使用 Skill 扫描或安装系统补丁 - 系统运维管理

使用补丁管理 Skill 在 OpenClaw、Cursor 等 AI 平台中通过自然语言对话，可直接扫描和安装 ECS 实例的系统补丁。

功能概述

补丁管理 Skill 基于阿里云系统运维管理（CloudOps Orchestration Service, OOS）和云助手（Cloud Assistant），提供以下能力：

扫描系统补丁：检查一个或多个 ECS 实例的操作系统补丁状态，识别缺失的安全更新和系统修复。
安装系统补丁：在一个或多个 ECS 实例上安装缺失的系统补丁，支持重启策略配置和快照备份。
补丁基线管理：支持指定补丁基线名称，按照预定义的基线规则筛选和安装补丁。

Skill 通过 OOS 模板 ACS-ECS-BulkyApplyPatchBaseline 执行补丁操作，支持批量处理最多 1000 个实例，并自动轮询执行状态直至完成。

适用范围

控制端（运行 AI 智能体平台的环境）：

AI 智能体平台已就绪：已安装并配置支持 Skill 协议的 AI 智能体平台（如 OpenClaw、Cursor、Claude 等）。
阿里云 CLI 版本：需要阿里云 CLI 3.3.1 及以上版本。运行 aliyun version 查看当前版本，版本过低请升级。
阿里云账号凭证：已在阿里云CLI中配置身份凭证。运行 aliyun configure list 确认凭证状态。

RAM 权限：使用补丁管理 Skill，阿里云账号或 RAM 用户需要授予以下权限。具体操作，请参见管理RAM用户的权限。

RAM Policy

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecs:CreateSnapshot",
        "ecs:DescribeInstances",
        "ecs:DescribeInvocationResults",
        "ecs:DescribeInvocations",
        "ecs:DescribeSnapshots",
        "ecs:InvokeCommand",
        "oos:CancelExecution",
        "oos:GetPatchBaseline",
        "oos:GetTemplate",
        "oos:ListExecutions",
        "oos:ListInstancePatches",
        "oos:ListInstancePatchStates",
        "oos:ListPatchBaselines",
        "oos:ListTemplates",
        "oos:StartExecution"
      ],
      "Resource": "*"
    }
  ]
}

目标端（需执行补丁操作的 ECS 实例）：

实例状态：目标 ECS 实例已安装云助手 Agent。若未安装，请安装云助手Agent。
网络连通：实例需要公网访问能力以下载补丁包。如需开通公网，请参见开通公网。
操作系统：支持 Linux（CentOS、Ubuntu、Alibaba Cloud Linux、Debian 等）和 Windows Server 系列。

添加 Skill

补丁管理 Skill 已发布至阿里云Skill平台和 ClawHub，支持以下添加方式：

对话添加（推荐）

在 AI 智能体平台的 Agent 模式对话界面中发送以下提示词，即可自动完成 Skill 添加和配置：

Install the skill "Alibabacloud Ecs Patch Management" (sdk-team/alibabacloud-ecs-patch-management) from ClawHub.
Skill page: https://clawhub.ai/sdk-team/alibabacloud-ecs-patch-management
After install, inspect the skill metadata and help me finish setup.

命令行添加（OpenClaw）

在 OpenClaw 环境中，通过 CLI 直接添加：

openclaw skills install alibabacloud-ecs-patch-management

手动添加

在 AI 智能体平台的 Skill 管理页面中，添加以下 Skill 地址：

https://skills.aliyun.com/skills/alibabacloud-ecs-patch-management

使用场景

Skill 支持以下使用场景。在 AI 智能体平台的对话界面中，使用自然语言描述需求即可触发对应流程。

扫描系统补丁

扫描一个或多个 ECS 实例的系统补丁状态，识别缺失的补丁。扫描流程包括以下步骤：

确认目标实例：Skill 根据输入的实例 ID 和地域信息确认目标实例。
确认参数：Skill 输出参数确认表，列出地域 ID、实例 ID、操作类型（扫描）和补丁基线名称，等待确认后执行。
执行扫描：Skill 通过 OOS StartExecution API 创建扫描任务，自动轮询执行状态（每 20 秒检查一次，最长等待 20 分钟）。
输出扫描报告：扫描完成后，Skill 输出报告，包含执行 ID、缺失补丁数量、补丁详情和后续建议。

