關於修補程式

您可以使用修補程式,對多個 Compute Engine VM 執行個體套用作業系統修補程式。長時間執行的 VM 需要定期更新系統,以免出現瑕疵和安全漏洞。

修補程式功能包含兩個主要元件:

  • 回報修補程式是否符合相關法規:報告中會深入分析 Windows 和 Linux 元件中各個 VM 執行個體的修補程式狀態。除了上述的深入分析結果之外,您也能查看 VM 執行個體的相關建議。
  • 部署修補程式:自動執行作業系統和軟體修補程式的更新程序。修補程式部署作業會排定修補工作修補工作會在 VM 執行個體之間執行並套用修補程式。

優點

透過 Patch 服務,您可以彈性完成下列程序:

  • 核准修補程式。更新特定作業系統時,您可以從完整的更新內容集合中,選擇要對系統套用的修補程式。
  • 設定彈性的排程。您可以選擇修補程式更新作業的執行時間 (一次性和週期性排程)。
  • 套用進階修補程式設定。您可以在設定中自訂修補程式,例如修補前/後指令碼。
  • 在同一處集中管理這些修補工作或更新作業。您可以使用修補程式資訊主頁,監控及回報修補程式工作和法規遵循狀態。

定價

如需定價資訊,請參閱 VM 管理員定價

Patch 的運作方式

如要使用修補程式功能,必須設定 OS Config API 並安裝 OS Config 代理程式。如需詳細操作說明,請參閱「設定 VM 管理員」。OS 設定服務可讓您在環境中管理修補程式,而 OS 設定代理程式則會使用各作業系統的更新機制套用修補程式。更新會從套件存放區 (也稱為「發行來源套件」) 或作業系統的本機存放區提取。

下列更新工具可用於套用修補程式:

  • Red Hat Enterprise Linux (RHEL)、Rocky Linux 和 CentOS - yum upgrade
  • Debian 和 Ubuntu - apt upgrade
  • SUSE Linux Enterprise Server (SLES) - zypper update
  • Windows - Windows Update 代理程式

修補程式和套件來源

如要在 VM 管理員中使用修補程式功能,VM 必須能存取套件更新或修補程式。修補程式服務不會代管或維護套件更新或修補程式。在某些情況下,VM 可能無法存取更新。 舉例來說,如果 VM 未使用公開 IP,或您使用的是私人虛擬私有雲網路。在這些情況下,您必須完成額外步驟,才能允許存取更新或修補程式。請考慮採用下列選項:

  • Google 建議您自行代管本機存放區或 Windows Server Update Service,以便全面掌控修補程式基準。
  • 或者,您也可以使用 Cloud NAT 或其他 Proxy 服務,讓 VM 存取外部更新來源。

修補程式管理包含兩項服務:修補程式部署和修補程式合規性。以下各節將說明各項服務。

修補程式部署作業總覽

如要啟動修補程式部署作業,請呼叫 VM 管理員 API (也稱為 OS 設定 API)。您可以透過Google Cloud 控制台、Google Cloud CLI 或直接呼叫 API 執行這項操作。接著,VM 管理員 API 會通知在目標 VM 上執行的 OS 設定代理程式開始修補。

OS 設定代理程式會使用各發行版本適用的修補程式管理工具,在每個 VM 上執行修補作業。舉例來說,Ubuntu VM 會使用 apt 公用程式工具。這項公用程式會從作業系統的發布來源擷取更新 (修補程式)。修補作業進行時,OS 設定代理程式會向 VM 管理員 API 回報進度。

修補程式合規性總覽

在 VM 上設定 VM 管理工具後,VM 會發生下列情況:

  • OS Config 代理程式會定期 (約每 10 分鐘) 回報 OS 資產資料
  • 修補程式合規性後端會定期讀取這項資料,並與從 OS 發行版本取得的套件中繼資料交叉參照,然後儲存資料。
  • Google Cloud 主控台隨後會取得修補程式合規資料,並在主控台中顯示這項資訊。

修補程式合規資料的產生方式

修補程式合規性後端會定期完成下列工作:

  1. 讀取從 VM 的作業系統資產資料 收集的報表。

  2. 掃描每個作業系統的弱點來源,找出分類資料,並依嚴重程度排序 (從高到低)。

    下表摘要說明各作業系統使用的安全漏洞來源。

    作業系統 安全漏洞來源套件
    RHEL 和 CentOS https://access.redhat.com/security/data

    RHEL 的安全漏洞掃描結果是以每個發布的主要版本中,最新的次要版本為準。如果 RHEL 的次要版本較舊,掃描結果可能會有誤。
    Debian https://security-tracker.debian.org/tracker
    Ubuntu https://launchpad.net/ubuntu-cve-tracker
    SLES 不適用

    SLES 不支援回報修補程式是否符合相關法規
    Rocky Linux 不適用

    Rocky Linux 支援回報修補程式是否符合相關法規。不過,系統不會依嚴重程度分類安全漏洞資料。
    Windows 修補程式合規性後端會透過 Windows Update 代理程式 API 取得分類資料。

  3. 將這些分類 (由安全漏洞來源提供) 對應至 Google 的修補程式合規狀態

    下表彙整了用於產生 Google 修補程式合規狀態的對應系統。

    發布來源類別 Google 的修補程式法規遵循狀態
    • 重大
    • 緊急通知
    • WINDOWS_CRITICAL_UPDATE
    		 嚴重 (紅色)
    • 重要事項
    • WINDOWS_SECURITY_UPDATE
    		 重要/安全性 (橘色)
    • 其他
    		 其他 (黃色)
    • 沒有可用的更新
    		 最新 (綠色)

