全部产品
Search

搜索本产品

    CloudOps Orchestration Service:Cara kerja pengelola patch

    文档中心

    CloudOps Orchestration Service:Cara kerja pengelola patch

    更新时间:Jul 02, 2025

    Topik ini menjelaskan cara kerja pengelola patch, serta cara memindai patch sistem untuk memeriksa statusnya dan menginstal patch yang hilang.

    Linux

    Sistem operasi Linux yang didukung oleh pengelola patch meliputi CentOS, Alibaba Cloud Linux, Debian, dan Ubuntu. Sistem operasi yang berbeda menggunakan pengelola paket yang berbeda. Pengelola paket tersebut memiliki prinsip yang berbeda dalam memindai dan menginstal patch sistem.

    Sistem operasi

    Pengelola paket

    CentOS 7, Alibaba Cloud Linux 2, dan Red Hat Enterprise Linux 7

    YUM

    CentOS Stream 9, Alibaba Cloud Linux 3, Red Hat Enterprise Linux 8 dan 9, Anolis OS 8, AlmaLinux OS 8 dan 9, Rocky Linux 8 dan 9, dan Fedora 37, 38, dan 39

    DNF

    Ubuntu 16.04, 18.04, 20.04, 22.04, dan 24.04

    APT

    Debian 11/12

    APT

    SUSE Linux Enterprise Server (SLES) 12 dan 15, dan openSUSE 15

    Zypper

    Cara kerja baseline patch pada YUM atau DNF

    Sistem operasi seperti CentOS, Alibaba Cloud Linux, Red Hat Enterprise Linux, dan Anolis OS menggunakan YUM atau DNF untuk mengelola paket perangkat lunak. Kedua pengelola paket tersebut mendukung fitur notifikasi pembaruan. Di dalam repositori perangkat lunak, file bernama updateinfo.xml menyimpan notifikasi pembaruan keamanan perangkat lunak. Notifikasi pembaruan berisi sekumpulan paket perangkat lunak yang memperbaiki masalah tertentu. Paket perangkat lunak yang terdapat dalam notifikasi pembaruan dianggap sebagai paket keamanan. Jika Anda tidak memilih Include Non-security Updates saat membuat baseline patch, pengelola patch mengharuskan versi terbaru yang dapat ditingkatkan dari paket harus terdapat dalam notifikasi pembaruan.

    Tabel berikut menjelaskan bidang dalam file updateinfo.xml.

    Parameter

    Deskripsi

    tipe

    Jenis notifikasi pembaruan. Nilai yang valid:

    Keamanan

    Perbaikan Bug

    Penyempurnaan

    Disarankan

    Paket Baru

    judul

    Judul notifikasi pembaruan.

    tingkat keparahan

    Tingkat keparahan notifikasi pembaruan. Nilai yang valid:

    Kritis

    Penting

    Sedang

    Rendah

    Tidak ditentukan

    ringkasan

    Deskripsi singkat notifikasi pembaruan.

    deskripsi

    Deskripsi rinci notifikasi pembaruan.

    referensi

    Informasi referensi untuk notifikasi pembaruan. Informasi referensi mungkin mencakup kerentanan umum dan eksposur (CVE) serta informasi Bugzilla.

    pkglist

    Paket RPM yang terkait dengan notifikasi pembaruan.

    Pengelola patch menyaring notifikasi pembaruan yang disimpan dalam file updateinfo.xml berdasarkan aturan yang ditentukan oleh baseline patch. Sebagai contoh, baseline publik untuk CentOS menentukan aturan berikut:

    'PatchFilterGroup': [
    {
        'Values': [
            '*'
        ],
        'Key': 'Produk'
    },
    {
        'Values': [
            'Keamanan',
            'Perbaikan Bug'
        ],
        'Key':'Klasifikasi'
    },
    {
        'Values': [
            'Kritis',
            'Penting'
        ],
        'Key': 'Tingkat Keparahan'
    }
]

    Aturan sebelumnya digunakan untuk mencocokkan paket pembaruan bertipe Keamanan atau Perbaikan Bug dengan tingkat keparahan Kritis atau Penting untuk pemindaian atau instalasi. Aturan ini setara dengan perintah yum berikut:

    yum check-update --security --bugfix --secseverity=Kritis,Penting

    Aturan ini setara dengan perintah dnf berikut:

    dnf  check-update --security --bugfix --secseverity=Kritis
dnf  check-update --security --bugfix --secseverity=Penting

    Jika Anda tidak menentukan tipe dan tingkat keparahan patch yang perlu dipindai atau diinstal dalam aturan baseline kustom yang Anda buat, aturan tersebut setara dengan perintah yum dan dnf berikut:

    yum check-update --security
dnf check-update --security

    Setelah paket patch yang akan diinstal disaring, pengelola patch menjalankan perintah yum(update api) atau dnf update untuk menginstal paket patch. Setelah paket patch diinstal, pengelola patch memulai ulang instance. Jika Anda mengatur parameter Mengizinkan Restart ke Tidak, pengelola patch tidak akan memulai ulang instance.

    Catatan: Alibaba Cloud Linux 2 mendukung kernel live patching. Jika kernel live patching diaktifkan untuk instance Anda, dan hanya patch kernel live yang diinstal pada instance Anda, pengelola patch tidak akan memulai ulang instance. Untuk informasi lebih lanjut, lihat Ikhtisar fitur Kernel Live Patching.

    Cara kerja baseline patch pada APT

    Pada Debian dan Ubuntu, baseline patch memilih patch berdasarkan bidang Prioritas dan Bagian dari paket DEB. Bidang Prioritas menunjukkan prioritas paket, sedangkan bidang Bagian menunjukkan jenis paket.