示例对话：

"扫描 i-bp1xxxxxxxx 的系统补丁状态"
"检查杭州地域实例有哪些缺失的补丁"
"帮我看看这台实例需要安装哪些安全更新"

安装系统补丁

在一个或多个 ECS 实例上安装缺失的系统补丁。安装流程包括以下步骤：

确认目标实例：Skill 根据输入的实例 ID 和地域信息确认目标实例。
配置安装参数：Skill 引导确认重启策略、是否创建快照备份等可选参数。
确认参数：安装前，Skill 输出参数确认表，列出地域 ID、实例 ID、操作类型（安装）、重启策略、快照配置等，等待确认后执行。
执行安装：Skill 通过 OOS StartExecution API 创建安装任务，自动轮询执行状态（每 20 秒检查一次，最长等待 20 分钟）。
输出安装报告：安装完成后，Skill 输出报告，包含执行 ID、安装结果、重启状态和后续建议。

示例对话：

"帮我在 i-bp1xxxxxxxx 上安装系统补丁"
"安装补丁前先创建快照，安装后稍后重启"
"在杭州地域的 3 台实例上安装安全补丁，不需要重启"

参数说明

Skill 支持以下参数配置：

参数	是否必填	说明
RegionId	是	目标实例所在地域 ID，例如 `cn-hangzhou`。
InstanceIds	是	目标实例 ID 列表，单次最多支持 1000 个实例。
Action	是	操作类型，可选值为 `scan`（扫描）或 `install`（安装）。
rebootIfNeed	否	安装补丁后是否允许重启实例，默认为否。仅在 `Action` 为 `install` 时生效。
whetherCreateSnapshot	否	安装前是否创建系统盘快照备份，默认为否。仅在 `Action` 为 `install` 时生效。
retentionDays	否	快照保留天数，取值范围 1~65536，默认 7 天。仅在 `Action` 为 `install` 时生效。

常见问题

补丁扫描或安装失败如何排查？

操作失败的常见原因及解决方式：

实例未运行：确认目标实例处于运行中状态。
网络不通：实例需要公网访问能力以连接补丁源。确认实例已开通公网且安全组允许出方向流量。
云助手 Agent 未安装或离线：确认目标实例已安装云助手 Agent 且处于在线状态。
磁盘空间不足：确认实例有足够的磁盘空间下载和安装补丁包。
权限不足：确认当前账号具有所需的 RAM 权限。

安装补丁后是否需要重启？

取决于补丁类型。内核更新类补丁通常需要重启才能生效，应用层补丁一般不需要重启。可通过 rebootIfNeed 参数控制重启行为：

true：允许系统在补丁安装后按需自动重启
false（默认）：不自动重启，补丁安装后由您手动决定重启时间

操作超时但任务还在运行怎么办？

Skill 最长轮询 20 分钟。如果任务超时但仍在运行，使用以下命令手动查询执行状态：

aliyun oos list-executions --biz-region-id "<地域ID>" --execution-id "<执行ID>"

执行 ID 可从 Skill 输出的报告中获取。

能否同时在多个实例上操作？

支持。提供多个实例 ID，Skill 通过 OOS 的批量执行能力在多个实例上并行操作，单次最多支持 50 个实例。

建议安装补丁前创建快照吗？

建议在生产环境中开启快照备份。设置 whetherCreateSnapshot 为 true，并指定合适的 retentionDays（默认 7 天）。如果补丁安装后出现兼容性问题，可通过快照快速回滚系统盘。