تخطيط توزيع Update Management
الخطوة 1: حساب التنفيذ التلقائي
Update Management هي ميزة Azure Automation، ولذلك يتطلب حساب التنفيذ التلقائي. يمكنك استخدام حساب التنفيذ التلقائي الموجود في اشتراكك، أو إنشاء حساب جديد مخصص فقط لـ Update Management وليس ميزات التنفيذ التلقائي الأخرى.
الخطوة 2: سجلات Azure Monitor
تعتمد Update Management على مساحة عمل Log Analytics في Azure Monitor لتخزين التقييم وتحديث بيانات سجلات الحالة التي تم جمعها من الأجهزة المدارة. يتيح التكامل مع Log Analytics أيضاً إمكانية التحليل والتنبيهات التفصيلية في Azure Monitor. يمكنك استخدام مساحة عمل موجودة في اشتراكك، أو إنشاء مساحة عمل جديدة مخصصة فقط لأجل Update Management.
إذا كنت مستخدماً جديداً لسجلات Azure Monitor ومساحة عمل Log Analytics، فيجب عليك مراجعة دليل توزيع مساحة عمل تصميم Log Analytics.
الخطوة 3: أنظمة التشغيل المدعومة
تدعم Update Management إصدارات خاصة لأنظمة التشغيل Windows Server وLinux. قبل تمكين Update Management، تأكد من أن الأجهزة المستهدفة تفي متطلبات نظام التشغيل.
الخطوة 4: عامل Log Analytics
عامل Log Analytics لنظامي التشغيل Windows وLinux مطلوب لدعم Update Management. يتم استخدام العامل لكل من جمع البيانات، ودور Automation system Hybrid Runbook Worker لدعم دفاتر تشغيل Update Management المستخدمة لإدارة عمليات توزيع التقييم والتحديث على الجهاز.
في أجهزة Azure الظاهرية، إذا لم يكن عامل Log Analytics مثبتاً بالفعل، فعند تمكين Update Management للجهاز الظاهري، يتم تثبيته تلقائياً باستخدام ملحق الجهاز الظاهري لـ Log Analytics لنظام التشغيل Windows أو Linux. تم تكوين العامل للإبلاغ عن مساحة عمل Log Analytics المرتبطة بحساب التنفيذ التلقائي وتم تمكين Update Management فيه.
تحتاج الأجهزة الظاهرية غير التابعة لـ Azure أو الخوادم إلى تثبيت عامل Log Analytics لنظام التشغيل Windows أو Linux وإعداد التقارير إلى مساحة العمل المرتبطة. نوصي بتثبيت عامل Log Analytics لـ Windows أو Linux عن طريق توصيل جهازك أولاً بخوادم ممكنة بواسطة Azure Arc، ثم استخدام Azure Policy لتعيين تعريف النهج المضمن لـ توزيع عامل Log Analytics لأجهزة Azure Arc لنظام التشغيل Linux أو Windows. بدلاً من ذلك، إذا كنت تخطط أيضاً لمراقبة الأجهزة باستخدام نتيجة تحليلات الجهاز الظاهري، استخدم بدلاً من ذلك مبادرة تمكين Azure Monitor للأجهزة الظاهرية.
إذا كنت تمكن جهازاً تتم إدارته حالياً من قِبل Operations Manager، فلا يلزم وجود عامل جديد. تتم إضافة معلومات مساحة العمل إلى تكوين العوامل عند توصيل مجموعة الإدارة بمساحة عمل Log Analytics.
لا يتم دعم جهاز مسجل لـ Update Management في أكثر من مساحة عمل خاصة بـ Log Analytics (يُشار إلى ذلك أيضاً باسم الاستضافة المتعددة).
الخطوة 5 - تخطيط الشبكة
لإعداد شبكتك لدعم Update Management، قد تحتاج إلى تكوين بعض مكونات البنية الأساسية. على سبيل المثال، افتح منافذ جدار الحماية لتمرير الاتصالات المستخدمة من قبل Update Management وAzure Monitor.
قم بمراجعة تكوين شبكة Azure Automation للحصول على معلومات مفصلة عن المنافذ وعناوين URL وتفاصيل الشبكات الأخرى المطلوبة لـ Update Management بما في ذلك دور Hybrid Runbook Worker. للاتصال بخدمة التنفيذ التلقائي من Azure VMs بشكل آمن وخاص، راجع استخدام Azure Private Link.
بالنسبة لأجهزة Windows، يجب أيضاً السماح بنسبة استخدام الشبكة إلى أي نقاط نهاية يطلبها عامل Windows Update. يمكنك العثور على قائمة محدثة من نقاط النهاية المطلوبة في المشكلات المرتبطة ببروتوكول HTTP/الوكيل. إذا كان لديك توزيع Windows Server Update Services محلي، فيجب أيضا السماح بنسبة استخدام الشبكة إلى الخادم المحدد في مفتاح WSUS الخاص بك.