  4. 為每個可用更新選取最高嚴重程度的資料,並顯示在 Google Cloud 控制台資訊主頁上。您也可以在「VM 詳細資料」頁面查看 VM 的所有可用更新完整報告。

舉例來說,如果 RHEL 7 VM 的OS 庫存資料 包含下列套件資料:

  • 套件名稱:package1
  • 已安裝的版本:1.4
  • 更新版本:2.0

修補程式合規性後端會掃描分類資料 (來自來源發行版本),並擷取下列資訊:

  • 1.5 版 => 嚴重,修正 CVE-001
  • 1.8 版 => 低,修正 CVE-002
  • 版本 1.9 => 低,修正 CVE-003

接著,在 Google Cloud 控制台資訊主頁上,這個 RHEL 7 VM 會新增至有 Critical 可用更新的 VM 清單。如果您查看這個 VM 的詳細資料,會看到 1 項可用的更新 (版本 2.0),其中包含 3 個 CVE,分別是 CVE-001、CVE-002 和 CVE-003。Critical

同時修補

啟動修補程式工作時,服務會使用您提供的執行個體篩選器,判斷要修補的特定執行個體。執行個體篩選器可讓您同時修補多個執行個體。修補程式工作開始後,系統會進行這項篩選作業,以因應工作排定後環境的變化。

排定修補

您可以視需要執行修補程式、預先排定修補程式,或設定定期排程。如需立即停止修補工作,也可以取消正在執行的修補工作。

您可以建立修補程式部署作業,並指定頻率和時間長度,藉此設定修補程式維護期。排定修補工作時指定時間長度,可確保修補工作不會在您指定的維護期間外啟動。

您也可以建立修補程式部署作業,在特定時間完成,藉此強制執行修補程式安裝期限。如果目標 VM 未在該日期前完成修補,排定的部署作業就會在該日期開始安裝修補程式。如果 VM 已修補,系統不會對這些 VM 採取任何行動,除非指定修補前或修補後指令碼,或需要重新啟動。

修補作業包含哪些內容?

在 VM 上執行修補工作時,系統會根據作業系統套用更新組合。您可以選擇指定要更新的項目,例如更新、套件,或是 Windows 作業系統的 KB ID。

您也可以使用修補程式工作,更新以特定發行版本標準套件形式安裝的任何 Google 代理程式。使用該發布版本的更新工具查詢可用的套件。舉例來說,如要查看 Ubuntu 作業系統適用的 Google 代理程式,請執行 apt list --installed | grep -P 'google'

Windows

如果是 Windows 作業系統,您可以套用所有更新,或從下列更新中選取:

  • 定義更新
  • 驅動程式更新
  • 功能套件更新
  • 安全性更新
  • 工具更新

RHEL/Rocky/CentOS

如果是 Red Hat Enterprise Linux、Rocky Linux 和 CentOS 作業系統,您可以套用所有更新,或從下列更新中選取:

  • 系統更新
  • 安全性更新

Debian/Ubuntu

在 Debian 和 Ubuntu 系統上,您可以套用下列所有更新,或選取部分更新:

  • 發布動態
  • 套件管理工具更新

SUSE

如果是 SUSE Enterprise Linux Server (SLES) 和 openSUSE 作業系統,您可以套用所有更新,或從下列更新中選取:

  • 系統套件更新
  • Zypper 修補程式 (特定錯誤修正和安全性修正)

存取 VM 的修補程式摘要

如要查看 VM 的修補程式摘要,請選擇下列做法:

  • 如要查看機構或資料夾中所有 VM 的修補程式摘要資訊,請使用 Google Cloud 控制台的修補程式資訊主頁。請參閱「查看 VM 的修補程式摘要」。

  • 如要查看修補程式工作的狀態,請使用 Google Cloud 控制台的「修補程式工作」頁面。您也可以使用 Google Cloud CLI 或 OS Config API。詳情請參閱「管理修補程式工作」。

如要查看其他資訊 (例如作業系統套件更新和安全漏洞報告),請參閱查看作業系統詳細資料

Patch 資訊主頁

在 Google Cloud 控制台中,您可以透過資訊主頁監控 VM 執行個體的修補程式合規情形。

前往「Patch」(修補程式) 頁面

修補程式資訊主頁。

瞭解 Patch 資訊主頁

作業系統總覽

這個部分會顯示 VM 總數,並依作業系統分類。如要讓 VM 出現在這個清單中,必須安裝 OS 設定代理程式,並啟用 OS 庫存管理服務。

VM 數量資訊卡。

如果 VM 的作業系統列為 No data,可能是因為下列一或多種情況:

  • VM 沒有回應。
  • 未安裝 OS 設定代理程式。
  • 尚未啟用 OS 庫存管理服務。
  • 不支援該作業系統。如需支援的作業系統清單,請參閱「支援的作業系統」。

修補程式法規遵循狀態

特定作業系統的資訊卡。

本節說明各個 VM 的合規狀態,並依作業系統分類。

合規狀態分為四個主要類別:

  • 重大:這表示 VM 有重大更新可用。
  • 重要或安全性:這表示 VM 有可用的重要或安全性更新。
  • 其他:這表示 VM 有可用更新,但這些更新都不屬於重大或安全性更新。
  • Up-to-date:表示 VM 沒有可用的更新。

後續步驟