來啟動修補程式部署作業。您可以使用 Google Cloud 控制台、Google Cloud CLI 或直接 API 呼叫來執行這項操作。接著,VM Manager API 會通知在目標 VM 上執行的 OS 設定代理程式,開始修補作業。

OS 設定代理程式會使用各發行版可用的修補程式管理工具,在每個 VM 上執行修補作業。舉例來說,Ubuntu VM 會使用 apt 公用程式工具。公用程式工具會從作業系統的發行來源擷取更新 (修補程式)。修補作業進行時,OS 設定代理程式會將進度回報給 VM Manager API。

修補程式符合性總覽

在 VM 上設定 VM 管理工具後,VM 會執行以下操作:

  • OS Config 代理程式會定期 (約每 10 分鐘) 回報OS 資產資料
  • 修補相容性後端會定期讀取這項資料,並與從 OS 發行版取得的套件中繼資料交叉比對,然後儲存。
  • Google Cloud 控制台隨後會取得修補程式相容性資料,並在控制台中顯示這項資訊。

如何產生修補程式相容性資料

修補相容性後端會定期完成下列工作:

  1. 讀取從 VM 上的 OS 資產資料 收集到的報表。

  2. 掃描每個作業系統的漏洞來源,並根據嚴重性 (由高至低) 排序分類資料。

    下表列出各作業系統使用的漏洞來源。

    作業系統 安全漏洞來源套件
    RHEL 和 CentOS https://access.redhat.com/security/data

    RHEL 的安全漏洞掃描結果會根據每個已發布的主要版本的最新次要版本。掃描結果可能會因舊版 RHEL 的次版本而出現不準確的結果。
    Debian https://security-tracker.debian.org/tracker
    Ubuntu https://launchpad.net/ubuntu-cve-tracker
    SLES 不適用

    SLES 不支援回報修補程式是否符合相關法規
    Rocky Linux 不適用

    回報修補程式是否符合相關法規的功能支援 Rocky Linux。不過,系統無法依嚴重性分類漏洞資料。
    Windows 修補程式相容性後端會從 Windows Update Agent API 取得分類資料。

  3. 將這些分類 (由安全漏洞來源提供) 對應至 Google 的修補程式相容性狀態

    下表概述用於產生 Google 修補程式相容性狀態的對應系統。

    發布來源類別 Google 的修補程式法規遵循狀態
    • 重大
    • 緊急通知
    • WINDOWS_CRITICAL_UPDATE
    		 重要 (紅色)
    • 重要事項
    • WINDOWS_SECURITY_UPDATE
    		 重要/安全性 (橘色)
    • 其他
    		 其他 (黃色)
    • 沒有可用的更新
    		 已更新至最新版本 (綠色)

  4. 為每項可用的更新選取最高嚴重性資料,並顯示在 Google Cloud 控制台資訊主頁上。您也可以在 VM 詳細資料頁面查看 VM 的所有可用更新的完整報表。

舉例來說,如果 RHEL 7 VM 的OS 庫存資料 包含下列套件資料:

  • 套件名稱:package1
  • 已安裝的版本:1.4
  • 更新版本:2.0

修補程式相容性後端會掃描分類資料 (來自來源發行版),並擷取下列資訊:

  • 1.5 版 => 重要,修正 CVE-001
  • 1.8 版 => 低,修正 CVE-002
  • 版本 1.9 => 低,修正 CVE-003

接著,在 Google Cloud 控制台資訊主頁中,這個 RHEL 7 VM 會新增至可用的 Critical 更新 VM 清單。查看這個 VM 的詳細資料,您會看到 1 個可用的 Critical 更新 (版本 2.0),其中包含 3 個 CVE,分別是 CVE-001、CVE-002 和 CVE-003。

同時修補

啟動修補工作時,服務會使用您提供的執行個體篩選器,判斷要修補的特定執行個體。您可以使用執行個體篩選器同時修補多個執行個體。這項篩選作業會在排程工作後,修補工作開始計算環境變更時執行。