بالنسبة لأجهزة Red Hat Linux، راجع عناوين IP لخوادم تسليم محتوى RHUI للنقاط النهائية المطلوبة. للحصول على توزيعات Linux أخرى، راجع وثائق الموفر.
إذا لم تسمح نهج أمان تكنولوجيا المعلومات للأجهزة على الشبكة بالاتصال بالإنترنت، فيمكنك إعداد بوابة Log Analytics ثم تكوين الجهاز للاتصال عبر البوابة إلى Azure Automation وAzure Monitor.
الخطوة 6: الأذونات
لإجراء عمليات توزيع التحديث وإدارتها، يجب أن تحصل على أذونات محددة. لمعرفة تلك الأذونات، راجع الوصول المستند إلى الدور - Update Management.
الخطوة 7: عامل Windows Update
تعتمد Azure Automation Update Management على عامل Windows Update لتنزيل تحديثات Windows وتثبيتها. هناك إعدادات نهج مجموعة معينة التي يتم استخدامها من قبل عامل Windows Update (WUA) على الأجهزة للاتصال بـ Windows Server Update Services (WSUS) أو Microsoft Update. يتم استخدام إعدادات نهج المجموعة هذه أيضاً لإجراء مسح ضوئي بنجاح للتوافق مع تحديث البرامج، وتحديث تحديثات البرامج تلقائياً. لمراجعة توصياتنا، راجع تكوين إعدادات Windows Update لـ Update Management.
الخطوة 8: مستودع Linux
يتم تسجيل الأجهزة الظاهرية التي تم إنشاؤها من صور Red Hat Enterprise Linux (RHEL) عند الطلب والمتوفرة في Azure Marketplace للوصول إلى Red Hat Update Infrastructure (RHUI) التي تم توزيعها في Azure. يجب تحديث أي توزيع Linux آخر من مستودع الملفات على الإنترنت للتوزيع باستخدام أساليب مدعومة من قبل هذا التوزيع.
لتصنيف التحديثات في الإصدار 6 لنظام التشغيل Red Hat Enterprise، يجب تثبيت المكون الإضافي yum-security. في الإصدار 7 من نظام التشغيل Red Hat Enterprise Linux، يشكل بالفعل المكون الإضافي جزءاً من YUM نفسه ولا داعي لتثبيت أي شيء. لمزيد من المعلومات، راجع المقال المعرفي التالي من شركة Red Hat.
الخطوة 9: تخطيط أهداف النشر
تتيح لك Update Management استهداف التحديثات إلى مجموعة ديناميكية تمثل أجهزة Azure وأجهزة غير مرتبطة بـ Azure، بحيث يمكنك التأكد من حصول أجهزة معينة دائماً على التحديثات الصحيحة في أكثر الأوقات ملاءمة. يتم حل مجموعة ديناميكية في وقت التوزيع وتستند إلى المعايير التالية:
- الوصف
- مجموعات الموارد
- المواقع
- علامات
بالنسبة للأجهزة غير المرتبطة بـ Azure، تستخدم مجموعة ديناميكية عمليات بحث محفوظة، تُسمى أيضاً مجموعات الكمبيوتر. تحديث عمليات التوزيع ذات النطاق إلى مجموعة من الأجهزة مرئي فقط من حساب التنفيذ التلقائي في الخيارجداول التوزيع لـ Update Management وليس من أجهزة Azure ظاهرية معينة.
بدلاً من ذلك، يمكن إدارة التحديثات فقط لأجهزة Azure الظاهرية المحددة. تحديث عمليات التوزيع ذات النطاق إلى أجهزة معينة من كل من الجهاز ومن حساب التنفيذ التلقائي في الخيارجداول التوزيع لـ Update Management.
الخطوات التالية
يمكنك تمكين Update Management وتحديد الأجهزة التي ستتم إدارتها باستخدام إحدى الطرق التالية:
يمكنك استخدام قالب Resource Manager لـ Azure لتوزيع Update Management إلى حساب تنفيذ تلقائي جديد أو موجود ومساحة عمل Azure Monitor Log Analytics في اشتراكك. لا يقوم بتكوين نطاق الأجهزة التي يجب إدارتها، ويتم تنفيذ ذلك كخطوة منفصلة بعد استخدام القالب.
من حساب التنفيذ التلقائي الخاص بك لواحد أو أكثر من أجهزة Azure أو للأجهزة غير المرتبطة بـ Azure، بما في ذلك الخوادم التي يمكّنها Azure Arc.
استخدام دفتر تشغيل Enable-AutomationSolutionلأتمتة إلحاق أجهزة Azure الظاهرية.
بالنسبة لـ أجهزة Azure المحددة من صفحة الأجهزة الظاهرية في مدخل Azure. يتوفر هذا السيناريو للأجهزة الظاهرية لـ Linux وWindows.
بالنسبة إلى أجهزة Azure المتعددة عن طريق تحديدها من صفحة الأجهزة الظاهرية في مدخل Azure.