    Pengelola patch memindai atau menginstal patch sistem berdasarkan langkah-langkah berikut:

    1. Jalankan perintah apt update untuk menyegarkan daftar paket di repositori perangkat lunak.

    2. Gunakan baseline patch untuk mencocokkan paket yang dapat ditingkatkan. Jika Anda tidak memilih Include Non-security Updates, pengelola patch mengharuskan versi terbaru yang dapat ditingkatkan dari paket harus ada di repositori keamanan. Berikut adalah daftar nama repositori keamanan pada sistem operasi yang berbeda:

    Debian Server 8: debian-security jessie
Debian Server 9: debian-security stretch
Debian Server 10: debian-security buster
Debian Server 11: debian-security bullseye
Debian Server 12: debian-security bookworm
Ubuntu Server 16.04 LTS: xenial-security
Ubuntu Server 18.04 LTS: bionic-security
Ubuntu Server 20.04 LTS: focal-security
Ubuntu Server 22.04 LTS: jammy-security

    Baseline publik untuk Debian atau Ubuntu menentukan aturan berikut untuk mencocokkan paket dengan prioritas Required atau Important:

    'PatchFilterGroup': [
    {
        'Values': [
            '*'
        ],
        'Key': 'Produk'
    },
    {
        'Values': [
            'Required',
            'Important'
        ],
        'Key': 'Tingkat Keparahan'
}

    Aturan sebelumnya setara dengan langkah-langkah berikut:

    1. Jalankan perintah apt list --upgradable untuk menanyakan semua paket yang dapat ditingkatkan.

    2. Jalankan perintah apt list -a nama-paket untuk menanyakan semua versi yang dapat ditingkatkan dari sebuah paket. Dalam keluaran perintah, versi paket diurutkan dari yang terbaru hingga yang paling lama.

    3. Jalankan perintah apt show nama-paket=={Versi} untuk memeriksa prioritas versi yang dapat diperbarui dari paket dan apakah versi tersebut memenuhi aturan baseline.

    4. Periksa apakah versi paket yang memenuhi aturan baseline ada di repositori keamanan.

    Pengelola patch menjalankan perintah apt update api untuk menginstal paket patch yang perlu diinstal. Setelah paket patch diinstal, pengelola patch memulai ulang instance. Jika Anda mengatur parameter Mengizinkan Restart ke Tidak, pengelola patch tidak akan memulai ulang instance.

    Cara kerja baseline patch pada Zypper

    Pada SLES dan openSUSE, Zypper menggunakan patch untuk mengelola patch sistem. Anda dapat menjalankan perintah zypper list-patches untuk mencantumkan patch yang berlaku. Patch digunakan untuk memperbaiki sekumpulan paket perangkat lunak tertentu. Tabel berikut menjelaskan atribut patch.

    status

    tidak diperlukan: Patch tidak diperlukan.

    terpasang: Patch telah diinstal.

    dibutuhkan: Patch perlu diinstal.

    Kategori

    Kategori

    • keamanan: patch keamanan yang memperbaiki kerentanan keamanan dan bug.

    • disarankan: patch yang direkomendasikan yang membantu meningkatkan kinerja, fungsi, atau kompatibilitas sistem.

    • opsional: patch opsional yang memberikan fitur tambahan atau memperbaiki masalah non-kritis.

    • fitur: patch fungsional yang menambahkan operasi baru atau meningkatkan fitur yang ada.

    • dokumen: dokumen.

    • yast: YaST adalah alat manajemen sistem untuk distribusi openSUSE dan SUSE Linux.

    Tingkat Keparahan

    Tingkat Keparahan

    • rendah: masalah atau risiko tingkat rendah.

    • sedang: masalah atau risiko tingkat sedang.

    • penting: masalah atau risiko penting.

    • kritis: masalah atau risiko kritis.

    • tidak ditentukan: masalah atau risiko yang tidak ditentukan.

    Dibuat Pada

    Tanggal pembuatan patch.

    Baseline patch Zypper memilih patch berdasarkan atribut Kategori dan Tingkat Keparahan patch. Contoh:

    "PatchFilterGroup": [
    {
        "Values": [
            "*"
        ],
        "Key": "Produk"
    },
    {
        "Values": [
            "keamanan",
            "disarankan"
        ],
        "Key": "Klasifikasi"
    },
    {
        "Values": [
            "Kritis",
            "Penting",
            "Sedang"
        ],
        "Key": "Tingkat Keparahan"
    }
],

    Aturan sebelumnya digunakan untuk mencocokkan paket patch keamanan dan yang direkomendasikan dengan tingkat keparahan Kritis, Penting, atau Sedang.

    Windows

    Cara pembaruan patch sistem pada Windows

    Saat pembaruan patch dipindai atau diinstal, pengelola patch secara otomatis menghapus pembaruan yang digantikan oleh pembaruan berikutnya dalam daftar patch. Oleh karena itu, pengelola patch hanya menampilkan pembaruan terbaru untuk Anda instal. Sebagai contoh, jika patch KB4550961 digantikan oleh patch KB4556846, maka hanya patch KB4556846 yang digunakan sebagai pembaruan patch.

    Jika pembaruan patch yang diperlukan memiliki pembaruan dependen, Anda harus menginstal pembaruan dependen terlebih dahulu. Kemudian, Anda dapat mendeteksi dan menginstal pembaruan yang diperlukan setelah pembaruan patch dipindai kembali. Sebagai contoh, jika patch KB5005076 bergantung pada patch KB4566425, dan patch KB4566425 belum diinstal, patch KB5005076 tidak dapat dideteksi setelah pembaruan patch dipindai. Dalam hal ini, Anda harus menginstal patch KB4566425 terlebih dahulu.

    Catatan: Pengelola patch mendukung pembaruan patch sistem hanya untuk Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, dan Windows Server 2022.