排程修補

您可以依需求執行修補程式、事先排定時間,或設定週期性排程。如果需要立即停止,也可以取消進行中的修補工作。

您可以建立修補程式部署作業,並指定頻率和時間長度,藉此設定修補程式維護期。排定修補工作時,請指定修補工作時間長度,確保修補工作不會在指定的維護期間外開始。

您也可以建立修補程式部署作業,在特定時間完成部署,藉此強制執行修補程式安裝期限。如果指定的 VM 未在這個日期前修補,則排定的部署作業會在這個日期開始安裝修補程式。如果 VM 已修補,除非指定修補前或修補後指令碼,或需要重新啟動,否則系統不會對這些 VM 採取任何行動。

修補作業包含哪些內容?

當修補工作在 VM 上執行時,系統會根據作業系統套用多種更新。您可以選擇指定特定更新、套件,或是在 Windows 作業系統中指定要更新的 KB ID。

您也可以使用修補工作,更新任何以標準套件形式安裝於特定發行版的 Google 代理程式。請使用該發行版的更新工具查詢可用的套件。舉例來說,如要查看 Ubuntu 作業系統適用的 Google 代理程式,請執行 apt list --installed | grep -P 'google'

Windows

針對 Windows 作業系統,您可以套用所有更新,或從下列更新中選取:

  • 定義更新
  • 驅動程式更新
  • 功能包更新
  • 安全性更新
  • 工具更新

RHEL/Rocky/CentOS

針對 Red Hat Enterprise Linux、Rocky Linux 和 CentOS 作業系統,您可以套用所有更新,也可以從下列更新中選取:

  • 系統更新
  • 安全性更新

Debian/Ubuntu

對於 Debian 和 Ubuntu 系統,您可以套用所有更新,或從下列更新中選取:

  • 發布更新
  • 套件管理工具更新

SUSE

針對 SUSE Enterprise Linux Server (SLES) 和 openSUSE 作業系統,您可以套用所有更新,或從下列更新中選取:

  • 系統套件更新
  • Zypper 修補程式 (特定錯誤修正和安全性修正)

存取 VM 的修補程式摘要

如要查看 VM 的修補程序摘要,您可以使用下列選項:

  • 如要查看機構或資料夾中所有 VM 的修補程式摘要資訊,請使用 Google Cloud 控制台的「Patch」資訊主頁。請參閱「查看 VM 的修補程式摘要」。

  • 如要查看修補工作狀態,請使用 Google Cloud 控制台的「修補工作」頁面。您也可以使用 Google Cloud CLI 或 OS Config API。詳情請參閱「管理修補工作」。

如要查看其他資訊 (例如 OS 套件更新和漏洞報告),請參閱「查看作業系統詳細資料」。

「Patch」資訊主頁

Google Cloud 控制台提供資訊主頁,可用於監控 VM 執行個體的修補程式相容性。

前往「Patch」頁面

修補資訊主頁。

瞭解「修補程式」資訊主頁

作業系統總覽

本節會根據作業系統顯示 VM 總數。如要讓 VM 顯示在這份清單中,必須先安裝 OS 設定代理程式,並啟用 OS 庫存管理功能。

「VM 數量」資訊卡。

如果虛擬機器的作業系統列為 No data,則下列一或多個情況可能為真:

  • VM 沒有回應。
  • 未安裝 OS 設定代理程式。
  • 未啟用 OS 庫存管理服務。

  • 不支援的作業系統。如需支援的作業系統清單,請參閱「支援的作業系統」。

修補程式法規遵循狀態

OS 專屬資訊卡。

本節將說明每個 VM 的合規狀態,並按作業系統分類。

法規遵循狀態分為四大類別:

  • 重大:表示 VM 有重大更新可用。
  • 重要或安全性:這表示 VM 有重要或安全性更新可用。
  • 其他:這表示 VM 有可用的更新,但這些更新都不會歸類為重大或安全性更新。
  • 已更新:這表示 VM 沒有可用的更新。

後續步驟