Správa aktualizací a oprav pro virtuální počítače
Aktualizace softwaru v Azure Automation Update Management poskytuje sadu nástrojů a prostředků, které můžou pomoct spravovat složitý úkol sledování a použití aktualizací softwaru na počítače v Azure a v hybridním cloudu. Efektivní proces správy aktualizací softwaru je nezbytný k zajištění provozní efektivity, překonání problémů se zabezpečením a snížení rizik vyšších kybernetických bezpečnostních hrozeb. Ale kvůli měnící se povaze technologie a neustálému výskytu nových hrozeb zabezpečení vyžaduje účinná správa aktualizací softwaru důslednou a nepřetržitou pozornost.
Poznámka
Update Management podporuje nasazení aktualizací první strany a jejich předběžné stažení. Tato podpora vyžaduje změny v aktualizovaném systému. Informace o Windows těchto nastavení v Azure Automation Update Management najdete v tématu Konfigurace nastavení aktualizace pro Azure Automation Update Management.
Než se pokusíte spravovat aktualizace pro virtuální počítače, ujistěte se, že jste na nich Update Management pomocí jedné z těchto metod:
- Povolení Update Management z účtu Automation
- Povolte Update Management procházením Azure Portal
- Povolení Update Management z runbooku
- Povolení Update Managementu z virtuálního počítače Azure
Omezení rozsahu nasazení
Update Management používá konfiguraci oboru v rámci pracovního prostoru k cílení na počítače pro příjem aktualizací. Další informace najdete v tématu Omezení Update Management nasazení.
Posouzení dodržování předpisů
Před nasazením aktualizací softwaru do počítačů zkontrolujte výsledky posouzení dodržování předpisů aktualizací pro povolené počítače. Pro každou aktualizaci softwaru se zaznamená její stav dodržování předpisů a po dokončení vyhodnocení se tato aktualizace shromažďuje a hromadně předává do Azure Monitor protokolů.
Na Windows počítači se kontrola dodržování předpisů spouští ve výchozím nastavení každých 12 hodin a spustí se během 15 minut od restartování agenta Log Analytics Windows počítače. Data posouzení se pak předá do pracovního prostoru a aktualizují se tabulka Updates. Před a po instalaci aktualizace se provede kontrola kompatibility aktualizací za účelem identifikace chybějících aktualizací, ale výsledky se k aktualizaci dat posouzení v tabulce nepoužíjí.
Je důležité si prohlédněte naše doporučení, jak nakonfigurovat klienta Windows Update s Update Management, abyste se vyhnuli problémům, které brání jeho správné spravování.
V případě počítače s Linuxem se kontrola dodržování předpisů provádí ve výchozím nastavení každou hodinu. Pokud se agent Log Analytics pro Linux restartuje, zahájí se kontrola dodržování předpisů během 15 minut.
Výsledky dodržování předpisů jsou uvedené v Update Management pro každý hodnocený počítač. Může trvat až 30 minut, než řídicí panel zobrazí aktualizovaná data z nového počítače, který má povolenou správu.
Informace o tom, jak zobrazit výsledky dodržování předpisů, najdete v tématu Monitorování aktualizací softwaru.
Nasazení aktualizací
Po dokončení kontroly výsledků dodržování předpisů je fáze nasazení aktualizace softwaru procesem nasazování aktualizací softwaru. Pokud chcete instalovat aktualizace, naplánujte nasazení, které bude v souladu s plánem vydání a časovým oknem služby. Můžete zvolit typy aktualizací, které budou součástí nasazení. Můžete například zahrnout důležité aktualizace nebo aktualizace zabezpečení a vyloučit kumulativní aktualizace.
V tématu Nasazení aktualizací softwaru se dozvíte, jak naplánovat nasazení aktualizací.
Vyloučení aktualizací
U některých variant Linuxu, jako je Red Hat Enterprise Linux, může upgrade na úrovni operačního systému procházet prostřednictvím balíčků. To může vést k Update Management, ve kterých se mění číslo verze operačního systému. Vzhledem Update Management používá stejné metody k aktualizaci balíčků, které správce používá místně na počítači s Linuxem, je toto chování záměrné.
Pokud se chcete vyhnout aktualizaci verze operačního systému Update Management nasazení, použijte funkci Vyloučení.
V Red Hat Enterprise Linuxu je název balíčku, který se má redhat-release-server.x86_64 vyloučit, .
Klasifikace aktualizací pro Linux
Při nasazování aktualizací do počítače s Linuxem můžete vybrat klasifikace aktualizací. Tato možnost filtruje aktualizace, které splňují zadaná kritéria. Tento filtr se použije místně na počítači při nasazení aktualizace.
Protože Update Management provádí rozšiřování aktualizací v cloudu, můžete některé aktualizace v Update Management označit příznakem jako aktualizace, které mají vliv na zabezpečení, i když místní počítač tyto informace nemá. Pokud na počítač s Linuxem použijete důležité aktualizace, můžou se zobrazit aktualizace, které nejsou označené jako aktualizace, které mají na tento počítač vliv na zabezpečení, a proto se nepoužijí. Může ale Update Management počítač nahlásit jako nekompatibilní, protože obsahuje další informace o příslušné aktualizaci.
Nasazování aktualizací podle klasifikace aktualizací nefunguje ve verzích RTM CentOS. Pokud chcete správně nasadit aktualizace pro CentOS, vyberte všechny klasifikace, abyste se ujistili, že jsou aktualizace použité. V případě SUSE můžete výběrem možnosti POUZE jiné aktualizace jako klasifikace nainstalovat některé další aktualizace zabezpečení, pokud souvisejí se zypperem (správcem balíčků) nebo jeho závislostmi. Toto chování je omezení zypperu. V některých případech může být nutné znovu spustit nasazení aktualizace a pak ověřit nasazení prostřednictvím protokolu aktualizací.
Kontrola nasazení aktualizací
Po dokončení nasazení zkontrolujte proces a určete úspěšnost nasazení aktualizací podle počítače nebo cílové skupiny. Informace o tom, jak monitorovat stav nasazení, najdete v tématu Kontrola stavu nasazení.
Další kroky
Informace o vytváření výstrah, které vás upozorní na výsledky nasazení aktualizací, najdete v tématu vytváření výstrah pro Update Management.
Pomocí dotazů na Azure Monitor můžete analyzovat posouzení aktualizací, nasazení a další související úlohy správy. Obsahuje předdefinované dotazy, které vám pomůžou začít.